CCBEの弁護士向けAI技術ガイド|モデル・データ・秘密保持の確認事項
CCBEの弁護士向けAI技術ガイドから、提供形態、モデル、データ管理、秘密保持及びベンダーへ確認すべき事項を実務用に整理します。
一次情報
本解説の対象となった公表資料・発表です。
欧州の弁護士会の連合体であるCCBE(欧州弁護士会評議会、Council of Bars and Law Societies of Europe)は、2026年3月27日、CCBE technical guide on the use of AI tools and models by lawyersを公表しました。全19頁のこのガイドは、AIモデルの提供形態(オンプレミス、コロケーション、IaaS上への持込み、フルマネージドSaaS)ごとに異なる秘密保持・データ管理の水準、フルマネージド型サービスを利用する際にベンダーへ確認すべき技術的事項、モデルの規模・速度・処理可能な文章量に関する基礎知識を整理した実務資料です。CCBEは弁護士会の連合体であり、司法機関や行政機関ではないため、本ガイド自体に法的拘束力はなく、会員弁護士会及び弁護士向けの技術理解を補助する資料として公表されています。本稿では、ガイドが挙げる具体的な確認事項を、日本の法律事務所・企業法務部がそのまま使える確認表の形に変換して説明します。
公表の主体とガイドの位置づけ
CCBEは、EU加盟27か国及びEEA加盟3か国(ノルウェー、リヒテンシュタイン、アイスランド)、スイスの弁護士会を正会員とし、英国の弁護士会を準加盟、その他の欧州諸国の弁護士会を準会員又はオブザーバーとする、ベルギー法上の国際非営利法人(AISBL)です。約100万人の欧州弁護士を代表し、主にEU機関に対するロビイング及び実務指針の策定を行っていますが、加盟弁護士会や個々の弁護士を法的に拘束する権限は有していません。
本ガイドは単独の文書ではなく、CCBEが順に公表してきたAI関連実務資料の一つに位置づけられます。ガイド本文は、2025年2月27日公表のCCBE guidelines on the use of cloud computing by Bars and lawyers及び2025年10月2日公表のCCBE guide on the use of generative AI by lawyersと併せて読むことを想定していると明記しています。先行する生成AIガイドが生成AIの定義、利便性、リスク及び職業倫理上の義務を扱ったのに対し、今回の技術ガイドは特定製品の推奨や操作手順書ではなく、AIモデルとAIシステムの違い、提供形態ごとのアーキテクチャという技術面に焦点を当てています。ガイドは、弁護士が利用する技術の基本的な仕組みを理解しておくべきとするCCBE Charter of core principlesの専門的能力の原則、及びEU AI Act第4条が定めるAIリテラシー確保義務を根拠として挙げていますが、後者はEU域内でAIシステムを提供又は使用する主体に適用される規律であり、日本企業に当然に適用されるものではありません。
提供形態によって異なる秘密保持とデータ管理の水準
ガイドは、AIモデルの利用形態を、費用、必要な技術的知見、データ管理の主体という観点から4類型に整理しています。自社が保有する機器上でモデルを動かすオンプレミス(自己ホスト)型は、データが外部に一切送信されず、統制水準は最も高くなります。コロケーション施設や自社専用データセンターに機器を置く形態では、機器の所有・統制は自社に残るものの、施設提供者の信頼性や物理的な侵入リスクを別途評価する必要があります。IaaS(クラウドの仮想マシン等)上に自らモデルを持ち込む形態では、データセンターの所在地域や暗号鍵の管理を自社で選択できる一方、外部の技術者による監査権限は限定的です。これらに対し、ベンダーがモデル・基盤・更新のすべてを管理するフルマネージドSaaS/APIは、導入は最も容易であるものの、データが利用者の管理領域外に送信され、統制水準はガイド上「Low」と評価されています。
法律事務所が秘密性の高い案件でどの形態を選ぶかは、費用と統制のトレードオフの問題であり、フルマネージドSaaSを使う場合には、次章で述べる契約上の確認が特に重要になります。
フルマネージドSaaSを利用する場合にベンダーへ確認すべき事項
ガイドは、フルマネージドSaaS/APIを利用する弁護士が、ベンダーとの契約内容及びその実務上の意味を理解しておくことが不可欠であるとし、確認すべき具体的な問いを列挙しています。日本の法律事務所・企業法務部が翌日から使える確認表として整理すると、次のとおりです。
- 顧客データの処理方法が契約書上どこまで明記されているか、ベンダーが処理者(processor)としての役割を負う場合にデータ処理契約(DPA)が用意されているか。
- 入力したプロンプト・応答がモデルの追加学習に利用されるか、利用される場合にオプトアウトの選択肢があるか。
- ベンダーの従業員が顧客データにアクセスできる条件は何か。
- 捜査機関その他の第三者からの開示要求に応じる場合、開示の前又は直後に利用者へ通知する契約上の約束があるか。
- 利用者がデータを削除した後も、バックアップ等の目的でベンダー側にデータが保持されるか、保持される場合の期間はどの程度か。
