業務でクラウドAIを止める理由として、まず挙がるのは「入力データが学習に使われるかもしれない」という不安です。けれど、委託元から仕事を預かっている会社で本当に詰まるのは、その手前にあります。委託契約で約束した守秘義務や保存・削除の条件と、クラウドAIの利用規約が、同じ目的で書かれていない。ここがずれていると、機能がどれだけ便利でも、委託元に説明できなくなります。
この記事の要点
- クラウドAIの壁は「学習されるか」だけではなく、委託契約との不一致にある。
- AI利用規約はサービス提供・保守・安全確保のためによくできているが、委託契約を肩代わりしない。
- 閉域AIの価値は、契約で定義した管理境界をAIの処理境界に揃えられること。
クラウドAI事業者が悪いわけではない
最初に切り分けておきたいのは、これはクラウドAI事業者を責める話ではない、ということです。主要なクラウドAIの利用規約は、サービスを安定して提供し、障害に対応し、不正利用を監視し、法令に応えるために、かなりよく整理されています。事業者の立場では、これらの条項は必要なものです。
問題は、その規約があくまでクラウドAI事業者とユーザー企業の間の取り決めだという点にあります。ユーザー企業が委託元に対して負っている守秘義務や管理責任を、AI事業者の規約が代わりに満たしてくれるわけではありません。良くできた規約であることと、自社の委託契約を満たすことは、別の話です。
「学習しません」は「誰も見ません」ではない
「入力データを学習に使いません」という説明は、いまや多くのサービスで標準になりました。これは重要な前進ですが、委託契約が求めるのはそこだけではありません。委託契約が気にしているのは、誰が、どの条件で、送信データやログにアクセスし得るか、という範囲です。
学習に使わないことと、保存されないことは違います。保存されないことと、障害対応やサポートのときに誰も参照できないことも違います。クラウドAIには、サービス提供・保守・安全確保・不正利用監視といった目的で、運用上データに触れ得る場面が残ります。これは不正ではなく、サービスを成り立たせるための正当な仕組みです。だからこそ、委託元に「第三者は一切見ない」と言い切る契約とは、前提がずれます。
委託契約の言葉と、規約の言葉を並べてみる
委託元との契約でよく出てくる条件を、クラウドAI利用時に詰まりやすい点と並べると、ずれの正体が見えてきます。どちらが正しいという話ではなく、目的が違うために言葉が噛み合わない、という構図です。
再委託には事前承諾が必要
AI事業者、クラウド基盤、監視、サポートなど複数の主体が関与し得るため、どこまでが再委託かの説明が要る。
第三者に閲覧させない
障害対応、サポート、不正利用監視、サブプロセッサ処理をゼロと言い切りにくい。
国内保存・国内処理/削除証明
リージョン、ログ保存範囲、バックアップ、法令保持と、契約文言がずれる場合がある。
契約境界と処理境界を一致させる
クラウドAIを一律に禁止すれば解決する、という話ではありません。公開情報の要約や一般的な文章作成なら、クラウドAIで十分なことも多くあります。詰まるのは、委託元データや機密情報を入力した瞬間に、契約上の説明責任がユーザー側へ移る場面です。
そこで効いてくるのが、処理場所を自社側に寄せられる選択肢です。ローカルLLMやオンプレミスAI、閉域AIの価値は「インターネットに出ない」ことだけではありません。委託契約で定義した管理境界、つまり誰がアクセスでき、どこに保存し、いつ消すかという範囲を、AIの処理境界とそのまま一致させられることにあります。最初から全社ルールを固める必要はありません。まず小さく使い、委託元データを扱う業務だけ処理場所を分けていく進め方なら、利用を止めずに契約との整合を取り戻せます。
委託元に説明できないAIは、便利な道具ではあっても、業務システムにはなりません。クラウドAI、ローカルLLM、オンプレミスAI、閉域AIを業務とデータの性質で使い分けられる構成を残しておくことが、契約に耐えるAI基盤の出発点になります。
参考資料
- 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」
- Microsoft「Data, privacy, and security for Foundry Models sold by Azure」
閉域AI・社内データ活用を相談する
閉域AI、社内データ活用、拠点間ネットワーク、音声・録音データ、クラウド接続など、AIを業務環境に組み込むためのインフラ構成についてご相談ください。
既存ネットワーク、PBX、データセンター、業務システムとの接続を前提に、実装しやすい構成を整理します。
要件を相談する