Column
コラム
2026/03/25
AI・IT法務
ChatGPT、Gemini、Copilotなど、生成AIツールの業務活用が中小企業にも急速に広がっています。文書作成、メール対応、議事録の要約、マーケティングコピーの生成——確かに業務効率は劇的に向上します。
しかし、弁護士として企業法務に携わっていると、最近は「生成AIを使って起きたトラブル」の相談が増えてきました。取引先の機密情報をAIに入力してしまった、AIが生成した文章に著作権上の問題があると指摘された、社員が顧客の個人情報をプロンプトに貼り付けていた——こうした事例が実際に発生しています。
「うちの社員はそんな使い方はしていないはず」と思う経営者も多いでしょう。しかし、明文化されたルールがなければ、社員は「問題ないと思って」使います。問題が発覚したときに「知らなかった」では、法的責任を免れることはできません。
本記事では、中小企業が生成AIを安全・適法に業務利用するために、今すぐ整備すべき社内ルールと法的リスクの全体像をわかりやすく解説します。
まず、生成AIを業務利用する際に問題となりうる法的リスクを整理しておきましょう。大きく分けると以下の4つに分類されます。
生成AIは膨大なデータを学習して文章・画像・コードを生成しますが、その出力物が既存の著作物と類似している場合、著作権侵害となる可能性があります。特に画像生成AIでは、特定のアーティストのスタイルに酷似した画像を生成できてしまうため、実際に訴訟事例も海外では生じています。
また、AIが生成した文章をそのままWebサイトや提案書に使った場合、元となった著作物の無断複製となるリスクもゼロではありません。現状、日本の著作権法には生成AIに関する明確な規定は整備途上ですが、「類似性」と「依拠性」の判断次第では侵害と認定されうる点に注意が必要です。
最も危険なのが、顧客や従業員の個人情報をAIツールにそのまま入力してしまうケースです。多くの生成AIサービスは入力データを学習に利用する設定になっており(オプトアウト設定をしない限り)、入力した個人情報が第三者に漏洩する可能性があります。
個人情報保護法では、個人情報を第三者に提供する際には原則として本人の同意が必要です。AIサービスへの入力が「第三者提供」に該当すると判断された場合、同意なしに個人情報を入力することは法令違反となります。個人情報保護委員会も生成AIへの個人情報入力に関する注意喚起を行っています。
取引先から受け取った機密資料、社内の経営計画、未公表の製品情報——こうした情報を生成AIに入力することで、情報が流出するリスクがあります。特にクラウド型の生成AIサービスは、入力データがサーバー(多くは海外)に送信されるため、不正競争防止法上の営業秘密として保護されていた情報が、意図せず外部に開示された状態になりかねません。
取引先との秘密保持契約(NDA)に「第三者への開示禁止」が定められていれば、AIへの入力がNDA違反となる可能性もあります。
生成AIは「もっともらしい嘘(ハルシネーション)」を出力することがあります。法律的な内容、数値データ、事実関係について誤った情報を生成する場合があり、これをチェックせずに取引先や顧客に提供した場合、契約上の責任や不法行為責任を問われる可能性があります。
リスクを理解したうえで、今すぐ着手すべき社内ルール整備の具体的な内容を解説します。
最も重要なのは、「生成AIに入力してはいけない情報」を具体的にリストアップして周知することです。以下を参考に、自社の実情に合わせて定めてください。
「どこまでが機密か」の判断が難しい場合は、「外部に出して問題ない公開情報のみ入力可」という原則を設けると運用しやすくなります。
社員が各自の判断で様々なAIツールを使い始めると、リスク管理が困難になります。会社として利用を認めるツールを指定し、それ以外の利用は事前申請制にすることが望ましいです。
指定の際には、そのツールのプライバシーポリシーを確認し、「入力データを学習に使用しない」「データを暗号化して保管する」「EU一般データ保護規則(GDPR)準拠である」などのセキュリティ要件を満たすものを選びましょう。ChatGPT Enterpriseや企業向けMicrosoft 365 Copilotは、デフォルトでデータを学習に使用しない設定となっており、企業利用に適しています。
AIが生成した文章・画像・コードについて、以下のルールを定めておくことをお勧めします。
ルールを作るだけでなく、全従業員への教育が不可欠です。特に伝えるべきポイントは以下の通りです。
入社時の研修や年1回の定期研修に組み込むとともに、ルールを記したチートシートをデスクに貼るなど、日常的に意識できる環境を整えましょう。
万が一、禁止情報を入力してしまった場合に備え、対応手順を事前に決めておくことが重要です。
社員が社内ルールを無視してAIに機密情報を入力し、情報が漏洩した場合、法的責任はどこに帰属するのでしょうか。
使用者責任(民法715条)の観点から、従業員が業務中に第三者に損害を与えた場合、原則として会社も損害賠償責任を負います。「社員が勝手にやった」では免責されません。ただし、会社が相当の注意を払っていた場合(適切な教育・ルール整備・監督を行っていた場合)は免責される余地があります。
つまり、今回述べたような社内ルールを整備し、従業員教育を実施していたという事実が、万が一の際の会社の責任軽減につながるのです。逆に言えば、何もしていなかった会社は責任を問われやすくなります。
故意または重大な過失がある場合、従業員個人も損害賠償責任を負う可能性があります。また、不正競争防止法上の営業秘密侵害行為には刑事罰も定められています(10年以下の懲役または2000万円以下の罰金)。社員が悪意なくルールに違反した場合でも、民事上の責任を問われることはありえます。
従業員が安心してAIを活用できるよう、明確なルールとサポート体制を整えることが、会社にとっても従業員にとっても重要です。
口頭やメールでの周知だけでは不十分です。法的効力を持たせるために、就業規則や関連規程への明文化が必要です。
既存の「情報セキュリティ規程」や「機密情報管理規程」がある場合は、生成AIに関する条項を追記します。ない場合は新たに「生成AI利用規程」を策定し、就業規則の附属規程として位置づけることが望ましいです。
規程に盛り込む内容の例:
取引先とのNDAを新規締結または更新する際には、生成AIへの情報入力を「第三者への開示」として扱う旨、または明示的に禁止する条項を追加することを検討してください。既存のNDAには規定がないことがほとんどであるため、取引先と認識を合わせておくことが重要です。
フリーランスや業務委託先への情報提供が伴う場合は、委託契約書にも生成AIの利用制限を明記しておくことをお勧めします。「委託業務において受領した情報を生成AIツールに入力することを禁ずる」といった条項です。
最後に、中小企業の経営者・管理職が今すぐ着手できる具体的なアクションをまとめます。優先度順に並べましたので、上から順に取り組んでみてください。
内閣府・経済産業省・個人情報保護委員会などから生成AIに関するガイドラインが続々と公表されています。特に経済産業省の「AI事業者ガイドライン」や個人情報保護委員会の「生成AIサービスの利用に関する注意喚起」は参照すべき文書です。
生成AIの活用はもはや避けられない流れです。禁止することが現実的でない以上、リスクを理解したうえで「使いこなすルール」を整備することが経営者の責務です。
「うちの会社には関係ない」と思っているうちに、一人の社員の不注意で取引先の信頼を失い、損害賠償請求を受ける——そうした事態を防ぐために、今こそ手を打っておくべきです。
社内ルールの整備、就業規則の改定、取引先とのNDA見直しなど、生成AI時代の法的リスク対応についてお悩みの場合は、企業法務を専門とする弁護士にご相談ください。当事務所では、中小企業の実情に合わせた現実的なルール整備をサポートしております。