AI契約レビューは安全?法的リスクを5分で判定するチェックと基準
先に1つだけ確認してほしい。下の3つのうち1つでも当てはまれば、あなたの運用はすでに「グレー以上」である。
- 契約書をそのままChatGPTやClaudeに貼り付けている
- 無料版またはPlus/Proプランを業務で使っている
- 社内にAI利用ルールが存在しない(または明文化されていない)
該当がある場合、このあと3分でリスクレベルが確定する。該当ゼロでも、KO項目で即アウト判定になる可能性があるため最後まで読んでほしい。
結論から書く。
自社の法務部員が業務で生成AIを使って契約レビューを行うこと自体は、現在の日本法上、違法ではない。弁護士法72条違反になるのは、外部に対して報酬を得てAI契約レビューを「提供」する場合、しかも法律事件性がある紛争性の高い契約に限られる。
だが、合法であることと「運用してよい」ことは別物である。本当のリスクは非弁行為ではなく、①情報漏えい(営業秘密・個人情報)、②ハルシネーションによる見落とし、③責任の所在不明、④ガバナンス不在、⑤プロンプトの証拠化不足の5点に集中している。この記事は、自社のAI契約レビュー運用が「現時点でどのレベルのリスクを抱えているか」を5分で判定するための判断記事である。
① 事実認定チェックリスト|10項目で棚卸しする
下記10項目のうち、いくつ「該当しない(=リスクあり)」になるかを数えてほしい。該当しない=✗としてカウントする。赤背景の[KO]項目は1つでも✗なら、他の点数に関わらず即「高リスク」判定とする。
- AI契約レビューの利用は「自社の契約業務」に限定されており、外部企業の契約レビューを有償提供していない
- レビュー対象は通常の商取引契約(業務委託・NDA・売買等)であり、紛争性のある示談書・和解書・係争中契約ではない
- 生成AIへの入力時、秘密保持義務のある相手方情報・営業秘密・個人情報のマスキングルールが文書化され運用されている
- 利用する生成AIサービスの入力データが学習に再利用されない契約・設定になっている(API/エンタープライズ設定等)
- AIの出力は必ず人間(法務担当者)が最終レビューし、その痕跡(修正ログ・承認者)が残る運用になっている
- AIレビューに用いるプロンプト・チェック観点が社内で共有・標準化されている(属人化していない)
- AI利用ガイドラインまたは生成AI利用規程が社内に整備され、周知されている
- ハルシネーション(誤った条文引用・存在しない判例)への対応方針が明記されている
- 使用したプロンプトと前提条件が、監査・訴訟時に再現可能な形で保存されている
- AI推進法・個人情報保護法・著作権法30条の4・不正競争防止法の最新動向を踏まえた年次見直しプロセスがある
② 判定|リスクレベルを確定させる
| 条件 | リスクレベル | 対応緊急度 |
|---|---|---|
| KO項目に✗がある | 高リスク(確定) | 即時運用凍結 |
| ✗が5以上 | 高リスク | 即時運用凍結 |
| ✗が2〜4(KO項目に✗なし) | グレー | 四半期内に是正 |
| ✗が0〜1(KO項目に✗なし) | 低リスク | 現状維持+年次レビュー |
③ 法的評価|5つの法令軸で整理する
- 社内法務での利用は基本合法(弁護士法72条の問題はほぼ発生しない)
- 最大リスクは情報漏えいと営業秘密の秘密管理性喪失
- 責任を負うのはAIではなく、最終レビュー者と体制構築責任を負う取締役
- プロンプトと前提条件の保存が、善管注意義務履行の証跡になる
(1) 弁護士法72条|非弁行為の3要件で切り分ける
弁護士法72条は、①報酬を得る目的で、②法律事件に関して、③鑑定その他の法律事務を取り扱うことを非弁行為として禁じている。2023年8月、法務省大臣官房司法法制部が「AI等を用いた契約書等関連業務支援サービスの提供と弁護士法第72条との関係について」(以下、法務省ガイドライン)を公表し、この3要件の当てはめが明確化された。
実務上重要なのは次の2点である。
- 「報酬を得る目的」はサービス提供と対価の関係が必要であり、自社法務部が社内向けに利用する場合は原則として該当しない。
- 「法律事件」は「事件性」(権利義務に関する争いまたは疑義)を要するところ、通常の企業法務で扱う契約締結業務は多くの場合「事件性」がないと明記されている。
つまり、自社の法務担当者が、通常の業務委託契約やNDAをChatGPT/Claudeでレビューする行為は、そもそも72条の構成要件をほぼ満たさない。ここは確定的に整理してよい。
