AI導入を法務はどう審査するか|最初に見るべき論点総まとめ
契約審査・承認・監査・稟議を、ひとつのOSで。
属人化しがちな契約レビューを、誰でも同じ品質で処理できる仕組みに。法務・営業の現場でそのまま使えます。
本記事は、事業部から「生成AIツールを導入したい」「このAIサービスと契約したい」と相談を受けた法務担当者が、何を・どの順番で・誰と一緒に確認すべきかを俯瞰するための入口記事です。シリーズ各話(学習利用、入力データ、出力利用、責任分界、社内ルール整備など)はここから分岐します。
事業部から「ChatGPTを社内で使いたい」「議事録AIを入れたい」「顧客対応チャットボットを外注したい」といった相談が、法務に上がる頻度は明らかに増えています。2026年に入ってからは、これに加えて「社内業務を自律的に処理するAIエージェントを試したい」という相談も増え始めました。個別のサービスごとに検討は変わるものの、見るべき論点の骨格は共通しています。
本記事では、AI導入審査で法務が確認すべき主要論点、SaaS審査との共通点と相違点、AI特有の論点(学習利用・入力データ・出力利用・説明責任)、契約審査や社内ルールとの接点、そして社内相談を受けたときの初動フローまで、一気通貫で整理します。
結論として、AI導入審査は「SaaS審査+AI特有論点」という構造で設計するのが実務的に最も収まりが良い、というのが本稿の立場です。
AI導入審査とは何か
「AI導入審査」という言葉に法的な定義はありませんが、実務上は「生成AIやAI機能付きサービスを、社内業務または顧客向け業務に導入・利用する際に、法務その他の管理部門が事前に行うリスク審査」を指して使われています。本記事でも、この実務的な意味で用います。
審査対象には、少なくとも次のようなパターンが含まれます。
- 社内で ChatGPT・Claude・Gemini などの汎用生成AIを業務利用するケース
- 議事録生成、要約、翻訳などのAI機能付きSaaSを導入するケース
- 自社サービスにAI機能を組み込み、顧客に提供するケース
- ベンダーにAIシステム・AIエージェント開発を委託するケース
- 既存ツールのアップデートで、事後的にAI機能が追加されるケース
- 業務を自律的に実行するAIエージェントを導入するケース(2026年以降増加)
このうち「事後的にAI機能が追加される」パターンと「AIエージェント」パターンは見落とされやすく、前者は機能追加時の再審査プロセス、後者は自律実行における人間の関与設計が論点になります。
AI導入審査の目的は、AI利用を止めることではなく、想定外のリスクが顕在化したときに会社として説明責任を果たせる状態に整えることにあります。「禁止か許可か」の二択で考えず、「どの条件なら導入してよいか」という条件設計の発想で入るのが実務的です。
前提となる最新の法令・ガイドライン動向(2026年4月時点)
AI導入審査で前提として踏まえておきたい、2026年4月時点の主要な枠組みは次のとおりです。いずれも直接に企業の詳細な義務を定めるものではありませんが、自主的な取り組みの方向性を規律するソフトローとして重要です。
- AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律):2025年5月28日成立、6月4日公布、同年9月1日全面施行。基本法的な性格が強く、企業に詳細な行為義務を直接課す構造ではありません。7条に活用事業者の責務(国等の施策への協力)が定められているほか、国はAI基本計画を策定することとされており、自社AIポリシーの社内説明時には、国の基本方針との整合性をどう説明するかが論点になります。
- AI事業者ガイドライン(第1.2版):総務省・経済産業省、2026年3月31日公表。第1.1版(令和7年3月)からの改訂で、AIエージェント・フィジカルAIの定義新設、人間の判断介在の仕組み構築、トレーサビリティ強化が主な変更点です。開発者・提供者・利用者の3区分でAIガバナンスの実践を整理しており、社内AIルールの設計上の第一級のリファレンスです。
- 経済産業省「AI利活用における民事責任の解釈適用に関する手引き」:2026年4月公表。AI出力の誤りや第三者損害が発生した場合の民事責任の考え方を整理した文書で、本記事の「責任分界」の層を社内説明するうえで有用です。
