ChatGPTは契約審査に使っていい?違法リスクと安全な使い方を5分で判定
結論だけ、先に言います
この3つのうち1つでも当てはまれば、今の運用は危険です。
- 無料版 / ChatGPT Plusに契約書を貼っている
- 個人情報や取引条件をそのまま入力している
- 社内ルールなしで担当者が個別にAIを使っている
このあと2分で自社の現在地が判定できるチェックリストと意思決定フローを用意しました。まずそこから読んでください。
「AIだから怖い」で止まっている法務部は周回遅れ、「便利だから使う」だけで走っている事業部は来年の監査で必ず指摘されます。本記事は、その両方に明確な線を引くための判断記事です。最終結論は3行で言えます:
最終結論(3行)
① 社内法務が自社案件でAIを下読みに使うのは弁護士法72条違反にはならない。
② ただし無料版/Plusに個人情報・営業秘密・NDA対象情報を貼るのはアウト(個情法27条・28条/秘密保持義務違反)。
③ 正解は「学習利用オフのプラン(Team/Enterprise/API)+マスキング+社内ルール」の3点セットを整えてから使う、これだけ。
事実認定チェックリスト:30秒版と詳細版
▼ まず30秒で:簡易チェック(3項目)
1つでもYESなら、この先を必ず読んでください。
- □ 使っているのは無料版またはChatGPT Plusである
- □ 扱う契約書に個人情報またはNDA対象情報が含まれる
- □ 社内に生成AI利用ガイドラインがない(または徹底されていない)
YESが1つでもあれば、グレー以上。ゼロだった方も、念のため次の詳細チェックへ。
▼ 詳細チェック(10項目)
次に自社の現状に当てはめてください。以下10項目のうち、「該当する」ものの数を数えるだけで判定できます。
- □ 契約書に相手方の氏名・連絡先・役職等の個人情報が含まれている
- □ 対象契約にNDA(秘密保持条項)があり、第三者開示が禁止されている
- □ 使用しているのはChatGPT 無料版または Plus(Team/Enterprise/APIではない)
- □ 契約書に金額・取引条件・技術情報など自社の営業秘密が含まれている
- □ 社内に生成AI利用ガイドラインが存在しない、または周知されていない
- □ AIの出力結果をそのまま相手方や社内決裁に提示している(人間のレビューを経ていない)
- □ 対象案件が外為法(安全保障貿易管理・対内直接投資)に関係する可能性がある
- □ 顧客・取引先から秘密指定で受領したドラフトを扱っている
- □ 最終的な法的判断を、法務担当者ではなく事業部・営業が行う運用になっている
- □ AI利用の監査ログ・入出力記録が残っていない(誰が何を入れたか追えない)
判定:該当数で「使える/使えない」が決まる
運用見直しが必須
条件整備の上で使用可
標準運用で問題なし
この判定は「なんとなく不安」を数値化するためのものです。※4項目以上該当する会社は、すでに「違反状態に近い」と考えてください。ほぼ確実に個情法27条違反またはNDA違反の状態にあります。今すぐ後述の「行動」セクションに飛んで、今週中に3つだけ着手してください。
判定を可視化する意思決定フロー
法的評価:なぜこの判定になるのか(条文・実務根拠)
■ 法的ポイント(ここだけ読めばOK)
- 社内利用は弁護士法72条の問題にならない(自社案件は「他人の事務」ではない)
- 個人情報を貼る行為は個情法27条(第三者提供)と28条(外国にある第三者への提供)の両方に引っかかる
- 最大リスクはNDA違反と営業秘密性の喪失。後から取り返しがつかない
※深掘りしたい方だけ、このあとの3論点を読んでください。
判定ロジックの根拠は、主に以下の3つの法律にあります。曖昧な「空気」ではなく、条文ベースで押さえておきましょう。
論点1:弁護士法72条(非弁行為)
弁護士法72条は、弁護士または弁護士法人でない者が、報酬を得る目的で、訴訟事件その他一般の法律事件に関して鑑定、代理、仲裁、和解その他の法律事務を取り扱うことを「業として」行うことを禁じる規定です。
社内法務が、自社が当事者となる契約についてAIを道具として使って審査する行為は、「業として他人の法律事務を取り扱う」には該当しません。なぜなら、①自社案件の処理は「他人の事務」ではなく、②社内処理は対外的な報酬を伴う役務提供ではないからです。
一方、注意すべきはAIベンダーが「契約書レビューサービス」として外部企業に提供する場合です。これは72条との関係で長年議論されてきましたが、法務省は2023年8月に「AI等を用いた契約書等関連業務支援サービスの提供と弁護士法第72条との関係について」というガイドライン(グレーゾーン解消制度の回答)を示しており、「具体的事件性がない」「最終判断は利用者自身が行う」等の条件下であれば72条違反とならない整理が示されています。
👉 より詳しい非弁論点は AI契約書レビューは弁護士法72条違反?|非弁リスクと社内法務の安全運用を実務整理 を参照してください。
論点2:個人情報保護法 27条・28条(第三者提供・委託)
