AIサービス提供企業が顧客審査で詰まらないために:経産省「AI契約チェックリスト」をベンダー視点で読み解く
AIサービスを提供する立場の事業者にとって、ここ数年で確実に増えているのが、見込み顧客の法務・情シス・セキュリティ審査の段階で商談が止まる事態です。サービスは評価されているのに、契約直前で「学習に使われないか」「個人データはどう扱うか」「規約改定の通知はどうなるか」といった質問に答えきれず、稟議が動かない、というパターンです。
結論から言うと、経済産業省が2025年2月に公表した「AIの利用・開発に関する契約チェックリスト」は、AIサービスを使う側のための文書として整理されていますが、実務上は AIサービスを提供する側が「顧客から聞かれる前に整えるべき項目リスト」 としてそのまま使えます。本記事では、ベンダー視点で読み替え、事前整備すべきドキュメントと契約条項の論点を整理します。
本記事のポイント
- 経産省「AI契約チェックリスト」は、ベンダー側が顧客審査で詰まらないための事前整備リストとして読み替えられます。
- カスタマイズ型ベンダーは「顧客にはベンダ、基盤AIには利用者」という立場の入れ替わりを契約と運用の両方で設計する必要があります。
- 顧客の質問は概ね5論点(学習利用・個人データ・国外移転・セキュリティ・規約改定)に集約され、整備すべき説明資料も7種に整理できます。
この記事で扱うテーマ
関連キーワード
- 経産省 AI契約チェックリスト ベンダー
- AI SaaS 顧客審査 法務
- AI契約 チェックリスト 受託
- AI契約チェックリスト 解説 ベンダー視点
- AIサービス提供 契約 留意事項
このページで答える質問
- 経産省「AI契約チェックリスト」をベンダー側はどう読むべき?
- 顧客の法務・情シス審査でAI SaaSが詰まる原因は?
- カスタマイズ型ベンダが顧客に説明すべき項目は?
- 上流の汎用AIサービス規約が変更されたとき下流ベンダはどう対応すべき?
なぜベンダー側こそ経産省「AI契約チェックリスト」を読むべきか
「AI契約チェックリスト」は、経産省が2018年に公表した「AI・データの利用に関する契約ガイドライン」を、生成AI普及後の市場環境にあわせて補完する文書として2025年2月に公表されました。建付けはAI利活用ユーザー向けですが、現場では 顧客の法務・情シスがそのままベンダーへの質問リストとして使う ようになっています。
つまりベンダー側にとっては、近い将来「顧客が必ず手元に持っている質問リスト」だと考えた方がよく、先回りして説明資料・契約条項・運用フローを整備しておくほうが、商談速度と契約条件の両方で有利になります。
顧客の法務・情シス審査で詰まる典型シーン
- 稟議書に「ベンダーが入力データを学習に使わないか」を書けず差し戻される
- 個情法27条・28条の整理を求められ、海外基盤AI利用について書面で回答できない
- SBOM(ソフトウェア部品構成表)や脆弱性情報の開示を求められ、対応に数週間かかる
- 利用規約の変更通知フローを聞かれ、自社にも仕組みがないことが露呈する
- 「再委託先(サブプロセッサ)の一覧を出してほしい」と言われ、整備されていない
これらは「実際に問題があるか」とは別の論点で、説明可能な状態になっているかを顧客は問うています。
類型2カスタマイズ型における「立場の入れ替わり」
チェックリストはAI関連サービスを3類型に整理しています。汎用AIをそのまま使う「類型1:汎用的AIサービス利用型」、汎用AIに自社の付加機能を組み合わせる「類型2:カスタマイズ型」、独自AIシステムを開発する「類型3:新規開発型」です。
多くのAI SaaS・受託企業が該当する 類型2では、自社が「ベンダ」と「ユーザ」の両方の立場を同時に持つ ことになります。具体的には、顧客(事業者A)に対しては自社(事業者B)はベンダ、しかし基盤モデル提供者(事業者C:OpenAI、Google、Anthropic等)に対しては自社はユーザになります。これは契約・運用の両方に影響します。
| 立場 | 関係先 | 主な責務 |
|---|---|---|
| ベンダとしての自社 | 顧客(A) | サービス品質、データ保護、規約変更通知、個情法上の委託先監督対応 |
| ユーザとしての自社 | 基盤AI提供者(C) | 利用規約の遵守、規約変更の検知、上流のセキュリティ・データ取り扱い条件の把握 |
顧客が必ず聞いてくる5つの論点
チェックリストの構造(インプットA-1〜A-6、アウトプットB-1〜B-6、留意点4.2〜4.6)を、顧客がベンダーへ実際に投げる質問の形に整理すると、概ね次の5論点に集約されます。
1. インプットの利用範囲・学習目的利用(A-3)
最も頻度が高く、最も重要な論点です。顧客が知りたいのは「自社が入力したデータがサービス提供以外(特に汎用AIモデルの学習)に使われないか」です。