- 個人情報保護法:個人情報保護委員会(PPC)が、生成AIサービスへの入力について継続的に注意喚起を行っています。単に「委託に整理すればよい」という話ではなく、利用目的との関係、委託該当性、安全管理措置、要配慮個人情報の有無などを個別に確認することが求められます。
- 著作権法:30条の4(情報解析目的の利用)と、AI生成物の著作物性・侵害判定に関する議論。文化審議会の考え方を踏まえた判断が必要です。
- EU AI Act(参考):欧州居住者のデータを扱う場合や欧州市場へ展開する場合、高リスクAI該当性の確認が必要になります(詳細は後述)。
個別条文の詳細はシリーズ各話で扱いますが、AI導入審査では、これらの枠組みをすべて網羅するのではなく、対象サービスの性質に応じて「関係する枠組みだけ拾う」発想が実務的です。
なぜSaaS審査と別枠で語る必要があるのか
AI導入審査は、多くの場合、既存のSaaS審査プロセスの延長線上で行われます。実際、クラウド契約・利用規約・個人情報の取扱・セキュリティ要件といった確認項目は、そのまま流用できます。
しかし、AIを使うがゆえに追加で見るべき論点が存在し、それが漏れると、事後的に大きな問題になります。典型的には次のような問題です。
- 入力した社内情報や個人情報が、ベンダー側のモデル学習に利用されてしまう
- AIの出力が誤っていた場合の責任分界が契約上整理されていない
- AIの出力を社外に出したときの著作権・名誉毀損等のリスクが想定されていない
- 顧客や監督官庁から問われたときに、AIの判断根拠を説明できない
- 社員が勝手に個人アカウントやブラウザ拡張機能でAIを使い始め、シャドーAI化して管理不能になる
- AIエージェントが自律的に外部システムを操作し、意図せぬ動作で損害が発生する
これらはいずれも、通常のSaaS審査だけでは拾いきれません。そのため、実務上は「SaaS審査の通常フロー」に「AI特有論点のアドオン」を乗せる構造が合理的です。AI導入審査を独立した新プロセスとして構築するのではなく、既存プロセスに差分を加える発想のほうが、現場への定着もスムーズです。
この整理は、契約審査の基本フローを前提としています。契約審査そのものの進め方は、契約審査とは?法務が確認すべき基本プロセスを実務解説、および契約審査の進め方とは?依頼受付から返却までの実務フローを整理で詳しく扱っています。
AI導入審査の論点全体像(5つの層)
AI導入審査で確認すべき論点は多岐にわたりますが、5つの層で整理すると構造が見えやすくなります。シリーズ各話はいずれも、この5層のいずれかに紐づきます。
| 層 | 論点の層 | 代表的な確認項目 | 主な参照法令・ルール |
|---|---|---|---|
| ① | 契約・利用規約の層 | 契約主体、準拠法、責任制限、損害賠償、SLA、サブプロセッサ、再委託、契約終了時のデータ取扱 | 民法、商法、独禁法、下請法(該当時) |
| ② | 情報の入口/出口の層 | 入力データの範囲、学習利用の有無、出力の権利帰属、出力の二次利用可否、ログの保存期間 | 個人情報保護法、不正競争防止法、著作権法 |
| ③ | セキュリティ・運用の層 | 通信暗号化、アクセス制御、脆弱性対応、委託先管理、国際データ移転、監査権、プロンプトインジェクション等AI特有脅威 | 個情法(安全管理措置)、各種セキュリティ基準 |
| ④ | 責任分界・説明責任の層 | AI出力の誤りによる損害分担、社外説明責任、説明可能性(記録の取り方)、第三者からの請求対応、AIエージェントの自律実行における責任 | 民法(不法行為・契約責任)、消費者法、業法、経産省民事責任手引き |
| ⑤ | 社内ルール・ガバナンスの層 | 利用範囲の定義、禁止事項、申請フロー、教育、モニタリング、インシデント対応、シャドーAI対策 | AI事業者ガイドライン、社内規程 |
①と③は従来のSaaS審査と大部分が重なります。AI特有の色が濃いのは②と④、そして⑤のうち「AI利用固有の運用ルール」の部分です。次章以降では、この重みの差を意識して整理します。なお、この5層は抽象的な整理ですので、第6章の24項目表で具体化します。
AI特有の4論点:学習利用・入力データ・出力利用・説明責任
AI導入審査の中心にあるのは、次の4論点です。いずれもシリーズ各話で詳細に扱いますが、ここでは実務上の判断軸を押さえる形で要点だけ整理します。
① 学習利用(Training)
