AIサービス契約前に確認すべきポイント完全リスト:経産省「AI契約チェックリスト」を法務・情シス向けに実務翻訳
AIサービスを契約しようとするとき、法務・情シス・経営企画はそれぞれ別の論点を抱えがちです。学習に使われないか、個人情報保護法上の整理は大丈夫か、海外ベンダーで国外移転にならないか、利用規約の変更にどう備えるか――。論点が散らばったまま稟議に上げると、差し戻しが繰り返され、導入そのものが止まります。
結論から言うと、経済産業省が2025年2月に公表した「AIの利用・開発に関する契約チェックリスト」は、AIサービス契約前にどの条項を、どの観点で確認すべきかを インプット6項目(A-1〜A-6)/アウトプット6項目(B-1〜B-6)/4留意点(インプット・開発型・個人情報保護法・セキュリティ) として整理した実務文書です。本記事では、この公式チェックリストを、契約前にベンダーへ投げかけるべき質問リストへ実務翻訳します。
本記事のポイント
- 経産省「AI契約チェックリスト」は3類型(汎用利用・カスタマイズ・新規開発)と4情報分類(インプット・アウトプット・処理成果)で読むのが実務的です。
- 契約前確認はインプット6項目(A-1〜A-6)とアウトプット6項目(B-1〜B-6)に分解でき、ベンダーへの質問テンプレとして使い回せます。
- 最重要論点は「学習目的利用の有無」「個人データの委託成立要件」「国外移転の提供根拠」「規約改定の検知体制」の4点です。
この記事で扱うテーマ
関連キーワード
- AI契約 チェックリスト 経産省
- AI サービス 契約 確認事項
- AI 契約 法務 確認
- AI契約チェックリスト 解説
- AI 利用規約 確認 法務
このページで答える質問
- AIサービス契約前に法務・情シスが確認すべき項目は?
- 個人データを生成AIに入力すると個人情報保護法に違反する?
- 海外AIベンダーと契約するときの個人情報保護法上の注意点は?
- AIサービスの利用規約変更にどう備えるべき?
経産省「AI契約チェックリスト」とは何か
「AIの利用・開発に関する契約チェックリスト」は、経産省が2025年2月に公表した、AI関連サービスの契約締結時に確認すべき論点を整理した文書です。2018年公表(2019年改訂)の「AI・データの利用に関する契約ガイドライン」が識別系AIモデルの開発を主な想定として整理されていたのに対し、生成AI普及後の利活用局面を補完する位置づけで策定されました。
主な想定読者は、社内法務部・顧問弁護士・ビジネス部門担当者で、契約上の留意点を網羅的に検討するときと、初期的に論点を把握するときの両方で使えるよう設計されています。
3類型の判定軸
チェックリストは、AI関連サービスを次の3類型に整理しています。自社が使おうとしているサービスがどの類型に該当するかで、確認すべき条項の重みが変わります。
| 類型 | 定義 | 具体例 | 契約形態 |
|---|---|---|---|
| 類型1:汎用的AIサービス利用型 | 事業者A(利用者)が事業者C(開発者・提供者)の汎用AIサービスを利用 | ChatGPT、Gemini、Claudeをそのまま利用 | 主に利用型契約(利用規約) |
| 類型2:カスタマイズ型 | 事業者B(提供者)が汎用AIに付加機能を組み合わせ、事業者A向けに提供 | 業界特化AIチャットボット、業務支援SaaS | 利用型+開発型のハイブリッド |
| 類型3:新規開発型 | 事業者A(利用者)が事業者C(開発者)と提携して独自AIシステムを開発 | 製造業の異常検知システム、自社専用予測AI | 主に開発型契約(個別契約) |
多くの企業が日々利用しているAI SaaSは 類型2:カスタマイズ型 に該当します。ここで重要なのは、類型2では サービス提供事業者B自身も、上流の汎用AI提供者Cに対しては「利用者」 であるという入れ子構造があることです。これは契約上、ベンダーBが顧客に提供できる条件が、上流ベンダーCの規約により制約されることを意味します。
4情報分類の読み方
チェックリストは、AI関連サービスで扱う情報を4種類に分けて整理します。
- インプット(A):プロンプト、学習用の生データ等、ユーザーがベンダーへ提供する情報
- アウトプット(B):分析結果、コンテンツ、AI生成物、システム成果物等
- インプット処理成果(A-6):学習用データセットや中間生成物などの派生物
- アウトプット処理成果(B-6):ユーザーがアウトプットを加工・処理した派生物
