ITガバナンス (更新: 2026年6月7日)

AI推進法(AI新法)とは? 中小企業に義務はあるのか——2025年全面施行の内容と実務対応をやさしく解説

#AI推進法#AI新法#AIガバナンス#法規制#生成AI

「日本でもAI法ができたらしいが、うちの会社のChatGPTやCopilotの利用は何か規制されるのか?」——2025年に成立した**AI推進法(正式名称:人工知能関連技術の研究開発及び活用の推進に関する法律)**について、中小企業の経営者・情シスからよく受ける質問です。

結論を先に言うと、この法律で中小企業のAI利用が直接規制されることはありません。罰則もありません。しかし「だから読まなくていい法律」かというと、そうではありません。この法律はAI基本計画とセットで、取引先・業界ガイドライン・調達要件を通じて、企業に「AIガバナンスの説明責任」が降りてくる起点になるからです。

この記事では、AI推進法の内容を正確に押さえた上で、中小企業が実務で整えるべき最低ラインを解説します。

AI推進法とは——「規制法」ではなく「推進法」

AI推進法は2025年5月に成立、6月4日に公布・一部施行され、2025年9月1日に全面施行されました。日本初のAIに関する基本法です。

最大の特徴は、その名のとおり規制法ではなく推進法であることです。

  • EUのAI規制法(AI Act): リスクベースでAIの用途を分類し、禁止・義務・罰金(最大で全世界売上の数%)を定める「規制」アプローチ
  • 日本のAI推進法: 研究開発と活用を国を挙げて推進するための体制・計画を定める「振興」アプローチ。罰則規定はない

日本は「イノベーション促進を基本としつつ、リスクには既存法(個人情報保護法、著作権法、不正競争防止法等)と政府の調査・指導で対応する」という世界的にも軽量な制度設計を選びました。

法律の主な内容

  • AI戦略本部の設置: 内閣に総理を本部長とするAI戦略本部を設置し、司令塔機能を一元化
  • AI基本計画の策定: 政府としてのAI政策の羅針盤。2025年12月に閣議決定され、AI利活用の加速、ガバナンス・信頼性確保などが柱に位置づけられた
  • 国の調査権能: AIによる権利侵害事案等について国が調査・分析し、事業者への指導・助言・情報提供を行う。悪質な事案では事業者名の公表が運用上の抑止力として想定されている

参考: 人工知能関連技術の研究開発及び活用の推進に関する法律(AI法)- 内閣府

企業に課されるのは「努力義務」——第7条の読み方

企業に関係する条文は実質的に**第7条(活用事業者等の責務)**です。要旨は次の2点です。

  1. AIを活用する事業者は、自ら積極的にAIを活用して事業の効率化・高度化に努める
  2. 国・地方公共団体が実施するAI施策に協力する

いずれも努力義務であり、違反しても罰則はありません。面白いのは、1点目が「AIのリスクに気をつけよ」ではなく「AIを活用せよ」という方向の責務であることです。国の基本姿勢が活用促進にあることがよく表れています。

罰則がない=何もしなくてよい、ではない

ただし、以下の点で「実質的なプレッシャー」は存在します。

  • 事業者名公表という社会的制裁: 重大な権利侵害を起こした事業者は、罰金の代わりに「名指し」される。中小企業にとって取引先からの信用毀損は罰金より痛い
  • 既存法はフルに適用される: AIで個人情報を不適切に扱えば個人情報保護法、生成物が他者の著作物に酷似すれば著作権法。AI推進法に罰則がないことは免罪符にならない
  • ガイドライン経由の事実上の標準化: AI事業者ガイドライン等のソフトローが、取引先のチェックシートや業界基準に組み込まれ、「やっていて当然」のラインが上がっていく