ベンダーが、ユーザの入力データ・出力データを自社モデルの学習に利用するかどうかは、AI導入審査で最初に確認すべき論点です。確認の視点は次のとおりです。
- デフォルトで学習利用されるか/オプトアウトの有無
- 法人プラン・APIプラン・無料プランでの扱いの違い
- 「学習には使わない」とされている場合でも、品質改善・モニタリング・不正検知等の名目で利用されないか
- オプトアウト設定がアカウント単位か、会話単位か、テナント単位か
- 過去に投入したデータの取扱い(遡及適用の有無)
「学習に利用しません」という表記のみで即OKと判断せず、利用規約・プライバシーポリシー・DPAの原文を突き合わせて整合性を確認するのが安全です。マーケティング資料と契約文言にズレがあるケースは珍しくありません。
② 入力データ(Input)
入力データの論点は、「何を入れてよく、何を入れてはいけないか」を事業部に明確に示せるかどうかに尽きます。次の4点を軸に整理します。
- 個人情報:入力行為の性質(委託該当性を含む)を個別に判断し、利用目的との関係、安全管理措置、要配慮個人情報の有無などを踏まえて整理する
- 営業秘密・技術情報:不正競争防止法上の営業秘密としての管理性(秘密管理性)を損なわないか
- 第三者の秘密情報:NDA締結先から受領している情報を入れることが、契約違反にならないか
- 著作物:他者の著作物を入力として扱うことが、著作権法30条の4や利用規約に抵触しないか
個人情報保護法×生成AIの委託・再委託関係については、個人情報保護法×生成AI時代の委託・再委託チェックリストで整理しています。「委託として整理できればよい」という発想に流れず、利用目的達成に必要な範囲か、要配慮個人情報が含まれていないか、安全管理措置が十分かを個別に確認することが、PPCの注意喚起に沿った実務対応です。
③ 出力利用(Output)
出力側で見るべきは、「生成されたものをどう使うか/使えるか」という利用権の話と、「生成されたものが第三者の権利を侵害していないか」というリスクの話の2本立てです。
- 出力の権利帰属:利用規約で誰に帰属するか。「ユーザに帰属」と書かれていても、同一プロンプトに対する同一出力の他社利用が排除されているかは別論点
- 商用利用の可否:無料プランと有料プランで差がないか
- 著作権侵害リスク:学習データに含まれていた他者の著作物と類似した出力が出るリスク
- 名誉毀損・プライバシー侵害リスク:実在人物に関する誤情報(いわゆるハルシネーション)が外部に出る経路の有無
- AI生成であることの開示(透明性):AI事業者ガイドラインの「透明性」は、顧客提供物へのAI利用表示やウォーターマーク等の実務にも接続する。業種・サービス類型によっては開示を検討
- ベンダー側の免責補償(IP Indemnity):ベンダーが著作権侵害等について補償条項を設けているか、条件は何か
AIが生成したコンテンツの著作権に関する基本整理は、AI生成コンテンツに著作権はある?誰が権利者になる?日本と米国の最新整理も併せて参照してください。
④ 説明責任(Accountability)
AI特有の論点として最も忘れられやすいのが、説明責任の層です。対外的には、「なぜその判断に至ったか」「AIを使ったことを相手に開示すべきか」「問題が起きたときに何を証跡として残せるか」が問われます。
- AIを判断材料としたときに、最終判断は人間が行ったという建て付けを維持できているか(Human-in-the-Loop)
- 顧客・取引先に対するAI利用の開示の要否(業種によっては必要)
- AIへの入出力のログ保存:保存期間・アクセス権限・証拠能力
- 不具合発生時の原因調査可能性(ベンダー側の技術的制約を含む)
- 監督官庁からの照会・裁判所からの提出命令への対応可能性
- AIエージェントによる自律実行の記録(トレーサビリティ):どのツールを、どの権限で、どの順序で呼び出したかが再現できるか
AI事業者ガイドライン(第1.2版)でも、人間の判断介在の仕組み構築が強調されています。ただし2026年の実務水準では、人間が形式的にボタンを押すだけでは説明責任を果たせないと評価される場面が増えつつあります。望ましいのは、人間がAIの出力を批判的に検証(Critical Review)できるだけの専門性を持ち、検証プロセス自体をログとして残す設計です。契約レビュー・稟議起案など「AIを下書き作成に使う」業務では、最終判断者と検証手順を社内ルール上も明文化しておくのが望ましい整理です。
