生成AI導入時の契約審査チェックリスト|利用規約でまず見るべき項目
契約審査・承認・監査・稟議を、ひとつのOSで。
属人化しがちな契約レビューを、誰でも同じ品質で処理できる仕組みに。法務・営業の現場でそのまま使えます。
生成AIサービスを社内で導入するとき、法務に回ってくるのは多くの場合「クリックすれば終わる利用規約」です。しかしその一読では、入力データが学習に回されるのか、出力にどんな利用制限があるのか、ベンダーがどこまで責任を負うのか、いずれも判断できません。本稿では、生成AIサービスの審査において、法務がまず確認すべき10項目と、事業部に必ず聞くべき質問を、SaaS審査との差分という観点から整理します。社内案件にそのまま転用できる契約審査チェックリスト付きです。
1. 生成AIの契約審査が、通常のSaaS審査と違う理由
生成AI導入時の契約審査は、表面的にはクラウドSaaSの利用規約レビューと同じ構造をとります。利用規約・プライバシーポリシー・DPA(データ処理契約)の三層を確認し、責任制限条項とデータ取扱い条項を詰める、という流れ自体は変わりません。
違いは、「入力したデータが二次利用される構造」と「出力物の権利関係が確定しない構造」を、契約上どう処理するかという点に集約されます。通常のSaaSでは、入力データはユーザーのために処理されるだけで終わりますが、生成AIでは入力プロンプト・添付ファイル・対話履歴がモデル改善のための学習データとして使われる可能性があります。さらに出力物については、生成AIの出力が著作権の対象になるか、第三者の著作権を侵害していないかという論点が、SaaS審査にはなかった形で乗ってきます。
もう一つ、SaaS審査と性格が異なるのが、利用許諾の階層性です。生成AIサービスでは、メインの利用規約(ToS)とは別に、利用許諾方針(Acceptable Use Policy:AUP)が独立して定められているのが通常で、規約上「商用利用可」となっていても、AUP側で医療助言・法的助言・政治的キャンペーン・特定の重要意思決定の自動化などが一律禁止されている例が珍しくありません。AUPは規約本体と一体で参照する必要があります。
2025年5月に成立し同年6月に公布された人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法)は、現時点では事業者を直接規律する罰則型の法律ではなく、政府の基本計画と協力義務を中心とする枠組み法です。一方で、経済産業省・総務省が2026年3月31日に公表した「AI事業者ガイドライン第1.2版」は、AIエージェントが外部に自律的にアクションを取る場面でのHuman-in-the-Loopを明示し、利用事業者にも内部統制上の対応を求めています。規制は「ガイドラインで縛る」段階に入っており、契約審査でもこの水準を前提に置く必要があります。
一般的SaaS審査との違い 比較表
| 論点 | 一般的なSaaS審査 | 生成AI契約審査での追加論点 |
|---|---|---|
| 利用許諾範囲 | アカウント数・機能制限の確認 | AUP(禁止用途)の遵守、AI生成物の表示義務の有無 |
| 入力データ | 利用範囲・保存期間を確認 | 学習利用の有無・オプトアウト可否を必ず確認 |
| 出力物 | そもそも論点になりにくい | 権利帰属、利用制限、第三者権利侵害リスクを確認 |
| 個人情報 | 委託先管理(個情法27条等) | 第三者提供規制・委託の整理・越境移転の三層で確認 |
| 秘密情報 | 守秘義務条項で足りることが多い | 営業秘密性の喪失リスク(不競法2条6項)まで考慮 |
| 知的財産 | 提供物の権利帰属が中心 | ファインチューニング後のモデル重み・派生物の帰属 |
| 責任制限 | SLA連動の上限額が中心 | 幻覚・誤出力・侵害物生成は免責とされる例が多い |
| 規約変更 | 事前通知+解約権で足りることが多い | 頻繁な改定が前提。学習方針の変更条項を要確認 |
| 監査・ログ | SOC2等の第三者報告書で代替されがち | プロンプト・出力ログの保管要否と取得可否を確認 |
2. 利用規約でまず見るべき10項目
生成AIサービスの利用規約・関連ポリシーをレビューするときに、法務がまず開いて目を通すべきは以下の10項目です。順序は実務での重要度ではなく、「読み落とすと後から取り返しがつかなくなる順」に並べています。