中小企業の実務対応——「AI利用ポリシー」が最低ライン

AI推進法そのものへの対応というより、この法律が方向づけた社会環境(活用は推進、ただし説明責任は問われる)への対応として、以下を整備することをおすすめします。

1. AI利用ポリシーの策定(最優先)

「使ってよいAIサービス」「入力してはいけない情報(顧客の個人情報、取引先の機密、未公表の財務情報等)」「生成物を社外に出す際の確認手順」を1〜2ページで明文化します。野放しの利用と全面禁止はどちらも最悪手で、条件つきで公認するのが正解です。

2. 利用サービスの統制

個人アカウントの無料AIサービスに業務データが流れる「シャドーAI」が最大のリスクです。Microsoft 365 CopilotやGemini for Workspaceなど、組織契約でデータが学習に使われない法人向けサービスに利用を寄せることが、ポリシーを実効化する近道です。

3. リスクの高い用途の線引き

人事評価・与信判断・採用選考など、個人への重大な影響を持つ判断へのAI利用は、EU AI Actではハイリスク扱いされる領域です。日本法に直接の規制はなくても、この領域は「人間による最終判断」を必ず挟むルールにしておくと、将来の規制強化や取引先要求にも耐えられます。

4. AIの「出力の検証」を業務フローに組み込む

ハルシネーション(もっともらしい誤情報)対策として、生成物のファクトチェック責任を利用者に置くことを明記します(参考:「ビジネスにおけるハルシネーション対策」)。また、外部からの細工された文書・メールでAIを操るプロンプトインジェクションへの備えも、Copilot/Gemini導入企業では必須です(参考:「プロンプトインジェクション対策」)。

5. AIエージェント時代の台帳管理

2026年現在、論点は「社員がAIを使う」から「AIエージェントが業務を実行する」へ移りつつあります。誰がどんなエージェントを作り、何のデータに接続しているかの台帳管理は、AIガバナンスの次の主戦場です(参考:「中小企業のためのAIエージェントガバナンス」)。

今後の見通し——「推進法」のままとは限らない

AI推進法は附則・運用を通じて見直しが想定されており、AI基本計画でもガバナンスや信頼性確保が中核に置かれました。EUのAI Act、米国の州法レベルの規制など国際的な規制環境も流動的で、ディープフェイクや権利侵害の重大事案が起きれば、日本でも個別規制が追加される可能性は十分あります。

つまり現在は、**「罰則なしの推進フェーズのうちに、自社のAIガバナンスを低コストで整えられるボーナス期間」**と捉えるのが実務的です。規制が来てから慌てて整備するより、活用と統制を同時に育てた企業が有利になります。

まとめ

  • AI推進法は2025年9月1日に全面施行された日本初のAI基本法。 EU型の規制法ではなく振興法で、罰則はない
  • 企業の責務は第7条の努力義務(活用への努力と国の施策への協力)のみ。ただし事業者名公表・既存法の適用・ガイドラインの事実上の標準化という形で説明責任は問われる
  • 中小企業の実務対応は(1)AI利用ポリシー策定、(2)法人向けサービスへの統制、(3)ハイリスク用途の線引き、(4)出力検証のフロー化、(5)エージェント台帳——の5点セット
  • AI基本計画(2025年12月閣議決定)以降、ガバナンス・信頼性が政策の中核に。規制強化前の今が体制整備の好機

情シス365では、中小企業向けのAI利用ポリシー策定、Copilot・Gemini等の法人AI導入と利用統制の設計を支援しています。「全面禁止のまま放置している」「現場が勝手に使い始めて統制が効かない」——どちらの状態の企業も、お気軽にご相談ください。

📊Consult365 — IT戦略コンサルティング

IT戦略の策定からSaaS棚卸し、コスト最適化まで。経営に直結するIT課題を専門家が支援。

サービス詳細を見る → 60分無料相談

情シスのお悩み、ご相談ください

専門スタッフが貴社の課題に合わせたご提案をいたします。

60分無料相談はこちら 資料ダウンロード
メールでのお問い合わせはこちら →
60分無料相談