プロンプトインジェクション:セキュリティから責任分界への接続
プロンプトインジェクション(悪意ある入力で意図せぬ出力を引き出す攻撃)は、従来はセキュリティ論点として扱われてきましたが、法的責任の論点としても整理する必要があります。具体的には次の2局面です。
- 自社サービスに組み込んだAIが攻撃され、第三者への誹謗中傷・差別的出力・個人情報漏えいが発生した場合の不法行為責任
- AIエージェントが外部入力(メール・ウェブページ等)を通じて意図せぬ操作を実行した場合の責任分担
これらは経済産業省「AI利活用における民事責任の解釈適用に関する手引き」(2026年4月)でも論点として整理されており、責任分界の層で契約条項として扱うべき事項です。
SaaS審査との共通点と相違点
既存のSaaS審査との関係を整理します。AI導入審査を新たな業務として立ち上げるのではなく、SaaS審査の差分として設計すると、現場の負荷が抑えられます。
| 確認項目 | 通常のSaaS審査 | AI導入審査での追加/修正ポイント |
|---|---|---|
| 契約主体・準拠法 | 通常通り確認 | 同じ。ただし海外AIベンダーが増えるため、紛争解決条項の実効性確認が重要 |
| 個人情報の取扱 | 第三者提供/委託の別、DPAの有無 | 入力時の第三者提供該当性、委託該当性、要配慮個情報の有無、学習利用の整理、モデルからの消去可能性を個別確認 |
| データの所在・越境 | サーバ所在国、越境移転の根拠 | モデル学習/推論/一時保存の所在、およびアクセス権限者の所在国を区別して確認 |
| セキュリティ | 暗号化、アクセス制御、認証 | 同じ。ただしプロンプトインジェクション等AI特有の脅威を加える |
| 再委託・サブプロセッサ | リストの開示、変更通知 | ファウンデーションモデル提供者(OpenAI、Anthropic等)の位置付けを明確化 |
| 知的財産 | 利用者側の入力の扱い | 学習利用の可否、出力の権利帰属、IPインデムニティの有無・条件 |
| 責任制限 | 上限額、除外事由 | AI出力の誤りが免責に含まれていないか、プロンプトインジェクション等の攻撃時の分担 |
| 監査・証跡 | ログの提供、第三者監査 | プロンプト/出力ログの保存、AIエージェントの自律実行トレース、出力根拠の再現可能性 |
| 機能変更 | 事前通知義務 | AI機能の追加・モデル変更・エージェント機能の追加も通知対象か |
| 社内利用ルール | 必要に応じて策定 | 必須。入力禁止情報、利用範囲、申請フロー、シャドーAI対策を明文化 |
表からわかるとおり、確認項目の枠組み自体は大きく変わりません。多くは既存のSaaS審査で見ているものに「AI文脈での追加確認」が加わる形になります。唯一、「社内利用ルール」の優先度だけは、通常のSaaSよりも一段高く設定する必要があります。
グローバル展開する場合:EU AI Actの視点
自社サービスに組み込むAI機能を欧州市場へ展開する、あるいは欧州居住者のデータを扱う可能性がある場合、EU AI Act(欧州AI規制法)への配慮が必須となります。EU AI Actは法的拘束力を持ち、用途に応じたリスクベースの規制を課します。
- 禁止AI:社会的スコアリング、サブリミナル操作など原則禁止の類型
- 高リスクAI:雇用、教育、与信、重要インフラ等の用途で利用されるAI。適合性評価、リスク管理システム、透明性義務、人間による監督などが課される
- 限定リスクAI:チャットボット、生成AI等。利用者へのAI利用開示義務など
- 最小リスクAI:自由な利用可
日本のAI推進法・AI事業者ガイドラインが「基本法+ソフトロー」であるのに対し、EU AI Actは違反時に制裁金が科されるハードローです。日本企業であっても、欧州向けサービスを提供する場合は域外適用の対象となる可能性があるため、AI導入審査の段階で「欧州との関係」を事業部にヒアリングしておくのが安全です。
AI導入審査で見るべき論点一覧表
社内相談受付時のワークシートとして使うことを想定し、論点一覧を表形式で整理します。そのまま社内の審査シートの雛形として転用できます。
| No. | 論点カテゴリ | 確認事項 | 主担当 |
|---|---|---|---|