個人情報保護法27条1項は、個人データを第三者に提供するには原則として本人の同意が必要と定めています。契約書に相手方担当者の氏名・メールアドレス・部署が書かれていれば、それは「個人データ」に該当します。
では、ChatGPTに契約書を貼り付ける行為は「第三者提供」にあたるのか?──ここが実務上の分岐点です。
| プラン | 学習利用のデフォルト | 個情法上の整理 | 実務判断 |
|---|---|---|---|
| ChatGPT 無料版 / Plus | 学習利用ON(設定でオフ可) | 委託として整理困難 第三者提供の疑義 | 個人データ投入NG |
| ChatGPT Team / Enterprise | 学習利用OFF(既定) | DPA締結可能 委託として整理可 | 条件付きOK |
| OpenAI API | 学習利用OFF(既定) | DPA締結可能 委託として整理可 | 条件付きOK |
個情法27条5項1号は、「利用目的の達成に必要な範囲内で取扱いを委託する場合」は第三者提供にあたらないと定めています。つまり、OpenAIとの間で適切な委託契約(DPA)が締結でき、かつ入力データが学習に使われない構成なら、「委託」として整理できます。無料版・Plusではこの整理が困難なため、グレーではなく黒です。
⚠ さらに重要:個情法28条(外国にある第三者への提供)
見落とされがちですが、OpenAIのサーバーは原則として米国に所在します。そのため、たとえ「委託」として整理できたとしても、個情法28条の「外国にある第三者への提供」に該当し、本人の同意取得、または個人情報保護委員会規則で定める基準適合体制(OECDプライバシーガイドライン水準の措置+継続的な確認)の確保が別途必要になります。
具体的には、以下のいずれかを整える必要があります:
- 本人から、外国(米国)にある第三者への提供を認める明示的な同意を取得する
- OpenAIとの契約(DPA)で、28条3項の基準適合体制(継続的適切措置の実施、本人の求めに応じた情報提供)を確保し、本人への情報提供を行う
要するに、「Team/Enterpriseに切り替えれば終わり」ではないということです。Enterpriseプランを契約していても、28条対応(プライバシーポリシー改定・本人情報提供体制)が抜けている会社は2026年現在でも多数存在します。
👉 委託・再委託の詳細は 個人情報保護法×生成AI時代の委託・再委託チェックリスト で網羅的に整理しています。
論点3:秘密保持義務・営業秘密(不正競争防止法2条6項)
取引先から受領した契約書に秘密指定(NDA対象)がある場合、これをChatGPTに投入する行為は、NDAが禁じる「第三者開示」または「目的外利用」に該当する可能性があります。
不正競争防止法2条6項の「営業秘密」に該当する情報(①秘密管理性 ②有用性 ③非公知性)を学習利用ONのAIに入れた瞬間、秘密管理性が失われる──つまり、後日自社がその情報を第三者に流用されたとき「営業秘密侵害」を主張できなくなるリスクがあります。
これは訴訟になったとき致命的です。「ChatGPTに入れたよね?それはもう秘密じゃないよね?」と相手方代理人に言われて終わりです。
リスク整理:放置したら具体的に何が起きるか
※最も多いのは「知らずに違反していた」ケースです。悪意がなくても、運用実態が規制に追いついていなければ、指導・勧告・損害賠償の対象になります。
リスク1:個情法違反の行政指導・勧告・命令(個情法148条)
個人情報保護委員会による報告徴収→指導→勧告→命令の4段階。命令違反には1年以下の懲役または100万円以下の罰金、法人には1億円以下の罰金(個情法178条・184条)。2024年以降、AI関連の監督が強化されており、見せしめ的な公表事例が増えています。
リスク2:NDA違反による損害賠償請求
秘密保持義務違反が発覚した場合、相手方から債務不履行(民法415条)または不法行為(民法709条)に基づく損害賠償請求。NDAに違約金条項があれば即座に金額が確定します。「AIに入れただけ」は免責されません。
リスク3:営業秘密性の喪失(不競法2条6項)
一度でも秘密管理を怠ると、その情報は「営業秘密」の保護対象から外れます。退職者による持ち出し・競合への流用を差し止められなくなるという、最も静かで最も致命的な損失。
リスク4:ハルシネーションによる誤った契約締結
AIは「もっともらしい嘘」をつきます。存在しない判例、改正前の条文、他国の法律を日本法として提示するなど、法務担当者のチェックを経ずに事業部が直接使う運用は、契約の無効・取消リスクに直結します。
リスク5:監査・内部統制上の指摘
J-SOX対応企業では、「AI利用の統制が効いていない」という理由で内部統制の重要な不備と評価される可能性があります。監査法人は2025年以降、AI利用に関する統制状況を必ず確認します。
ケース分岐:あなたの立場ごとの正解
| 立場 | 推奨プラン | 最優先アクション | 注意点 |
|---|---|---|---|
| 大企業法務部 (体制あり) |
ChatGPT Enterprise または API + 社内ラッパー |
