AIサービス利用規約レビューのチェックリスト|利用者側プロンプト
こんにちは!Legal Agent 代表弁護士の朝戸です。
このシリーズでは、契約書レビューや法務実務でそのまま使えるプロンプトを、少しずつ公開していきます。
今回は「AIサービス利用規約を利用者側でレビューするためのチェックリスト」です
生成AIサービスやAIエージェントを業務に導入する会社が増えています。議事録、契約書レビュー、ソースコード生成、営業支援、採用、カスタマーサポート、ナレッジ検索など、利用場面はかなり広がっています。
一方で、AIサービスの利用規約は、通常のSaaS利用規約よりも確認すべき点が多くなりやすいです。入力データが学習に使われるのか、出力結果を商用利用できるのか、秘密情報や個人情報を入れてよいのか、権利侵害があった場合に誰が責任を負うのか、社内規程や顧客との契約に違反しないのかを整理する必要があります。
利用者側のレビューでは、「便利そうだから使う」だけでは足りません。どの部署が、どの情報を、どのプランで、どの成果物に使うのかを前提にしないと、規約のリスク評価がずれてしまいます。
以下のプロンプトは、AIサービスの利用規約、プライバシーポリシー、データ処理条件、セキュリティ資料、注文書、DPAを確認するときに使うことを想定しています。導入予定のサービス名、利用部署、入力予定データ、顧客情報や個人情報の有無、出力結果の利用方法を最初に書いてから使ってください。
この記事で分かること
この記事では、AIサービス利用規約レビューのチェックリストについて、利用場面、入力すべき前提情報、AIに貼り付けるためのプロンプト、出力結果を人が確認するときの注意点を整理します。契約類型や自社の立場をAIに正しく渡し、出力結果をそのまま採用せず、人の判断で確認するための構成にしています
AIサービス利用規約レビュー用プロンプト(利用者側)
# AIサービス利用規約レビューのチェックリスト(利用者側)
あなたは企業法務に詳しい弁護士として、AIサービスの利用規約、プライバシーポリシー、データ処理条件、セキュリティ資料を、利用者側の立場からレビューしてください。
## 前提
- 自社はAIサービスの利用者です。
- 対象サービスは、生成AI、AIチャット、AIエージェント、AI検索、AI議事録、AI契約レビュー、AIコーディング、AI画像生成、AI分析、API型AIサービスなどを含みます。
- 目的は、AIサービスを禁止することではなく、利用できる範囲、入力してよい情報、出力結果の使い方、社内承認が必要な事項を明確にすることです。
- 利用規約だけでなく、プライバシーポリシー、DPA、セキュリティ資料、注文書、管理者設定、ヘルプページに重要条件が分散していないか確認してください。
## 入力情報として確認してほしい事項
レビュー前に、足りない前提情報があれば質問してください。特に以下を確認してください。
1. サービス名、プラン名、無料版か有料版か、エンタープライズ版か
2. 利用部署と利用目的
3. 入力予定の情報の種類
4. 顧客情報、秘密情報、個人情報、要配慮個人情報、ソースコード、契約書、M&A情報の有無
5. 出力結果を社外提出物、顧客納品物、広告、採用判断、法務判断に使うか
6. 管理者設定、ログ保存、監査機能、データ削除機能の有無
7. 外部AIモデル、クラウド、サブプロセッサーの利用有無
8. 顧客との契約や社内規程で、外部クラウド又はAI利用が制限されていないか
## 出力形式
次の形式で出力してください。
1. 導入可否の一次評価(利用可能、条件付き利用、追加確認が必要、利用不可の候補)
2. 重要度A、B、Cに分けたリスク一覧
3. 各リスクについて、該当条項、問題点、利用者側の影響、確認又は交渉すべき事項
4. 社内向けの短い説明文
5. 利用ルール案又は入力禁止情報リスト案
6. 事業部、情報システム、セキュリティ、法務、顧客担当に確認すべき事項
## チェックリスト
### 1. 入力データの利用範囲
自社が入力するプロンプト、ファイル、契約書、議事録、画像、ソースコード、顧客情報が、サービス提供者によってどの範囲で利用されるか確認してください。
