--- # System prepended metadata title: Google AntiGravity インストール時の使用許諾契約文の概要 --- # Google AntiGravity インストール時の使用許諾契約文の概要 企業内で利用する際に利用者個人が不利になりそうな点について、その指摘と理由を解説してもらった。 --- ## 1. 全体の要約(何を約束させられてるか) この「Google Antigravity Additional Terms of Service」は、 **Antigravity というサービスを使うための追加条項**で、実際は次の 4つをまとめて「Agreement(契約)」と呼んでる: 1. Google Terms of Service(Google共通利用規約) 2. この Antigravity の追加利用規約 3. Google プライバシーポリシー 4. Generative AI Additional Terms of Service(生成AIの追加規約) **「I ACCEPT」やインストール、アクセスした瞬間に、これ全部に同意した扱い**になる。 主な中身はこんな感じ: * この Agreement 全体が **Google と「あなた(個人)」の法的拘束力のある契約**。 * 同意しないなら使うな、というお決まりのやつ。 * サービスの利用中、「Interactions」と呼ばれるデータを集める: * ユーザーデータ * サービス利用のインタラクションデータ * 関連メタデータ * フィードバック * これらは **サービスを動かしている間だけ収集**され、複数ユーザで集約されることもある。 * Interactions は **研究・製品開発・機械学習の改良のために利用**される。 * Google社員や契約会社の人が **アクセス・閲覧・レビュー・使用**することがある。 * イヤなら設定から「こういう用途に使われない」ようにオプトアウトできる(と書いてある)。 さらに、このサービスは **“AI Agents”** を含む: * 目標志向の AI システム/ワークフローで、あなたの代わりにタスクやアクションを実行。 * supervised(監督あり)でも autonomous(自律的)でも動きうる。 ここでかなり重要な文言: > You are solely responsible for: > a:the actions and tasks performed by an AI Agent > b:適合性判断 > c:AI Agentに与えるアクセス権限 > d:本番環境で使うときの監督・判断 つまり **AI Agentがやらかしたことは、全部「あなたの責任」** という立て付け。 --- ## 2. 企業内利用で「利用者個人」が不利になり得るポイント ここが一番大事なところ。 会社で使う「中の人」として読んだとき、危ない/面倒になりそうなところを挙げる。 ### (1) AI Agent の行為は「あなたが単独で責任を負う」と書いてある > You are solely responsible for: (a) the actions and tasks performed by an AI Agent; … **問題点:** * 極端な話、 * 誤ったメール送信 * 機密情報の外部サービスへのアップロード * 誤ったオペレーション(削除・更新・誤請求など) * こういうものを AI Agent がやったとしても、 **契約上は「あなたが単独で責任を持つ」構図**になっている。 **企業内利用での不利さ:** * 会社視点では「従業員が外部サービスに勝手に権限を与え、勝手に事故を起こした」と解釈されかねない。 * 社内規程(情報セキュリティポリシーやSaaS利用ルール)と矛盾していた場合、 **「規程違反+EULA上もお前が責任持つって同意してるよね?」というダブルパンチ**。 * 特に「本番環境で使うときに監督しろ」と明示しているので、 会社側から「監督不十分」「適切な検証なしに本番使用」と詰められる余地がある。 **現実的な対策:** * 個人アカウントで勝手に業務データを扱わない。 * 社内で正式に承認された Google アカウント/環境(会社契約)でのみ使う。 * 「AI Agent に何をさせてよいか」「どのシステムに接続して良いか」を社内ルールで明文化しておく。 * 少なくとも「本番環境」「顧客データ」「個人情報」には直結させない(ステージング・ダミーデータで検証)。 --- ### (2) Interactions が社員個人ベースで収集・閲覧されうる > we record and store your user data, interaction data … > Google employees and contractors may access, view, review and use Interactions. **問題点:** * あなたが行ったプロンプト、操作、結果などの **ログがかなり細かく残る**想定。 * それを **Googleの社員・契約業者が見られる**と明記されている。 **企業内利用での不利さ:** * あなたが業務上の機密情報やクライアントデータを投げ込んだ場合、 それが **Google 側に渡り、内部で閲覧される可能性**がある。 * 会社としては「機密情報を第三者に漏えいした」扱いになり得る。 * ログには「あなたの操作履歴」が紐づくので、 「誰がそれをやったか」が特定されやすい。 → **問題発覚時に個人責任として追われるリスクが高い。** **対策:** * 原則として **機密情報・個人情報・顧客固有データを入力しない**。 * 会社の情報セキュリティポリシーで AI 利用のルールを決めて、そこに従う。 * 「設定からこの用途への利用をオプトアウト」できると書いてあるので、 もし会社が許容するなら、**必ずオプトアウト状態で使う**こと。 * それでも「Google と共有される」ことは残るので、 **超センシティブな情報には使わない**のが賢明。 --- ### (3) データ削除は「自分でリクエストしろ」「それまでは使われ続ける」 > You will have the option to delete your Interactions. > If you would like to request that your Interactions be deleted, you can email … > Note that such Interactions will be used … unless and until you request deletion … **問題点:** * Interactions は、 * あなたが自分から削除リクエストを出さない限り → **ずっと使われ続ける**。 * 削除依頼も、メール([antigravity-support@google.com](mailto:antigravity-support@google.com))で依頼が必要とされている。 **企業内利用での不利さ:** * うっかり機密情報を投げたあとで、 * 社内から「それ消せ」と言われても * あなたが **主体となって外部に削除依頼を出す**必要がある。 * 削除までの期間、それは **Google の研究や製品改善に使われうる**。 * そもそも削除依頼を「個人判断に任せる」形式なので、 * 会社として統制しづらい。 * 個々人の操作ミス/認識不足で情報が残り続けるリスクが高い。 **対策:** * まず「そもそも機密を入れない」が大前提。 * もし入れてしまったら: * すぐに上長 or 情報セキュリティ担当に報告。 * 会社の指示のもと、**あなたが削除依頼を行う**必要がある(ログ残すこと)。 * 会社として、こういう外部サービス利用時の「誤入力時の対応フロー」を決めておくべき。 --- ### (4) 契約主体が「会社」ではなく「あなた個人」扱いになりがち 条文の書き方は基本的に “you” = 「使う人」=**個人**。 法人向け Google Workspace などとは違い、 **この条文だけ見ても「会社契約」なのか「個人利用」なのかがわかりにくい**。 **企業内利用での不利さ:** * もしあなたが個人アカウントで勝手に使っていた場合、 * Google との契約上の当事者は「あなた」。 * 会社は「知らん」で切り捨て可能。 * 何かトラブル(情報漏えい・契約違反)があっても、 * 会社から見れば「従業員の私的な外部サービス利用」扱いにされうる。 * **懲戒・損害賠償請求のターゲットが「あなた」に来る**構造も普通にあり得る。 **対策:** * まず前提として: * 会社として正式に利用を許可しているか? * Google との契約は「会社アカウント/組織契約」になっているか? * 何も決まっていない状態で **勝手に業務で使うのはかなり危険**。 * 「会社としてこのサービスを使う」という決定が出てから、 管理部門や情報シスと一緒に環境を整備してから使うべき。 --- ## 3. まとめ(雑に言うとこういう契約) * Google 側: * お前の操作ログやデータ(Interactions)をもらうよ。 * それは研究・製品改善に使うし、社員や契約業者も見ることあるよ。 * AI Agent がやったことの責任は **全部お前にあるよ**。 * 嫌なら設定変えるか、削除依頼してね。 * あなた: * 「I ACCEPT」した瞬間、これを全部飲んだことになる。 * 企業の中の人として使うとき、 * 情報漏えい * 本番環境での事故 * 社内規程違反 の矢面に最初に立つのは **あなただと思って動いたほうがいい**。 --- ## まとめの最後 法的な最終判断は会社の法務・弁護士に投げるべきだが、「現場の従業員」という立場で冷静に読むと: > ✅ 勝手に業務データを突っ込んで、AI Agent に本番アクセスさせるのは自殺行為 ってレベルで危ない条文が普通に入ってる。 もし本気で社内導入を検討してるなら: 1. 会社の法務・情報シスにこの条文を共有 2. 「利用範囲」「禁止事項」「データの扱い」を社内ルール化 3. 個人アカウントでの業務利用は禁止、をきっちり明文化 ここまでやってから、ようやく「まぁ使ってもいいかな」ってラインだと思っておこう。 --- # オプトアウトについて ここでいう **「オプトアウトできる」**は、一般的な「データを全く送らない」という意味ではなく、もっと限定的で、注意が必要なタイプのオプトアウト。 結論から言うと: > **Google のモデル改善・研究目的の利用“だけ”を拒否(オプトアウト)できるが、 > Interactions(利用データ)の収集そのものは基本的に止まらない。** > > =「収集はされる、ただし特定の用途への利用を拒否できる」という意味。 この解釈を詳しく説明すると --- ## 1. 規約本文から読み取れる「オプトアウト」の実際の意味 該当部分はここ: > If you don’t want your Interactions used in this way, > navigate to settings to change your preference on how such data is used. そしてもう一つ重要部分: > Note that such Interactions will be **used in accordance with the terms of this Agreement unless and until you request deletion**. つまり、 * **(A) Interactions の収集** → サービスが動いている限り発生する * **(B) Google 内部での利用** → 設定で用途(モデル改善など)を「拒否」できる * **(C) けれど、収集されたデータ自体は残る** * **(D) 削除したいなら、オプトアウトではなく “別途メールで削除依頼” が必要** という構造。 --- ## 2. なぜ「オプトアウト=“収集停止”ではない」のか 規約はこう言ってる: * Interactions は **「サービス使用中に自動的に収集」** * Google 社員・契約者が **アクセス・閲覧・利用しうる** * モデル改善への利用は **設定で拒否できる** * でも Interactions 自体は **削除依頼するまでは保持・利用される** つまりこの文脈の「オプトアウト」は、 日本語の一般的な「拒否=やめてくれる」というニュアンスとは違う。 英語的にもここで使われている "preference on how such data is used" は > 「データの使われ方(用途)に関する選択肢」 であって、 > 「データを収集しないという選択肢」 ではない。 --- ## 3. 企業利用の文脈だと誤解しやすい点 企業の安全保障ポリシーではよく、 > 「外部サービスへのデータ送信を停止するためのオプトアウト」 という言葉が使われるけど、ここでのオプトアウトは全く別。 この契約のオプトアウトは **「データ利用用途の設定変更」** のレベルにとどまる。 ### 実務上何が起こる? * 機密情報を誤って入れた場合、 オプトアウト設定にしていても **Google 側のログには残る**。 * 社内事故扱いになる可能性は普通にある。 * 「個人の判断でオプトアウトしたから大丈夫」には絶対ならない。 * **オプトアウト=安全ではない**。 --- ## 4. 一言でまとめると > **ここでのオプトアウトは“利用用途の限定”であって、“データ収集の停止”ではない。 > ログは残るし、削除したい場合は別途削除依頼が必要。** ---