AIサービスを始める会社が、最初に作るべき法務チェックリスト
こんにちは。LegalAgent 代表弁護士の朝戸です。
既存SaaSにAI機能を追加する。社内文書を検索するAIアシスタントを提供する。チャットボットを顧客対応に組み込む。画像、文章、動画、音声を生成する機能を提供する。ユーザーの業務を代行するAIエージェントを開発する。生成AIを使ったサービスの立ち上げは、いまどの業界でも進んでいますが、どの事業でも、プロダクトとしてはスピードが最優先になります。
そのスピードの中で、AIサービスの法務を「リリース前にまとめて確認しよう」と後回しにすると、確認の負荷が一度に押し寄せます。AIサービスでは、個人情報、著作権、秘密保持、利用規約、責任制限、広告表示、業法、情報セキュリティ、AIガバナンスが同時に問題になるからです。しかも、ユーザーが何を入力するか、AIが何を出力するかを、事業者側が事前に読み切れない部分が残ります。
だからこそ、AIサービスを始める会社に必要なのは、最初から分厚い規程を作ることより、「この事業では何を確認し続けるのか」を決めた法務チェックリストです。この記事は、そのチェックリストの作り方を、立場の見極めから利用規約まで順に追ったものです。
生成AIに固有の法律を探す前に
AIサービスの相談では、「生成AIに関する特別な法律はありますか」と聞かれることがあります。
日本では、AIだけを包括的に規制する単一の法律だけで実務が完結するわけではありません。現時点では、既存の法律、すなわち個人情報保護法、著作権法、不正競争防止法、民法、消費者契約法、景品表示法、各種業法などを、サービス内容に応じて確認することになります。
一方で、総務省・経済産業省のAI事業者ガイドラインや、経済産業省のAI利活用における民事責任の手引きなど、AI事業者の行動指針や責任判断に関する公的資料も整ってきています。これらは法律そのものではないとしても、事業者がどのような管理体制を持つべきかを考えるうえで、実務上の重みを持つ資料だと考えています。
つまりAI法務の実像は、「AIだから新しい論点がある」というより、AIによって既存の法務論点が同時に動き出すことにあります。だからこそ、個別の法律知識と同じくらい、サービス設計の中に確認プロセスを組み込むことが問われます。
自社の立場の見極め
チェックリストの最初の項目は、自社がAI開発者、AI提供者、AI利用者のどの立場にあるのか、そしてその立場が機能ごとに変わるか、という点から始めるべきです。立場によって、見るべきポイントがまるごと変わるからです。
自社でモデルを開発しているのか。外部モデルを使ってアプリケーションを提供しているのか。社内利用者としてAIを使っているだけなのか。ユーザーにAI出力を提供するのか。ユーザーの代わりに外部サービスへ操作を行うAIエージェントなのか。
外部APIを使っているだけの会社でも、ユーザーから見れば「AIサービスの提供者」です。ユーザーが入力した情報が外部APIに送信される場合、外部事業者の規約、データ保存、学習利用、ログ、セキュリティ、外国への移転を確認する必要があります。AIが誤った回答をしてユーザーに損害が生じた場合に、どこまで責任を負うのかも利用規約上の問題になります。
逆に、自社がAIを社内で使うだけのケースでも、顧客の秘密情報や個人情報を入力するのであれば、秘密保持契約、個人情報保護法、安全管理措置、社内ルールが問題になります。「提供していないから関係ない」とは言えないのです。
入力データの確認項目
AIサービスで最も実務に直結するのは、入力データです。
ユーザーがプロンプトに何を入れるのか。ファイルをアップロードするのか。社内文書、契約書、顧客リスト、問い合わせ履歴、医療情報、金融情報、採用情報、営業秘密が入る可能性があるのか。ここを見ずに利用規約だけ作ると、規約と実態が最初からずれた設計になります。
入力データについては、チェックリストとして次の項目を確認することを勧めます。
- 個人情報の入力可能性
- 要配慮個人情報や機微な情報の混入可能性
- 顧客の営業秘密や秘密保持契約上の情報の混入可能性
- 第三者の著作物の入力可能性
- 入力データの外部AI事業者への送信の有無
- 入力データのモデル学習への利用の有無
- 入力データ・ログの保存期間
- 入力禁止情報の利用規約・画面上での明示
- 法人ユーザーにおける管理者による従業員利用の統制可否
