本文へスキップ

生成AI調達・利活用ガイドライン第2.0版とは?企業が参考にできる導入チェック項目

生成AI調達・利活用ガイドライン第2.0版とは?企業が参考にできる導入チェック項目

デジタル庁は2026年6月12日、「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」第2.0版を公表しました。生成AIの導入が文章生成だけでなく、音声・画像、AIエージェント、外部向けサービスへ広がった状況を踏まえ、調達、利用、監査、事故報告までの管理を更新したものです。

このガイドラインは政府情報システムを対象とする規範文書であり、民間企業へ直接の法的義務を課すものではありません。ただし、生成AIサービスを購入する際の確認、利用ケースのリスク区分、機密情報、権限、ログ、モデル更新、インシデント報告を一続きで扱っており、企業が社内ルールと調達仕様を見直す際の参考になります。

結論: 第2.0版を企業で活用するなら、政府向けの規定をそのままコピーするのではなく、「調達前の確認」「利用ケースのリスク判定」「入力データと権限」「外部公開」「ログと監査」「変更・事故報告」の6領域へ翻訳します。特にAIエージェントは、回答内容だけでなく、接続ツールと実行権限を管理対象に含めることが重要です。


本記事のポイント

  1. 第2.0版は政府情報システム向けであり、民間企業への直接の法的義務ではありません。
  2. AIエージェント、音声・画像、機密情報、権限、ログ、外部公開まで対象を広げて考える点が重要です。
  3. 企業はガイドラインを調達仕様、利用申請、リスク判定、監査、事故報告のチェックリストへ翻訳できます。

この記事で扱うテーマ

このページで答える質問

  • 生成AI調達・利活用ガイドライン第2.0版とは何?
  • 第2.0版は民間企業にも適用される?
  • 第2.0版でAIエージェント対応はどう変わった?
  • 企業は第2.0版を調達と運用にどう生かせる?
生成AIの調達、リスク判定、権限管理、監査、事故報告を循環させる流れを表した図
ガイドラインは文書のまま保存せず、調達・利用申請・権限・監査・報告の運用項目に分解する。

生成AI調達・利活用ガイドライン第2.0版とは

第2.0版は、政府機関が生成AIを調達し、業務や国民向けサービスで利用する際の基本的な考え方と実務手順を整理した文書です。デジタル庁の公表ページから、本文、概要、別紙を確認できます。改定日は2026年6月12日で、本文は64ページです。

対象は政府情報システムにおける生成AIの調達・利活用です。そのため、民間企業が従わなければ直ちに違法になるという文書ではありません。また、個別の法令、契約、業界規制に代わるものでもありません。企業は、自社の適用法令、個人情報保護、秘密保持、知的財産、業界ルールを優先したうえで、管理項目の漏れを見つけるベンチマークとして使います。

この区別は重要です。公的ガイドラインというだけで「全社で必須」と説明すると、過剰な運用や誤った法務説明につながります。逆に、政府向けだから無関係と切り捨てると、AIエージェント、外部公開、ログ、モデル更新など、自社ルールに不足する論点を見逃します。

第2.0版で企業が注目すべき変更点

音声・画像・AIエージェントまで対象を広げる

生成AIはテキストの質問回答だけではありません。第2.0版では、入力としてテキストや音声、出力としてテキスト、画像、音声を扱う整理が示されています。また、AIエージェントを、目標に向けて計画し、ツールや環境を使いながら処理を進める仕組みとして扱っています。

企業の社内規程が「生成AIへ文章を入力する場合」だけを想定しているなら、対象を見直す必要があります。会議音声、カメラ画像、図面、顧客との通話、画像生成、ブラウザ操作、メール送信、CRM更新など、AIが扱う入出力と操作を棚卸しします。

利用ケースごとのリスク判定を明確にする

同じモデルでも、公開情報の要約と、個人の権利や給付に影響する判断ではリスクが違います。第2.0版は、組織のAI統括責任者に相当するCAIOのもとで、利用ケースに応じたリスクレベルを判断する考え方を示しています。企業では、AI推進部門だけで決めず、業務責任者、法務、セキュリティ、個人情報保護、内部監査が関与する判定表へ置き換えます。

リスク区分では、入力データの機密性、出力が人の権利や金銭へ与える影響、外部公開の有無、AIが操作できる範囲、人間が訂正できるかを確認します。既存の生成AIリスクアセスメントのチェックリストと組み合わせると、申請フォームへ落とし込みやすくなります。

権限、ログ、監査を運用に組み込む

第2.0版では、機密情報を扱う利用において、権限管理、操作記録、監査などを考慮する必要性が読み取れます。AIエージェントが情報を読むだけでなく、メール送信、ファイル更新、チケット起票、システム操作まで行う場合、従来のチャット利用規程だけでは足りません。

企業では、利用者の本人確認、役割別権限、サービスアカウント、ツールごとの許可、変更履歴、承認履歴、ログ保存、定期監査を設計します。すべての操作を一律に止めるのではなく、読み取り、下書き、更新、削除、外部送信の順に制御を強くします。

外部公開と利用者への説明を分けて考える

社内利用と、顧客・住民が使う外部サービスでは必要な説明が異なります。外部向けの生成AIサービスでは、AIが応答すること、利用条件、入力情報の扱い、誤りの可能性、問い合わせ先などを利用者へ示す必要があります。重要な手続きでは、同意、代替手段、人間への相談、訂正方法を設けます。

利用規約を掲示するだけでは十分とは限りません。利用者が入力前に理解できる場所へ注意事項を置き、重要な場面では再確認を求めます。会話の途中で目的が変わった場合や、センシティブな情報が入力された場合の案内も設計します。

