企業における「AI社内規定」整備の実務的手順と論点を弁護士が解説
2023年の「生成AI元年」から数年が経過し、2026年現在、日本企業における生成AI(Generative AI)の活用は、一部の先進的な部署による実験的利用から、全社的なインフラとしての定着へとフェーズを移行させつつあります。
しかし、多くの企業で現場の利用拡大に追いついていないのが「社内ルールの整備」です。そもそも社内ルールやガイドラインが整備されていない企業も少なくありませんし、整備されているとしても、「機密情報を入力しない」「出力の正確性を確認する」といった一般的な注意喚起に留まるものが大半です。しかし、現場の従業員が直面する課題はより具体的かつ切実です。
- 「API経由でAzure OpenAIを使う場合、入力データは学習されない設定になっているが、それでも顧客名を入力して良いか?」
- 「AIが作成したプログラムコードを製品に組み込む際、OSSライセンス汚染のリスクをどう確認すれば良いか?」
- 「取引先から受領した秘密情報を要約するためにAIを使いたいが、契約書上の『第三者開示』に当たるか?」
こうした問いに対して明確な回答がないガイドラインでは、結果として、判断に迷った従業員からの問い合わせが情報システム部門に殺到し、業務停滞を招くか、あるいは現場判断でリスクの高い利用が強行される(シャドーAI)という事態を引き起こされてしまいます。
本記事では、実効性のあるAI関連規定・ガイドライン整備の標準的な手順と重要論点について解説します。
この記事の目次
多くの企業が陥る「ガイドラインの機能不全」
AI関連の規定整備に着手する際、多くの企業が直面する共通の課題があります。これらは単なるルールの不備ではなく、組織構造や業務フローに起因する構造的な問題です。
「抽象的な禁止」による現場の委縮
「著作権侵害に注意すること」という規定だけでは、従業員は判断できません。結果として、リスクを恐れて利用自体を控えるか、逆にリスクを認識せずに不適切な利用(シャドーAI)に走るかの二極化を招きます。
情報システム部門のボトルネック化
「新しいAIツールを使いたい」という申請に対し、情報システム部門がセキュリティ(ウイルス対策等)の観点だけでなく、法的リスク(著作権、規約解釈)まで判断を求められ、業務がパンクする事例が多発しています。
実際に我々が支援した事例でも、「同じ担当者が入口と出口で二重に承認しており、実質的なチェックが機能していない」「判断基準がないため、安全側に倒して『却下』を繰り返してしまう」といったケースが散見されました。
規定整備における業務スコープの設定
こうした課題を解決するため、モノリス法律事務所では、AI規定整備プロジェクトを複数のスコープ(領域)に分解して進めることを推奨しています。これらは相互に連動しており、同時並行または段階的に進める必要があります。企業におけるガイドラインの整備状況やAIの利用状況にもよりますが、例えば、以下の3スコープです。
| スコープ | 目的 | 実装すべき成果物の例 |
|---|---|---|
| ① ガイドラインの精緻化 | 従業員の判断コストを下げる | 具体的なOK/NG事例集、データ入力基準表 |
| ② 承認プロセスの再設計 | 意思決定の迅速化と責任分界 | 承認フロー図、リスク判定チェックリスト |
| ③ 就業規則と契約書の整備 | 違反時のペナルティと対外リスク管理 | 就業規則改定案、取引基本契約書修正案 |
これらは独立しているわけではありません。スコープ②で決定した「誰が何を判断するか」というプロセスが、スコープ①のガイドラインに反映され、その違反時の対応がスコープ③の就業規則で規定されるという、相互依存の関係にあります。
また、企業ごとの特性による部分が大きいですが、基本的には、進行管理方法としてはウォーターフォール型(全てを決めてから文書化)ではなく、「仮説検証型(アジャイル)」のアプローチが採用されるべきです。例えば、運用フローが決まらなければ、ガイドラインに書くべき「手続き」が決まらないといった事情があれば、まずスコープ②(プロセス)の議論を先行させるべきです。そのため、まず情報システム部・法務部へのヒアリングを行い、現状のボトルネックを特定した上で、スコープ①・③を一気に進めるといった工程をとるケースもあります。
ボトルネックの特定
例えば一例ですが、弊所が実際にガイドラインを策定した、ある企業では、従業員が新しいSaaS(生成AI含む)を利用したい場合、以下のようなフローを経ていました。