チェックリスト4.2.1〜4.2.3は、インプットがAI学習目的に使われる場合のリスク範囲を3段階で整理しています。ベンダーは 自社サービスがどの段階に該当するかを書面で明示 する必要があります。具体的には、(a) 汎用学習に使う、(b) 当該顧客向けサービス改良にのみ使う、(c) 学習に使わない、のいずれかです。
2. 個人データの委託 vs 第三者提供
顧客がベンダーに個人データを含むインプットを提供する場合、個情法27条1項の第三者提供規制が原則として適用されます。本人同意なしで提供できるのは、同条5項1号の「委託」に整理できる場合に限られます。
「委託」と整理するためには、ベンダーが委託された業務以外の目的で個人データを取り扱わないこと、独自取得の個人データと突合しないこと が必要です(個人情報保護委員会Q&A Q7-41)。利用規約や個別契約の文言が「自社サービス改善のために利用できる」と読める場合、委託として整理できなくなり、顧客側で本人同意の取得が必要になります。これが商談停止の典型原因です。
3. 国外移転(個情法28条)と基準適合体制
ベンダーが外国法人である場合、または海外の基盤AIサービスを組み込んでいる場合、個情法28条の越境移転規制が適用されます。「サーバの所在地」ではなく「ベンダーの所在地」で判定される点に注意が必要です。
越境移転の根拠は3パターンに整理されます。
| 提供根拠 | 条件 | ベンダーの整備事項 |
|---|---|---|
| 本人同意 | 外国名・当該国の制度・ベンダーの保護措置を本人に提供したうえで同意取得 | 顧客が同意を取得できる情報セット(外国名、制度概要、自社措置)を整備 |
| EEA・英国 | 個情規則で定める同等水準国に所在 | 該当する場合は明示 |
| 基準適合体制 | 個情規則16条1号(契約等で相当措置を確保)または2号(CBPR認証) | 顧客との契約に相当措置を盛り込んだDPA(データ処理付属書)を準備 |
4. セキュリティ水準・SBOM・監査・ログ
チェックリスト4.5は、契約条項とは別に、ベンダー側が任意に開示できる説明資料の重要性を強調しています。具体的には次の4つです。
- 対象システムのアーキテクチャ資料(全体図、技術記事、ホワイトペーパー)
- SBOM(Software Bill of Materials):構成ソフトウェアと依存関係の一覧
- 脆弱性情報(発見・修正履歴、外部研究者からの報告履歴)
- 監査条項・ISO/IEC 27001等の第三者認証・ログ保存方針
とくにSBOMは2024年8月の経産省ガイドライン改定(ver2.0)以降、エンタープライズの稟議で要求されるケースが増えています。事前にSBOM生成プロセスを組み込んでおくと、対応コストが大幅に下がります。
5. 規約改定の伝達フロー(チェックリスト4.6)
利用型契約・利用規約は変更が前提です。日本法では民法548条の4により、定型約款の変更はウェブ周知などの方法により合理的な範囲で可能とされていますが、顧客視点では「変更を能動的に通知してくれるか」「効力発生時期はいつか」「重大変更には個別同意があるか」 が重要です。
類型2カスタマイズ型ベンダーは、上流(基盤AI提供者)の規約変更を下流(自社カスタマイズ規約)にどう連動させるかを設計する必要があります。これを怠ると、上流規約の改定により自社規約が事実上整合しなくなる事態が起きます。
ベンダーが事前整備すべき7つの説明資料
5論点に対する顧客の質問へ、その場で答えられる状態にしておくために、ベンダー側で事前に整備すべきドキュメントは概ね7種に整理できます。
| 資料 | 目的 | 対応する顧客質問 |
|---|---|---|
| 利用規約 | インプット・アウトプット・禁止事項・責任範囲を契約上明確にする | 論点1・5 |
| プライバシーポリシー | 取得情報・利用目的・保持期間・第三者提供を整理 | 論点2 |
| データ処理説明書(DPA) | 顧客データの利用目的・学習利用有無・保存期間・削除方法を文書化 | 論点1・2 |
| セキュリティホワイトペーパー | 暗号化・アクセス制御・ログ・監査・アーキテクチャを説明 | 論点4 |
| SBOM | ソフトウェアコンポーネントと依存関係の一覧 | 論点4 |
| サブプロセッサ一覧 | 基盤AI・クラウド・外部委託先の所在国と役割を開示 | 論点3・4 |
| 規約変更通知フロー | 変更の検知・周知・効力発生・顧客対応を手順化 | 論点5 |
このうち データ処理説明書(DPA:Data Processing Agreement)は、契約書とは別に1枚の付属書として用意 しておくと、顧客の法務レビューが圧倒的に通りやすくなります。チェックリストのA-1〜B-6の構造に1対1で対応する形式にしておくと、顧客側も同じ番号体系で確認でき、稟議資料への引用が容易です。
