IT・ベンチャーの企業法務

AIの企業導入の契約上のリスクは？危機を未然に回避するべく、経産省策定の「チェックリスト」を解説

2025.05.26

近年、ビジネスの現場でAI（人工知能）の導入が進んでいます。しかし、AIの利用や開発には、従来のシステムとは異なる特有のリスクや法的課題が存在します。

こうした背景を踏まえ、令和7年（2025年）2月、経済産業省は「AIの利用・開発に関する契約チェックリスト」を策定、公開しました。このチェックリストは、AIサービスの契約や利用に関わるさまざまな企業が、契約条件の整理や確認を効率的に行うための実務的な支援ツールとして設計されています。

本記事では、この「AIの利用・開発に関する契約チェックリスト」に基いて、AIに関する契約を類型化したうえで、どのような点に留意して契約を締結し、ビジネスにAIを効率的に活用するべきか、解説していきます。

この記事の目次

「AIの利用・開発に関する契約チェックリスト」の対象となるAI関連サービス

「AIの利用・開発に関する契約チェックリスト」は、生成AIを含む広範なAI関連サービスを対象としており、特定の業種やAI技術に限定されていません。

チェックリストでは、サービスの提供・利用に関わる実務上の論点を体系的に整理するために、「インプット」と「アウトプット」の2つの観点から構成されています。これにより、AIサービスのライフサイクル全体にわたる検討事項を網羅しつつ、当事者ごとに自社に関係する項目を抽出しやすくなるよう設計されています。

「AIの利用・開発に関する契約チェックリスト」におけるインプットとアウトプットとは

チェックリストは、AIサービスにおける以下の2つのフェーズに基づいて構成されています。

【インプット】

AIサービスの構築や学習、運用にあたって提供・利用される情報やデータ、仕様、条件などを指します。たとえば、学習用データ、アルゴリズム、業務ルール、システム条件などが含まれます。これらのインプットが不十分、あるいは不適切であった場合、AIの性能や出力の信頼性に直接影響するため、重要な検討項目です。

【アウトプット】

AIが処理・推論・生成した結果や、その結果をどう取り扱い、利用・公開するかに関する事項です。たとえば、生成された文章・画像、推論結果、判断の根拠、外部提供の範囲、責任の所在などが含まれます。

AIの出力結果には、正確性・透明性・法的リスクに関するチェックが必要になります。「AIの利用・開発に関する契約チェックリスト」では、インプット（前提情報の提供）とアウトプット（AIの結果とその取扱い）という両面から契約実務上の重要論点を整理しています。

各当事者の定義

AIに関わる契約では、「AIを開発する人」「AIを提供する人」「AIを利用する人」といった関係者の役割が、AIサービスの種類によって変わる場合があります。

たとえば、汎用AIサービスを、特定の企業のためにファインチューニングして開発・導入するケース（次項の【類型2：カスタマイズ型】）を想定してみましょう。この場合、他の会社が提供している汎用的なAIサービスを組み込んで、依頼企業の仕様に合わせて調整（カスタマイズ）するといったサービスが想定されています。

このとき、カスタマイズサービスを提供する事業者Bは、カスタマイズを受ける事業者A（AI利用者）との関係（下図①）では、「AIサービスの提供者（ベンダ）」という立場になります。

一方で、元となる汎用AIを提供している事業者C（AI開発者・AI提供者）との関係（下図②）では、事業者BはAIサービスの利用者（ユーザ）という立場になります。

このように、1つの事業者が、関係する相手によって「提供者」となったり「利用者」となったりすることがあるため、契約を結ぶ際には、それぞれの立場や責任の範囲を明確にしておくことが重要です。

引用：経済産業省｜AIの利用・開発に関する契約チェックリスト

「AIの利用・開発に関する契約チェックリスト」の契約類型

本チェックリストでは、AI関連サービスに関する契約を分類するにあたり、代表的な3つの契約類型を整理しています。これにより、契約当事者が自らの立場や目的に応じたチェック項目を把握しやすくすることを目的としています。

それぞれの契約類型には特徴的な論点やリスクがあり、AIの導入目的やサービス提供形態に応じて、適切な類型を把握することが重要です。

以下に、3つの契約類型について詳しくご紹介します。

類型1：汎用サービス利用型

この類型は、既に完成・公開されているAIサービスを、そのままユーザが利用する契約形態が一般的です。

典型的な例として、ChatGPTや画像生成AI（例：DALL·E、Stable Diffusion）などの生成AIサービスをウェブ上で利用するケースをイメージすればわかりやすいでしょう。

これらのサービスでは一般に、ベンダがあらかじめ定めた利用規約やサービス条件に同意した上で利用することが前提となっています。ユーザ側が契約内容を交渉・変更することはほとんどできません。