そしてA・Bそれぞれについて、特定(A-1, B-1)・提供(A-2, B-2)・使用利用(A-3, B-3)・外部提供(A-4, B-4)・権利帰属(A-5, B-5)・処理成果(A-6, B-6)の6項目を確認します。契約条項のすべてを読み込まずに「項目番号で抜け漏れチェック」できる構造 になっているのがチェックリストの最大の利点です。
利用型契約と開発型契約で交渉余地が変わる
実務上、もうひとつ重要な区別が「利用型契約」と「開発型契約」です。
利用型契約(類型1や類型2のサービス利用部分)は、不特定多数のユーザーと画一的に締結される利用規約が中心になります。多数ユーザー前提で対価が低めに設定されているため、契約条件の交渉余地は限られ、所与条件として運用工夫で対応する選択肢が現実的です。
開発型契約(類型2のカスタマイズ部分や類型3)は、個別交渉が前提のため、契約条件の調整余地が大きいものです。ただし類型2では、上流の汎用AIサービス利用契約に拘束されるため、交渉できる範囲には上限があります。
契約前にベンダーへ確認すべき質問:インプット編(A-1〜A-6)
ここからは、契約前にベンダーへ実際に投げかけるべき質問を、チェックリストのA-1〜A-6に沿って整理します。すべてを毎回確認する必要はなく、自社サービスの類型と利用目的に応じて優先度を決めます。
A-1 インプットの定義範囲(意外と曖昧)
多くの利用規約では、ユーザーがベンダーに提供する情報を「ユーザーコンテンツ」「入力情報」「プロンプト」など複数の用語で扱っています。定義範囲に該当しない情報は、ベンダーが自由に利用できる前提で書かれていることがあるため、契約上保護したい情報がきちんと定義に含まれているかを確認します。
- 「インプット」「ユーザーコンテンツ」の定義条項を読み、保護対象範囲を特定する
- API経由で送るメタデータ、ログ、利用統計が定義に含まれるかを確認する
- 定義に含まれない情報は、原則ベンダーが自由に利用できると理解しておく
A-3-1 利用目的・学習利用の有無(ここが最重要)
5つの留意点の中で、もっとも商談・契約・運用すべてに影響するのが 「ベンダーが入力データを学習目的に利用するか」 です。チェックリスト4.2.1〜4.2.3は、利用形態を3段階に整理しています。
| 利用形態 | 典型例 | 主なリスク |
|---|---|---|
| (a) 汎用的なAI学習目的に利用 | 無料・廉価な汎用AIサービス、改善目的でフィードバックを学習に流用 | 個情法違反・営業秘密流出・秘密保持義務違反・著作権侵害 |
| (b) 当該ユーザー向けサービス提供に必要な範囲のみ | 類型2の業務特化カスタマイズサービス | 第三者漏えい・自己使用禁止違反・セキュリティ依存 |
| (c) 学習目的に利用しない | エンタープライズ向け契約・OptOut機能利用 | 運用とセキュリティ水準による依存 |
とくに(a)に該当する場合、一度AIモデルに取り込まれた情報の事後除去は一般的に困難 であることをチェックリストは指摘しており、「不必要な情報を可能な限りインプットに含めない」ことが基本方針とされています。
A-3-3〜4 管理水準・保持期間・削除義務
個人情報や営業秘密を含むインプットを提供する場合、ベンダーがどの水準で管理するか、保持期間が完了したらどう扱うか、契約終了時に削除義務を負うかを確認します。
- 暗号化(保存時・通信時)、アクセス制御、ログ取得、定期監査の有無
- 保持期間と、期間経過後・契約終了時の削除義務の有無
- 削除の履行を証明するレポート(削除証明書)が発行されるか
- 監査・情報提供依頼が契約上認められているか
A-4 第三者提供禁止の書きぶり
ベンダーがインプットを第三者へ提供できる条件が定められているかを確認します。秘密保持義務の中で「第三者へ提供しない」と記載されることが一般的ですが、「業務委託先・関連会社」を第三者の例外として広く除外 している規約もあるため、除外範囲が許容できるかを判断します。
A-5・A-6 権利帰属と派生物の扱い
インプットそのものの権利移転が起きないことは多いものの、派生物(学習用データセット、中間生成物、改良成果)については規定が曖昧になりやすい論点です。類型2・類型3ではA-6の派生物の扱いが個別契約の交渉対象 になります。
契約前にベンダーへ確認すべき質問:アウトプット編(B-1〜B-6)
続いて、ベンダーから受け取るアウトプット側です。ここで論点になるのは、サービスの品質保証・利用範囲・権利帰属の3軸です。
B-2 完成義務(請負)vs 善管注意義務(準委任)
類型3新規開発型では、請負契約か準委任契約かが交渉上の重要論点 になります。請負契約と整理されればベンダーは仕事の完成義務(民法632条)と契約不適合責任(民法559条・562条〜564条)を負いますが、準委任契約と整理されれば善管注意義務(民法644条)を負うに留まります。