- サービス提供、保守、サポート、セキュリティ、品質改善、モデル改善、研究開発のどこまで利用されるか
- 入力データがAIモデルの学習又は再学習に使われるか
- 無料プラン、有料プラン、エンタープライズプランで条件が異なるか
- オプトアウト、管理者設定、契約による学習不使用の選択肢があるか
- 会話履歴、ログ、添付ファイル、メタデータが別々に扱われているか
### 2. 秘密情報と顧客契約との整合性
顧客から受領した秘密情報、契約書、技術情報、営業情報をAIサービスに入力することが、顧客とのNDAや業務委託契約に違反しないか確認してください。
- AIサービス提供者への送信が、第三者開示、再委託、外部委託、クラウド利用に該当する可能性があるか
- 顧客契約上、事前承諾や通知が必要ではないか
- 入力先が国外事業者、外部クラウド、サブプロセッサーである場合の説明が可能か
- 顧客別に入力可否を分ける必要があるか
- M&A、資金調達、未公表の経営情報、訴訟情報を入力してよい運用になっていないか
### 3. 個人情報、個人データ、国外移転
AIサービスに個人情報を入力する場合、個人情報保護法、プライバシーポリシー、社内規程との整合性を確認してください。
- 入力する情報が個人情報、個人データ、要配慮個人情報、従業員情報、採用候補者情報、顧客対応履歴に該当しないか
- サービス提供者の取扱いが委託、第三者提供、共同利用、本人同意を要する取扱いのどれに近いか
- 外国にある第三者への提供や国外サーバー利用について説明が必要ではないか
- サブプロセッサー、保存国、アクセス国、削除方法が確認できるか
- 採用、労務評価、与信、医療、教育など、本人に重大な影響があり得る用途では追加確認が必要ではないか
### 4. 出力結果の権利と利用条件
AIが生成した文章、画像、コード、要約、契約書案、分析結果を自社が利用できる範囲を確認してください。
- 出力結果を商用利用、再配布、顧客納品、広告利用できるか
- 入力データに由来する権利と出力結果の権利が区別されているか
- 他ユーザーに類似出力が生じ得ることが説明されているか
- 出力結果が第三者の著作権、商標権、営業秘密、肖像権、パブリシティ権を侵害した場合の責任分担がどうなっているか
- 生成コードについて、OSSライセンス、第三者コード混入、セキュリティ脆弱性の確認が必要ではないか
### 5. 正確性、専門判断、ヒューマンレビュー
AI出力の正確性、完全性、有用性について、サービス提供者がどの程度保証しているか確認してください。
- 出力が誤る可能性、古い情報を含む可能性、幻覚を含む可能性が規約上明記されているか
- 医療、法務、金融、人事、採用、与信、教育などの専門判断に使う場合の制限があるか
- 人間による確認を義務付ける条項又は注意書きがあるか
- 自社の業務フロー上、AI出力をそのまま社外提出してしまうリスクがないか
- AIサービスを使ったことを顧客に説明すべき場面があるか
### 6. セキュリティ、ログ、監査
企業利用に必要なセキュリティ水準、ログ管理、アクセス制御、監査機能があるか確認してください。
- SOCレポート、ISO認証、暗号化、アクセス制御、脆弱性管理、インシデント通知が確認できるか
- 管理者がユーザー、会話履歴、共有設定、外部連携を管理できるか
- 退職者アカウント、個人アカウント利用、シャドーITを防げるか
- ログ保存期間、ログ閲覧者、監査証跡の取得方法が明確か
- インシデント発生時の通知期限、協力義務、再発防止が定められているか
### 7. 保存期間、削除、エクスポート
入力データ、出力結果、会話履歴、ログがどの期間保存され、どのように削除できるか確認してください。
- ユーザー又は管理者がデータを削除できるか
- 契約終了時にデータが削除又は返還されるか
- バックアップからの削除時期が説明されているか
- 法令遵守、監査、紛争対応のために保存されるデータがあるか
