連載:法人向けAI安全活用ガイド 初級編(全3回)
- #1 会社でAIを使う前に知っておくべきこと 情報漏洩リスクと社内ルールの作り方
- #2 AIツール導入時に確認すべき契約・規約のポイント ← 今ここ
- #3 社員がAIを安全に使える環境を整える 運用ガイドラインの作り方
はじめに
「AIツールを導入したい」という話が社内で上がったとき、どんな観点で規約・契約を確認すればいいか分からない——という声をよく聞きます。
利用規約は英語で長く、法務に投げても「AIの専門用語が分からない」と言われることもあります。本記事では、法人として最低限チェックすべき契約・規約の読みどころを、具体的な条項例とともに解説します。
本記事は一般的な情報提供を目的としており、法的アドバイスではありません。個別の契約内容については法務担当者または弁護士に相談してください。
規約確認の前提:「無料プラン」と「法人契約」は別物
まず大前提として、多くのAIサービスには以下の複数の契約形態があり、適用される規約が異なります。
| 契約形態 | 主な対象 | データの扱い |
|---|---|---|
| 無料プラン | 個人・試用 | 学習利用される場合が多い |
| 有料個人プラン | 個人ユーザー | 学習除外オプションがある場合も |
| 法人・Enterpriseプラン | 企業 | 学習に使用しない条項が含まれることが多い |
| API利用 | 開発者・企業 | 学習に使用しないことが多い(要確認) |
社員が個人の無料アカウントで業務利用している場合、その入力データは法人契約の保護の外にあります。これがシャドーITリスクの核心です。
契約・規約で確認すべき7つのポイント
① 入力データの学習利用
探すべき条項キーワード: training model improvement machine learning
最重要の確認事項です。入力したプロンプトや会話内容が、モデルの学習・改善に使用されるかどうかを確認します。
良い例(学習しない):
We do not use Customer Data submitted to our API
to train or improve our models.
注意が必要な表現:
We may use your conversations to improve our services.
(「改善」の定義が曖昧。学習を含む可能性がある)
「改善(improve)」という言葉は、ログ解析による改善を指す場合と、モデルの学習を指す場合の両方があります。「学習(training)に使用しない」と明示されているかを確認してください。
② データの保存・削除
探すべき条項キーワード: data retention deletion storage
- 入力データはどのくらいの期間保存されるか
- ユーザーがデータを削除できるか(削除リクエストが可能か)
- 削除後、バックアップからも消去されるまでの期間はどのくらいか
法人契約では「データ削除リクエストへの対応義務」が明示されていることが望ましいです。
③ 第三者提供・委託
探すべき条項キーワード: subprocessors third parties affiliates
AIサービス会社が入力データをどのような第三者に提供・委託するかを確認します。クラウドインフラ(AWS、GCP等)へのデータ保存は一般的ですが、その先にアクセスできる第三者の範囲を把握しておく必要があります。
GDPRや個人情報保護法上の「処理委託」として適切に管理されているかも確認しましょう。
④ データの保存場所(データレジデンシー)
探すべき条項キーワード: data residency data location region Japan
業種によっては、データが国外のサーバーに保存されること自体が問題になる場合があります。特に以下の業種は要確認です。
- 金融機関(金融庁のガイドライン)
- 医療機関(医療情報システムの安全管理に関するガイドライン)
- 官公庁・公共機関との取引が多い企業
日本国内にデータを置けるオプションが提供されているかも確認しましょう。
⑤ セキュリティ認証・監査
探すべき条項キーワード: SOC 2 ISO 27001 audit certification
信頼できるAIサービスは、第三者機関によるセキュリティ監査を受けており、その結果を開示しています。最低限以下のいずれかの取得を確認しましょう。
| 認証 | 概要 |
|---|---|
| SOC 2 Type II | セキュリティ・可用性・機密性等を監査(米国基準、国際的に認知) |
| ISO 27001 | 情報セキュリティマネジメントシステムの国際規格 |
| CSマーク(クラウドセキュリティ) | 日本独自の認証(政府調達基準) |
⑥ 出力コンテンツの著作権・知的財産権
探すべき条項キーワード: intellectual property ownership output copyright
AIが生成したコンテンツの権利は誰のものか、という点を確認します。
- ユーザーが生成した出力物の権利はユーザーに帰属するか
- サービス側が出力物を利用する権利を持つか
- 他のユーザーの入力が自社の出力に影響する可能性はあるか(学習を経由した間接的な影響)
⑦ インシデント発生時の通知義務
探すべき条項キーワード: breach notification incident notification
万一、サービス側でデータ漏洩等のインシデントが発生した際に、何時間以内に通知されるかを確認します。個人情報保護法上、個人情報漏洩が発生した場合の個人情報保護委員会への報告は原則72時間以内とされており、ベンダーからの通知がこれより遅いと対応が困難になります。
規約確認のための実践的なワークフロー
規約を一から読むのは現実的でないことも多いです。以下のフローで効率よく確認しましょう。
Step 1:法人契約・Enterpriseプランの専用規約を探す
↓(無料プランの規約ではなく)
Step 2:DPA(Data Processing Agreement)またはデータ処理補足条項の有無を確認
↓(GDPRへの対応を示す重要文書)
Step 3:上記7ポイントのキーワードをPDF内で検索
↓
Step 4:不明な点をベンダーのセールスまたはサポートに書面で問い合わせ
↓(口頭の説明ではなく書面を残す)
Step 5:法務に最終確認を依頼(専門性が必要な部分)
DPA(Data Processing Agreement) は、GDPRに基づくデータ処理に関する合意文書です。グローバルなAIベンダーの多くは用意しています。日本法人との取引であっても、EU居住者の個人情報を取り扱う場合は締結が必要です。
主要AIサービスの法人向けデータポリシー比較(概要)
以下は記事執筆時点の情報に基づく概要です。各サービスのポリシーは随時更新されるため、必ず最新の公式ドキュメントを確認してください。
| サービス | 法人プランでの学習利用 | DPA提供 | データ保存場所 |
|---|---|---|---|
| ChatGPT(OpenAI)Enterprise | 学習に使用しない | あり | 選択可(米国等) |
| Claude(Anthropic)API/Enterprise | 学習に使用しない | あり | 要確認 |
| Microsoft Copilot(法人向け) | 学習に使用しない | あり | テナント地域に依存 |
| Google Gemini for Workspace | 学習に使用しない | あり | テナント設定に依存 |
「とりあえず無料プランで試す」の落とし穴
よくある進め方として「まず無料プランで試してから法人契約を検討する」というケースがあります。この場合に注意すべき点を整理します。
試用段階でやってはいけないこと:
- 実際の顧客データや顧客名を含む情報で試す
- 社外秘の資料の内容をそのまま貼り付ける
- 社員に「とりあえず各自で試してみて」と案内する
試用段階でやるべきこと:
- ダミーデータ・架空のシナリオで機能を検証する
- 試用するメンバーを限定し、入力ルールを事前に共有する
- 試用後に法人契約の規約確認とセットで正式導入を判断する
まとめ
AIツールの法人導入において、規約・契約の確認は「法務の仕事」ではなく、情シス・経営企画・調達が連携して行う業務です。特に「学習利用の有無」「データ保存場所」「インシデント通知義務」の3点は必ず書面で確認しましょう。
次回は、社員が現場でAIを安全に使えるようにするための運用ガイドラインの作り方と教育の進め方を解説します。
前の記事: #1 会社でAIを使う前に知っておくべきこと 情報漏洩リスクと社内ルールの作り方
次の記事: #3 社員がAIを安全に使える環境を整える 運用ガイドラインの作り方(公開予定)