AIに契約書を入れる前に、誰の承認を取るべきか
リーガルテック
この記事の実務版
読んで終わりにせず、
次の案件で使える形に。
次の案件で使える形に。
この記事のテーマを、チェックリスト・文例・AIプロンプト・業務ツールとして、明日の実務にそのまま落とせる形で揃えています。
チェックリスト
文例・ひな形
AIプロンプト
業務ツール
契約書レビューや法務相談に生成AIを使う場面が増えています。要約、論点抽出、修正案の比較、英文契約のチェックなど、AIに任せられる作業は確実に広がりました。一方で、現場で多い質問は「この契約書、AIに入れていいんですか?」という一言です。
契約書には、取引条件、相手方情報、価格、技術情報、個人情報、未公表案件、紛争状況といった、社外に出すと問題になる情報が含まれることが少なくありません。それらをそのままAIに貼り付けてよいかどうかは、利用するAIツールの種類、社内規程、相手方との秘密保持義務、個人情報の有無によって変わります。
「全面禁止」にすればAI活用は進まず、「全面解禁」にすれば情報漏えいや秘密保持義務違反のリスクが残ります。実務に必要なのは、入力してよい情報・マスキングすべき情報・入力してはいけない情報を切り分け、誰の承認を取り、何を記録するかを決めておくことです。
この記事の結論
契約書をAIに入力する前には、秘密情報・個人情報・相手方秘密保持義務・社内規程・AIツールの利用条件を確認する必要があります。
すべての入力を禁止するのではなく、入力可/マスキング後入力可/入力不可の3分類で整理することが、実務上の出発点になります。
相手方名・個人名・価格・技術情報・未公表案件・個人データなどは、原則としてマスキング対象になりやすい情報です。
承認者は、情報の性質に応じて、法務・情報システム・情報セキュリティ・個人情報管理部門・担当部署・上長/決裁者に分かれます。一律ではありません。
AI利用前の確認・承認・記録は、AI活用を止めるためではなく、安全に使い続けるための仕組みです。
この記事で整理すること
契約書をAIに入力する前に確認すべきリスク
入力してよい情報・マスキングすべき情報・入力してはいけない情報の切り分け
情報の性質ごとに、誰の承認を取るべきか
マスキングすべき情報の具体例
AI入力前の判断フロー
社内ルール・利用記録の残し方
AI利用について担当部署に確認するときの文例
リーガルテック
実務メモ
この記事の内容を、毎回ゼロから考えないために。
法務実務で効くのは、知識そのものよりも"再現できる型"です。記事で読んだ確認観点・依頼文・回答メモ・マスキングを次の案件でそのまま引き出せる形に残しておくと、判断と説明の質が一段安定します。
確認観点をチェックリスト化する
確認依頼文・回答文を文例に残す
相談回答・法改正対応を記録に残す
AIに入れる前の情報整理を安全に
1. 契約書をAIに入力する前に考えるべきリスク
「AIに契約書を入れる」という行為は、技術的には単なるテキストの貼り付けですが、法務の目線で見ると第三者にその契約書を見せる行為に近い意味を持ちます。AIサービスはクラウド上で動き、サーバーは国内外に分散しており、利用規約によっては入力内容が学習データやサービス改善に利用されることもあるためです。
そのため、AI入力前には次のようなリスクを確認しておく必要があります。
秘密保持義務違反(自社・相手方双方)
相手方秘密情報の外部提供・目的外利用
個人情報・個人データの取扱い(個人情報保護法上の問題)
営業秘密・技術情報の漏えい(不正競争防止法上の管理性に影響する可能性)
未公表案件・M&A・新規事業情報の漏えい
価格・取引条件・交渉状況の漏えい
社内規程・情報セキュリティ規程違反
利用するAIツールの設定・データ利用条件の未確認
海外サーバー・国外移転・委託先管理の問題
入力内容が後から再利用・学習に使われる可能性
| リスク | 起きやすい場面 | 確認すべき事項 | 主な確認先 |
|---|---|---|---|
| 秘密保持義務違反 | 相手方ドラフトを要約・レビューさせる場面 | NDAの秘密情報の定義、第三者提供・委託の制限、クラウド利用の扱い | 法務、案件担当部署 |