チェックリストでは、あらかじめ決まった条件で提供されるAIサービスを、ユーザがいかに理解し、リスクを把握して利用するかが主な論点となります。

類型2：カスタマイズ型

この類型は、AIサービス提供者が保有する既存のモデルや技術をベースに、ユーザ企業のニーズに合わせてカスタマイズを行う契約形態です。

たとえば、提供者が持つAIモデルに対し、ユーザが保有するデータやルールを追加学習させたり、システムの一部を調整・変更したりするケースが該当します。例えば、ある企業内で開発・導入されるマーケティング用チャットボットの開発をイメージしてみましょう。もともとある汎用的な生成AIに、企業の商品データベースを読み込ませたり、顧客からの質問を学習させたりすることで、その企業にファインチューニングされた返答が可能になります。

このような契約では、提供者が開発した元の技術やノウハウを活かしつつ、ユーザ固有の要求を満たす形で提供されます。チェックリストでは、カスタマイズされた部分に関する知的財産の帰属や、再利用の可否、責任分担などが主な検討項目となります。

また、カスタマイズ内容によって成果物の性質や契約類型が変化する可能性があるため、両者の役割やインプット・アウトプットの定義を明確にすることが重要です。

類型3：新規開発型

この類型は、ユーザがAIサービス提供者に対して、完全に新しいAIシステムの開発を委託する契約形態です。一般的に「フルスクラッチ開発」とも呼ばれるもので、ユーザの業務内容やニーズに合わせた専用のAIモデルやシステムを一から構築します。

この場合、学習用データや仕様はユーザが提供することが多く、開発対象となるAIモデルや成果物は、ユーザ固有の要件に基づいて設計されます。

そのため、契約上では以下のような点が特に重要となります。

成果物の範囲・内容の明確化
精度や性能の目標設定
学習用データの提供と取り扱い
知的財産権や成果物の帰属
保守・アップデートの責任分担

この類型は、提供者とユーザの間で設計や仕様のすり合わせが非常に重要となるため、チェックリストでは詳細な検討が求められます。

ではここからは再度、下図を参考にしながら、インプットとアウトプットの具体例を見ていきましょう。

引用：経済産業省｜AIの利用・開発に関する契約チェックリスト

チェックリスト：インプット

インプットは前述の通り、AIに入力する内容を指します。その具体例には学習用データやアルゴリズム、プロンプト（AIに対する指示、命令文）が含まれます。

AIサービスでは、インプットが不可欠です。これがないと、ベンダはAIの設計・学習・推論の処理を進めることができません。では、こうした場合のインプットはどのような点に気をつければいいのでしょうか？

ユーザからベンダへのインプットの取り扱い

したがって、ユーザがベンダに対して学習用データ・ルール・仕様など、ユーザが提供する情報（＝インプット）を提供する義務の有無、及びその内容については、契約条項において明確に定めておく必要があります。具体的には、以下のような内容です。

ユーザがどのようなインプットを提供するか
提供時期、形式、品質の基準
ユーザがベンダに対し、提供するインプットの内容（性質、量、粒度その他の内容）について、満たすべき条件があるか
ユーザのサービス利用目的に照らして、上記内容は許容できるか

ベンダから第三者へのインプット情報の取り扱い

AIサービスでは、ベンダがユーザから受け取ったインプット（例：データや仕様）を使ってAIを構築・提供します。

ただし、そのインプットをベンダが第三者に提供・再利用するケースがあり得るため、「外部提供」の可否と条件を契約で確認しておくことが重要です。

特に、インプットにはユーザの業務ノウハウ、機密情報、個人情報、知的財産が含まれることがあるため、第三者に提供された場合に大きなリスクが発生します。

では、こうした外部提供をめぐって、以下のような点が、契約書で明確にされているかを確認する必要があります。

ベンダがユーザから受け取ったインプットを、第三者に提供することができるのか
外部提供が認められる場合、その提供先・範囲・目的に制限はあるか
ユーザのインプットに知的財産権や機密情報が含まれている場合の取り扱い

上記3点について、懸念がある場合には「不必要な情報は提供しない」や「インプットの第三者提供が許容できない場合には、契約締結を断念することも検討する」などの対策が考えられます。