ただしチェックリスト4.3.2が指摘するとおり、両者の区分は当事者間で合意がない場合の補充的なルールにすぎません。実務では 「ユーザーがベンダーに対して、成果の内容や水準をどの程度求めるか」 を契約上明文化するほうが、抽象的な類型論よりも有効です。
B-3 商用利用可否・AI生成物の表示義務
アウトプットの利用範囲・追加対価・プロフィットシェア・禁止行為が定められているかを確認します。とくに 商用利用の可否、AIを用いて生成した旨の表示義務 は、生成AIサービスでよく見られる条件です。
商用利用が想定されているのに契約上禁止されている、利用範囲が制限されている、といった条件は、サービス選定時点で見抜けるよう、契約レビュー前のRFP段階で確認すべき項目です。
B-2-3 アウトプットの非保証と人による確認
チェックリストB-2-3はとくに重要な指摘をしています。「機械学習の特性上、アウトプットには不正確な情報、虚偽の情報、第三者の著作権等の権利を侵害する情報が含まれる可能性がある」 ため、ベンダーによる保証がある場合でも、利用目的に応じて正確性・適法性を評価し、人による確認を行うことが必要、とされています。
これは 契約条項として「非保証」が書かれているかどうか以前の問題 として、利用側が運用ルールに「人間確認の工程」を必ず組み込むべき、ということです。
B-5 権利帰属の整理
アウトプットの権利がユーザーに移転するか、それともベンダーに残ったうえで利用ライセンスが付与されるかを確認します。類型1・類型2の利用型契約では、権利がユーザーに移転しない ことが一般的で、その場合は利用方法が契約条件の範囲に限定されます。
個人情報・国外移転リスクを契約でどう抑えるか
個人データを含むインプットを提供する場合、個情法27条(第三者提供)と28条(外国にある第三者への提供)の両方を整理する必要があります。チェックリスト4.4は、契約に関係する範囲でこれを次の3点に整理しています。
「委託」と整理できる条件(個情法27条5項1号)
個人情報取扱事業者であるユーザーが、個人データを含むインプットをベンダーへ提供する場合、原則として本人同意が必要です(個情法27条1項)。例外として「委託」(同条5項1号)に整理できれば、本人同意は不要です。
「委託」と整理するためには次の条件を満たす必要があります。
- ベンダーが、委託された業務以外に、委託に伴ってユーザーから提供された個人データを取り扱わないこと(個人情報保護委員会Q&A Q7-41)
- ベンダーが、独自に取得した個人データや個人関連情報と本人ごとに突合しないこと
- ユーザーがベンダーに対して必要かつ適切な監督義務(個情法25条)を果たせる体制であること
とくに重要なのは ベンダーが「自社サービス改善」や「自社技術開発」のために個人データを利用できる文言になっていないか です。利用規約に広い利用権限が書かれている場合、委託ではなく第三者提供と整理せざるを得ず、本人同意の取得が必要になります。
海外ベンダー時の基準適合体制(個情法28条)
ベンダーが「外国にある第三者」に該当する場合、本人同意なしで提供できるのは次のいずれかです。
| 提供根拠 | 条件 |
|---|---|
| EEA・英国所在 | 個情規則で定める同等水準国(EEA加盟国・英国)に所在 |
| 基準適合体制(契約等) | 個情規則16条1号:契約等で個情法第4章第2節の規定の趣旨に沿った相当措置を確保 |
| 基準適合体制(CBPR) | 個情規則16条2号:APEC CBPRシステムの認証取得 |
| 本人同意 | 外国名・当該国の制度・ベンダーの保護措置を本人に提供したうえで同意取得 |
注意点として、「サーバの所在地」は判断基準にならない ことが個人情報保護委員会Q&A Q12-3・Q12-11で明示されています。ベンダーがA国に所在し、サーバがB国にある場合、A国にある第三者への越境移転と整理されます。
個情委「生成AIサービスの利用に関する注意喚起」との整合
個人情報取扱事業者であるユーザーが、あらかじめ本人の同意を得ることなく生成AIサービスに個人データを含むプロンプトを入力し、サービス提供者が当該個人データを当該プロンプトに対する応答結果の出力以外の目的で取り扱う場合、個人情報保護法の規定に違反する可能性があると、個人情報保護委員会の注意喚起で明示されています。
これはチェックリスト本文(4.4.1末尾)でも引用されている重要な規律で、「プロンプトに個人データを入れていいか」を判断するときの最初の確認軸になります。
契約後の運用:規約改定・セキュリティ・ログと社内体制
契約条件を確認・調整して契約締結に至ったあとも、AIサービスは「契約後の運用」が継続的に発生します。チェックリスト4.5・4.6は、運用フェーズで体制化すべき論点を整理しています。