| 個人情報の不適切な取扱い | 従業員情報・顧客情報を含む契約書や別紙を入力する場面 | 利用目的との関係、委託先管理、外国にある第三者への提供、安全管理措置 | 個人情報保護管理者、法務 |
| 営業秘密の管理性低下 | 技術仕様、ノウハウ、顧客リストなどをそのまま入力する場面 | 秘密管理性が損なわれないか、社内アクセス管理との整合 | 知財部門、法務、担当部署 |
| 未公表案件の漏えい | M&A、新規事業、増資、新製品関連契約を入力する場面 | インサイダー情報該当性、適時開示前提報、社内インサイダー規程 | 経営企画、IR、法務、コンプライアンス |
| 価格・取引条件の漏えい | OEM・委託・販売契約のドラフトを入力する場面 | 競争上の機微情報か、相手方との守秘の範囲 | 担当部署、法務 |
| 社内規程違反 | 個人アカウントの無料AIで業務資料を扱う場面 | AI利用ガイドライン、情報セキュリティ規程 | 情報システム、情報セキュリティ |
| AIツール設定の未確認 | 学習利用オン/オフ、ログ保持、国外サーバーの確認不足 | 利用規約、データ取扱条項、API利用条件 | 情報システム、調達、法務 |
| 国外移転リスク | 海外拠点ベンダーや外国サーバーでデータ処理される場面 | 個人情報保護法上の外国にある第三者への提供規律、相手方の越境制限条項 | 個人情報保護管理者、法務 |
| 学習・再利用リスク | 無料版や個人プランで業務情報を入力する場面 | 入力データの学習利用可否、保持期間、削除請求の可否 | 情報システム、法務 |
参考:2026年の個人情報保護法改正の動き
個人情報保護委員会は2026年1月9日にいわゆる「3年ごと見直し」の制度改正方針を公表し、政府は2026年4月7日に個人情報保護法等の改正法案を閣議決定しました。AI開発を含む統計情報等の作成目的での利活用に関する同意要件の見直しや、課徴金制度の導入などが議論されており、AIへの個人情報入力は今後ますます「利用目的・委託・第三者提供・国外移転を整理した上で行う行為」として位置づけられる流れにあります。確定事項ではないため最新動向の確認が必要ですが、社内ルール整備の方向感としては押さえておきたい点です。
2. 入力可・マスキング後入力可・入力不可を分ける
AI入力の判断を「入れていい/いけない」の二択にすると、現場は止まります。実務的には、次の3分類で整理するのが現実的です。
① 入力可
秘密性が低く、個人情報・相手方秘密情報を含まない情報
公開情報(適時開示資料、官公庁公開資料)
自社作成の一般的なひな形
匿名化・抽象化した契約条項
論点として抽象化された相談内容
社内ガイドライン上で利用が許可されている情報
② マスキング後入力可
固有名詞・金額・個人情報を除去すれば利用できる情報
相手方名を「A社」「B社」に置換
個人名・担当者名を削除
金額を概算化(「○億円規模」など)
案件名・プロジェクト名を一般化
技術用語・顧客名・取引先名を抽象化
③ 入力不可/個別承認
原則として入力せず、必要時は個別承認のうえ閉域環境を使う
個人データ、要配慮個人情報
営業秘密、コア技術情報
未公表のM&A・増資・新事業情報
重大紛争・社内調査資料
相手方からNDA付きで受領した一次資料
取締役会・経営会議資料
| 分類 | 具体例 | 必要な対応 | 注意点 |
|---|---|---|---|
| ① 入力可 | 公開情報、自社ひな形、抽象化した論点 | 社内ガイドラインの範囲内で利用、簡易記録 | 公開情報でも、自社の解釈が付いた版は社内秘になりうる |
| ② マスキング後入力可 | 相手方ドラフト、自社契約書、一般的な相談 | 固有名詞・金額・個人情報を置換/削除してから入力 | マスキング漏れに注意。AIによる逆推定リスクも考慮 |
| ③ 入力不可/個別承認 | 個人データ、営業秘密、未公表案件、紛争資料 | 原則入力不可。必要時は閉域環境・専用AI+個別承認 | 「マスキングすればOK」と安易に判断しない。相手方契約の制約に注意 |
3. 誰の承認を取るべきか