AIサービス審査でまず見る10項目
| No. | 項目 | 見るべき場所 |
|---|---|---|
| 1 | サービス内容・利用範囲(ToS+AUP) | サービス説明、定義条項、提供プラン、AUP本体 |
| 2 | 入力データの取扱い | プライバシーポリシー、データ処理条項 |
| 3 | 学習利用の有無 | モデル改善・トレーニング条項、オプトアウト規定 |
| 4 | 出力の利用条件 | 出力物に関する条項、商用利用条項 |
| 5 | 知的財産の整理(出力・モデル派生物) | IP条項、コンテンツ所有権、補償条項、ファインチューニング条項 |
| 6 | 個人情報・秘密情報 | DPA、越境移転規定、秘密保持条項 |
| 7 | セキュリティ | セキュリティ別紙、認証取得状況、暗号化方針 |
| 8 | 監査・ログ | 監査権条項、ログ保存・開示条項 |
| 9 | 責任制限・免責 | 責任制限条項、免責事由、SLA |
| 10 | 規約変更・終了時の取扱い | 規約改定条項、契約終了時のデータ取扱条項 |
3. 条項ごとの見方と実務上の注意点
① サービス内容・利用範囲(ToS+AUPを一体で見る)
同一サービスでも、無料プラン・個人有料プラン・法人プラン・API・Enterpriseで規約が分かれているのが通常です。法務がレビューすべきは、「実際に社内で使うプラン」の規約と価格表に紐づく追加条件です。営業資料や日本語ヘルプの記載ではなく、本国の英語規約と日本法人の付属規約の両方を確認します。
あわせて、AUP(利用許諾方針)を必ずToSと一体で読む必要があります。AUPは規約本体と別文書になっていることが多く、医療・法的助言・人事採否の自動化・与信判定の自動化・選挙関連用途・自動兵器・違法/有害コンテンツ生成などを禁止用途として列挙する例が一般的です。事業部が想定する利用シナリオがAUPに抵触すれば、ToS上「商用利用可」でも導入は不可と判断します。
② 入力データの取扱い
入力データが「サービス提供のためのみに使用される」か、「品質改善・モデル改善・不正検知のため使用される」かを切り分けます。後者は実質的に学習利用への入口になっているケースが多く、オプトアウトのUI設定が別途必要なサービスもあります。規約を読むだけでは判断できず、設定画面の現在状態の確認が必須です。
③ 学習利用の有無
「お客様データはモデルの学習には使用しません」と明示されているか、「モデル改善のために使用する場合があります」と書かれているか、ここを最初に確認します。主要ベンダーでは、API経由・法人プラン・Enterpriseプランで学習利用がデフォルトOFFという傾向は見られますが、プラン構成・地域・契約形態によって設計が異なり、将来も変わりやすい領域です。社員が個人アカウントで使う場合、規約上の取扱いは法人プランと別物になることも含め、必ずプラン別の規約と管理コンソールの設定状態を都度確認してください。
④ 出力の利用条件
出力の商用利用が可能か、再配布・再販売が可能か、出力にAI生成である旨の表示義務があるかを確認します。出力に対するベンダー側の権利主張(ベンダーが出力を再利用できる旨の規定)が入っていないかも要チェックです。同一プロンプトに対して他社にも類似出力が返り得る点は契約上の権利と矛盾しませんが、社内では「重要文書には使わない」等の運用ルールに落とす必要があります。
⑤ 知的財産の整理(出力+モデル派生物)
大きく分けて、(a) 入力プロンプトの権利、(b) 出力の権利、(c) 第三者IP侵害があった場合の補償(IP Indemnity)、(d) ファインチューニング後のモデル派生物の帰属、の四層で整理します。主要ベンダーは法人プランで「出力に起因する第三者からの権利侵害クレームについて、一定条件下でベンダーが補償する」条項(いわゆるCopyright Shield/IP補償)を提供していますが、補償条件と補償対象の限定が細かく決まっているため、規約本体だけでなく補償ポリシーも合わせて読みます。
近年とくに重要性が増しているのが、(d) のモデル派生物の帰属です。自社データでファインチューニングしたモデルの「重み」(weights)や派生パラメータ、RAG用の埋め込みベクトル、ファインチューニング用のデータセットが、自社・ベンダーのいずれに帰属するか、契約終了後にエクスポート・削除できるかを規約で確認します。ここを曖昧にしたまま導入すると、将来の他ベンダーへの乗り換えを実質的に阻むベンダーロックインが成立します。
