AIベンダーデューデリジェンスと契約審査のチェックポイント|導入企業・提供企業別の実務論点
こんにちは!Legal Agent 代表弁護士の朝戸です。
企業がAIサービスを導入するとき、機能や価格だけで選ぶのは危ういと考えています。生成AI、AIエージェント、議事録AI、契約レビューAI、チャットボット、コード生成AI、需要予測AIなどは、業務の中核情報に接続されることが多いからです。
AIベンダーとの契約では、通常のSaaS契約と同じように、利用料金、契約期間、SLA、サポートを見るだけでは足りません。入力データが学習に使われるのか、ログがどこまで残るのか、モデルやサブプロセッサが変更されるのか、出力結果の誤りに誰が責任を持つのか、顧客から預かった情報を入力してよいのかまで確認する必要があります。
また、AIサービスの利用に関する公的ガイダンスや個別法は更新される可能性があります。AI事業者ガイドライン、個人情報保護法、著作権法、業界ごとの監督指針、利用するサービスの規約を、導入時点の最新情報に照らして確認することが重要です。
今回は、AIベンダーデューデリジェンスとは何か、なぜ契約審査が重要になるのか、チェックリスト、導入企業・提供企業別のリスク、AIでレビューする際の注意点を整理します
この記事で分かること
この記事では、AIベンダーデューデリジェンスと契約審査のチェックポイントについて、基本的な意味、レビューで問題になりやすい条項、立場ごとの注意点、AIで確認するときに人が見落としてはいけない点を整理します。最初に全体像をつかみ、その後にチェックリストで実務上の確認順序を追える構成にしています
最初に確認するポイント
- AIに入力されるデータに、秘密情報、個人情報、第三者の著作物が含まれるか
- AIの出力結果を、誰が、どの業務で、どの範囲まで利用するのか
- 外部送信、学習利用、ログ保存、再利用の扱いを契約や社内ルールで説明できるか
- 利用規約、プライバシーポリシー、社内ポリシー、ベンダー契約が同じ前提でそろっているか
- AIの回答をそのまま採用せず、最終判断者とレビュー手順を決めているか
AIベンダーデューデリジェンスとは
AIベンダーデューデリジェンスとは、AIサービスを導入又は販売する前に、サービス提供者の技術、データ管理、セキュリティ、法務、運用体制、契約条件を確認する作業です。
一般的なSaaSの審査では、セキュリティチェックシート、利用規約、DPA、SLA、サポート体制、料金表を確認することが多いです。AIサービスでは、これに加えて、モデルの性質、入力データの扱い、学習利用、出力結果、ログ、プロンプト、RAGで参照するデータ、外部モデル提供者、サブプロセッサ、生成物の権利関係を確認する必要があります。
たとえば、同じ議事録AIでも、音声データを一時処理するだけなのか、改善目的で保存するのか、外部の基盤モデルに送信するのか、海外サーバーで処理するのか、管理者がログを閲覧できるのかで、リスクは変わります。契約レビューAIでも、契約書本文を学習に使わない設計なのか、匿名化して利用するのか、顧客ごとのナレッジを分離しているのかを確認する必要があります。
AIベンダーデューデリジェンスは、法務部だけの仕事ではありません。情報システム、セキュリティ、個人情報保護担当、事業部、購買、経営層が関与し、導入する業務の重要度に応じて確認の深さを変えることが現実的です
AIベンダー契約審査が重要になる理由
AIベンダー契約審査が重要なのは、AIサービスが企業の情報流通と判断プロセスに入り込むからです。
通常のツールであれば、データを保存・表示するだけのことが多いです。しかし、AIサービスは、入力された情報を読み、要約し、分類し、推論し、文章を作り、次のアクションを提案します。AIエージェント型であれば、外部ツールを呼び出し、メールを作成し、チケットを更新し、ファイルを検索し、ワークフローを進めることもあります。
このとき、契約書上の責任分界が曖昧だと、問題が起きたときに説明が難しくなります。AIが誤った顧客回答を作成した場合、サービス提供者はどこまで責任を負うのか。従業員が誤って顧客情報を入力した場合、ベンダーはどこまで削除に対応するのか。モデル変更により出力品質が下がった場合、利用企業は解除できるのか。障害で業務が止まった場合、SLAはどう適用されるのか。
また、AIサービスは裏側に複数の事業者が関わることがあります。アプリ提供者、基盤モデル提供者、クラウド事業者、音声認識サービス、翻訳サービス、監視ツール、分析ツールが連携している場合、データがどこに流れるのかを契約書だけから読み取りにくいことがあります。
AIベンダー契約審査では、契約文言だけでなく、実際のデータフローと運用を確認する必要があります。セキュリティ資料、ホワイトペーパー、管理画面、DPA、サブプロセッサ一覧、FAQ、営業説明資料が契約と矛盾していないかを見ることが重要です
AIベンダーデューデリジェンスのチェックリスト
まず確認すべきは、利用目的と対象業務です。AIサービスを、社内文書作成に使うのか、契約レビューに使うのか、顧客対応に使うのか、採用に使うのか、医療・金融・労務のような高リスク領域に使うのかで、必要な審査の深さが変わります。
次に、入力データの種類を確認します。秘密情報、個人情報、顧客情報、契約書、ソースコード、財務情報、M&A資料、未公表の製品情報、従業員情報を入力するのかを確認します。顧客から預かった情報を入力する場合は、顧客との契約上の再委託、第三者提供、目的外利用の問題も検討します。