生成AI利用ガイドライン策定+DPA締結+監査ログ基盤構築 | 情シスと連携し、無料版・Plusの業務利用を技術的にブロック |
| 中小企業・一人法務 | ChatGPT Team(最小2シート) | マスキングルール+標準プロンプト整備の2本立て | Plusの私物アカウント使用を禁止する社内通達を1枚だけでも出す |
| 事業部・営業部門 | 原則使用不可 法務経由のみ許可 |
「契約書はまず法務に送る」フローの再徹底 | 営業が勝手に顧客契約書を貼り付けていないか、今週中に実態調査 |
| 外資系・越境取引あり | Enterprise+リージョン制約 | データ所在地の確認+GDPR/CCPA+EU AI Act準拠性の棚卸し | 外為法対象案件(安全保障貿易・対内直投)は遮断ルール必須/雇用契約審査はハイリスクAI該当に注意 |
| 法律事務所 | Enterprise必須 or オンプレAI |
職務上の守秘義務(弁護士法23条)との整合性確認 | 依頼者同意をエンゲージメントレターに明記 |
行動:今週・今月・今四半期にやること
🗓 今週(7日以内)
- 社内で「無料版ChatGPT/Plusに契約書を貼っている人がいないか」実態調査(匿名アンケート可)
- 情シスと連携し、OpenAIのプランを確認(無料版・Plus利用者のリストアップ)
- 暫定通達:「個人情報・NDA対象情報のAI投入を一時停止」を1枚で周知
🗓 今月(30日以内)
- 生成AI利用ガイドラインの策定(許可プラン・禁止情報・マスキングルール・違反時対応を明記)
- ChatGPT Team / Enterprise / APIへの契約移行(DPA締結セット)
- 標準プロンプト集の整備(契約類型別にテンプレ化)
- マスキングツールの導入(オフライン処理可能なものが望ましい)
🗓 今四半期(90日以内)
- 就業規則・情報管理規程の改定(AI利用違反を懲戒事由に追加)
- 監査ログ基盤の構築(誰がいつ何を入力したか追跡可能に)
- 法務主導の社内研修(事業部向け:やっていいこと・ダメなこと)
- 年次レビュー体制の構築(四半期ごとのリスク棚卸し)
判断した。では次に何をするか
本記事で「自社の現在地」が判定できたはずです。判定結果ごとに、次に読むべき記事を示します。
▶ 判定「使用NG」だった方へ(4項目以上該当)
- AI契約書レビューは弁護士法72条違反?|非弁リスクと社内法務の安全運用を実務整理──まず非弁リスクを精査
- 個人情報保護法×生成AI時代の委託・再委託チェックリスト──個情法まわりを体系整理
- 契約書マスキングを「安全に・速く」行う方法|オフライン対応の無料ツール──今日から使える対策ツール
▶ 判定「条件付き使用可」だった方へ(2〜3項目該当)
- 【テンプレ付】生成AIガバナンスの作り方|法務のAI利用ルール・契約チェックリスト──ガイドライン策定の雛形
- 法務でChatGPTはどこまで使える?|AI法・個人情報・契約書レビューの実務ガイド【2026年版】──使える領域の全体像
- 法務部の”うっかり”をAIが救う?ChatGPTチェックの落とし穴と使いこなし術──典型的な失敗パターン
▶ 判定「原則使用可」だった方へ(0〜1項目該当)
- 契約書レビューをAIで効率化する方法|”10STEP型”プロンプトで標準化まで進める──次は標準化フェーズへ
- 法務部に必要なのは契約レビューAIではなく「法務OS」である──組織としての次のステージ
- 契約書レビューを自動化する無料ツール|論点見落とし防止・完全オフライン──仕組み化を進める
「使う」と決めたら、次に差がつくのはプロンプトの設計
ここまでで「使う」と判断した場合、次に差がつくのはプロンプトの設計です。ChatGPTに「契約書をレビューして」と投げるだけでは、抽出できる論点は半分以下。実務の現場では、条項ごと・リスク観点ごとに設計された多段階プロンプトが圧倒的に効きます。
📘 契約書AIレビュー プロンプト集|全10STEP完全版
契約書レビューを10段階に分解し、各STEPで使う実務プロンプトをパッケージ化したものです。リスク抽出・修正案生成・交渉コメント作成まで、現場の法務がそのまま使える粒度で収録。DPA確認済みの運用を前提に設計しているため、Team/Enterprise/APIでそのまま動きます。
プロンプト集を見る →📙 発注者向け 契約実務AIスターターセット
「プロンプトだけでなく、契約雛形・チェックリスト・運用テンプレまで丸ごと欲しい」方向け。発注者の立場から頻出する契約類型(業務委託・請負・NDA・覚書)を網羅し、プロンプト+雛形+運用手順のスターターキットとして提供します。初めてAI契約審査を社内に導入する一人法務の方に、特におすすめです。
スターターセットを見る →※本記事は2026年4月時点の法令・公表情報に基づいて執筆しています。個別事案の判断は必ず顧問弁護士にご相談ください。本記事の内容は一般的な情報提供であり、特定の案件に対する法的助言ではありません。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
