Google AntiGravity インストール時の使用許諾契約文の概要

# Google AntiGravity インストール時の使用許諾契約文の概要企業内で利用する際に利用者個人が不利になりそうな点について、その指摘と理由を解説してもらった。 --- ## 1. 全体の要約（何を約束させられてるか）この「Google Antigravity Additional Terms of Service」は、 **Antigravity というサービスを使うための追加条項**で、実際は次の 4つをまとめて「Agreement（契約）」と呼んでる： 1. Google Terms of Service（Google共通利用規約） 2. この Antigravity の追加利用規約 3. Google プライバシーポリシー 4. Generative AI Additional Terms of Service（生成AIの追加規約） **「I ACCEPT」やインストール、アクセスした瞬間に、これ全部に同意した扱い**になる。主な中身はこんな感じ： * この Agreement 全体が **Google と「あなた（個人）」の法的拘束力のある契約**。 * 同意しないなら使うな、というお決まりのやつ。 * サービスの利用中、「Interactions」と呼ばれるデータを集める： * ユーザーデータ * サービス利用のインタラクションデータ * 関連メタデータ * フィードバック * これらは **サービスを動かしている間だけ収集**され、複数ユーザで集約されることもある。 * Interactions は **研究・製品開発・機械学習の改良のために利用**される。 * Google社員や契約会社の人が **アクセス・閲覧・レビュー・使用**することがある。 * イヤなら設定から「こういう用途に使われない」ようにオプトアウトできる（と書いてある）。さらに、このサービスは **“AI Agents”** を含む： * 目標志向の AI システム／ワークフローで、あなたの代わりにタスクやアクションを実行。 * supervised（監督あり）でも autonomous（自律的）でも動きうる。ここでかなり重要な文言： > You are solely responsible for: > (a) the actions and tasks performed by an AI Agent > (b) 適合性判断 > (c) AI Agentに与えるアクセス権限 > (d) 本番環境で使うときの監督・判断つまり **AI Agentがやらかしたことは、全部「あなたの責任」** という立て付け。 --- ## 2. 企業内利用で「利用者個人」が不利になり得るポイントここが一番大事なところ。会社で使う「中の人」として読んだとき、危ない／面倒になりそうなところを挙げる。 ### (1) AI Agent の行為は「あなたが単独で責任を負う」と書いてある > You are solely responsible for: (a) the actions and tasks performed by an AI Agent; … **問題点：** * 極端な話、 * 誤ったメール送信 * 機密情報の外部サービスへのアップロード * 誤ったオペレーション（削除・更新・誤請求など） * こういうものを AI Agent がやったとしても、 **契約上は「あなたが単独で責任を持つ」構図**になっている。 **企業内利用での不利さ：** * 会社視点では「従業員が外部サービスに勝手に権限を与え、勝手に事故を起こした」と解釈されかねない。 * 社内規程（情報セキュリティポリシーやSaaS利用ルール）と矛盾していた場合、 **「規程違反＋EULA上もお前が責任持つって同意してるよね？」というダブルパンチ**。 * 特に「本番環境で使うときに監督しろ」と明示しているので、会社側から「監督不十分」「適切な検証なしに本番使用」と詰められる余地がある。 **現実的な対策：** * 個人アカウントで勝手に業務データを扱わない。 * 社内で正式に承認された Google アカウント／環境（会社契約）でのみ使う。 * 「AI Agent に何をさせてよいか」「どのシステムに接続して良いか」を社内ルールで明文化しておく。 * 少なくとも「本番環境」「顧客データ」「個人情報」には直結させない（ステージング・ダミーデータで検証）。 --- ### (2) Interactions が社員個人ベースで収集・閲覧されうる > we record and store your user data, interaction data … > Google employees and contractors may access, view, review and use Interactions. **問題点：** * あなたが行ったプロンプト、操作、結果などの **ログがかなり細かく残る**想定。 * それを **Googleの社員・契約業者が見られる**と明記されている。 **企業内利用での不利さ：** * あなたが業務上の機密情報やクライアントデータを投げ込んだ場合、それが **Google 側に渡り、内部で閲覧される可能性**がある。 * 会社としては「機密情報を第三者に漏えいした」扱いになり得る。 * ログには「あなたの操作履歴」が紐づくので、「誰がそれをやったか」が特定されやすい。 → **問題発覚時に個人責任として追われるリスクが高い。** **対策：** * 原則として **機密情報・個人情報・顧客固有データを入力しない**。 * 会社の情報セキュリティポリシーで AI 利用のルールを決めて、そこに従う。 * 「設定からこの用途への利用をオプトアウト」できると書いてあるので、もし会社が許容するなら、**必ずオプトアウト状態で使う**こと。 * それでも「Google と共有される」ことは残るので、 **超センシティブな情報には使わない**のが賢明。 --- ### (3) データ削除は「自分でリクエストしろ」「それまでは使われ続ける」 > You will have the option to delete your Interactions. > If you would like to request that your Interactions be deleted, you can email … > Note that such Interactions will be used … unless and until you request deletion … **問題点：** * Interactions は、 * あなたが自分から削除リクエストを出さない限り → **ずっと使われ続ける**。 * 削除依頼も、メール（[antigravity-support@google.com](mailto:antigravity-support@google.com)）で依頼が必要とされている。 **企業内利用での不利さ：** * うっかり機密情報を投げたあとで、 * 社内から「それ消せ」と言われても * あなたが **主体となって外部に削除依頼を出す**必要がある。 * 削除までの期間、それは **Google の研究や製品改善に使われうる**。 * そもそも削除依頼を「個人判断に任せる」形式なので、 * 会社として統制しづらい。 * 個々人の操作ミス／認識不足で情報が残り続けるリスクが高い。 **対策：** * まず「そもそも機密を入れない」が大前提。 * もし入れてしまったら： * すぐに上長 or 情報セキュリティ担当に報告。 * 会社の指示のもと、**あなたが削除依頼を行う**必要がある（ログ残すこと）。 * 会社として、こういう外部サービス利用時の「誤入力時の対応フロー」を決めておくべき。 --- ### (4) 契約主体が「会社」ではなく「あなた個人」扱いになりがち条文の書き方は基本的に “you” = 「使う人」＝**個人**。法人向け Google Workspace などとは違い、 **この条文だけ見ても「会社契約」なのか「個人利用」なのかがわかりにくい**。 **企業内利用での不利さ：** * もしあなたが個人アカウントで勝手に使っていた場合、 * Google との契約上の当事者は「あなた」。 * 会社は「知らん」で切り捨て可能。 * 何かトラブル（情報漏えい・契約違反）があっても、 * 会社から見れば「従業員の私的な外部サービス利用」扱いにされうる。 * **懲戒・損害賠償請求のターゲットが「あなた」に来る**構造も普通にあり得る。 **対策：** * まず前提として： * 会社として正式に利用を許可しているか？ * Google との契約は「会社アカウント／組織契約」になっているか？ * 何も決まっていない状態で **勝手に業務で使うのはかなり危険**。 * 「会社としてこのサービスを使う」という決定が出てから、管理部門や情報シスと一緒に環境を整備してから使うべき。 --- ## 3. まとめ（雑に言うとこういう契約） * Google 側： * お前の操作ログやデータ（Interactions）をもらうよ。 * それは研究・製品改善に使うし、社員や契約業者も見ることあるよ。 * AI Agent がやったことの責任は **全部お前にあるよ**。 * 嫌なら設定変えるか、削除依頼してね。 * あなた： * 「I ACCEPT」した瞬間、これを全部飲んだことになる。 * 企業の中の人として使うとき、 * 情報漏えい * 本番環境での事故 * 社内規程違反の矢面に最初に立つのは **あなただと思って動いたほうがいい**。 --- ## まとめの最後法的な最終判断は会社の法務・弁護士に投げるべきだが、「現場の従業員」という立場で冷静に読むと： > ✅ 勝手に業務データを突っ込んで、AI Agent に本番アクセスさせるのは自殺行為ってレベルで危ない条文が普通に入ってる。もし本気で社内導入を検討してるなら： 1. 会社の法務・情報シスにこの条文を共有 2. 「利用範囲」「禁止事項」「データの扱い」を社内ルール化 3. 個人アカウントでの業務利用は禁止、をきっちり明文化ここまでやってから、ようやく「まぁ使ってもいいかな」ってラインだと思っておこう。 --- # オプトアウトについてここでいう **「オプトアウトできる」**は、一般的な「データを全く送らない」という意味ではなく、もっと限定的で、注意が必要なタイプのオプトアウト。結論から言うと： > **Google のモデル改善・研究目的の利用“だけ”を拒否（オプトアウト）できるが、 > Interactions（利用データ）の収集そのものは基本的に止まらない。** > > ＝「収集はされる、ただし特定の用途への利用を拒否できる」という意味。この解釈を詳しく説明すると --- ## 1. 規約本文から読み取れる「オプトアウト」の実際の意味該当部分はここ： > If you don’t want your Interactions used in this way, > navigate to settings to change your preference on how such data is used. そしてもう一つ重要部分： > Note that such Interactions will be **used in accordance with the terms of this Agreement unless and until you request deletion**. つまり、 * **(A) Interactions の収集** → サービスが動いている限り発生する * **(B) Google 内部での利用** → 設定で用途（モデル改善など）を「拒否」できる * **(C) けれど、収集されたデータ自体は残る** * **(D) 削除したいなら、オプトアウトではなく “別途メールで削除依頼” が必要** という構造。 --- ## 2. なぜ「オプトアウト＝“収集停止”ではない」のか規約はこう言ってる： * Interactions は **「サービス使用中に自動的に収集」** * Google 社員・契約者が **アクセス・閲覧・利用しうる** * モデル改善への利用は **設定で拒否できる** * でも Interactions 自体は **削除依頼するまでは保持・利用される** つまりこの文脈の「オプトアウト」は、日本語の一般的な「拒否＝やめてくれる」というニュアンスとは違う。英語的にもここで使われている "preference on how such data is used" は > 「データの使われ方（用途）に関する選択肢」であって、 > 「データを収集しないという選択肢」ではない。 --- ## 3. 企業利用の文脈だと誤解しやすい点企業の安全保障ポリシーではよく、 > 「外部サービスへのデータ送信を停止するためのオプトアウト」という言葉が使われるけど、ここでのオプトアウトは全く別。この契約のオプトアウトは **「データ利用用途の設定変更」** のレベルにとどまる。 ### 実務上何が起こる？ * 機密情報を誤って入れた場合、オプトアウト設定にしていても **Google 側のログには残る**。 * 社内事故扱いになる可能性は普通にある。 * 「個人の判断でオプトアウトしたから大丈夫」には絶対ならない。 * **オプトアウト＝安全ではない**。 --- ## 4. 一言でまとめると > **ここでのオプトアウトは“利用用途の限定”であって、“データ収集の停止”ではない。 > ログは残るし、削除したい場合は別途削除依頼が必要。** ---