学習利用の有無は最重要項目です。入力データやログが、基盤モデルの学習、サービス改善、評価、プロンプト改善に使われるのかを確認します。使われないと説明されている場合でも、契約条項、設定画面、プラン条件、サブプロセッサの条件が一致しているかを見る必要があります。
データ保存と削除も確認します。入力データ、出力、プロンプト、添付ファイル、音声、ログがどこに保存され、いつ削除され、管理者が削除できるのか。契約終了時にデータを返還・削除できるのか。バックアップからの削除はどの程度の期間で行われるのかを確認します。
セキュリティでは、認証、アクセス制御、暗号化、監査ログ、脆弱性管理、インシデント通知、SOCレポート、ISMS、データセンター所在地、サブプロセッサを確認します。AIサービスでは、プロンプトインジェクション、権限外データ参照、意図しない外部送信、管理者権限の濫用も検討すべきです。
出力結果の扱いでは、正確性保証の有無、利用者による確認義務、第三者権利侵害時の補償、禁止用途、出力の権利帰属、商用利用の可否を確認します。AIの出力は誤りを含むことがあるため、業務フロー上、人間の確認をどこに置くかも契約審査と合わせて見る必要があります。
運用面では、モデル変更、機能変更、規約変更、料金変更、サービス終了、ベンダーロックイン、データ移行を確認します。AIサービスは進化が速いため、導入時に問題がなくても、半年後に仕様が変わる可能性があります。変更通知と解除権を確認しておくことが大切です
PoCやトライアルの段階でも、契約確認を省略しないことが重要です。正式導入前だからという理由で、実データや顧客資料を試験環境に入れてしまうケースがあります。しかし、トライアル規約の方が本契約よりもデータ利用条件が緩いこともあります。検証段階で利用できるデータ、匿名化の要否、検証終了後の削除、成果物の扱いを事前に決めておく必要があります
社内稟議に載せる評価基準も整えておくと実務が進めやすくなります。価格、機能、セキュリティだけでなく、学習利用の有無、重要データの入力可否、事故時の通知、契約終了時の移行、外部説明のしやすさを同じ表で比較します。導入部門が便利さを説明し、法務・情報システム部門がリスクだけを指摘する構図になると議論が止まりやすいため、共通のチェック表を作ることが有用です
導入企業・提供企業別のリスク
導入企業側では、入力データと業務依存が大きなリスクになります。AIサービスに業務が深く入り込むほど、サービス停止、モデル変更、出力品質低下、料金改定の影響を受けやすくなります。特に、顧客対応や契約レビューのように対外的責任につながる業務では、人間の確認と代替手段を用意する必要があります。
導入企業側では、顧客との契約も見直す必要があります。顧客から受領したデータをAIサービスに入力することが、秘密保持義務、個人情報処理、再委託、国外移転、利用目的制限に反しないかを確認します。AIベンダーとの契約だけでなく、自社が顧客に対して負っている義務との整合性を見ることが重要です。
提供企業側では、利用者への説明と責任制限が問題になります。AIサービスの出力は完全ではないため、どの用途で使えるのか、どの用途では使ってはいけないのか、利用者が確認すべき事項は何かを明確にする必要があります。説明が弱いまま販売すると、利用者がAI出力を過信し、トラブル時に責任を問われる可能性があります。
提供企業側では、サブプロセッサと基盤モデル提供者の管理も重要です。自社が直接すべてのモデルを運用していない場合、下流のサービス利用規約、データ処理条件、学習利用、障害時対応、権利侵害補償が自社の顧客契約と整合しているかを確認する必要があります。
双方に共通するのは、AIベンダー契約を一度締結して終わりにしないことです。AIサービスは仕様変更が頻繁に起こり得ます。重要なAIサービスについては、更新時、機能追加時、利用部署拡大時、入力データ変更時に再レビューする運用が必要です
AIでAIベンダー契約をレビューする際の注意点
生成AIは、AIベンダー契約の初期レビューにかなり使えます。利用規約、DPA、セキュリティ資料、FAQ、サブプロセッサ一覧を読み、入力データ、学習利用、ログ保存、国外移転、責任制限、補償、解除、変更通知の論点を抽出できます。
ただし、AIに契約書だけを読ませても、十分なレビューにはなりません。AIベンダー契約で重要なのは、契約書と実際の利用場面の接続です。どの部署が使うのか、何を入力するのか、顧客情報を含むのか、出力を社外に出すのか、代替手段はあるのかを入れないと、出力は一般論になりがちです。
また、AIサービスの規約は頻繁に更新されることがあります。AIの回答が古い規約や古いガイドラインを前提にしている可能性もあります。レビュー時には、現在公開されている規約、管理画面、公式資料、AI事業者ガイドライン、個人情報保護法、著作権法などの最新情報を確認する必要があります。
LegalAgentでは、AIベンダー契約を見るとき、単に条項の有利不利だけではなく、導入企業の業務フローと照らして確認します。どの情報を入れてよいのか。誰が承認するのか。出力を誰が確認するのか。事故時に誰が説明するのか。契約審査は、その運用を作るための入口だと考えています
LegalAgentの関連サービス
この記事のテーマに関連するLegalAgentのサービスは、以下のページで詳しくご確認いただけます。