お問い合わせ

2025年9月にAI新法全面施行:企業がAI活用・リスク対応のため最初に決めるべき方針テンプレート

目次

はじめに

2025年9月1日、日本のAI新法(「人工知能関連技術の研究開発及び活用の推進に関する法律」)が全面施行され、政府が司令塔となってAI活用を後押しする体制が本格始動しました。まずは結論を先に──本稿は、経営・法務・事業の意思決定者が“すぐ決めるべきこと”を明確にし、法令・ガイドラインの“今”に沿って社内ルールを設計できるようにする実務テンプレです。

AI法 全面施行 -次なるフェーズへ-(内閣府)

結論(先に要点)

  • 社内AI方針は“二段構え”にする
    ①原則:機微・個人・営業秘密は入力禁止、②例外:再学習抑止・保持期間・監査ログ等を契約で担保された指定環境承認制により限定許容。これは不正競争防止法の営業秘密管理個人情報保護委員会(PPC)の注意喚起双方に合致する“安全デフォルト”。
    営業秘密管理指針(経済産業省)
  • 生成“前”と“後”を分けた審査線引き
    学習・準備段階は原則広く許容される一方(著作権法30条の447条の5)、享受目的の併存権利者利益を不当に害する態様はNG。生成・利用段階では従来どおり類似性+依拠性で侵害リスクを精査。文化庁の整理を社内規程に反映。
    AI と著作権に関する考え方について(文化庁)
  • “市場(ライセンス)”の有無をチェック項目に追加
    情報解析ライセンス等の既存市場が成立している領域は、30条の4のただし書該当リスクが高い。学習データ調達時は契約/ToS遵守+市場調査を必須化。
    AI と著作権に関する考え方について(文化庁)
  • ガバナンスの“定期レビュー”を制度化
    AI事業者ガイドライン(第1.1版)のチェックリストを踏まえ、経営層モニタリングと年次アップデート(AI基本計画・官公庁ガイドライン・海外域外適用)をKPI化。
  • 海外域外適用(EU AI Act)も棚卸し
    EU向けサービス/広告がある企業は透明性義務やGPAI対応等の該当可否を早期判定。段階施行のタイムラインを社内ロードマップに。

1. いま何が変わったのか:AI新法の位置づけ

AI新法は規制法ではなく推進法です。政府がAI戦略本部のもとで基本計画を策定し、研究開発・社会実装・人材育成・国際連携を総合的に進める枠組みが整いました。直接的な罰則や遵守義務を課す法律ではないものの、政府方針・ガイドラインの更新を継続的に追随する体制が企業に求められます(=ガバナンスの“土台強化”が狙い)。 人工知能関連技術の研究開発及び活用の推進に関する法律

実務ポイント

  • 取締役会/リスク委員会等にAIガバナンス定例(四半期or半期)を設置。
  • 法・ガイドライン追随レポート」をひな形化(本稿末尾テンプレ参照)。
  • 変化の早い論点(生成AIの透明性・著作権・秘密情報管理・個情法Q&A更新)をウォッチ項目に指定。

2. 日本の“現行ルール”を最短理解:著作権・個人情報・秘密

2-1. 著作権(文化庁「AIと著作権に関する考え方」)

  • 学習/情報解析(30条の4)は原則広く許容されるが、
    (a) 享受目的の併存、(b) ただし書(権利者利益を不当に害する態様)    (c) 必要限度超過は適用外。
  • 作風そのものは通常保護対象外とされる一方、特定作品の表現の再現を意図する学習・出力は上記(a)(b)に触れ得る。
  • RAG/準備行為(47条の5):索引用ベクトルDB作成等は適用余地があるが、出力段階で“軽微利用”を超える提示は許諾が必要になる可能性があります。
    RAGの中にはAI解析のもととなる(AIに渡す前の)データがDB形式で保存されていますから、学習/情報解析に限らない利用が可能であり、この点はやむを得ないでしょう。
    これらは社内レビュー表に落とし込み、プロダクト/広告/広報チームの“出す前チェック”に組み込みます。 AI と著作権に関する考え方について

