「ChatGPT」利用のヒント

AIで生成したプログラムの使用が招くリスク--考えられる法的責任

David Gewirtz (Special to ZDNET.com) 翻訳校正: 川村インターナショナル

2023-06-28 07:30

 今回も引き続き、AI生成コードを使用することの法的意味を探っていく。米ZDNETの記事へのコメントで、この難問に取り組むきっかけを与えてくれた@pbug5612に心から感謝したい。

 このシリーズの最初の記事では、「ChatGPT」などのAIチャットボットによって作成されたコードの所有権に注目した。今回の記事では、法的責任の問題を取り上げる。

機能面での法的責任

 この議論の枠組み作りにあたって話を聞いたのが、長年にわたりInternet Press Guildのメンバーを務める弁護士のRichard Santalesa氏だ。テクノロジージャーナリズムのキャリアを持つSantalesa氏は、この問題を法律とテクノロジーの両面から理解している(同氏はSmartEdgeLaw Groupの創設メンバー)。

 「案件が裁判所で審理され、この問題に決定的な答えが出るまで、AI生成コードの法的意味は、人間が作成したコードと同じだ」とSantalesa氏は語る。

 同氏はまた、人間が生成したコードはエラーのないものには程遠いという点に留意してほしい、と述べた。コードが完璧であることや、サービスを中断なく利用できることを保証するサービスレベルアグリーメントは、絶対にないだろう。

 Santalesa氏は、ソフトウェアアプリケーションのすべての部分を独力で作成することはまれだ、とも指摘している。「大半のプログラマーはSDKやコードライブラリーを使う。それらを自分で吟味したわけではなく、分析したわけでもないが、それでも利用している。AI生成コードは、当面の間、法的意味という点では同じように扱われると思う」

トロールを招き入れる

 イェール大学ロースクールのサイバーセキュリティ講師を務め、Yale Privacy Labを創設したSean O'Brien氏は、開発者にとって間違いなく厄介なリスクを指摘した。

 ChatGPTや「Copilot」など、オープンソースとプロプライエタリーの両方を含む膨大な量のコードで訓練されたツールの場合、AIプロンプトがプロプライエタリーなコードを出力する可能性は非常に高い。

 チャットボットがどのように訓練されたかは分からない。したがって、ChatGPTのようなツールから出力されたコードのセグメントが、そのAIによって生成されたものなのか、訓練プロセスの一環として取り込んだコードをそのまま出力しただけなのかは分からない。

 開発者の皆さんは心して読んでほしい。O'Brien氏は次のように予測している。

 近い将来、トロールの新しいサブカテゴリーが生まれるだろう。パテントトロールとよく似たものだが、今回の標的はAIによって生成される成果物だ。AI対応ツールを使用して、プロプライエタリーライセンスで保護されたコードを配布するユーザーが増えるにつれ、フィードバックループが作り出される。プロプライエタリーなコードで汚染されたソフトウェアエコシステムが誕生し、進取的な企業による停止命令の申し立ての標的になるだろう。

 イェール大学のSean O'Brien氏がトロールという要因を指摘した瞬間、筆者は背筋が凍った。これは非常に厄介な事態になるだろう。考えただけで頭が痛くなりそうだ。

 別の見解もある。訓練用コーパス(AIが結果を提供するために使う知識の源)を破壊しようとする者が出てくるだろう。人間には、制度の抜け穴を悪用しようとする一面がある。したがって、訴える標的を探すトロール行為が蔓延するだけでなく、ハッカー、犯罪者、ならず者国家、高校生、常軌を逸した行動を取る人たちが、楽しむために、あるいはもっと悪質な理由で、手あたり次第にAIに誤ったデータを入力しようとするだろう。

 これについては、あまり考えない方がいいのかもしれない。

 カナダの弁護士で、同国のビジネス法律事務所McMillan LLPのテクノロジーグループのパートナーであるRobert Piasentin氏は、チャットボットがオープンソースのコードや合法的なソースで訓練された可能性はあるが、著作権で保護されたコードでも訓練された可能性がある、と指摘した。その訓練用データには、不備や偏りのあるデータ(またはアルゴリズム)、さらには企業のプロプライエタリーデータが含まれているかもしれない。

 Piasentin氏はこう説明する。「AIが不正確な情報、不備のある情報、偏った情報を利用した場合、そのAIツールの出力がさまざまな申し立てを招くおそれがある。申し立ての内容は、その出力が(直接的または間接的に)引き起こした損害や危害の性質よって変わるだろう」

責任の所在

 AI生成コードが壊滅的な結果をもたらした場合、誰に責任があるのかという点については、どの弁護士も言及していない。

 一例を挙げよう。製品を提供する個人/企業は、たとえば既知の欠陥があるライブラリーを選択した場合、その責任の一部を負うことになる。既知のエクスプロイトがあるライブラリーを使用した製品が出荷され、その製品が実際に損害を引き起こした場合は、誰に責任があるのだろうか。製品のメーカーか。ライブラリーの作成者なのか。その製品を選んだ企業だろうか。

 通常は、3者全員の責任になる。

 そこにAI生成コードという要素を加えてみよう。明らかに、責任の大部分は、AI生成コードを使うことにしたプログラマーにある。結局のところ、コードがうまく機能しないことがあり、徹底的にテストする必要があるということは常識だ。

 しかし、包括的な訴訟において、原告側がAIの開発企業も訴えるケースはないだろうか。さらには、所有するコンテンツをAIの訓練に(無許可だとしても)使われた組織も標的になるのだろうか。

 どの弁護士も言っているように、現時点では判例が非常に少ない。何らかの重大な問題が起きて、当事者たちが出廷し、厳格な審理が行われるまで、本当の答えは分からないだろう。

 私たちは今、未知の海域にいる。現時点における筆者の最善のアドバイスは、コードを徹底的にテストすることだ。しつこいくらい何度もテストしよう。

ハッカー、犯罪者、ならず者国家、高校生、狂人が、手あたり次第にAIに誤ったデータを入力しようとするだろう。提供:Yuuji/Getty Images
ハッカー、犯罪者、ならず者国家、高校生、常軌を逸した行動を取る人たちが、手あたり次第にAIに誤ったデータを入力しようとするだろう。
提供:Yuuji/Getty Images

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ChatGPTに関連する詐欺が大幅に増加、パロアルトの調査結果に見るマルウェアの現状

  2. セキュリティ

    迫るISMS新規格への移行期限--ISO/IEC27001改訂の意味と求められる対応策とは

  3. セキュリティ

    警察把握分だけで年間4000件発生、IPA10大脅威の常連「標的型攻撃」を正しく知る用語集

  4. セキュリティ

    いま製造業がランサムウェアに狙われている!その被害の実態と実施すべき対策について知る

  5. セキュリティ

    ランサムウェア攻撃に狙われる医療機関、今すぐ実践すべきセキュリティ対策とは?

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]