⑥ 個人情報・秘密情報
個人情報を入力する想定がある場合、個人情報保護法上の第三者提供規制(27条)の枠内で、ベンダーが委託(27条5項1号)として整理できる構造になっているかを確認します。海外法人がデータ処理を行う場合は、外国にある第三者への提供(28条)の規律にあわせて、ベンダー所在国の制度概要の確認・本人同意・基準適合体制のいずれで対応するかを整理します。あわせて、DPAや安全管理措置の水準も合わせて評価します。営業秘密を入力する場合、不正競争防止法上の営業秘密としての「秘密管理性」(不競法2条6項)が損なわれない管理になっているかもここで判断します。
⑦ セキュリティ
SOC2 Type II、ISO/IEC 27001、ISO/IEC 27017(クラウドセキュリティ)等の取得状況、暗号化方針(保管時・通信時)、アクセス制御方針を確認します。生成AIの場合は、これに加えて、プロンプトインジェクション対策、出力フィルタリング、レッドチーミングの実施状況がベンダー資料で開示されているかも見ておきます。
⑧ 監査・ログ
監査権の有無、第三者監査報告書(SOC2等)による代替の可否、自社が取得できるログ(プロンプト履歴・出力履歴・API呼び出しログ)の範囲と保存期間を確認します。事故が起きたとき「いつ・誰が・何を入力し、何が出力されたか」を再現できる体制があるかが論点です。Enterpriseプランではログ保存期間や暗号化キーを顧客側で管理できるオプションが用意されている場合もあります。
⑨ 責任制限・免責
責任上限額(年間支払額の100%、12か月分など)、免責事由、間接損害の除外を確認します。生成AI特有の論点として、「出力の正確性・適法性についてベンダーは保証しない」「幻覚(hallucination)に起因する損害は免責」とする条項がほぼ例外なく入っています。これは交渉で削れることはまれであり、削れない前提で社内の利用ルール(人間による最終確認=Human-in-the-Loop)を設計する必要があります。AI事業者ガイドライン第1.2版が外部アクション時のHITLを明示している現状では、契約上免責されていることをもって社内責任が消えるわけではありません。
⑩ 規約変更・終了時の取扱い
生成AIサービスは規約改定の頻度が極めて高い領域です。事前通知期間(30日が標準、短いものは7日)、改定不同意時の解約権、過去入力データの取扱い変更が遡及するか、を確認します。契約終了時には、入力データ・出力データ・アカウント情報・派生データ(埋め込みベクトル・ファインチューニング済みモデル等)の削除義務、削除証明書の発行可否、エクスポート可否を見ます。「学習済みモデルから個別の学習結果を取り除くことはできない」というのが技術的な現実であり、これは契約条項で解決できない論点として社内に共有しておきます。
4. 法務が見る項目/事業部に確認すべき項目の整理
生成AI契約審査では、法務だけで完結する論点と、事業部に確認しないと判断できない論点があります。最初に依頼が来た時点で、事業部に投げ返すべき質問を整理しておくと、審査が二往復・三往復することを防げます。
| 論点 | 法務が判断する | 事業部に確認する |
|---|---|---|
| サービス内容 | 規約・AUP上の利用範囲の解釈 | どのプラン・どの利用形態で使うか、用途がAUPに抵触しないか |
| 入力データ | 規約上の取扱い構造 | 実際に何を入力する予定か |
| 学習利用 | オプトアウト規定の有無 | 設定画面で学習利用OFFになっているか |
| 出力 | 商用利用条件の解釈 | 出力をどの業務に使うか、社外に出すか |
| 個人情報 | 第三者提供・委託・越境移転の構造 | 個人情報を入力する予定があるか |
| 秘密情報 | 秘密管理性の評価 | 営業秘密・顧客機密を入力するか |
| モデル派生物 | 権利帰属条項の評価 | ファインチューニング・RAG構築の予定があるか |
| 監査・ログ | 監査権・ログ条項の整理 | 社内で必要なログ保存期間 |
| 責任制限 | 条項の妥当性評価 | 業務影響の重大度(基幹業務か、補助業務か) |
| 規約変更 | 変更条項の評価 | 規約変更時の運用切替体制 |
5. 事業部へ確認すべき質問リスト
事業部への質問リスト(依頼受付時に投げる)