AIに契約書や社内資料を入力する場面で、すべて同じ承認者を通すのは現実的ではありません。情報の性質と利用するAIツールの種類によって、必要な承認者は変わります。よくある誤解は、「法務だけが承認すればよい」というものですが、情報セキュリティや個人情報の論点は、法務だけでは判断しきれないことがあります。
典型的な確認・承認先を整理すると次のようになります。
法務(契約上の制約、秘密保持義務、相手方資料の取扱い)
情報システム部門(利用ツール、API、ログ管理、社内環境)
情報セキュリティ部門(情報分類、外部送信、国外移転)
個人情報保護管理者・個人情報担当部門(個人情報・個人データの取扱い)
担当部署・案件責任者(業務上の必要性、影響範囲)
上長・部門長・決裁者(一定金額・重要案件に関する承認)
コンプライアンス部門(内部統制、AI利用ガイドライン)
外部弁護士(高リスク案件、機微案件、紛争関連)
相手方(NDA上、AIへの入力・クラウド処理に承諾が必要な場合)
| 確認先 | 確認すべき事項 | 必要になる場面 | コメント例 |
|---|---|---|---|
| 法務 | 契約上の秘密保持義務、相手方資料の利用範囲、AI利用ガイドラインとの整合 | 相手方ドラフトの要約・レビューにAIを使う場面 | 「本契約のNDAでAI入力が許容されるか確認したい」 |
| 情報システム | 利用ツールの種類、学習設定、ログ管理、外部送信の可否 | 未承認ツールを使う場面、新規ツール導入時 | 「このツールは社内承認済みか、データ保持期間はどうか」 |
| 情報セキュリティ | 情報分類、国外移転、安全管理措置との整合 | 機密情報、海外サーバー利用、API連携の場面 | 「本資料はクラスB相当だがAI入力で許容されるか」 |
| 個人情報保護管理者 | 利用目的、委託先管理、第三者提供、外国にある第三者への提供 | 個人情報を含む契約書・別紙を扱う場面 | 「個人データを含むため、AI入力を委託扱いとして整理してよいか」 |
| 担当部署・案件責任者 | 業務上の必要性、関係者範囲、相手方への影響 | 未公表案件、重要取引のドラフトを扱う場面 | 「AIに要約させる範囲をご相談したい」 |
| 上長・決裁者 | 金額・重要度に応じた決裁基準、社内決裁との整合 | 重要案件、機微案件、決裁前案件 | 「決裁前案件のため、AI利用範囲のご承認を頂きたい」 |
| コンプライアンス | AI利用ガイドライン、内部統制、利用記録 | 新規ユースケース、横展開、グローバル案件 | 「ガイドライン上の整理を確認したい」 |
| 外部弁護士 | 個別案件の特殊事情、判例動向、規制動向 | 紛争、危機管理、高リスク案件 | 「AI入力可否について念のためご意見を頂きたい」 |
| 相手方 | NDA上の同意、クラウド利用同意、再委託同意 | NDAでクラウド・AI利用に明示的承諾が必要な場面 | 「契約書ドラフトをAI支援で確認してよいか」 |
4. 契約書の中でマスキングすべき情報
マスキングは、AIに契約書を見せる際のもっとも実務的な防御策です。ただし、「適当に伏字にすればよい」というものではなく、AIの推定精度や逆参照リスクを踏まえて、誰の情報か特定できない状態まで処理することが望ましい運用です。
会社名、グループ会社名、ブランド名
担当者名、役職、部署名
住所、所在地、事業所名
メールアドレス、電話番号
個人名、生年月日、顧客ID、社員番号
個人情報・個人データ(要配慮個人情報を含む)
契約金額、単価、報酬額
支払条件、決済方法
取引先名、サプライヤー名
案件名、プロジェクトコード
技術情報、ノウハウ、設計情報
営業秘密、未公表情報
契約締結予定日、交渉スケジュール
交渉経緯、譲歩内容、価格交渉メモ
紛争内容、係争先、和解条件
取締役会・経営会議資料の固有名詞
| 情報の種類 | マスキング例 | マスキングしない場合のリスク | 注意点 |
|---|---|---|---|
| 相手方名・自社名 | 「A社」「B社」「甲」「乙」 | 取引関係の特定、推測による情報漏えい | 業界・地域名と組み合わせると特定されやすい |
| 個人名・担当者名 | 「担当者X」「責任者Y」「○○氏」 | 個人情報該当、社外への流出 | 役職や部署名から個人が特定されることがある |