(2) 個人情報保護法|入力データが「提供」にあたらないかを確認する
生成AIに個人情報を入力する場合、個人情報保護委員会の注意喚起(2023年6月)において、出力以外の目的(学習等)で取り扱われるなら本人同意が前提となる旨が示されている。実務的には、①学習に使われない設定・契約であることの確認、②安全管理措置(個人情報保護法20条・21条・22条)、③委託先監督義務(25条)の履行、の3点が必須である。相手方の従業員情報が含まれる契約ドラフトを無防備に貼り付ける行為は、ここで引っかかる。
(3) 不正競争防止法|営業秘密の「秘密管理性」を壊さない
契約書には、取引条件・単価・技術情報などの営業秘密が含まれる。これを学習に使われる可能性のある生成AIに入力してしまうと、秘密管理性(同法2条6項の要件)が失われ、不正競争防止法上の営業秘密保護を受けられなくなるリスクがある。弁護士法72条よりも、実務上このリスクのほうがはるかに大きい。だからこそ前述のチェックリストでKO項目として切り出している。
(4) 著作権法30条の4|「情報解析」と「享受」の境界
他社の標準契約雛形や市販の書式集を大量にAIに読み込ませてプロンプトを強化する運用を行っている場合、この行為が著作権法30条の4の「情報解析」の範囲に留まるのか、特定の書籍・雛形の表現を「享受」する目的とみなされるのかが問われる。2025年以降の文化庁「AIと著作権に関する考え方」の議論では、ライセンス市場が成立している領域では、ただし書(「著作権者の利益を不当に害することとなる場合」)に該当するリスクが高まると整理されている。契約書雛形集は典型的にライセンス市場が存在する領域であり、無断取り込みは要注意である。
(5) 民法644条・会社法上の善管注意義務|責任の所在とプロンプトの証拠化
AIが誤った条文を引用した、存在しない判例を作出した、重要な不利益条項を見落とした──このとき責任を負うのはAIではなく、最終レビューを行った法務担当者と、その体制を構築した取締役である。善管注意義務(民法644条、会社法330条・355条)の観点から、AIの出力を検証せずに承認した場合、個人責任が問われる余地がある。「AIがそう言ったから」は通用しない。
さらに実務上見落とされがちなのが、プロンプトそのものの証拠化である。数年後の訴訟で「当時の判断は合理的だったか」を立証する際、最終出力だけでなく、どのような指示・前提条件・立場設定をAIに与えたかが再現可能でなければならない。修正ログだけでは不十分で、プロンプト本体と使用モデル・バージョンまで含めた保存運用が、善管注意義務履行の実質的な証跡となる。
(6) 信義則・表明保証上のリスク|対・契約相手方の視点
これは現行の明文規制ではないが、BtoB実務で無視できない論点である。契約相手方に「法務部が厳格に審査した」と伝えておきながら、実態はプロンプト一発のAI出力をそのまま返している場合、後日これが発覚すれば信義則違反(民法1条2項)・審査義務の懈怠を問われる余地がある。特に継続取引のある相手先、あるいは表明保証条項の濃い契約では、レピュテーションリスクも含めて事前の情報開示ポリシーを決めておく必要がある。
④ リスク整理|本当に警戒すべきは5つ
| リスク | 発生場面 | インパクト | 頻度 |
|---|---|---|---|
| 情報漏えい(営業秘密・個人情報) | 学習に使われる設定のまま入力 | 致命的 | 中 |
| ハルシネーション(条文・判例の捏造) | 根拠確認を省略した引用 | 致命的 | 高 |
| プロンプト証拠化不足 | 監査・訴訟時に判断の合理性を立証できない | 中〜大 | 高 |
| 責任の所在不明 | AI出力を無検証で承認 | 中〜大 | 高 |
| ガバナンス不在 | プロンプト・利用ルール未整備 | 中 | 高 |
| 弁護士法72条違反 | 外部向け有償提供のみ | 限定的 | 低 |
表を見て明らかなとおり、もっとも警戒されがちな72条違反は実は最も頻度・インパクトが低い。実務家がリソースを割くべきは上5行である。
⑤ ケース分岐|企業タイプ別の判断
最もリスクが高いのは、ガイドラインも整備されていないのに担当者の裁量でChatGPT無料版を使っているケース。即時にルール整備(入力禁止事項・学習設定・承認フロー)を行うこと。72条リスクは低いが、営業秘密リスクが致命的レベルに達している可能性がある。ここはほぼ確実にKO項目に抵触している。