| 1 | サービス概要 | ベンダー名、サービス名、契約プラン、利用目的、利用部署、利用人数 | 事業部 |
| 2 | サービス概要 | バックエンドのファウンデーションモデル、モデルの提供者、所在国、エージェント機能の有無 | 情シス/法務 |
| 3 | 契約・規約 | 準拠法・裁判管轄、契約解除条項、責任制限・損害賠償条項 | 法務 |
| 4 | 契約・規約 | 利用規約・プライバシーポリシー・DPAの一貫性 | 法務 |
| 5 | 入力データ | 個人情報の入力有無、該当する場合の法的整理(利用目的・委託該当性・安全管理措置・要配慮個情報の有無) | 法務 |
| 6 | 入力データ | 営業秘密・技術情報の入力可否、秘密管理性への影響 | 法務/事業部 |
| 7 | 入力データ | 第三者から受領した秘密情報の入力可否(既存NDAとの整合) | 法務 |
| 8 | 学習利用 | ユーザ入出力のモデル学習利用の有無、オプトアウトの可否と設定単位 | 法務/情シス |
| 9 | 学習利用 | 品質改善・不正検知等の名目での利用可能性、人手レビューの有無 | 法務 |
| 10 | 出力 | 出力の権利帰属、商用利用可否、他社への類似出力の可能性 | 法務 |
| 11 | 出力 | IPインデムニティの有無と適用条件 | 法務 |
| 12 | 出力 | 出力が外部に出る経路(顧客提供物への組込み/社内限定)、AI利用の開示要否 | 事業部/法務 |
| 13 | セキュリティ | 通信暗号化、アクセス制御、多要素認証 | 情シス |
| 14 | セキュリティ | データ保存期間、削除要請への対応、ログの暗号化 | 情シス |
| 15 | セキュリティ | プロンプトインジェクション等AI特有脅威への対策、攻撃時の責任分担 | 情シス/法務 |
| 16 | 越境移転 | 推論処理・学習処理・データ一時保存の所在国、およびアクセス権限者の所在国、越境移転の根拠 | 法務/情シス |
| 17 | 再委託・サブプロセッサ | サブプロセッサリストの開示、変更通知、ファウンデーションモデル提供者の位置付け | 法務 |
| 18 | 責任分界 | AI出力の誤りに関する責任分担、ハルシネーションの扱い、AIエージェントの自律実行時の責任 | 法務 |
| 19 | 説明責任 | 最終判断者、Human-in-the-Loopの設計、批判的検証プロセスのログ | 法務/事業部 |
| 20 | 説明責任 | 顧客・監督官庁への開示要否、業界規制との整合、AI利用表示の要否 | 法務/事業部 |
| 21 | 社内運用 | 利用範囲・禁止事項の明確化、申請フロー、教育 | 法務/情シス |
| 22 | 社内運用 | 機能追加・モデル変更時の再審査プロセス、シャドーAI・ブラウザ拡張機能対策 | 法務/情シス |
| 23 | インシデント | 不具合・漏えい発生時の連絡体制、ベンダー通知義務 | 法務/情シス |
| 24 | 契約終了 | 終了時のデータ削除証明、モデルからの学習データ除去可能性 | 法務 |
| 25 | グローバル | 欧州市場展開・欧州居住者データ取扱の有無、EU AI Act上のリスク分類 | 法務/事業部 |
25項目すべてを毎回フルに埋める必要はありません。サービスの性質に応じてNo.1〜4で輪郭を掴み、残りを「該当/非該当/要確認」で仕分けるのが実務的です。次章の役割分担と組み合わせて運用します。
法務・情シス・事業部の役割分担
AI導入審査は、法務だけで完結させると必ずどこかで判断が止まります。情シスと事業部を早い段階で巻き込むことが、審査品質とスピードの両方を左右します。
| プレイヤー | 主たる役割 | AI導入審査で担う典型タスク |
|---|---|---|
| 事業部 | 利用目的の定義と結果責任 |
利用シナリオの具体化(誰が、何の業務で、何を入力し、出力をどう使うか) 業務上許容できる誤りの水準の判断 顧客・取引先との関係上の開示要否の判断 欧州市場展開・欧州居住者データ取扱の有無の確認 |
| 情シス | 技術・セキュリティの評価 |
接続経路・認証・暗号化の確認 サブプロセッサ・所在国の技術的裏取り シャドーAI・ブラウザ拡張機能の技術的制限(個人アカウント利用の遮断、拡張機能の管理) ログ取得・監査機能の評価 |
| 法務 | 契約・法令・責任分界の評価 |