| 金額・単価 | 「○億円規模」「単価○万円台」 | 競争上の機微情報、価格カルテル疑義 | 四捨五入・桁数表現で推定可能になることに留意 |
| 取引条件・支払条件 | 「○日後支払」「○期分割」 | 競争条件の漏えい、取引交渉上の不利 | 細かい日数・割合は概算化 |
| 案件名・プロジェクト名 | 「本件」「対象案件」 | 未公表案件の漏えい | コードネームも社外に出ているものは伏せる |
| 技術情報・ノウハウ | 分類名のみ残し具体情報を削除 | 営業秘密の管理性低下、不正競争防止法上の問題 | 営業秘密として管理する情報は原則入力しない |
| 個人情報・個人データ | 削除、ダミー化、仮ID化 | 個人情報保護法違反、漏えい時の本人通知・委員会報告 | 仮IDでも識別可能性が残ることに注意 |
| 未公表M&A情報 | 原則として入力しない | インサイダー情報の漏えい、適時開示違反 | マスキングでは対応せず、社内インサイダー規程に従う |
| 紛争・係争情報 | 原則として入力しない | 不利な事実認定への利用、弁護士秘匿特権の問題(域外) | 外部弁護士とのやり取りを切り分ける |
5. AIツールの種類によって判断は変わる
同じ契約書を扱う場合でも、使うAIツールが個人アカウントの無料版か、会社契約の閉域環境かで、入力判断は大きく変わります。「AIに入れる=危ない」ではなく、「どのAIに、どの設定で入れるか」を見ることが重要です。
| ツール類型 | 入力判断 | 確認すべき設定・契約 | 注意点 |
|---|---|---|---|
| 個人アカウントの無料AIツール | 業務情報は原則入力不可 | 利用規約、学習利用の有無、ログ保持期間 | 業務利用が社内規程で禁止されている場合が多い |
| 個人契約の有料AIツール | 業務情報は原則入力不可 | 個人契約のため社内コントロールが効かない | 会社が把握できず、退職時のリスクも高い |
| 会社契約の生成AIサービス(法人プラン) | ガイドラインの範囲内で利用可 | データ取扱条項、学習オフ設定、保管リージョン | 機密区分に応じて入力範囲を分ける |
| API利用型サービス | 原則として法人契約と同等+設計次第 | API契約、ログ取得、社内基盤への接続条件 | ログを社内に蓄積する場合は社内側の管理が論点 |
| 社内閉域・専用環境のAI | 機密区分の高い情報も検討可 | 環境設計、アクセス権、ログ管理 | 「閉域だから何でもOK」ではない。利用目的・権限管理は必要 |
| 契約レビュー専用AIツール | 用途・規約に応じて利用可 | データの保持・学習・第三者提供の条項 | SaaS型はベンダー側の取扱いを確認 |
| 外部ベンダーのAI法務サービス | 委託契約・SLA前提で利用可 | 委託契約、データ処理条項、SOC2等の体制 | 個人情報を含む場合は委託先管理として整理 |
6. 相手方との秘密保持義務をどう確認するか
契約書や相手方資料には、相手方から秘密情報として受領した情報が含まれていることがあります。NDAや本体契約の秘密保持条項は、AI入力やクラウド処理を直接想定していないことが多いものの、「第三者提供」「外部委託」「目的外利用」と整理されると問題になる可能性があります。
NDA・本体契約の秘密情報の定義(限定列挙か包括か)
秘密情報の利用目的(本件取引遂行に限られているか)
第三者提供の制限・承諾要件
外部委託・再委託の可否、再委託先管理義務
クラウドサービス利用の扱い(明示か黙示か)
国外移転・海外サーバーの取扱い
相手方の事前同意の要否
マスキングを行えば「秘密情報」に該当しなくなるかの整理
| 確認項目 | 見るべき契約条項 | 判断ポイント | 対応例 |
|---|---|---|---|
| 秘密情報の定義 | NDA第〇条、本契約の秘密保持条項 | 限定列挙か包括か、書面要件があるか | 該当しない情報のみ抽出してAI入力 |
| 利用目的の制限 | 「本件取引遂行のためのみ」「業務遂行のため」 | AI支援が利用目的の範囲内に収まるか | 業務遂行の一環としての利用と整理し記録 |
| 第三者提供制限 | 「第三者に開示しない」 | クラウドAIベンダーが「第三者」に該当するか | 明示同意がなければマスキングか入力回避 |