- ベンダーがサイバー攻撃を受け契約上の義務を履行できなくなった場合の取扱いが契約に定められているか。
- データセンターの物理的所在地及び準拠法は何か、複数の法域が競合する可能性があるか。
- モデルが顧客データで追加学習される場合、同一契約の別ユーザーに入力内容の一部が再現される可能性がどの程度あるか。
- 利用規約(Acceptable Use Policy)が、刑事事件や人権関連案件での利用にどのような制限を課しているか。
ガイドはあわせて、プロンプトの処理過程についても説明しています。入力はトークン化された上でモデルの推論に用いられ、その処理は技術的に一時的なものであり、自動的に検索可能な形でデータベースへ保存されたり、モデルのパラメータへ直接組み込まれたりするものではないとされています。もっとも、入力が学習に利用されるかどうかはモデルのアーキテクチャではなくベンダーの契約条件・技術設定・ガバナンス方針次第であり、エンタープライズ向け契約では学習利用が契約上除外されることが多い一方、一般消費者向けサービスでは利用者が拒否しない限りサービス改善目的での利用が留保される場合があるとされています。加えて、通信経路上の暗号化がどの地点で復号されるかを利用者側で把握できない場合が多いこと、ベンダーの買収や経営破綻、一方的な規約変更によって当初の約束が維持されない可能性があることも、契約審査及びベンダー選定の際に確認すべき点として指摘されています。ベンダー審査の契約条項を整理する際は、生成AI利用ポリシーの作り方で扱った社内規程の確認項目とあわせて運用することが有用です。
モデルの性能・規模に関する技術的確認事項
ガイドは、ローカル環境での運用を検討する弁護士向けに、モデル選定に関わる技術指標も説明しています。出力速度はトークン毎秒(tps)で示され、対話的な利用には毎秒5トークンを下回る速度では実用に耐えず、毎秒20トークンを超えると平均的な弁護士の読解速度を上回るとされています。モデルが一度に扱える入出力の長さは「コンテキスト長」と呼ばれ、多くのモデルの標準的な長さは4,096トークン程度にとどまるため、ある国の全法令・判例を一度に検索させるような使い方は現実的でなく、検索拡張生成(RAG)等の別の技術を組み合わせる必要があるとされています。
導入費用の目安も具体的に示されており、2025年9月時点の参考価格として、既存のパソコンで小規模モデルを動かす場合はほぼ追加費用がかからない一方、20〜40Bパラメータ規模のモデルを実用的な速度で動かす専用機は約2,000ユーロ、GPT-OSS-120B等のより大規模な公開モデルを動かすには約8,000ユーロのGPUが目安とされ、最先端の商用モデルに匹敵する性能を自社環境で確保しようとすると数万ユーロ規模の投資が必要になるとされています。法律事務所が秘密保持を理由にローカル運用への移行を検討する場合、契約書のドラフト・修正、契約書の条項抽出、長文の証拠資料検索など想定する用途ごとに必要なモデル規模とハードウェアが異なる点を踏まえて費用対効果を評価することが実務上の出発点になります。
日本の弁護士の守秘義務との関係
本ガイドは、EU及び欧州各国の弁護士会が定める職業倫理・専門的能力の原則を出発点とするものであり、日本の弁護士に直接適用される規律ではありません。日本の弁護士については、弁護士法(昭和二十四年法律第二百五号)第23条が「弁護士又は弁護士であつた者は、その職務上知り得た秘密を保持する権利を有し、義務を負う」と定め、日本弁護士連合会の弁護士職務基本規程も秘密保持に関する規律を置いています。これらは、CCBEが依拠するEUの職業倫理原則やEU AI Act第4条のAIリテラシー確保義務とは根拠法令も規律の名宛人も異なります。
もっとも、フルマネージドSaaSを利用する際にベンダーへ確認すべき技術的事項、すなわちデータの学習利用の有無、第三者への開示条件、データセンターの所在地といった論点自体は、法域を問わず共通する実務上の確認項目であり、日本の法律事務所・企業法務部が自社のAIベンダー選定・契約審査へ転用できると考えられます。技術的な仕組みを理解した上でAIツールと弁護士の役割分担を整理する視点は、AI弁護士とは?生成AI時代の企業法務で弁護士とAIをどう使い分けるかで扱った論点とも重なります。
今後確認すべき動き
本ガイドは末尾で、複数の段階を経て自律的にタスクを実行するエージェント型AIについて、現時点ではCCBEとして法律実務・職業上の義務への影響を評価するには成熟していないとした上で、今後の改訂で取り上げる方針を示しています。執筆日現在、次の点が未確定又は今後の公表待ちであり、継続的な確認が必要です。
- CCBEによる本ガイドの改訂版、及びエージェント型AIの取扱いに関する追加記載の公表時期
- 2025年10月公表の生成AIガイド及び2025年2月公表のクラウドコンピューティングガイドラインとの整合性が保たれているかの確認
- 自社が利用するAIベンダーとの契約条項(学習利用の可否、データセンター所在地、開示通知義務等)が契約更新時に変更されていないかの再確認
エージェント型AIの権限設計やログ監査の実務は、AIエージェントのログ監査と責任分界のチェックポイントで解説した論点とも関連するため、CCBEの今後の評価と合わせて確認しておくことが望ましいと考えます。