ベンダのインプットの管理

AIサービスでは、ユーザがベンダに提供するインプット（例：学習用データ、業務ルール、仕様書など）に、個人情報や機密情報、知的財産を含むことが少なくありません。

そのため、こうしたインプットの取扱いや管理体制について、ベンダがどのような責任を負うのかを明確にすることが重要です。

では、インプットの管理については、契約上どのような観点から整理すべきでしょうか？以下に例を挙げます。

（管理義務の有無とその水準）

ベンダがユーザから受け取ったインプットについて、どのような管理義務を負うのか
ベンダが管理義務を負う場合、求められる管理水準や対応内容
ベンダの管理体制に対して、ユーザが監査や情報提供を要求できるか
管理体制がユーザのサービス利用目的に照らして適切かどうか

（インプットの保持期間）

ベンダがインプットをどの程度の期間保持できるか
保持期間終了後、ベンダがどのような対応をとるのか

(削除義務）

ユーザの求めに応じて、あるいは契約終了時に、ベンダがインプットを削除する義務を負うかどうか
削除したことの証明書（削除証明書等）を発行する義務があるか
こうした削除対応が、ユーザの業務目的に照らして妥当かどうか

個人データの提供が伴う場合、ベンダによる自己目的利用や突合が認められる場合には委託として整理できず第三者提供に該当し、本人の同意が必要となる可能性があることを踏まえて、個人データの取扱いスキームを整理する必要があります。

個人データの委託を伴う場合、ベンダに及ぼすことが可能な監督権限が、委託として処理するために十分な水準にあるかを検討する（水準を満たさない場合には第三者提供等として処理することを検討する）。また、外国への個人データの移転が伴う場合、個人情報保護法上の「提供」の有無にかかわらず保有個人データに関する情報提供等が必要になり得ることに留意が必要です。

個人情報の提供を伴う場合、ベンダによる個人情報の漏洩が生じた際はユーザによる監督機関への報告義務等が課せられる場合があるため、特に注意が必要です。

削除義務については、適用法令上、ベンダの削除義務が求められている場合には、契約外の権利行使として削除を求めることも可能です。

チェックリスト：アウトプット

アウトプットは、わかりやすく言えばAIから出力された結果のことです。文章や画像であることが一般的ですが、中にはプログラムコードや設計図、マーケティング戦略の資料などもあり、その出力形態もさまざまです。機密性の高い情報が含まれていることもあり、取り扱いには要注意です。

ユーザが外部にアウトプットする場合

生成AIなどのAIサービスを活用することで、ユーザはさまざまなアウトプット（生成された文章、画像、推論結果など）を得ることができます。

こうしたアウトプットを、社内で活用するだけでなく、顧客・取引先・一般ユーザなど第三者に提供・公開するケースも少なくありません。

しかし、AIによるアウトプットには、不正確な情報、権利侵害、倫理的な問題などのリスクが含まれる可能性があります。意図しない第三者提供（情報漏洩を含む）が発生しないよう、管理体制の構築及び社内教育等を十分に実施することが必要です。

そのため、ユーザがアウトプットを社外へ提供する場合には、契約上の取り決めやリスク管理が重要な検討事項となります。下記のチェックポイントを確認するようにしましょう。

ユーザがアウトプットを第三者に対し提供できるか
ユーザが第三者提供できる場合、どのような第三者提供条件（提供先、提供範囲その他の条件）が課せられているか。利用型の場合には、AIを用いたサービスによるものである旨の表示をする必要があるか
ユーザのサービス利用目的に照らして、上記内容は許容できるか

ベンダからユーザへのアウトプット（b−5−1）

AIサービスを利用して得られるアウトプット（生成された文章、画像、設計図、レポートなど）は、ユーザにとって価値のある成果物となります。

しかし、そのアウトプットについて「誰に権利があるのか」「自由に使ってよいのか」といった権利の帰属をめぐる取り決めは、契約で明確にしておかなければ後々のトラブルの原因となります。具体的には、以下の点について明確にしておく必要があります。

ユーザがアウトプットに関して、知的財産権等、一定の権利を取得するか
ユーザが権利を取得する場合、どのような権利取得条件（権利移転の対象、対価の有無、ライセンスの有無・内容その他の条件）があるか
ユーザのサービス利用目的に照らして、上記内容は許容できるか

チェックリストを活用する上での留意点

本チェックリストは、契約書としての法的効力を有するものではなく、ユーザとベンダ双方の立場から、AI関連サービスの提供・利用に関する契約上の論点を整理するためのものです。したがって、実際に契約を締結するにあたっては、その契約が結ばれる具体的な事実関係（契約形態、サービス内容、インプット・アウトプットの性質、当事者の権利義務など）を踏まえたうえで、必要なチェック項目を選定し、それぞれの項目における契約条件を具体化することが求められます。

チェックリストを踏まえてどのように対応することが適切であるかは、個別のユーザが置かれた具体的な事情に依拠するため、以下の各要素を含む関連する事情を総合的に考慮して判断することが必要です。