| 外部委託・再委託 | 「事前承諾あるとき」「同等の義務を課す」 | AI事業者を再委託先と整理できるか | 委託契約・データ取扱条項で同等以上の保護を確認 |
| クラウド・国外移転 | 「日本国内サーバー限定」「指定リージョン」 | AIの処理地域、ベンダーのリージョン設定 | 国内リージョン指定可能なツールを選択 |
| 事前承諾の要否 | 「書面による事前承諾」 | AI利用がこれに該当するか | 該当する場合は相手方に承諾取得 |
| マスキング後の扱い | 「秘密情報の定義」「派生情報」 | マスキング後の情報も「派生情報」として保護対象になっていないか | 派生情報条項がある場合は法務確認 |
7. 個人情報・個人データを含む場合の注意点
契約書や別紙に個人情報・個人データが含まれている場合、AI入力は個人情報保護法の枠組みで整理する必要があります。氏名と連絡先のリスト、従業員データ、顧客名簿、覚書に記載された担当者情報など、想定以上に個人情報は契約関連資料に紛れ込んでいます。
個人情報と個人データの区別、要配慮個人情報の有無
利用目的との関係(当初の利用目的の範囲内か)
委託先管理(AI事業者を委託先として整理する場合の安全管理措置)
第三者提供の可能性(学習データに使われる場合のリスク)
国外移転(外国にある第三者への提供規律)の該当性
安全管理措置との整合(情報セキュリティ規程、アクセス管理)
マスキング・匿名加工・仮名加工との関係
社内個人情報管理規程・プライバシーポリシーとの整合
従業員情報・本人情報が含まれる場合の追加注意
| 確認項目 | 確認内容 | 主な確認先 | 対応例 |
|---|---|---|---|
| 個人情報該当性 | 氏名・連絡先・社員番号・顧客IDの有無 | 個人情報保護管理者 | 個人情報を削除またはダミー化してから入力 |
| 利用目的との関係 | 当初の取得目的の範囲内か、目的追加が必要か | 個人情報保護管理者、法務 | 必要に応じて利用目的の追加・公表 |
| 委託として整理 | AI事業者を「委託先」として整理できるか | 個人情報保護管理者、法務 | 委託契約・データ取扱条項で安全管理措置を確保 |
| 第三者提供・学習利用 | 学習利用がオンになっていないか、出力にデータが反映されないか | 情報システム、法務 | 学習オフ設定の確認・記録 |
| 外国にある第三者への提供 | 海外リージョンか、国外移転の同意・体制整備が必要か | 個人情報保護管理者、法務 | 国内リージョン指定、必要時は本人同意・体制説明 |
| 安全管理措置 | アクセス管理、ログ、暗号化 | 情報セキュリティ | 社内基盤経由でのアクセス、ログ取得 |
| 従業員情報の取扱い | 労務情報・評価情報の混入有無 | 人事、個人情報保護管理者 | 労務情報は原則入力不可 |
8. 危険なAI利用と改善例
実務でよくある「危ないAI利用」と、その改善方向を表で整理します。「便利だから」だけでなく、「会社として説明できる使い方か」を基準にすると判断しやすくなります。
| 危険な使い方 | 何が危険か | 改善後の使い方 | 改善のポイント |
|---|---|---|---|
| 契約書全文をそのまま無料AIに貼り付ける | 学習利用・社外送信・社内規程違反のリスク | 会社承認済みツールで、必要範囲のみ入力 | ツール選定と入力範囲の最小化 |
| 相手方名・金額・個人名をそのまま入力 | 取引関係・価格・個人情報の漏えい | マスキング後に入力 | 固有名詞・金額・個人情報は原則伏せる |
| NDA付き受領資料を確認せず入力 | 相手方秘密保持義務違反 | NDAの利用目的・第三者提供条項を確認 | 必要に応じて相手方承諾 |
| 個人情報を含む相談内容をそのまま入力 | 個人情報保護法上の問題、漏えい時の対応負担 | 個人情報を削除・仮名化してから入力 | 個人情報保護管理者の確認 |
| 社内規程を確認せず個人アカウントで使う | 規程違反、退職時のデータ持出しリスク | 会社契約のツールで利用、ログ取得 | 個人プラン業務利用は原則禁止 |