個人情報越境移転・GDPR・EU AI法の域外適用が絡む。AIレビュー自体の可否より、データフロー設計が主戦場になる。API経由のエンタープライズ契約+データレジデンシー確認+DPA締結まで一体で設計する必要がある。
業法ガイドライン(FISC・個情委・厚労省等)の上乗せ規制を確認する。AI推進法(2025年6月公布・同年9月全面施行)は推進法ゆえ直接の罰則はないが、悪質事例では事業者名公表のリスクがある。業法ガイドラインに基づく統制のほうが実務的に重い。
72条リスクはほぼゼロ。論点は品質の標準化と監査可能性に移る。プロンプト集の標準化、プロンプト本体とバージョンまで含めたレビューログの保存、第二線(監査)による定期点検、という「法務OS」的な発想が必要になる。
⑥ 行動|判定後に何をするか
判定結果に応じて、次の行動を48時間以内に決定してほしい。
| レベル | 48時間以内の行動 | 30日以内の行動 |
|---|---|---|
| 高リスク | 無料版AI利用の一時停止・秘密情報入力の全面禁止通達・学習設定の全件確認 | 生成AI利用規程の策定・承認フロー設計・プロンプト標準化・プロンプト保存運用の開始 |
| グレー | 入力禁止項目リストの明文化・学習設定の全件確認 | 既存規程の改訂・プロンプトとバージョンを含むレビューログ保存ルール追加 |
| 低リスク | 年次レビュー日程の確定 | プロンプト標準の高度化・第二線監査の設計 |
共通して必要になるのは、次の4つの実務物である。
- 生成AI利用規程(入力禁止項目・承認フロー・責任分界)
- 契約レビュー用の標準プロンプト集(属人化防止・品質担保)
- プロンプトとバージョンを含むレビューログ保存運用(善管注意義務の履行証跡)
- 相手方への情報開示ポリシー(信義則・表明保証リスクへの備え)
⑦ 次に読むべき記事|判断を深めるための導線
ここまでで「自社のリスクレベル」と「48時間以内にやること」は確定した。次は、個別論点を深掘りするフェーズである。
AI契約書レビューは弁護士法72条違反? 非弁リスクと社内法務の安全運用を整理 【2025年版】ChatGPT契約書チェックの落とし穴と対策|見落とし防止プロンプト設計術 【2026年版】法務でChatGPTはどこまで使える?|AI法・個人情報・契約書レビューの実務整理 生成AIガバナンスとは?企業法務が整備すべきAI利用ルールと統制テンプレ 2025年AI新法施行|法務部が今すぐ対応すべき3つのチェックポイント+リスクベース活用法 Claudeで契約書チェックの見落としが激減した話|法務の品質革命実践ガイド 法務部に必要なのは契約レビューAIではなく「法務OS」である⑧ 判断したあと、実務に落とすために
ここまでで読者は「自社のリスクレベル」と「やるべきこと」を確定できたはずである。次の壁は、それを現場のプロンプトと運用手順に落とし込む作業だ。利用規程を作っても、現場の担当者が使うプロンプトの品質が低ければ、ハルシネーションも見落としも止まらない。
ここまでで「グレー以上」と判定された場合、次は現場で回る形にするフェーズである。Legal GPTでは、この「判断 → 実務落とし込み」のギャップを埋めるために、契約レビュー専用のプロンプト集を整備している。立場別(発注者/受注者)・契約類型別・リスク観点別にテンプレ化されており、本記事のチェックリストで「グレー」「高リスク」判定になった法務部門が、48時間以内に現場運用を立て直すための実務パックとして設計されている。
契約実務AIスターターセット|判断を運用に変えるための標準プロンプト集
生成AI利用規程のひな型、契約類型別レビュー観点プロンプト、立場別リスク抽出プロンプト、承認フロー用テンプレートを収録。本記事で「グレー」「高リスク」判定になった法務部門が、現場運用を標準化するための起点として使えるパッケージ。
▷ 詳細を見る※本記事は2026年4月時点の法令・ガイドラインに基づく。弁護士法72条に関する法務省ガイドライン(令和5年8月)、人工知能関連技術の研究開発及び活用の推進に関する法律(AI推進法・令和7年6月4日公布・同年9月1日全面施行)、個人情報保護法・不正競争防止法・著作権法30条の4の最新整理を前提としている。実際の個別事案の判断は、顧問弁護士等との協議を推奨する。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
