クラウドAIを業務で使ってよいか判断するとき、多くの人がまず確認するのは「入力データが学習に使われるか」です。学習利用の停止は確かに大事ですが、業務委託や個人情報、監査対応まで考えると、見るべき場所はもっと広がります。本当に確認したいのは、誰が、いつ、どの条件で、どの範囲まで、送信データやログに触れ得るのか、という点です。
この記事の要点
- 学習に使わないことは、保存されないことや誰も閲覧しないことと同じではない。
- 規約で見るべきは保存期間、ゼロデータ保持、人間レビュー、サブプロセッサ、削除、監査ログまで。
- 閉域AIなら、保存期間やログ、閲覧権限、削除、監査提出範囲を自社の契約に合わせて設計できる。
多くの人は「学習利用」だけを見ている
生成AIの情報管理の話になると、議論の中心は「学習に使われるかどうか」に寄りがちです。学習利用の停止オプションが用意されると、それで安全になったように感じられます。けれど委託元データや個人情報を扱う業務では、その一点だけでは委託契約や安全管理措置の要件をカバーできません。
学習利用は、送ったデータがモデルの改善に回るかという観点です。一方で業務上問われるのは、そのデータが保存されるか、保存されるならどこにどれだけ残るか、運用上誰が触れ得るか、消したいときに本当に消えるか、という運用全体の話です。観点が一段ずれています。
学習されないことと、保存・閲覧されないことは違う
学習に使わないと明記されていても、入力や出力が一定期間ログとして保存される設計はよくあります。保存の理由は、不正利用監視、障害調査、サポート対応、品質改善など、サービス運用に必要なものです。ゼロデータ保持のオプションがある場合とない場合で、扱いは大きく変わります。
閲覧可能性も別の論点です。人間によるレビューが行われる条件はあるか、サポートに問い合わせたときオペレーターが内容を参照できるか、障害調査でログをたどれるか。これらは「学習しません」という一文では何も保証されません。委託元に「第三者は閲覧しません」と約束しているなら、ここを規約のどこに書いてあるか、確認する場所が変わります。
規約を読むときの確認ポイント
業務利用の可否を判断するとき、規約の中で目を通したい観点を並べると次のようになります。サービスごとに書かれている場所も粒度も違うため、同じ枠で並べると比較しやすくなります。
保存と保持
入力・出力・添付の保存有無、保存期間、ゼロデータ保持オプションの有無。
閲覧と例外
不正利用監視、人間レビュー、サポートや障害調査時のアクセス可能性。
外部関与と削除
サブプロセッサの関与、リージョン、削除要求とバックアップ、提供される監査ログ。
規約は委託元契約を肩代わりしない
サブプロセッサ一覧が公開されていることは前進ですが、それが委託元の再委託承諾の代わりになるかは別の判断です。規約変更や仕様変更の通知方法も見ておきたい点で、保存期間やサブプロセッサが後から変わり得る場合、契約時点の確認だけでは追いきれません。
クラウドAIの利用規約は、事業者がサービスを安全に提供するために書かれています。ユーザー企業が委託元に負う義務を満たすために書かれているわけではありません。だから規約を丁寧に読むほど、委託契約との差分が見えてきます。
ローカルLLMやオンプレミスAI、閉域AIを検討する理由は、この差分を自社側で設計できることにあります。学習に使わないことだけでなく、保存期間、ログの粒度、閲覧権限、障害対応時のアクセス、削除、監査に出せる範囲まで、自社または委託契約に合わせて決められる。規約を読み解く作業が、そのまま自社で設計すべき項目のチェックリストになります。
参考資料
- Anthropic「Commercial Terms of Service」
- Microsoft「Data, privacy, and security for Foundry Models sold by Azure」
閉域AI・社内データ活用を相談する
閉域AI、社内データ活用、拠点間ネットワーク、音声・録音データ、クラウド接続など、AIを業務環境に組み込むためのインフラ構成についてご相談ください。
既存ネットワーク、PBX、データセンター、業務システムとの接続を前提に、実装しやすい構成を整理します。
要件を相談する