オプトアウトとオプトイン

この記事でわかること

• オプトアウトとオプトインの違い
• 生成AIで確認すべきデータ利用設定
• 一般向けサービスと法人向けサービスの違い
• 設定だけに頼らないための注意点

オプトアウトとは、データ利用などについて「拒否する」と意思表示する方式です。オプトインとは、事前に「許可する」と意思表示した場合だけ利用を認める方式です。

生成AIの業務利用では、この違いがそのまま情報管理のリスクにつながります。入力した文章、ファイル、会話履歴がモデル改善に使われるのか、一定期間保存されるのか、法人契約では初期設定がどうなっているのかを確認する必要があります。

1. オプトアウトは拒否、オプトインは許可

オプトアウトとオプトインは、どちらも利用者の意思表示に関する言葉です。

重要なのは、言葉そのものよりも「初期設定がどちら側に倒れているか」です。利用者が何もしない状態でデータ利用が有効なのか、明示的に許可しない限り無効なのかで、会社として取るべき管理策が変わります。

2. 生成AIでは、入力データの扱いを確認する

生成AIサービスでは、入力したプロンプト、アップロードしたファイル、会話の履歴、フィードバックなどが、サービス改善やモデル改善に使われる場合があります。個人情報保護委員会も、生成AIサービスを使う際には、個人情報を含むプロンプトが機械学習に利用されないことなどを確認するよう注意喚起しています。

確認したいのは、次の4点です。

「学習に使われない」ことと「保存されない」ことは同じではありません。学習利用をオフにしても、履歴表示、監査、不正利用防止、法令対応などのために一定期間保持されるサービスがあります。

3. 一般向けと法人向けでは初期設定が違うことがある

AIサービスは、一般向けアカウント、法人向けワークスペース、APIプラットフォームでデータ利用条件が異なることがあります。

たとえばOpenAIは、ChatGPTのData Controlsで「Improve the model for everyone」をオフにすると、会話をモデル学習に使わないと説明しています。一方で、ChatGPT Business、ChatGPT Enterprise、ChatGPT Edu、API Platformなどの業務データについては、標準ではモデル学習に使わない方針を示しています。

ただし、この説明はOpenAIの各サービスに関するものです。別のAIサービスでも同じとは限りません。会社でAIを使う場合は、「有名なサービスだから大丈夫」ではなく、利用するプランごとに規約、管理画面、契約書、データ処理条件を確認します。

4. オプトアウト設定だけでは十分ではない

オプトアウトは重要な防衛策ですが、これだけで業務データの入力が自由になるわけではありません。

注意したい限界は次のとおりです。

• 学習利用を止めても、ログや履歴が一定期間残る場合がある
• 設定名や初期状態がサービス更新で変わる場合がある
• 個人アカウントと会社アカウントで条件が違う場合がある
• ブラウザ版、スマホアプリ、連携アプリで設定の見え方が違う場合がある
• 入力した情報が外部サービス、プラグイン、連携アプリに渡る場合がある

特に、機密情報と個人情報は「オプトアウト済みだから入力してよい」と単純には判断できません。会社のAI利用ガイドラインで許可された範囲、契約で確認されたサービス、必要最小限の入力に絞ることが基本です。

5. 業務でAIを使う前に確認すること

個人で使うAIと、会社の業務で使うAIでは、求められる確認の粒度が違います。業務利用では、少なくとも次の点を見ておきましょう。

会社指定のエンタープライズ版やAPI連携を使う理由は、単に有料だからではありません。データ利用条件、認証、権限、ログ、管理者設定を会社側で確認しやすくするためです。

6. 最後に見るべきは「初期設定」と「入力してよい情報」

オプトアウトとオプトインを理解する目的は、設定名を覚えることではありません。AIに入れた情報が、誰に、何の目的で、どの期間扱われるのかを判断できるようにすることです。

新しいAIツールを使う前に、まず「初期設定では学習利用がオンかオフか」「会社の業務データを入力してよい契約か」「入力しようとしている情報は本当に必要最小限か」を確認しましょう。設定で守れる範囲と、人間が入力前に止めるべき範囲を分けて考えることが大切です。