| AIに入れた内容を記録しない | 監査・事故対応で説明不能 | 利用記録(誰が・何を・どの目的で)を残す | 利用記録はAI利用の前提条件 |
| AI回答をそのまま法務コメントにする | 誤りや古い情報による判断ミス | 法務が検証してから社内回答 | AI回答は素材であって結論ではない |
| 「閉域だから安全」と過信して何でも入れる | 権限管理・利用目的の管理不足 | 閉域でも利用目的・権限管理・記録を維持 | 環境ではなく運用が安全性を決める |
9. AI入力前の判断フロー
毎回考え直すと時間がかかるため、判断フローを型化しておくのが実務的です。次の10ステップを一枚カードにしておくと、現場での判断が安定します。
STEP 1
情報の種類を特定する
契約書か、相手方資料か、社内資料か。一次資料か、自分の整理か。
STEP 2
含まれる機微情報を洗い出す
秘密情報、個人情報、営業秘密、未公表情報、価格・取引条件。
STEP 3
社内規程との整合を確認する
情報セキュリティ規程、AI利用ガイドライン、個人情報管理規程。
STEP 4
利用ツールが会社承認済みか確認する
法人契約か、学習オフか、保管リージョンはどこか。
STEP 5
相手方との秘密保持義務に反しないか確認する
第三者提供・委託・国外移転、相手方承諾の要否。
STEP 6
マスキングでリスクを下げられるか検討する
固有名詞・金額・個人情報・案件名を伏せる。逆推定可能性も確認。
STEP 7
情シス・セキュリティ・個情への確認要否を判断
情報分類・ツール・個人情報の論点に応じて確認先を選ぶ。
STEP 8
上長・案件責任者・決裁者の承認要否を判断
重要案件・機微案件・未公表案件では原則として承認を取る。
STEP 9
入力内容と利用目的を記録する
誰が、何を、どのツールに、何の目的で、どの範囲で入力したか。
STEP 10
AI回答は法務が検証することを前提に置く
出力は素材として扱い、社内回答は法務が責任を持って整える。
10. AI入力前に担当部署へ確認する文例
「とりあえず聞きにくい」場面でそのまま使える文例を、目的別に2例ずつ用意しました。相手の判断に必要な情報を最初に出すことが、回答スピードを上げるコツです。
10-1. 契約書をAIで要約・レビューしたい場合
例①:法務内チャットで自分用に確認
○○の件で受領した業務委託契約ドラフトについて、社内承認済みAIで要約・論点抽出を行いたく考えています。相手方名・金額・案件名はマスキング予定です。NDA上、利用目的・第三者提供条項に問題がないかご確認をお願いできますでしょうか。
例②:法務マネージャー宛て相談
下記案件で、AIによる事前整理を行うことについてご相談です。①利用ツール:社内承認済み法人プラン、②入力範囲:マスキング済みドラフト本文、③利用目的:論点抽出。問題なければそのまま進め、検証結果は法務名義で社内回答に整えます。
10-2. 相手方資料に秘密情報が含まれるか確認する場合
例①:担当部署宛て
本件で相手方から受領した資料(添付)について、NDA上の秘密情報に該当する箇所をご教示ください。法務側ではAI支援でドラフトレビューを行いたく、マスキング対象を整理したいと考えています。
例②:相手方宛て(必要時)
本契約のドラフトレビューにあたり、当社では社内承認済みのAIレビュー支援を一部活用しております。学習利用はオフ、保管リージョンは国内、入力範囲はマスキング後の条項のみです。NDA上の取扱いとして問題がないかご確認頂けますでしょうか。
10-3. 個人情報の有無を確認する場合
例①:個人情報保護管理者宛て
○○契約の別紙に従業員氏名と連絡先が含まれています。AIによる要約に際し、利用目的の範囲内として整理してよいか、また委託先管理上の確認事項があればご教示ください。仮名化/削除のいずれが望ましいかも併せて確認させてください。
例②:担当部署宛て
受領資料の中に個人情報(氏名・メール)が含まれているように見受けられます。AI利用前にマスキングを行いたく、対象範囲のご確認と、原本の保管方法についてお手数ですがご共有ください。
10-4. 情報システム・セキュリティ部門に確認する場合
例①:情シス宛て