- どのプラン(無料/有料/法人/API/Enterprise)で契約しますか
- 誰が、どの業務で、どのような頻度で使う想定ですか
- 想定している用途は、ベンダーAUPの禁止用途(医療助言・法的助言・採用判定の自動化等)に抵触しませんか
- 入力する予定のデータの種類(社外秘文書/個人情報/契約書ドラフト等)を教えてください
- 出力をどう使う予定ですか(社内参考/顧客提出/公開/販売等)
- 個人情報を入力する可能性はありますか。あるなら、どの種別ですか
- 営業秘密に該当する情報を入力する可能性はありますか
- ファインチューニング・RAG構築・カスタムモデル作成の予定はありますか
- 業務上、どのくらいのログ保存期間が必要ですか
- 誤出力で損害が出た場合の業務影響はどのくらいですか
- Human-in-the-Loop(人間による最終確認)の運用は誰が担当しますか
- サービス停止・規約大幅変更時の代替手段はありますか
6. 生成AI導入前に法務が確認すべきチェックリスト
契約審査チェックリスト(11項目)
- どのプラン・どの利用形態で使うかが事業部から明示されている
- 適用される規約の本体・AUP・付属規約・プライバシーポリシーをすべて入手している
- 事業部の想定用途がベンダーAUPの禁止用途に抵触していない
- 規約が一方的に変更可能な構造か、改定通知期間と解約権を確認した
- 入力データが再利用・学習利用されるかを規約で確認し、設定画面の現状も併せて確認した
- 出力に利用制限(商用利用、再配布、表示義務)があるかを確認した
- 個人情報や秘密情報を入力する予定があるか、事業部に確認済み
- 個人情報を入力する場合、第三者提供規制・委託の整理・越境移転の構造が個情法上適法に成立している
- ベンダーがどこまで責任を負うか(責任上限・免責事由・IP補償の対象範囲)を確認した
- 監査やログ確認が可能か、必要な保存期間が満たされているかを確認した
- 契約終了後のデータ削除(入力・出力・派生データ・モデル重み等)と削除証明の取扱いを確認した
7. 関連記事
あわせて読みたい
契約書AIレビュー プロンプト集|全10STEP完全版
契約書レビューを毎回ゼロから考えず、確認項目を10STEPで構造的に洗い出したい方向けのプロンプト集です。本記事で扱った「10項目チェック」と同じ発想で、生成AIサービスの利用規約・SaaS規約・業務委託契約まで横断的に使える、貼り付け運用前提のレビュー用プロンプトをまとめています。
プロンプト集を見る8. まとめ
本記事の要点
- 生成AIの契約審査は、SaaS審査の枠組みに「AUP抵触」「学習利用」「出力の権利」「モデル派生物の帰属」「監査・ログ」「規約改定頻度」という追加論点を上乗せする構造で考える。
- まず見るべきは10項目。なかでも、ToSとAUPの一体審査、入力データの学習利用、出力の利用条件、責任制限・免責の4点は、規約上削れないことを前提に、社内運用ルールで補完する。
- 事業部に確認すべき質問を最初に投げることで、審査の往復回数を減らせる。とくに用途のAUP抵触、ファインチューニングの予定、入力データの機微性は最初に確認する。
- 個人情報を入力する場合は第三者提供規制・委託の整理・越境移転、営業秘密を入力する場合は秘密管理性の維持を、いずれも契約レビューの段階で構造として組み込む。
- Copyright Shieldは第三者訴訟の補償であり、自社が被る使用差止め由来の営業損失までは補償されない。重要コンテンツでは人間による最終確認を運用に組み込む。
- AI事業者ガイドライン第1.2版がHuman-in-the-Loopを明示している以上、契約上の免責条項は「社内の最終確認義務まで免責する」ものではない。HITLの担当者を運用設計の段階で決めておく。
生成AIの契約審査は、規約の文言だけでは終わりません。事業部の利用実態、社内のHuman-in-the-Loop体制、規約改定への追随運用、ファインチューニング後の派生物管理までを一連で設計してはじめて、契約上のリスクが実務上のリスクと整合します。本記事のチェックリストを、案件受付時の最初のフィルタとして活用してください。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
一次整理/マスキング/論点チェック/運用引継ぎ/稟議一枚化まで、
個別課題から少しずつ軽くしていく入口です。