特にBtoBサービスでは、ユーザー企業の従業員が、社内資料を深く考えずにアップロードすることがあります。プロダクト側で便利にすればするほど、入力データのコントロールが法務上の急所になっていきます。
そして、この論点は「個人情報を入力しないでください」と利用規約に書けば済む話ではありません。規約に書いても、画面がアップロードを促す作りになっていれば、ユーザーの行動は変わらないからです。UI、警告表示、管理者設定、ログ、外部送信先、契約上の説明を合わせて設計する必要があります。
学習データと著作権
AIサービスでは、学習データや参照データの権利関係も問題になります。
日本の著作権法には情報解析に関する権利制限規定がありますが、だからといって、どのようなデータ利用でも安全という話にはなりません。文化庁の「AIと著作権に関する考え方について」でも、AI開発・学習段階と生成・利用段階を分けた検討が必要であることが示されています。学習目的、利用態様、権利者の利益を不当に害するか、出力物が既存著作物と類似しているかなどを見ていくことになります。
確認の起点は、自社がモデルを追加学習しているかどうかです。追加学習しているなら、学習データの取得元と利用条件の確認が必要になりますし、データ収集の方法がスクレイピングやAPI利用であれば、対象サイトの規約に反していないかも見なければなりません。RAG構成で自社文書や第三者文書を参照させる場合には、その文書を複製・送信・表示する権限があるかという、学習とは別の確認が要ります。
出力側では、既存著作物と類似する内容が出るリスクをどう下げるかという設計上の問題と、ユーザーが第三者著作物を入力した場合の責任分担をどう定めるかという契約上の問題が並びます。加えて、権利侵害の申告窓口、削除対応、再発防止フローをあらかじめ用意しておくと、実際に申告が来たときに場当たり的な対応をせずに済みます。
なお、生成AIの規約では「出力結果はユーザーに帰属します」と書きたくなることがあります。ただ、出力結果に第三者の権利を侵害する内容が含まれる可能性、そもそも著作物性が認められるか、入力内容に第三者の権利が含まれるかなど、複数の論点が重なる場所です。帰属条項一本で片付けない方がよいと考えています。
出力結果と民事責任
AIサービスでは、出力結果が誤っていることがあります。
法律、医療、金融、人事、採用、教育、建築、安全管理など、ユーザーの意思決定に影響する領域では、AI出力をそのまま信じた場合の損害が大きくなり得ます。AIが補助的な情報を出すだけなのか、ユーザーの判断を代替するような形で使われるのかによって、責任の考え方も変わり得ます。
経済産業省が2026年4月に公表したAI利活用における民事責任の手引きでも、AIのブラックボックス性や自律性を踏まえつつ、現行法における民事責任の考え方が示されています。AIだから責任を負わない、という発想ではなく、どのような設計、説明、注意喚起、検証、運用管理をしていたかが問題になると考えられます。
実務上の確認は、位置づけの決定から始まります。AI出力を補助情報として使うのか、業務判断の中心に置くのか。そのうえで、人間による確認をフローのどこに挟むのか、出力の正確性・最新性・適法性についてユーザーにどう説明するのか、専門家の判断が必要な領域でどのような注意喚起を出すのかを決めていきます。運用面では、誤出力が起きた場合の問い合わせ・修正・停止・報告のフローを整え、高リスク用途を禁止するのか、別契約・別審査にするのかの線を引き、紛争になったときに検証できるだけのログを保存しておくことになります。
利用規約の免責条項だけでリスクを全部吸収しようとする設計は勧めません。免責条項は、消費者契約法などによる制限を受け得るうえ、実際に事故が起きた後の信頼回復には役立たないからです。サービス画面、運用、サポート、ログ、社内審査と組み合わせて、責任の範囲を現実的に管理していくことになります。
個人情報と外部送信
AIサービスでは、個人情報保護法の論点も頻繁に出ます。
ユーザーが個人情報を入力する場合、その利用目的は何か。外部AI事業者に送信する場合、それは委託なのか、第三者提供なのか。外国にある第三者への提供に該当するのか。安全管理措置はどうなっているのか。漏えい等が発生した場合、報告や本人通知が必要になるのか。
特に外部AIサービスを使う場合、「外部APIに投げているだけなので自社は関係ない」という整理は通用しません。ユーザーから情報を預かっている以上、自社サービスとしてどのように説明し、どのように管理しているかが問われます。