モデル更新と事故報告を継続運用にする

生成AIサービスは、同じ製品名でもモデルや安全機能が更新されます。第2.0版は、モデルの大きな更新、追加学習、アクセス制限の運用、リスク事例の報告など、導入後の変更管理を重視しています。調達時に一度審査して終わりではありません。

企業では、モデル更新の通知先、再評価の条件、緊急停止、旧版へ戻す方法、ベンダー障害時の代替、事故の社内報告先を決めます。重大な誤出力や情報漏えいだけでなく、権限逸脱、想定外のツール実行、監査ログ欠落も報告対象に含めます。

企業向けに翻訳した6領域のチェック項目

領域調達・導入前の確認運用中の確認
調達利用目的、データ処理、再学習、保存場所、再委託、SLA、終了時の削除契約変更、サブプロセッサー、料金、モデル提供終了
リスク判定対象者、権利・金銭への影響、外部公開、人間の訂正可能性利用目的の拡大、想定外の利用、リスク区分の再確認
データ個人情報、機密情報、著作物、入力禁止情報誤入力、保存、削除、匿名化、越境移転
権限閲覧、下書き、更新、削除、外部送信、承認者異動・退職、過剰権限、サービスアカウント、停止
監査記録項目、保存期間、閲覧権限、評価方法定期レビュー、異常検知、証跡欠落、改善記録
変更・事故更新通知、再評価条件、緊急連絡、代替手段モデル更新、障害、漏えい、誤操作、再発防止

この表を調達部門だけに渡すのではなく、利用ケースの申請、セキュリティレビュー、運用開始判定、四半期監査へ同じ識別番号でつなぎます。誰が承認し、何を条件に承認し、いつ再確認するかが追える状態を作ります。

調達契約へ落とし込むときの注意点

ガイドラインの趣旨を契約へ反映するには、ベンダーへ「安全ですか」と聞くだけでは不十分です。入力データが学習へ利用されるか、保存期間と保存地域、再委託先、ログ提供、削除方法、障害通知、モデル更新、知的財産に関する役割分担を具体的に確認します。

AIエージェントの場合は、接続先システム、利用する認証情報、実行可能な操作、承認、レート制限、停止方法を仕様書へ入れます。ベンダーの標準機能だけで実現できない統制は、自社側のID基盤、APIゲートウェイ、ログ基盤で補います。契約観点はAI契約チェックリストの買い手向けガイドでも整理しています。

また、生成AIサービスの変更速度は通常の業務システムより速いため、モデル名を固定するだけでは運用しにくい場合があります。重大変更の定義、事前通知、評価期間、拒否または解約の条件を契約と運用手順の両方に置きます。

社内ルールを更新する進め方

  1. 現状を棚卸しする:生成AIサービス、部門、データ、接続ツール、外部公開の有無を一覧化します。
  2. 利用ケースを分類する:禁止、個人利用、部門承認、高リスク審査の段階を設けます。
  3. 調達と利用をつなぐ:契約で許されるデータと、現場の入力ルールを一致させます。
  4. AIエージェントの操作を分ける:閲覧、下書き、更新、外部送信の権限と承認を設定します。
  5. 監査と報告を試す:机上の規程だけでなく、ログ検索、停止、事故連絡の訓練を行います。
  6. 更新条件を決める:モデル変更、新機能、対象データ、利用部署の拡大時に再評価します。

社内ポリシーの作り方は生成AI利用ガイドラインの作成方法も参考になります。禁止事項だけを並べるのではなく、承認を得れば使える範囲、相談先、事故時の連絡、評価済みサービスを示すと、現場の隠れ利用を減らしやすくなります。

よくある質問

第2.0版は民間企業にも法的に適用されますか?

政府情報システム向けのガイドラインであり、民間企業へ直接の法的義務を課す文書ではありません。企業は適用法令、契約、業界規制を確認したうえで、管理項目の参考として利用します。

第1.0版から何が変わりましたか?

生成AIの利用拡大を踏まえ、音声・画像を含む入出力、AIエージェント、利用ケースのリスク判断、権限・ログ、外部公開、モデル更新、リスク事例報告などの実務論点が強化されています。

AIエージェントは通常のチャットAIと何が違いますか?

回答を生成するだけでなく、目標に向けて計画し、外部ツールやシステムを操作できる点が大きな違いです。そのため、入力情報だけでなく、接続先、実行権限、承認、停止、ログを管理します。

ガイドラインをそのまま社内規程にできますか?

そのまま転記する方法は勧めません。組織、法令、業界、扱うデータ、導入サービスが異なるため、調達、利用申請、権限、監査、事故報告の具体的な手順へ翻訳します。

最初に見直すべき項目は何ですか?

現在使っている生成AIサービスと接続ツールを棚卸しし、個人情報・機密情報の入力、外部送信を伴う操作、監査ログ、モデル更新時の再評価が決まっているかを確認してください。

関連ページと関連記事

生成AIガイドライン・導入設計について相談する

まとめ

デジタル庁の生成AI調達・利活用ガイドライン第2.0版は、政府向け文書でありながら、企業が生成AIを調達して運用し続ける際の論点を広く確認できる資料です。AIエージェント、音声・画像、外部公開、権限、ログ、変更、事故報告まで対象を広げる視点に価値があります。

企業では、文書をそのまま適用するのではなく、自社の法令・契約・業界要件に合わせて、調達仕様、利用申請、リスク判定、権限、監査、報告の運用へ変換してください。特に、AIが何を答えるかだけでなく、どの情報を読み、どの操作を実行できるかを管理することが、第2.0版から得られる重要な実務上の示唆です。

メディア一覧へ戻る