これまでのAIと著作権の論点について概観したい方は、弊所記事「AIの創作物に誰が著作権を持つのか?AIの法律問題を弁護士が解説」をぜひご覧ください。

2-2. 個人情報(PPCの注意喚起)

  • 生成AIに個人データを入力し、それが応答以外目的で取り扱われるなら本人同意が前提となります再学習抑止・保持期間・第三者提供有無契約・仕様で確認する必要があります。特に、生成AIでの情報利用が自社サービスの中に含まれている場合はそのリスクやデータの流れについて精査が必要です。
  • クラウド/委託としての位置づけや監督義務にも注意。越境移転再委託の管理も契約条項で明確化。 生成AIサービスの利用に関する注意喚起等について(個人情報保護委員会)

2-3. 営業秘密(不正競争防止法・営業秘密管理指針 2025改訂)

  • 管理単位の概念を明示し、一時的管理不徹底で直ちに秘密性が失われるわけではない、といった実務的な考え方を明文化。
  • 生成AIに投入した秘密情報が出力として現れた場合の秘密管理性の評価にも触れ、ログとアクセス制御の重要性を再確認。
  • 企業は分類(営業秘密/限定提供データ/社外非共有)持出し統制監査ログの3点セットを社内規程へ落とし込む。営業秘密管理指針(経済産業省)

3. 海外動向(域外適用)を“必要十分”に

EU AI Act2024年発効段階適用が進行中。高リスク用途GPAI(基盤モデル)向けの義務、ディープフェイク・チャットボットの透明性等が要点。EU対象のB2B/B2C提供や広告配信がある企業は、自社のポジション(利用者/提供者/開発者)を棚卸し、透明性・文書化のロードマップを策定しましょう。

4. 会社が“最初に”決めるべき方針テンプレ

4-1. 全社AI基本方針

  1. 目的:AIを省力化・品質向上のために積極活用。ただし法令・ガイドライン社内倫理に適合させる。
  2. 適用範囲:全従業員・役員・委託先。
  3. リスク三本柱著作権個人情報秘密情報
  4. 責任体制:CDO/CCO/法務がAIレビュー会議を所管。四半期ごとに方針更新
  5. 監査:ログ・プロンプト保存、モデル更新の変更管理

4-2. 入力データポリシー(“原則禁止+例外承認”)

  • 原則:個人データ・要配慮情報・顧客/自社の営業秘密は入力禁止
  • 例外:以下すべて満たす場合のみ承認制で限定許容
    (a) 再学習に利用されない契約/設定、(b) 保存期間の明示、(c) 越境移転・再委託の把握、(d) 監査ログ取得、(e) アクセス制御・権限管理。
  • モデル区分公開SaaS企業契約SaaS自社ホスト投入可否を明確なルールとする。ホワイト/グレー/ブラックの色分け管理など、現場運用を想定した分かりやすい管理ルールが望ましい。

4-3. 学習・準備段階(著作権チェック)

  • ToS(Terms of Service)/ライセンス遵守の確認表(クローリング可否、情報解析可否、二次利用範囲)。
  • 市場(ライセンス)有無の調査項目を追加(ただし書リスク)。
  • 享受目的の併存(特定作品の表現再現の意図がないか)を申告制で可視化。
  • 必要限度(コピー・保持・共有の最小化)ルールを数値化(例:保持90日、許可なく外部共有禁止)。

4-4. 生成・利用段階(出力審査)

  • 著作権:類似性・依拠性の簡易スクリーニング+引用/RAGの“軽微”線引き
  • 表示:AI生成のラベリング基準(社外文書/広告での記載方針)。
  • 透明性:説明可能性・バージョン・主要リスクのリリースノート化。
  • 修正・撤回:苦情申出窓口、削除/修正SLA、ログ保存期間。

