← コラム一覧へ戻る
Insight

AIサービスを始める会社が、最初に作るべき法務チェックリスト

こんにちは!LegalAgent 代表弁護士の朝戸です。

生成AIを使ったサービスを立ち上げる会社が、かなり増えています。

既存SaaSにAI機能を追加する。社内文書を検索するAIアシスタントを提供する。チャットボットを顧客対応に組み込む。画像、文章、動画、音声を生成する機能を提供する。ユーザーの業務を代行するAIエージェントを開発する。どの事業も、プロダクトとしてはスピードが重要です。

ただ、AIサービスの法務は、後からまとめて確認するには少し重いです。

なぜなら、AIサービスでは、個人情報、著作権、秘密保持、利用規約、責任制限、広告表示、業法、情報セキュリティ、AIガバナンスが同時に問題になるからです。しかも、ユーザーが何を入力するか、AIが何を出力するかを、事業者側が事前に読み切れない部分があります。

そのため、AIサービスを始める会社は、最初から分厚い規程を作るというより、まず「この事業では何を確認し続けるのか」という法務チェックリストを作る方がよいと考えています。

AI法務は、AIだけを見ても足りない

AIサービスの相談を受けると、「生成AIに関する特別な法律はありますか」と聞かれることがあります。

日本では、AIだけを包括的に規制する単一の法律だけで実務が完結するわけではありません。現時点では、既存の法律、すなわち個人情報保護法、著作権法、不正競争防止法、民法、消費者契約法、景品表示法、各種業法などを、サービス内容に応じて確認することになります。

一方で、総務省・経済産業省のAI事業者ガイドラインや、経済産業省のAI利活用における民事責任の手引きなど、AI事業者の行動指針や責任判断に関する公的資料も整ってきています。これらは法律そのものではないとしても、事業者がどのような管理体制を持つべきかを考えるうえで、かなり重要な資料だと考えています。

AI法務で大事なのは、「AIだから新しい論点がある」という見方だけではありません。むしろ、AIによって既存の法務論点が同時に動くことを前提に、サービス設計の中に確認プロセスを組み込むことだと思います。

最初に確認すべきは、自社の立場である

AIサービスでは、自社がどの立場にいるのかによって、見るべきポイントが変わります。

自社でモデルを開発しているのか。外部モデルを使ってアプリケーションを提供しているのか。社内利用者としてAIを使っているだけなのか。ユーザーにAI出力を提供するのか。ユーザーの代わりに外部サービスへ操作を行うAIエージェントなのか。

たとえば、外部APIを使っているだけの会社でも、ユーザーから見れば「AIサービスの提供者」です。ユーザーが入力した情報が外部APIに送信される場合、外部事業者の規約、データ保存、学習利用、ログ、セキュリティ、外国への移転を確認する必要があります。AIが誤った回答をしてユーザーに損害が生じた場合に、どこまで責任を負うのかも利用規約上の問題になります。

逆に、自社がAIを社内で使うだけのケースでも、顧客の秘密情報や個人情報を入力するのであれば、秘密保持契約、個人情報保護法、安全管理措置、社内ルールが問題になります。

AI法務チェックリストの最初の項目は、「自社はAI開発者、AI提供者、AI利用者のどの立場にあるのか」「その立場が機能ごとに変わるか」という点にすべきだと考えています。

入力データのチェックリスト

AIサービスで最も実務的に重要なのは、入力データです。

ユーザーがプロンプトに何を入れるのか。ファイルをアップロードするのか。社内文書、契約書、顧客リスト、問い合わせ履歴、医療情報、金融情報、採用情報、営業秘密が入る可能性があるのか。ここを見ずに利用規約だけ作ると、かなり危ない設計になります。