- 利用申請書の作成(利用者):利用者が申請書を作成。
- 適正確認(利用管理者):部課長クラスがチェックシートで確認。
- 書類審査(本社IT部門・JTY情報システム):全社的なセキュリティ基準(ISMS等)との適合性を審査。
- 承認判定(情報セキュリティ責任者):本社の審査結果を受け、セキュリティ担当者が最終承認。
こうしたプロセスは、一見堅牢な多段階チェックに見えますが、以下のような問題を抱えています。
- 判断基準の不在と「全件確認」の負荷:現場からは多種多様なAIツール(画像生成、コード生成、議事録要約など)の申請が上がってきますが、IT部門には「セキュリティ(ウイルス等)」の基準しかなく、「AI特有のリスク(権利侵害等)」を判断する物差しがありません。結果、担当者は個別に利用規約を読み込み、悩み、疲弊します。
- フィードバックの貧困:IT部門からの回答がシステム上「承認」か「否認」の二択だと、否認された現場担当者は「なぜダメなのか」「どうすれば使えるのか」が分からず、少し条件を変えて再申請を繰り返す「申請スパム」状態が発生し、審査工数をさらに圧迫することになります。
- 法務部門の関与の希薄さ:契約書の締結を伴わない(クレジットカード決済や無料利用の)SaaS利用について、法務部への相談フローが必須化されていないと、多くの生成AIサービスが利用規約で「入力データを学習に利用する(Opt-in)」としているにも関わらず、その規約がチェックされていない・他社の著作権侵害の観点でのチェックが行われていない、といった問題が発生します。
こうした「ボトルネック」は、企業ごとに異なります。こうしたボトルネックについての分析と特定を、まず行う事になります。
【スコープ①】ガイドラインの精緻化
ガイドライン整備において最も重要なのは、「従業員が自分の業務でAIを使って良いか、即座に判断できるか」という点です。
従来の申請書は「ツール名(例:ChatGPT)」の申告が主でしたが、これではリスク判定ができません。AIのリスクは「ツール単体」ではなく、「入力データ」と「利用目的」の組み合わせで決まるからです。
したがって、ガイドラインには以下の3要素をセットで報告・確認させるフローを組み込む必要があります。「利用想定報告(Context Report)」の導入です。
- ツール(Tool):どのAIモデルを使うか(学習オプトアウト設定はされているか?)
- インプット(Input):何を入力するか(個人情報、機密情報、他社の著作物?)
- アウトプット(Output):生成物をどう使うか(社内閲覧のみ、顧客提出、Web公開?)
また、ガイドラインの改定作業においては、いきなり本文を書き換えるのではなく、「修正事項リスト(タームシート)」を作成し、関係部署(IT・法務・経営企画)と合意形成を図るプロセスが有効です。
- 現状の課題:例「著作権に関する記述がなく、現場がWeb上の画像を安易にi2i(画像変換)で加工してしまうリスクがある」
- 修正案:「他者の著作物を入力データとして使用する場合の権利処理フローを追記する」
- 決定事項:「原則禁止とし、法務部の個別許諾を得た場合のみ可とする」
このように「課題→案→決定」をリスト化して議論することで、手戻りを防ぎながらガイドラインを精緻化できます。
【スコープ②】承認プロセスの再設計
ボトルネックとなっている承認フローを解きほぐし、「誰が」「何を」判断するのかを再定義します。
IT部門がすべての責任を負うのではなく、審査内容に応じてボールを持つ部署を明確にします。技術審査と法的審査の分離(ダブルトラック化)という概念です。
- IT部門(技術審査):
SSO(シングルサインオン)対応可否・ログ監視の可否・入力データが学習に利用されない設定(オプトアウト)の確認 - 法務部門・外部弁護士(法的審査):
利用規約(ToS)の不利条項チェック・著作権・商標権リスクの判定・GDPR等の海外法規制対応
そして、判断の迅速化のため、〇×判定ではなく、回答によってリスクレベルが自動判定されるチェックリストを導入します。
- A判定(即時利用可):入力データは公開情報のみ、かつ学習されない設定の法人プラン利用。
- B判定(条件付き可):機密情報を扱うが、個人情報は含まない。→「出力結果の事実確認(ファクトチェック)ログを残すこと」を条件に承認。
- C判定(要詳細審査):個人情報を含む、または生成物を対外的に公開する。→法務部による個別審査へエスカレーション。
