ChatGPTやMicrosoft Copilotの導入を進めようとして、稟議で止まった経験がある人は多いと思う。私もそうだった。経営からは「早くDXを進めろ」と言われ、法務からは「リスク整理が先だ」と返ってくる。この板挟みが一番しんどい。
先日、生成AI導入で法務が押さえるべき7つの論点をまとめた記事を読んだ。正直、ここまで体系的に整理されたものを初めて見た気がした。著作権侵害・個人情報保護法・事業秘密の漏洩リスク・契約や利用規約違反・ハルシネーションによる責任問題・景品表示法72条との関係・労働法規に関わるリスク、この7つが論点として挙げられていた。
読んで最初に思ったのは「これ、法務が難しいんじゃなくて、私が論点を整理して渡してなかっただけだ」ということだった。法務に「このツール、使ってもいいですか?」と聞いても、向こうは何を聞かれているかわからない。7つの論点を使って「この点についてどう判断しますか」と聞けば、話が格段に前に進む。
私の部門では、営業日報の自動要約やメール文面の下書き生成など、現場での使い方はすでに見えている。でも稟議を上げると「セキュリティは大丈夫か」「個人情報は入力しないのか」という質問が返ってきて、回答を準備しているうちにまた時間が経つ。
この記事で紹介されていた4ステップの法務チェック手順が、そのまま稟議の添付資料として使えると感じた。ユースケースと入力データの洗い出し、ツールの利用規約・セキュリティ仕様の確認、社内ガイドラインと運用ルールの策定、モニタリング体制と改善サイクルの構築、この順番で資料を作ると経営陣の質問が事前につぶせる。
特に「入力データの洗い出し」は盲点だった。営業メンバーが何気なく顧客名や案件金額を入力していたとしたら、それだけで個人情報保護法や事業秘密の漏洩リスクが発生する。ツールを選ぶ前に、どんなデータを誰が入力するかを棚卸しする必要がある。これは法務の仕事ではなく、現場を知っている私たちの仕事だ。
以前は「法務が慎重すぎる」と思っていた。でも今は少し違う見方をしている。法務が止めているのではなく、判断材料が足りていないから止まっているだけだ。ハルシネーションで誤情報が生成された場合の責任の所在、景品表示法72条との関係でチラシや広告文への使用可否、こういった論点を整理して渡せば、法務も動ける。
社内ガイドラインに盛り込む5つの項目として、記事では「利用可能な生成AIツール」「禁止事項」「入力してよいデータの範囲」「出力結果の取り扱い」「インシデント時の報告フロー」が挙げられていた。これをたたき台にして法務と一緒に作れば、法務も「自分たちが関与した」という実感を持てる。承認ではなく共同作業にしてしまうのが早い。
来週、まずユースケースと入力データの一覧を部下に作らせてみるつもりだ。ツール選定の話は、その後でいい。
先日、生成AI導入で法務が押さえるべき7つの論点をまとめた記事を読んだ。正直、ここまで体系的に整理されたものを初めて見た気がした。著作権侵害・個人情報保護法・事業秘密の漏洩リスク・契約や利用規約違反・ハルシネーションによる責任問題・景品表示法72条との関係・労働法規に関わるリスク、この7つが論点として挙げられていた。
読んで最初に思ったのは「これ、法務が難しいんじゃなくて、私が論点を整理して渡してなかっただけだ」ということだった。法務に「このツール、使ってもいいですか?」と聞いても、向こうは何を聞かれているかわからない。7つの論点を使って「この点についてどう判断しますか」と聞けば、話が格段に前に進む。
稟議が通らない本当の理由
私の部門では、営業日報の自動要約やメール文面の下書き生成など、現場での使い方はすでに見えている。でも稟議を上げると「セキュリティは大丈夫か」「個人情報は入力しないのか」という質問が返ってきて、回答を準備しているうちにまた時間が経つ。
この記事で紹介されていた4ステップの法務チェック手順が、そのまま稟議の添付資料として使えると感じた。ユースケースと入力データの洗い出し、ツールの利用規約・セキュリティ仕様の確認、社内ガイドラインと運用ルールの策定、モニタリング体制と改善サイクルの構築、この順番で資料を作ると経営陣の質問が事前につぶせる。
特に「入力データの洗い出し」は盲点だった。営業メンバーが何気なく顧客名や案件金額を入力していたとしたら、それだけで個人情報保護法や事業秘密の漏洩リスクが発生する。ツールを選ぶ前に、どんなデータを誰が入力するかを棚卸しする必要がある。これは法務の仕事ではなく、現場を知っている私たちの仕事だ。
法務と戦うのをやめた
以前は「法務が慎重すぎる」と思っていた。でも今は少し違う見方をしている。法務が止めているのではなく、判断材料が足りていないから止まっているだけだ。ハルシネーションで誤情報が生成された場合の責任の所在、景品表示法72条との関係でチラシや広告文への使用可否、こういった論点を整理して渡せば、法務も動ける。
社内ガイドラインに盛り込む5つの項目として、記事では「利用可能な生成AIツール」「禁止事項」「入力してよいデータの範囲」「出力結果の取り扱い」「インシデント時の報告フロー」が挙げられていた。これをたたき台にして法務と一緒に作れば、法務も「自分たちが関与した」という実感を持てる。承認ではなく共同作業にしてしまうのが早い。
来週、まずユースケースと入力データの一覧を部下に作らせてみるつもりだ。ツール選定の話は、その後でいい。