4-5. 契約・調達

  • AI/SaaS契約に以下を必須条項化:
    ①再学習禁止の明示、②保持期間/削除手続、③監査ログへのアクセス、④越境移転の通知、⑤第三者提供・再委託の範囲、⑥インシデント時の通知・協力、⑦著作権侵害・機密漏えいの補償範囲
  • 委託/共同研究ではデータ帰属・成果物権利秘密管理を精密化。業務が委託先に流れることはもはや当たり前の時代です。有事の際には自社管理体制が問われます。

5. “出す前チェック”——実務チェックリスト

A. 著作権

  • そのデータ、情報解析ライセンス市場が存在?(Yes→要許諾検討
  • 享受目的併存なし?(特定作品の表現再現の意図が紛れ込んでいないか)
  • RAG等で軽微利用超えの提示になっていないか?(超える→許諾が必要

B. 個人情報

  • 応答以外目的でプロンプトが再利用されない契約/設定?
  • 委託としての位置づけ整理・監督義務を契約化?
  • 越境移転再委託の把握、本人同意の要否確認済み?

C. 営業秘密

  • 情報は分類(営業秘密/限定提供/社外非共有)済み?
  • 指定環境承認制でのみ入力可能?
  • アクセス制御・ログ監査の実効性は?

6. 体制づくり:誰が、何を、どれくらいの頻度で

  • 経営の関与:AIガバナンスは経営層のモニタリング事項。四半期ごとにKPI(入力違反件数、例外承認件数、苦情解決SLA遵守率等)をレビュー。
  • 職務分掌
    • 事業部:ユースケース定義・効果測定
    • 法務:著作権/個人情報/契約審査
    • 情シス:アクセス制御・ログ・監査
    • 広報:AI生成表示・撤回運用
  • 教育:オンボーディングで“入力NGの具体例”と承認フローを周知。

7. FAQ(よくある質問)

  • Q:作風の学習は一律NG?
    A:作風・タッチは表現そのものではない(=著作物)ではないため、作風自体は通常保護対象外です。ただし特定作品の表現を再現することを意図して学習すれば、30条の4の享受目的併存/ただし書に触れ得る。設計・運用で回避。
  • Q:RAGなら出典を出せばOK?
    A:出力時に“軽微利用”を超える提示許諾が必要と考えるべきです。引用・要約・参照表示の線引き規程を作る。
  • Q:社内だけで使うから秘密情報を入力してOKですか?
    A:契約/設定で再学習抑止・保存期間・ログが担保されて例外承認できる。原則禁止+例外制が安全。

8. 運用のキモは“定期アップデート”

  • 日本:AI新法の基本計画・AI事業者GLの改訂をフォロー(年1回のルール見直し)。
  • 海外:EU AI Actの段階適用、透明性/GPAI要件のフォロー。
  • 社内:監査ログとインシデント振り返り規程→運用→改善のループを固定化。

まとめ

AIは省力化・品質向上の強力な手段です。ただし“使い方”が法的リスクを左右します。「原則禁止+例外承認」「生成前後の線引き」「契約での担保」「定期レビュー」を軸に、最短で“安全に速く回せる”仕組みを作りましょう。AI新法の全面施行は、まさにその“仕組み化”を後押しする重要なフレームワークです。

新たに、AI基本方針の策定が必要、AIの利活用による業務効率化の洗い出しが必要な場合は、ぜひ弊所にご相談ください!

この記事は役に立ちましたか?
もし参考になりましたら、下記のボタンで教えてください。

弁護士(東京弁護士会)・中小企業診断士 GWU Law LL.M.〔IP〕/一橋大学ソーシャル・データサイエンス研究科(博士前期・2026年~) 金融規制、事業立上げ、KPI×リスク可視化を専門とする実務家×研究者のハイブリッド。

関連記事

目次