また、IT部門からのフィードバックも「却下」だけでなく、「この条件(例:個人情報をマスキングする)を満たせば利用可能」という建設的な代替案を提示できる仕組みを構築します。
【スコープ③】就業規則と契約書の整備
ガイドラインを守らせるための「社内の強制力」と、対外的なトラブルを防ぐ「契約の防壁」を築きます。
まず、ガイドライン違反(例:禁止されている無料版AIへの機密情報入力)があった場合、適切に処分を行えるよう、就業規則や懲戒規定を見直します。
- 秘密保持義務の具体化:「第三者への開示」だけでなく、「会社の許可を得ていないクラウドサービス等へのデータ入力・保存」も秘密保持違反に含まれることを明記します。
- モニタリング条項:会社がAIの利用ログ(プロンプト内容)を監査目的で閲覧・保存することについて、プライバシー権との関係で事前の包括的同意を取得する規定を設けます。
また、自社だけでなく、委託先(サプライヤー)がAIを利用する場合のリスクコントロールも必須です。
- ベンダーへのAI利用制限:業務委託契約書において、受託者が生成AIを利用して成果物を作成する場合の「事前通知義務」や「権利侵害の非保証リスクへの対抗措置(表明保証)」を盛り込みます。
- 契約審査フローへのAI項目の追加:法務部が契約書審査を行う際のチェックリストに、「生成AI利用に関する条項の有無」や「成果物の権利帰属(AI生成物は著作権が発生しない場合があるため)」を確認する項目を追加します。
「IT×法務」の視点が不可欠な理由
こうしたAIの社内規定整備においては、法律の知識だけでは不十分な場面が多々あります。技術的な理解が伴って初めて、実効性のあるルールが策定できます。
技術的ガードレールを前提とした法的緩和
例えば、「海外製AIツールの利用」について、法務部門が個人情報保護法(越境移転規制)の観点から一律禁止と判断するケースがあります。
しかし、ITエンジニアの視点を入れれば、「シングルサインオン(SSO)で個人情報の入力を技術的にブロックする」「API経由での利用に限定し、学習データとして利用されない設定(オプトアウト)を確認する」といった対策が可能です。
技術的な安全策(ガードレール)を前提とすることで、法的な禁止事項を緩和し、ビジネスでの活用範囲を広げることが可能になります。
ログ監査と有事の対応
規定を作って終わりではありません。万が一の情報漏洩や権利侵害の疑いが生じた際、どのプロンプトが入力され、何が出力されたかを追跡できるトレーサビリティの確保が必要です。
これには、利用規約上の「監査権限」の確保(法務)と、APIログの保存・検索システムの構築(IT)の両輪が求められます。
継続的なアップデート(アジャイル・ガバナンス)
AI技術と関連法規制は、数ヶ月単位で変化します。2024年の文化庁の見解や、2025年以降の国際的なAI規制の潮流に合わせて、社内規定もまた「一度作って終わり」ではなく、継続的にアップデートし続ける必要があります。
我々がクライアントに提供する際には、「法令監視サービス」を併用し、新たな法的論点やツールの規約変更が発生したタイミングで、即座にガイドラインの修正案(パッチ)を適用できる体制構築を推奨しています。
まとめ
「規定整備」というと、とかく「禁止事項を増やす」ことだと思われがちです。
しかし、明確なルールと安全なプロセスが存在して初めて、従業員は安心してアクセルを踏むことができます。
不透明な「グレーゾーン」を解消し、技術的に安全な環境と法的にクリアな基準を用意すること。これこそが、AIという強力なエンジンの性能を最大限に引き出すための、企業の経営戦略としての「ガバナンス」なのです。
モノリス法律事務所では、ITエンジニアやコンサルタント経験を持つ弁護士チームが、貴社の技術環境とビジネスモデルに即した、実効性の高いAI規定整備をワンストップで支援いたします。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。AIビジネスには多くの法的リスクが伴い、AIに関する法的問題に精通した弁護士のサポートが必要不可欠です。当事務所は、AIに精通した弁護士とエンジニア等のチームで、ChatGPTを含むAIビジネスに対して、契約書作成、ビジネスモデルの適法性検討、知的財産権の保護、プライバシー対応など、高度な法的サポートを提供しています。下記記事にて詳細を記載しております。
カテゴリー: IT・ベンチャーの企業法務