類型2カスタマイズ型に固有の落とし穴
類型2に該当するベンダーは、汎用基盤AIに自社機能を組み合わせて顧客に提供します。このとき、上流(基盤AI提供者)の利用規約と下流(顧客向けカスタマイズ規約)の整合をどう設計するかが、長期運用上の最重要論点になります。
上流規約の変更を下流カスタマイズ規約にどう反映するか
OpenAI、Google、Anthropicなどの基盤AI提供者は、利用規約・データ取り扱いポリシーを定期的に更新します。チェックリスト4.6が指摘するとおり、類型2カスタマイズ型では、上流の変更に応じて下流のカスタマイズ規約を連動させる必要 があります。
実務では次の3点を整備しておくと運用が回ります。
- 上流ベンダーの規約変更を能動的に検知する担当・部署を決める(情シスまたは法務)
- 上流変更が下流規約に影響する場合の改定フローと顧客通知タイミングを文書化する
- 上流規約の重大変更が自社サービスの根幹を変える場合(学習方針の変更等)、契約上どこまで顧客に通知義務を負うかを事前に整理する
フォアグラウンドIPとバックグラウンドIPの整理
類型2カスタマイズ型で開発要素を伴う場合、アウトプットや派生成果物の権利帰属が論点になります。チェックリスト4.3.2は、開発で創出された知的財産(フォアグラウンドIP)と、各当事者が元から持つ知的財産(バックグラウンドIP)を初期段階で線引きする ことを推奨しています。
類型2で曖昧になりやすいのは「顧客向けに調整したプロンプト・モジュール」です。これがフォアグラウンドIPなのか、ベンダーのバックグラウンドIPの拡張なのかは、開発が進むほど切り分けが難しくなります。契約時に 「カスタマイズの結果生まれたコンポーネントの権利帰属と利用条件」 を文章化しておく必要があります。
顧客審査で詰まらないための事前セルフチェック
営業・法務・情シスが共通で確認できる、ベンダー側の事前セルフチェックリストです。商談前にここを通しておくと、稟議が止まる典型パターンを避けられます。
| 確認項目 | 整備有無 |
|---|---|
| 顧客データを汎用AI学習に使わない旨を契約・利用規約・DPAの3点に明記している | □ |
| 個人データの「委託」整理が成立する文言になっている(自己目的利用・突合の禁止) | □ |
| サブプロセッサ一覧(基盤AI・クラウド・外部委託先)を1枚で出せる | □ |
| 外国所在のサブプロセッサについて、提供根拠(同意・EEA・基準適合体制)を整理している | □ |
| セキュリティホワイトペーパーまたは同等の説明資料を準備している | □ |
| SBOMを生成・更新する仕組みが組み込まれている | □ |
| 利用規約変更の検知・通知フローが文書化されている | □ |
| 上流ベンダー規約の変更を下流カスタマイズ規約に連動させる責任部署が決まっている | □ |
| フォアグラウンドIPとバックグラウンドIPの線引きが個別契約のテンプレに入っている | □ |
| 削除義務の履行を証明するレポートを発行できる仕組みがある | □ |
10項目すべてが「整備済み」であれば、ほとんどの稟議書の質問に書面で回答できる状態です。商談で評価されているにもかかわらず契約直前で詰まる事態は、ここの事前準備不足が原因のことが多いものです。
よくある質問
経産省「AI契約チェックリスト」と「AI・データの利用に関する契約ガイドライン」の関係は?
2018年公表(2019年改訂)の契約ガイドラインは識別系AIモデルの開発を主な想定として整理されたもので、生成AI普及後の利活用局面を補完する形で2025年2月にチェックリストが公表されました。両者は併存します。新規開発型(類型3)はガイドラインAI編が引き続き参考になります。
利用規約だけ整備すれば、個別DPAは不要ですか?
多くの場合、エンタープライズ顧客は個別DPAを求めます。利用規約は不特定多数向けの画一条件、DPAは個別の委託先監督義務を満たす書面、と役割が違います。両方を用意するのが実務的に詰まりにくい構成です。
サブプロセッサ一覧はどこまで詳細に出すべきですか?
最低限、事業者名・所在国・役割(基盤AI提供、ホスティング、メール送信など)を出します。顧客が再委託への同意を契約上の条件としている場合、変更時の事前通知義務もセットで整備しておくと運用が回ります。
セキュリティ説明資料はISO/IEC 27001取得が前提ですか?
必須ではありませんが、エンタープライズ商談では取得の有無を問われる頻度が高いものです。取得していない場合でも、アーキテクチャ資料・脆弱性管理プロセス・ログ保存方針を整備しておけば、書面ベースで説明可能です。