契約・利用規約・DPAのレビュー 個情法・不競法・著作権法との整合 責任制限・IPインデムニティの評価 社内ルールへの反映設計 |
| (必要に応じて)セキュリティ部門・内部監査 | 独立した評価・統制 |
セキュリティリスクアセスメント 統制プロセスへの組込み、事後モニタリング |
この役割分担のうち、事業部の「利用シナリオの具体化」が最も軽視されがちですが、ここが曖昧だと法務も情シスも判断できません。相談を受けた最初の段階で、事業部に「誰が」「何の業務で」「何を入力し」「出力をどう使うか」を具体的な言葉で書いてもらうだけで、審査は一気に進みやすくなります。
AI導入審査は契約ベースの審査ですが、現場で実際にインシデントを起こすのは、会社が契約したAIではなく、社員が個人アカウントで利用する生成AIや、ブラウザ拡張機能経由のAIです。Sider、Monica、Merlin等の拡張機能は、閲覧中のウェブページや入力文字列をAIサービスへ自動送信する設計のものも存在します。契約審査と並行して、情シス側で個人アカウント利用の遮断・拡張機能の管理ポリシーを整備しないと、入口で漏れます。社内AIルールでも明示的に言及しておくことが推奨されます。
契約審査・情報管理・社内ルール整備との接点
AI導入審査は、以下の3つの既存業務と強く接続します。新たな業務として独立させるよりも、既存業務の中にAI観点を差し込むほうが、定着しやすく漏れも減ります。
① 契約審査との接点
AIサービスの導入契約・利用規約は、契約審査シリーズで扱う基本フローの延長線上で審査することになります。加えて、次の論点を必ず組み込みます。
- 入力データ・出力データの権利帰属
- 学習利用に関する条項
- AI出力の精度・不具合に関する責任分界
- IPインデムニティ
- ベンダーの機能追加・モデル変更時の通知義務
- プロンプトインジェクション等の攻撃時の責任分担
NDA・業務委託の観点では、NDAとは?秘密保持契約の意味・基本条項・レビューのポイントと業務委託契約とは?請負・準委任の違いとレビューの基本をベースに、AI特有の権利関係を追加で整理します。外部AIベンダーと秘密情報をやり取りする場合、NDAの設計とAI利用規約の整合を意識する必要があります。
② 情報管理との接点
AI導入審査は、既存の情報管理ルール(個人情報保護、営業秘密管理、情報セキュリティ)と必ず衝突します。衝突を解消するのではなく、例外として明示的に取り込む発想が実務的です。
- 個人情報保護ルールに「生成AIへの入力時の取扱」を明記する
- 営業秘密管理規程に「生成AIへの入力時の秘密管理性維持条件」を追加する
- 情報セキュリティポリシーに「AIサービスの利用申請・承認フロー」と「個人アカウント/ブラウザ拡張機能の利用制限」を組み込む
③ 社内ルール整備との接点
個別のAI導入審査を積み上げていくと、やがて横断的な社内AI利用ルールの整備が必要になります。具体的なテンプレートは生成AIガバナンスの作り方|法務のAI利用ルール・契約チェックリストで提供していますが、押さえるべき骨格は次のとおりです。
- 利用可能なAIサービスのホワイトリスト
- 入力禁止情報の定義(個人情報、営業秘密、第三者秘密情報、未公表財務情報など)
- 業務上の利用範囲(下書き作成、要約、翻訳などの許容範囲)
- 最終判断者の明確化(Human-in-the-Loop+批判的検証プロセスのログ)
- シャドーAI対策(個人アカウント・ブラウザ拡張機能の制限)
- 新規AIサービス導入時の申請・審査フロー
- インシデント発生時の連絡体制
- 定期的な教育・見直し
社内相談を受けたときの初動フロー
事業部から「このAIサービスを使いたい」という相談を受けたとき、法務が最初の1〜2時間で行うべき作業を時系列で整理します。
- Step 1:相談の型を識別する
新規ツール導入か/既存ツールのAI機能追加か/顧客向けサービスへの組込みか/開発委託か/AIエージェントの導入か。型によって論点の重みが違うので、最初に仕分ける。 - Step 2:利用シナリオを具体的な文章で書いてもらう
「誰が/何の業務で/何を入力し/出力をどう使うか」を事業部に書かせる。ここが曖昧なら、まずここを詰めるのが最優先。欧州との関係があるかもここで確認。 - Step 3:一次仕分けをする