契約書ドラフトのAIレビューにあたり、当該ツールの①学習利用設定、②ログ保持期間、③保管リージョンについて、現在の設定状況をご共有頂けますでしょうか。情報分類クラスBの資料を扱う想定です。
例②:情報セキュリティ宛て
下記用途で生成AIを利用したく、情報分類および外部送信ポリシーとの整合について確認させてください。用途:契約書レビュー、入力範囲:マスキング後ドラフト、ツール:法人プラン、ログ:社内基盤に保存。
10-5. 上長・案件責任者に承認を取る場合
例①:上長宛て
○○案件のドラフトレビューにあたり、社内承認済みAIで論点抽出を行いたく、ご承認をお願いいたします。入力範囲:マスキング後ドラフト、利用目的:論点抽出、利用記録:法務管理表に保存、検証:法務側で実施。
例②:案件責任者宛て
本件は未公表案件のため、AI利用に際し範囲のご確認をお願いしたくご連絡しました。固有名詞・金額・案件名はマスキング済み、ツールは社内閉域環境、利用記録は案件フォルダに保存予定です。
11. AI利用申請・記録テンプレート
AI利用前の判断を「属人化させない」ためには、記録テンプレートを一枚作っておくのが最も効果的です。下記は最小限の項目セットです。
案件名
(例:○○業務委託契約レビュー)
利用目的
要約/論点抽出/修正案比較/英訳 など
利用するAIツール
法人プラン名・バージョン・リージョン
入力予定資料
契約書ドラフト、相手方資料、社内整理メモ など
資料の種類
一次資料/二次資料/公開情報
秘密情報の有無
有/無、根拠条項
個人情報の有無
有/無、要配慮個人情報の有無
相手方秘密情報の有無
有/無、NDA該当条項
マスキング内容
伏せた項目(固有名詞・金額・案件名等)
社内規程上の確認
AI利用ガイドライン○条/情報セキュリティ規程○条
確認先
法務/情シス/情セキ/個情管理/担当部署
承認者
上長/案件責任者/決裁者
入力範囲
全文/一部条項/論点メモのみ
AI出力の利用方法
素材として参照/法務検証後に社内回答へ反映
法務確認者
担当者名・確認日
利用日
YYYY/MM/DD
記録場所
法務管理フォルダ/案件フォルダ/AI利用ログ
記入例:業務委託契約の相手方ドラフトをAIで要約・論点抽出するケース
案件名
A社向け業務委託契約レビュー(仮称)
利用目的
論点抽出、修正提案案の整理
利用するAIツール
社内承認済み法人プラン(学習オフ・国内リージョン)
入力予定資料
相手方ドラフト本文(マスキング後)
資料の種類
相手方提示の一次資料
秘密情報の有無
有(NDA第3条秘密情報の定義に該当)
個人情報の有無
無(担当者名は削除済み)
相手方秘密情報の有無
有(NDA上の利用目的の範囲内)
マスキング内容
相手方名→A社、金額→○億円規模、案件名→本件、担当者名→削除
社内規程上の確認
AI利用ガイドライン3条(マスキング後利用可)、情報セキュリティ規程に整合
確認先
法務、案件担当部署
承認者
法務マネージャー
入力範囲
第1条〜第15条(マスキング後)
AI出力の利用方法
論点メモの素材として参照、法務側で検証後に修正案へ反映
法務確認者
担当:○○、確認日:YYYY/MM/DD
利用日
YYYY/MM/DD
記録場所
法務管理フォルダ/AI利用ログ
12. AI利用ルールを社内で作るときの最低限の項目
判断を毎回属人的に行うと、人によって基準が揺れ、後から監査・引継ぎで困ります。社内ルール(ガイドライン)として最低限定めておきたい項目を整理します。
| 項目 | 定めるべき内容 | 実務上のポイント |
|---|---|---|
| 利用可能なAIツール | 会社が承認したツールの一覧、用途別の利用範囲 | 個人プラン業務利用は原則禁止 |
| 入力禁止情報 | 個人データ、営業秘密、未公表M&A、紛争資料 等 | 例外は「個別承認+閉域環境」の二段構え |
| マスキング基準 | 伏せるべき情報の種類、マスキング方法 | 逆推定リスクを下げる粒度まで定める |
| 個人情報の取扱い | 利用目的、委託先管理、安全管理措置、国外移転 | 個人情報保護管理者の関与を明確化 |
| 秘密情報の取扱い | 自社秘密・相手方秘密の区分、NDA確認手順 | 「相手方秘密」は別ルートで承認 |
| 相手方資料の取扱い | NDA確認、利用目的との整合、必要時の同意取得 | 担当部署と法務の連携 |