AIサービスのプライバシーポリシーの検討項目としては、次の一覧を起点にすることを勧めます。
- AI機能で取得する情報の種類
- 利用目的
- 外部AI事業者、クラウド、解析ツールへの委託・提供
- 外国にある第三者への提供の有無
- ログ、プロンプト、アップロードファイルの保存期間
- 学習利用の有無
- 本人からの開示、訂正、利用停止等への対応
- 漏えい等発生時の社内フロー
このあたりは、プロダクト開発の途中で変わりやすい部分です。モデルを差し替えれば送信先が変わり、機能を足せば取得情報が増えます。だからこそ、初回リリース時の一度きりの確認では足りず、モデル変更、外部API変更、保存期間変更、機能追加のたびにチェックリストへ戻る仕組みが必要になります。
AIの使われ方を前提にした利用規約
AIサービスの利用規約では、通常のSaaS以上に、ユーザーの利用方法を前提にした条項が問われます。
禁止用途としては、違法行為、権利侵害、差別的利用、虚偽情報の拡散、本人同意のない個人情報入力、マルウェア作成、なりすまし、スパム、専門資格が必要な判断の代替などをどう扱うかを考える必要があります。入力データと出力結果については、事業者がどの範囲で利用できるのか、改善利用や学習利用をするのか、ユーザーが出力結果を商用利用できるのか、第三者権利侵害時の責任分担をどうするのかが論点になります。
法人向けAIサービスであれば、管理者による利用状況の確認、アカウント停止、ログ閲覧、データ削除、従業員の違反利用に関する責任も定めておくべき事項です。
利用規約を単なる責任制限文書として書くと、この設計の機会を逃します。どのような使い方をしてよいサービスなのかを、ユーザーと事業者の間で合意するための設計図として書く。この視点があるかどうかで、規約の中身は大きく変わります。
事業判断の道具としてのチェックリスト
AI法務チェックリストの役割は、法務部がリスクを指摘することだけにはありません。
この機能はリリースしてよいのか。外部APIを変えてよいのか。ユーザーに学習利用の同意を求めるのか。ログをどの程度保存するのか。法人向けと個人向けで規約を分けるのか。医療、法律、金融などの高リスク用途をどこまで許容するのか。
こうした判断は、法務だけでは決められません。経営、プロダクト、営業、セキュリティ、カスタマーサクセスが一緒に考える必要があります。そのとき、共通のチェックリストがあると、議論の抜け漏れを減らし、意思決定の履歴を残しやすくなります。後から「なぜこの仕様にしたのか」を説明できる状態にしておくと、規制当局への説明や法人顧客のセキュリティ審査で回答を求められた場面で、その記録がそのまま答えになります。
LegalAgentでは、AI Nativeな法律事務所として、AIサービスの契約書や規約を作るだけでなく、プロダクトの仕様、外部API、データフロー、UI、営業資料、社内運用まで見ながら法務判断を行っています。AIサービスの法務が、文書作成にとどまらず事業運営そのものに関わるからです。
AIサービスは、リリース後も機能、モデル、データ、利用者、利用場面が変わり続けます。最初から法務を重くし過ぎる必要はありませんが、最初から確認すべき論点を決めておくことが、後の手戻りを最も減らします。
参照した公的資料
- 経済産業省「AI事業者ガイドライン」
https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html - 経済産業省「AI利活用における民事責任の解釈適用に関する手引き」
https://www.meti.go.jp/press/2026/04/20260409001/20260409001.html - 文化庁「AIと著作権について」
https://www.bunka.go.jp/seisaku/chosakuken/aiandcopyright.html - 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」
https://www.ppc.go.jp/personalinfo/legal/guidelines_tsusoku/ - e-Gov法令検索「著作権法」
https://laws.e-gov.go.jp/law/345AC0000000048