入力データについては、少なくとも次の点を確認した方がよいと考えています。

  • 個人情報が入力される可能性があるか
  • 要配慮個人情報や機微な情報が含まれる可能性があるか
  • 顧客の営業秘密や秘密保持契約上の情報が入力される可能性があるか
  • 第三者の著作物が入力される可能性があるか
  • 入力データが外部AI事業者に送信されるか
  • 入力データがモデル学習に利用されるか
  • 入力データやログの保存期間はどの程度か
  • 入力禁止情報を利用規約や画面上で明示しているか
  • 法人ユーザーの場合、管理者が従業員利用を統制できるか

特にBtoBサービスでは、ユーザー企業の従業員が、社内資料を深く考えずにアップロードすることがあります。プロダクト側で便利にすればするほど、法務上は入力データのコントロールが重要になります。

ここは、単に「個人情報を入力しないでください」と利用規約に書けば足りる話ではありません。UI、警告表示、管理者設定、ログ、外部送信先、契約上の説明を合わせて設計する必要があります。

学習データと著作権のチェックリスト

AIサービスでは、学習データや参照データの権利関係も問題になります。

日本の著作権法には情報解析に関する権利制限規定がありますが、だからといって、どのようなデータ利用でも安全という話にはなりません。文化庁の「AIと著作権に関する考え方について」でも、AI開発・学習段階と生成・利用段階を分けた検討が必要であることが示されています。学習目的、利用態様、権利者の利益を不当に害するか、出力物が既存著作物と類似しているかなどを見ていくことになります。

AIサービスを提供する会社は、少なくとも次の点を確認すべきだと考えています。

  • 自社がモデルを追加学習しているか
  • 学習データの取得元と利用条件を確認しているか
  • スクレイピングやAPI利用について、対象サイトの規約に反していないか
  • RAGで参照する文書について、複製・送信・表示の権限を確認しているか
  • 出力結果に既存著作物と類似する内容が出るリスクをどう下げるか
  • ユーザーが第三者著作物を入力する場合の責任分担をどう設計するか
  • 権利侵害の申告窓口、削除対応、再発防止フローを用意しているか

生成AIでは、「出力結果はユーザーに帰属します」と書きたくなることがあります。ただ、出力結果に第三者の権利を侵害する内容が含まれる可能性、そもそも著作物性が認められるか、入力内容に第三者の権利が含まれるかなど、複数の論点があります。単純に帰属条項だけで片付けない方がよいと考えています。

出力結果と民事責任のチェックリスト

AIサービスでは、出力結果が誤っていることがあります。

法律、医療、金融、人事、採用、教育、建築、安全管理など、ユーザーの意思決定に影響する領域では、AI出力をそのまま信じた場合の損害が大きくなることがあります。AIが補助的な情報を出すだけなのか、ユーザーの判断を代替するような形で使われるのかによって、責任の考え方も変わり得ます。

経済産業省が2026年4月に公表したAI利活用における民事責任の手引きでも、AIのブラックボックス性や自律性を踏まえつつ、現行法における民事責任の考え方が示されています。AIだから責任を負わない、という発想ではなく、どのような設計、説明、注意喚起、検証、運用管理をしていたかが問題になると考えられます。

実務上は、次の点を確認した方がよいと考えています。

  • AI出力を補助情報として使うのか、業務判断の中心に置くのか
  • 人間による確認をどこで挟むのか
  • 出力の正確性、最新性、適法性について、どのように説明するのか
  • 専門家の判断が必要な領域で、どのような注意喚起をするのか
  • 誤出力が起きた場合の問い合わせ、修正、停止、報告フローがあるか
  • 高リスク用途を禁止するか、別契約・別審査にするか
  • ログをどこまで保存し、紛争時に検証できるか

利用規約の免責条項だけでリスクを全部吸収しようとするのは、あまりよい設計ではないと思います。サービス画面、運用、サポート、ログ、社内審査と組み合わせて、責任の範囲を現実的に管理することが重要です。