| 承認フロー | 情報の機微度別の承認者、決裁基準 | 機微度低は省略可とし、現場が止まらない設計 |
| 利用記録 | 誰が・何を・どの目的で・どの範囲で入力したか | テンプレ化して属人化を防ぐ |
| AI回答の検証責任 | 法務/担当者の責任分界、外部回答への利用条件 | AI回答そのままの社外送信を禁止 |
| 外部送信・学習利用設定 | 設定確認の頻度、変更時の通知 | 情シス側のチェックリストとして整備 |
| 違反時の対応 | 是正、報告、再発防止 | 「事故」ではなく「学習機会」と位置づけると運用が回る |
| 教育・周知 | 新任研修、定期アップデート、社内事例共有 | 判断フローのカード化、研修テキスト化 |
13. AI活用は、禁止ではなく管理する時代である
契約書をAIに入力することを一律に禁止すれば、たしかに情報漏えいリスクは下がります。しかし、AIの恩恵をまったく受けない法務部門になり、相対的に競争力が落ちます。逆に、無制限に使えば、情報管理リスクが残り続けます。
実務的な現在地は、その両極のどちらでもなく、「入力情報・利用ツール・マスキング・承認・記録を管理する」状態です。AIを安全に使う会社は、「何を入れてよいか」「何を入れてはいけないか」「迷ったら誰に聞くか」を、ガイドラインと運用テンプレートで言語化しています。
法務は、AI利用を止める部門ではありません。安全に使い続けるためのルールと判断基準を設計する部門でもあります。第16話で扱った「AI回答の検証」と、本記事の「AI入力前の管理」を組み合わせることで、AI活用と内部統制を両立する形が見えてきます。
まとめ
本記事のまとめ
契約書をAIに入力する前には、秘密情報・個人情報・相手方秘密保持義務・社内規程・AIツールの利用条件を確認する。
「全面禁止」ではなく、入力可/マスキング後入力可/入力不可の3分類で整理する。
相手方名・個人名・価格・技術情報・未公表案件・個人データなどは、原則としてマスキング対象になりやすい。
承認者は、情報の性質に応じて、法務・情報システム・情報セキュリティ・個人情報担当・担当部署・上長に分かれる。
AI入力前の判断フローと利用記録を整えることで、AI活用と情報管理を両立できる。
法務はAI利用を禁止するだけでなく、安全に使うルールを設計する役割を担う。
AIを「使う」だけでなく、「入れる前」を整える
AIを契約審査や法務相談に使う場合、回答の検証だけでなく、入力前の情報管理が同じくらい重要です。入力情報・マスキング・承認・利用記録を一枚のテンプレートに整理しておくことで、AI活用と内部統制を両立しやすくなります。
Legal GPTでは、契約審査、法務相談、稟議、内部統制、AI法務活用に関する実務記事を継続的に公開しています。社内ガイドラインを設計する際の参考にしていただければ幸いです。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
リーガルテック
この記事を実務にする
読み終えた内容を、次の案件でそのまま使える形に。
法務記事で理解した内容は、チェックリスト・文例・記録・検索・ツール化まで落とし込まないと、次の案件で再利用しにくいまま終わってしまいます。下の道具は、今日の業務にすぐ差し込める順に並べています。
01
すぐ使いやすい入口
LegalOS 契約書一発整形
Word契約書の条番号・インデント・余白・見出し崩れを1クリックで整えるWindowsツール。
詳細を見る →
法務AIプロンプト集100選
契約・相談・調査・社内説明など、法務実務でそのまま使えるAIプロンプトを100本収録。
詳細を見る →
02
業務を整理するツール
LegalOS 法改正アラート
法改正情報の初動確認・社内共有を軽くする。
LegalOS マスキング
AI入力前に会社名・個人情報・金額をマスキング。
LegalOS Inbox
メール・チャット・口頭の法務依頼を案件単位で整理。
LegalOS 法律相談
過去の相談・回答メモを蓄積し、近い事例を検索。
迷ったら
今の業務に合う道具を、1分で診断します。
担当領域・体制・優先したい改善ポイントを選ぶだけで、入口になる道具をご案内します。