個人情報の入力の有無、営業秘密の入力の有無、出力の外部公開の有無、欧州展開の有無で、審査の重さを3段階(軽量/標準/重量)に仕分ける。 - Step 4:ベンダー資料の一次確認
利用規約・プライバシーポリシー・DPA・セキュリティホワイトペーパーを揃える。ベンダーが資料を出し渋る場合、その時点で警戒度を上げる。 - Step 5:情シスと事業部にレビュー依頼を分配する
セキュリティ面・シャドーAI対策は情シス、業務上の許容リスクは事業部。法務だけで抱え込まない。 - Step 6:AI特有論点(学習利用・入力データ・出力利用・説明責任)を集中的にレビュー
通常のSaaS審査で押さえる項目は既存の審査シートで回し、AI特有部分にリソースを集中する。 - Step 7:残存リスクを一覧化し、条件付き許可の形で回答する
「禁止/許可」の二択ではなく、「この条件なら許可」「この入力はしない」という条件付き回答に落とす。 - Step 8:社内ルール・再審査条件を整理して回答する
利用範囲・禁止事項・モデル変更時の再審査条件・個人アカウント利用の可否を事業部に明示したうえで、承認する。
このフローは、契約審査の一般的な進め方(契約審査の進め方)とほぼ同じ骨格ですが、Step 2の「利用シナリオの具体化」と Step 6の「AI特有論点の集中レビュー」が、AI導入審査固有の追加ステップです。
初動チェックリスト
社内相談を受けて最初の打ち合わせで必ず埋めるべき、初動チェックリストです。事業部へのヒアリングシートとしても使えます。
- ベンダー名、サービス名、契約プラン、価格帯を把握した
- 相談の型(新規導入/機能追加/顧客提供/開発委託/エージェント導入)を特定した
- 利用目的、利用部署、利用人数、利用頻度を確認した
- 入力するデータの種類(個人情報/要配慮個情報/営業秘密/第三者秘密/一般情報)を特定した
- 出力の利用経路(社内限定/顧客提供物/外部公開)を特定した
- AIエージェント機能の有無、自律実行の範囲を確認した
- バックエンドのファウンデーションモデルとその提供者を把握した
- データ処理の所在国(推論/学習/一時保存)およびアクセス権限者の所在国を確認した
- 欧州市場展開・欧州居住者データ取扱の有無を確認した
- 利用規約・プライバシーポリシー・DPA・セキュリティ資料を入手した
- 学習利用の有無とオプトアウト設定単位を確認した
- 出力の権利帰属・商用利用可否・IPインデムニティを確認した
- 責任制限・損害賠償条項の上限・除外事由を確認した
- サブプロセッサ一覧とファウンデーションモデル提供者の位置付けを確認した
- 情シスにセキュリティレビュー(プロンプトインジェクション対策含む)を依頼した
- 事業部に業務上許容できる誤りの水準を確認した
- 既存の社内AI利用ルール・情報管理規程との整合を確認した
- シャドーAI(個人アカウント・ブラウザ拡張機能)の利用制限方針を確認した
- 審査の重さ(軽量/標準/重量)を決めた
- 回答期限を事業部と合意した
埋められない項目があること自体は問題ではなく、「埋められないこと」を論点として明示し、事業部・情シスに返すのが初動の正しい姿です。
「とりあえず個人情報は入れないから大丈夫」で止まるケースが目立ちますが、個人情報が入らない場合でも、営業秘密・第三者秘密情報・未公表情報の入力リスクは残る点に注意が必要です。個人情報だけでスクリーニングを終わらせないのが実務のコツです。また、契約したAIを正しく運用しても、社員が別途個人利用しているAIから漏れるケースも少なくありません。契約と運用、両面で見る必要があります。
実務での対応例と社内での使い方
パターンA:汎用生成AI(ChatGPT等)の社内導入
最も相談の多い類型です。法人プラン・API・無料プランで学習利用の扱いが異なるため、まず契約プランを特定してから審査に入ります。入力禁止情報のルール化、オプトアウト設定の全社統一、申請フローの整備、および個人アカウント利用の制限がセットになります。
ChatGPTの利用範囲に関する一般論は、法務でChatGPTはどこまで使える?|AI法・個人情報・契約書レビューの実務ガイドで整理しています。
パターンB:議事録生成・要約AIツールの導入
音声データが個人情報を含むことがほぼ確実なため、個人情報の取扱の個別整理(利用目的・委託該当性・安全管理措置・要配慮個情報の有無)と、DPA相当の書面の有無を最初に確認します。会議参加者への通知・同意取得の設計も論点になります。