規約変更の検知フロー(民法548条の4)
利用型契約・利用規約は変更が前提です。日本法では民法548条の4により、定型約款の変更はウェブ周知などの方法により合理的な範囲で行えますが、ユーザー側で変更を能動的に検知する体制がないと、変更を把握しないまま契約違反相当行為を行ってしまう リスクがあります。
とくにベンダーが海外所在の場合、海外法が準拠法として選択されることが多く、規約変更のルールも日本法と異なります。実務では次の体制を整えます。
- 主要利用ベンダーの利用規約・プライバシーポリシーを定期的に確認する担当を決める(情シスまたは法務)
- 規約変更時の社内通知フローと、変更内容が業務運用に影響する場合のエスカレーション基準を決める
- 類型2カスタマイズサービスでは、上流の汎用AI提供者の規約変更が下流のカスタマイズ規約にどう反映されるかも併せて確認する
監査条項・ISO/IEC 27001・SBOM要求
セキュリティ水準は契約条項だけでは判断が難しく、チェックリスト4.5は 契約以外の参考資料の重要性 を強調しています。
- 対象システムのアーキテクチャ資料(全体図、技術記事、ホワイトペーパー)
- SBOM(Software Bill of Materials):ソフトウェアコンポーネントと依存関係の一覧
- 脆弱性情報(発見・修正履歴、外部研究者からの報告履歴)
- ISO/IEC 27001等の第三者認証の取得状況
- 監査条項(内部監査部門による監査、第三者認証取得義務)
ベンダーがこれらを開示できる体制かどうかは、サービス選定段階での重要な判断材料です。
法務・情シス・事業部の役割分担
AI契約チェックリストの論点は、単独部門で完結するものではありません。実務では次の役割分担が機能しやすい構成です。
| 部門 | 主な責任範囲 | チェックリスト対応箇所 |
|---|---|---|
| 法務 | 契約条項・利用規約のレビュー、個情法整理、権利帰属 | A-1〜A-6・B-1〜B-6・4.4 |
| 情シス・セキュリティ | セキュリティ水準・ログ・監査・SBOM評価 | 4.5全般・A-3-3 |
| 事業部 | サービス利用目的の明確化・運用ルールの策定・人間確認の組み込み | A-3-1(利用目的)・B-2-3(非保証) |
| 経営企画・CAIO | 規約変更検知体制・監督機関対応・全社ガバナンス方針 | 4.6・委員会設計 |
各部門が個別に走るのではなく、AIガバナンス委員会または事務局が論点を集約して横断判断する体制を持つと、チェックリストへの対応が運用に落ちやすくなります。
よくある質問
AIサービス契約前に法務が最低限確認すべき項目は何ですか?
優先度の高い順に、(1) インプットの学習目的利用の有無(A-3-1)、(2) 個人データを扱う場合の委託成立要件(4.4.1)、(3) 海外ベンダー時の基準適合体制(4.4.2)、(4) アウトプットの非保証条項と利用範囲(B-2-3・B-3)、(5) 規約変更の通知フロー(4.6)の5点です。これに該当しない条項は、契約全体のリスク評価で個別に判断します。
個人データを生成AIに入力すると個人情報保護法に違反しますか?
入力先のサービス提供者が当該個人データを「プロンプトに対する応答結果の出力以外の目的で取り扱う」場合、本人同意なしだと個情法違反の可能性があると個人情報保護委員会が注意喚起しています。サービス提供者が応答生成にしか使わず、学習・自社目的利用をしない設計(または契約上の保証)であれば違反とはなりにくいですが、利用規約と実装の両方を確認する必要があります。
海外AIベンダーと契約するときの個人情報保護法上の注意点は?
個情法28条の越境移転規制が適用されます。本人同意・EEA英国所在・基準適合体制(契約による相当措置確保またはCBPR認証)の3つが提供根拠で、いずれかを満たさない場合は本人同意が必要です。サーバの所在地ではなくベンダーの所在地で判定される点に注意してください。基準適合体制を選ぶ場合、契約に盛り込む条項は個情規則16条1号と外国第三者提供ガイドライン4-1〜4-2を参照します。
AIサービスの利用規約変更にどう備えるべきですか?
主要利用ベンダーの利用規約・プライバシーポリシーを定期的に確認する担当を法務または情シスに置き、変更時の社内通知フローを整備します。海外ベンダーは海外法が準拠法のことが多く、日本法の定型約款規律とは異なるため、規約上の変更条項そのものを契約時に確認しておきます。類型2カスタマイズサービスを利用している場合は、上流の汎用AI提供者の規約変更が、自社の下流契約へどう反映されるかも併せて確認します。
