生成AIの法務整理 ― 個人情報保護法・著作権・契約上の留意点を中小企業向けに整理【2026年版】
「ChatGPT に顧客情報を入れて要約させていいか」「Copilot が生成した文章は誰のものか」「業務委託先のデータを Gemini で処理してよいか」――生成AIを業務に使う中小企業の経営者・情シス・法務担当が直面する、最も多い悩みです。
生成AIに関する法務上の論点は、個人情報保護法・著作権法・契約・プロバイダ規約の4軸で整理する必要があります。本記事では、2026年時点の論点を中小企業向けに整理し、実務での判断軸とガバナンスを示します。
※ 本記事は一般的な法務整理であり、個別具体的な事案については弁護士・社会保険労務士・弁理士等の専門家にご相談ください。
なお、ポリシー策定実務は生成AIを社内導入する際のルール策定ガイド、シャドーAI対策は社員が勝手にChatGPTを使うリスクとAI利用ガイドライン、業務活用パターンは業務別カスタムAIエージェント活用パターン10選を参照してください。
4軸で整理する生成AIの法務論点
| 軸 | 主な論点 | 影響 |
|---|---|---|
| 個人情報保護法 | プロンプトに個人情報を入れるか、第三者提供該当性 | 行政処分、損害賠償 |
| 著作権法 | 入力データの著作権、生成物の著作権、侵害リスク | 損害賠償、信用毀損 |
| 契約 | 業務委託先データの取扱、秘密保持義務 | 契約違反、損害賠償 |
| プロバイダ規約 | 利用規約の遵守、モデル学習設定 | アカウント停止、情報拡散 |
各軸を順に整理します。
軸1|個人情報保護法
1-1. プロンプトに個人情報を入れる行為の論点
ChatGPT などに「顧客の山田太郎さんの問い合わせメールを要約して」とプロンプトに入れる行為は、個人データを生成AIサービス(多くの場合海外事業者)に送信することを意味します。
ここで論点になるのは以下です:
| 論点 | 内容 |
|---|---|
| 利用目的の範囲内か | 取得時に告知した利用目的に「AI処理」が含まれるか |
| 第三者提供に該当するか | AIサービス事業者が「第三者」に該当するか |
| 安全管理措置は十分か | 情報セキュリティ的に問題ないか |
| 越境移転規制への該当 | 海外事業者への提供が「越境移転」に該当するか |
1-2. 「第三者提供」該当性の整理
個人情報保護法上、個人データを第三者に提供するには本人同意が必要(例外あり)。生成AIサービスへの送信が「第三者提供」に該当するかは、サービスの性質によって変わります。
| サービス特性 | 第三者提供該当性 |
|---|---|
| 入力データをモデル学習に使う(個人版・無料版) | 該当する可能性が高い |
| 入力データを学習に使わない(商用SKU、API) | 「委託」として整理しやすい |
| 自社環境内でホストするローカルLLM | 該当しない(内部処理) |
**商用SKU(学習無効)**を使うことが、第三者提供該当性を回避する基本戦略です。
1-3. 商用SKU と個人版SKU の決定的な違い
| 製品 | 個人版・無料版 | 商用SKU |
|---|---|---|
| ChatGPT | データを学習に使う(オプトアウト可) | Team/Enterprise/Business:学習しない |
| Microsoft Copilot | 個人版(学習する設定あり) | Copilot for M365:学習しない |
| Gemini | 個人版(学習する設定あり) | Gemini Business以上:学習しない |
| Claude | 個人版(学習しない) | Team/Enterprise:学習しない(明示) |
業務利用は必ず商用SKUが原則です。
1-4. 越境移転規制への対応
個人データの海外への移転は、個人情報保護法第28条で規制されます。生成AIサービスのほとんどは米国・EUの事業者が運営しているため、原則として越境移転規制の対象です。
対応策:
| 対応 | 内容 |
|---|---|
| 本人同意の取得 | 利用目的・移転先国を明示して同意 |
| 基準適合体制 | 移転先が日本相当の保護水準を満たすことを確認 |
| 委託(適用除外) | 「委託」整理で同意省略(ただし安全管理措置必要) |
| 越境しない構成 | 日本リージョンのAIサービス利用 |
Microsoft 365 Copilot、Google Workspace Gemini はテナント設定で日本リージョン保管可です。これにより越境問題を回避できます。
1-5. 安全管理措置の要件
個人データを生成AIに送る場合、以下の安全管理措置が必要です。
- アクセス権限の管理(ロールベース)
- 利用ログの取得・保管
- 委託先(AIサービス事業者)の監督
- 漏洩時の通知体制
1-6. プロンプトに入れていい情報・ダメな情報
| データ種別 | 商用SKU での扱い |
|---|---|
| 取引先の公開情報(社名、Webサイト) | 入力OK |