- API利用時、管理画面利用時、連携アプリ利用時で保存条件が異ならないか
### 8. サブプロセッサー、外部モデル、外部連携
AIサービス提供者が利用する外部事業者、モデル提供者、クラウド、データ処理委託先を確認してください。
- サブプロセッサー一覧が公開又は提供されているか
- 変更時の通知、異議申立て、解約権があるか
- 外部モデル提供者に入力データが送信されるか
- ブラウザ拡張、チャット連携、CRM連携、ストレージ連携で別条件が適用されないか
- 自社の情報セキュリティ基準で承認できる委託構造か
### 9. 責任制限、補償、権利侵害対応
サービス提供者の責任範囲と利用者側の補償義務を確認してください。
- サービス提供者の損害賠償上限が低すぎないか
- データ漏えい、秘密保持違反、知的財産権侵害、故意又は重過失が上限の例外になっているか
- 利用者側が、入力データ、出力利用、法令違反、第三者権利侵害について広い補償義務を負っていないか
- 権利侵害クレームが発生した場合、サービス提供者が防御、補償、代替機能提供を行うか
- 自社の利用方法が規約違反と評価されると補償対象外にならないか
### 10. 利用停止、契約終了、規約変更
AIサービスの停止、機能変更、モデル変更、規約変更が自社業務に与える影響を確認してください。
- 提供者が一方的に機能、モデル、API仕様、料金、利用制限を変更できるか
- 重要変更時に事前通知や解約権があるか
- 利用停止の要件が広すぎないか
- 契約終了時にデータを取得できる期間があるか
- 業務上重要なAIサービスで、代替サービスや移行計画が必要ではないか
### 11. 社内利用ルールへの落とし込み
規約レビューの結果を、社内で実際に使える利用ルールに変換してください。
- 入力禁止情報
- 事前承認が必要な情報
- 利用可能な部署、用途、プラン
- 出力結果の人間確認ルール
- 顧客情報を使う場合の承認フロー
- 個人アカウント利用の禁止
- ログ保存、監査、教育、違反時対応
## 最後に確認すること
AIサービスについては、規約上のリスクだけでなく、社内の使い方の問題が大きくなります。利用規約の指摘に加えて、実務上どのような利用ルールを設けるべきかを必ず整理してください。
利用場面と入力すべき前提情報
このプロンプトは、AIサービスを新規導入するとき、無料版から法人版へ移行するとき、社内AI利用ルールを作るとき、顧客情報をAIに入力してよいか検討するときに使いやすいと考えています。
入力すべき前提情報として最も重要なのは、「何を入れて、何に使うのか」です。同じAIサービスでも、公開情報の要約に使う場合と、顧客の契約書、従業員情報、ソースコード、M&A資料を入力する場合では、リスクが大きく異なります。
また、プランによってデータの学習利用、保存期間、管理者機能、サポート、補償条件が異なることがあります。AIの利用規約は、無料版の画面だけ見て判断せず、法人プランの契約条件、DPA、サブプロセッサー一覧、セキュリティ資料まで確認することが望ましいと考えます。
出力結果を確認する際の注意点
AIの出力では、「学習利用なし」と短く要約されることがあります。しかし、実務では、学習利用だけでなく、ログ保存、品質改善、人間レビュー、サポート閲覧、サブプロセッサーへの送信、バックアップ保存まで見る必要があります。
また、AIサービスの規約レビューでは、法務だけで完結しない論点が多いです。セキュリティ担当はアクセス制御やログを見ます。情報システム部門はアカウント管理や外部連携を見ます。事業部は入力データと成果物の使い方を説明します。法務は、それらを前提に、顧客契約、個人情報、知的財産、責任分担を整理する役割を担うことになります。
AIサービスは、使わないことだけがリスク管理ではありません。利用できる範囲を明確にして、現場が安心して使える状態を作ることが、生成AI時代の企業法務では重要になると考えています。
LegalAgentの関連サービス
このプロンプトのテーマに関連するLegalAgentのサービスは、以下のページで詳しくご確認いただけます。