パターンC:契約レビュー支援AIの導入
契約書を入力するため、第三者から受領している秘密情報の取扱いが中心論点になります。既存NDAの例外条項(クラウド等の利用を前提とした条項)との整合確認が必要です。加えて、AIによる契約レビューそのものの適法性については、AI契約書レビューは弁護士法72条違反?|非弁リスクと社内法務の安全運用を実務整理で論点を整理しています。
パターンD:自社サービスへのAI機能組込み
顧客データをAIに入力することになるため、プライバシーポリシーの改定、利用規約の改定、顧客への説明責任までセットで検討する必要があります。AI導入審査の中でも最も重い類型です。
欧州市場への展開や欧州居住者のデータを扱う場合は、EU AI Actの「高リスクAI」該当性の確認が、コンプライアンス上の重大論点となります。用途(雇用、与信、重要インフラ、医療、教育等)によっては、適合性評価・リスク管理システム・人間による監督の仕組みを設計する必要があり、プロジェクト初期段階で法務が関与する必要があります。
パターンE:AI開発・AIエージェントの業務委託
業務委託契約の基本構造に、学習データの権利帰属、モデルの権利帰属、成果物の権利帰属が重層的に絡みます。AIエージェントを委託開発する場合はさらに、自律実行の範囲設定、外部システム連携時の権限管理、トレーサビリティの確保が追加論点となります。業務委託契約シリーズの各話(知的財産権条項・再委託条項)をベースに、AI特有の権利関係と運用要件を追加で整理します。
関連記事
法務AIプロンプト100選
本記事で扱った契約審査・情報管理・責任分界・社内ルール整備の各論点は、生成AIを適切に使いこなすことで初動時間を大きく短縮できます。本プロンプト集は、企業法務の思考プロセスを生成AIで再現できるように設計した100本の実務直結プロンプトを収録。契約法務25本、社内規程・法改正対応15本、労務・会議体・M&A・知財・紛争管理・新規事業まで、AI導入審査シリーズの各層で必要になる「論点抽出→リスク整理→社内説明」の骨格をそのままAIに載せられます。ChatGPT・Claude・Gemini対応。
法務AIプロンプト100選を見るまとめ
本記事の要点
- AI導入審査は、SaaS審査+AI特有論点という構造で設計するのが実務的。新たな業務を立ち上げるのではなく、既存SaaS審査の差分として組み込む。
- AI特有の中核論点は、学習利用・入力データ・出力利用・説明責任の4つ。入力データと出力は個情法・不競法・著作権法と強く接続する。
- 論点は5つの層(契約・情報の入口出口・セキュリティ・責任分界・社内ルール)で整理する。25項目表と初動フローで具体化する。
- 法務単独では回らない。事業部(利用シナリオ)・情シス(セキュリティ・シャドーAI対策)・法務(契約・法令)の役割分担を初動で明確にする。
- AI推進法は基本法的性格が強く企業への詳細な行為義務は限定的。一方で、AI事業者ガイドライン(第1.2版、2026年3月)と経産省「AI利活用における民事責任の解釈適用に関する手引き」(2026年4月)が、社内ルール設計と責任分界整理の主要リファレンスとなる。
- グローバル展開時は、EU AI Actの高リスクAI該当性確認が必須。初動のStep 2で「欧州との関係」を事業部にヒアリングする。
- Human-in-the-Loopは形式的な承認では足りず、批判的検証の専門性とプロセスログが求められる。
- 契約ベースの審査で防げないリスクとしてシャドーAI(個人アカウント・ブラウザ拡張機能)がある。情シスと連携した技術的制限が必須。
- 最終的なゴールは「禁止/許可」の二択ではなく、条件付き許可と再審査条件の明示。
本記事はシリーズの親記事として、AI導入審査の全体像を示すことに重点を置きました。学習利用、入力データ、出力利用、責任分界、AIエージェント、社内ルール整備といった各論点の深掘りは、シリーズ各話で順次扱います。社内相談の受付時には、まず本記事の5層・25項目・初動フローを参照しながら、事業部・情シスと連携して仕分けを行ってください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
一次整理/マスキング/論点チェック/運用引継ぎ/稟議一枚化まで、
個別課題から少しずつ軽くしていく入口です。