個人情報と外部送信のチェックリスト

AIサービスでは、個人情報保護法の論点も頻繁に出ます。

ユーザーが個人情報を入力する場合、その利用目的は何か。外部AI事業者に送信する場合、それは委託なのか、第三者提供なのか。外国にある第三者への提供に該当するのか。安全管理措置はどうなっているのか。漏えい等が発生した場合、報告や本人通知が必要になるのか。

特に外部AIサービスを使う場合、「外部APIに投げているだけなので自社は関係ない」と考えるのは危ないです。ユーザーから情報を預かっている以上、自社サービスとしてどのように説明し、どのように管理しているかが問われます。

AIサービスのプライバシーポリシーでは、少なくとも次の点を検討した方がよいと考えています。

  • AI機能で取得する情報の種類
  • 利用目的
  • 外部AI事業者、クラウド、解析ツールへの委託・提供
  • 外国にある第三者への提供の有無
  • ログ、プロンプト、アップロードファイルの保存期間
  • 学習利用の有無
  • 本人からの開示、訂正、利用停止等への対応
  • 漏えい等発生時の社内フロー

このあたりは、プロダクト開発の途中で変わりやすい部分です。だからこそ、初回リリース時だけでなく、モデル変更、外部API変更、保存期間変更、機能追加のたびに確認する仕組みを作る必要があります。

利用規約は、AIの使われ方を前提に作る

AIサービスの利用規約では、通常のSaaSよりも、ユーザーの利用方法を前提にした条項が重要になります。

たとえば、禁止用途として、違法行為、権利侵害、差別的利用、虚偽情報の拡散、本人同意のない個人情報入力、マルウェア作成、なりすまし、スパム、専門資格が必要な判断の代替などをどう扱うかを考える必要があります。

また、入力データと出力結果について、事業者がどの範囲で利用できるのか、改善利用や学習利用をするのか、ユーザーが出力結果を商用利用できるのか、第三者権利侵害時の責任分担をどうするのかも問題になります。

法人向けAIサービスであれば、管理者による利用状況の確認、アカウント停止、ログ閲覧、データ削除、従業員の違反利用に関する責任も定めた方がよいと考えています。

AIサービスの利用規約は、単なる責任制限文書ではありません。どのような使い方をしてよいサービスなのかを、ユーザーと事業者の間で合意するための設計図です。

法務チェックリストは、事業判断のためにある

AI法務チェックリストは、法務部がリスクを指摘するためだけのものではありません。

この機能はリリースしてよいのか。外部APIを変えてよいのか。ユーザーに学習利用の同意を求めるのか。ログをどの程度保存するのか。法人向けと個人向けで規約を分けるのか。医療、法律、金融などの高リスク用途をどこまで許容するのか。

こうした判断は、法務だけでは決められません。経営、プロダクト、営業、セキュリティ、カスタマーサクセスが一緒に考える必要があります。そのとき、チェックリストがあると、議論の抜け漏れを減らし、意思決定の履歴を残しやすくなります。

LegalAgentでは、AI Nativeな法律事務所として、AIサービスの契約書や規約を作るだけでなく、プロダクトの仕様、外部API、データフロー、UI、営業資料、社内運用まで見ながら法務判断を行っています。これは、AIサービスの法務が、文書作成だけではなく事業運営そのものに関わるからです。

最後に

AIサービスは、リリース後も機能、モデル、データ、利用者、利用場面が変わり続けます。そのため、最初から法務を重くし過ぎる必要はありませんが、最初から確認すべき論点を決めておくことはかなり重要だと考えています。

LegalAgentでは、生成AIと企業法務に精通した弁護士の協働により、AIサービスの利用規約、プライバシーポリシー、データ利用、著作権、AIガバナンス、外部API利用、法人向け契約の設計を支援しています。外部弁護士が内部法務に近い形で、プロダクトの意思決定に継続的に関与する体制づくりについて、ご相談いただければと考えています。

参照した公的資料

LegalAgentの関連サービス

この記事のテーマに関連するLegalAgentのサービスは、以下のページで詳しくご確認いただけます。

他の記事を見る お問い合わせ