| 取引先個人の名刺情報(氏名、役職、メール) | 必要最小限なら可(注意) |
| 顧客個人情報(住所、電話、生年月日) | 原則NG(同意なし) |
| 社員個人情報(給与、評価、健康) | NG |
| 機密事業情報(M&A、未公開財務) | NG |
| 機密技術情報(ノウハウ、設計書) | NG(学習しないSKUでも社内ポリシーで制限) |
「個人情報が入っている場合は伏字化してから入力する」が安全な運用です。
1-7. 個人情報保護委員会の指針
個人情報保護委員会は、生成AIに関する注意喚起(2023年6月以降)を継続的に発出しています。主なポイント:
- 利用目的の範囲内での利用に留めること
- 個人情報の取扱いの委託要件を満たすこと
- 個人データを安全に管理すること
- 不適切な学習・出力リスクへの注意
詳細は個人情報保護委員会の公式サイトを参照してください。
軸2|著作権法
2-1. 入力データの著作権
生成AIにテキスト・画像・音声を入力する行為が、著作権侵害にならないかという論点です。
| ケース | 著作権法上の整理 |
|---|---|
| 自社作成のコンテンツ | 問題なし |
| 他社サイトのコンテンツ要約 | 「情報解析利用」で原則OK(著作権法30条の4) |
| 書籍・記事の全文入力 | 「情報解析利用」で原則OK(学習禁止オプトアウトあれば留意) |
| 取引先から受領した文書 | 契約上の制約あり(NDA、業務委託契約) |
著作権法30条の4により、情報解析目的でのコンテンツ利用は原則自由とされていますが、以下の場合は例外として認められません。
- 著作権者の利益を不当に害する場合
- 学習用データセットとして大量に提供する場合
2-2. 生成物の著作権
「ChatGPT が生成した文章は誰のものか」という論点です。
| 論点 | 整理 |
|---|---|
| AI生成物に著作権は発生するか | 原則として発生しない(創作的寄与がない場合) |
| プロンプト作成者に著作権は発生するか | 創作的寄与が認められれば発生する可能性 |
| 編集・加筆により著作物になるか | 人間の創作的寄与があれば著作物として認められる |
実務上:
- AIが単独で生成した文章:著作権は原則発生しない
- 人間が編集・加筆:その部分には著作権が発生
- AI支援で作成した文章:人間の創作的寄与により著作物となる可能性
2-3. 生成物の著作権侵害リスク
AIが既存著作物に類似した出力を生成するリスクがあります。
| 侵害パターン | リスク |
|---|---|
| 既存記事に酷似した文章生成 | 著作権侵害(類似性・依拠性) |
| ブランド名・キャラクターの画像生成 | 商標権・著作権侵害 |
| 楽曲・歌詞の再生成 | 著作権侵害 |
| コード生成(OSS の流用) | ライセンス違反(GPL等) |
対策:
- 生成物の人間レビューを必須化
- 商標・人物名・楽曲名等の固有名詞を生成時にチェック
- 公開前にコピペチェッカー等で類似性確認
- コード生成は依存ライセンスを確認
2-4. プロバイダの著作権補償
主要AIサービスは、出力物に関する著作権侵害クレームに対する補償サービスを提供しています。
| 製品 | 補償内容 |
|---|---|
| Microsoft Copilot Copyright Commitment | 商用SKU利用時の著作権侵害賠償をMSが負担 |
| Google Workspace Gemini | 商用利用時の補償あり(条件あり) |
| OpenAI ChatGPT Enterprise | 補償条項あり |
| Anthropic Claude Enterprise | 補償条項あり |
これらの補償は、ガードレール(不適切利用回避設定)を遵守している前提で有効です。設定を無効化しての不適切利用は補償対象外となります。
軸3|契約
3-1. 業務委託契約・秘密保持契約と生成AI
取引先・顧客から「秘密として扱う」「目的外利用しない」と契約している情報を、生成AIに入力することは、契約違反となる可能性があります。
| 契約形態 | 留意点 |
|---|---|
| 秘密保持契約(NDA) | AIへの入力が「目的外利用」に該当する可能性 |
| 業務委託契約 | 委託先データの取扱範囲を確認 |
| 個人情報取扱委託契約 | AIサービス事業者への再委託(再委託承諾の要否) |
| 雇用契約 | 社員の個人情報の取扱範囲 |
3-2. 取引先データ取扱の判断基準
取引先から受領したデータを生成AIに入力する判断基準:
1. 契約上、AI処理が禁止されていないか
2. 「目的外利用禁止」条項に該当しないか
3. 「再委託」「第三者提供」の制限がないか
4. 「秘密情報」の範囲に該当しないか
5. データ取扱国の制限はないかこれらを満たさない場合:
- 取引先に明示的な承諾を得る
- データを伏字化・匿名化してから処理
- AI処理を見送る
3-3. 自社のNDA・契約書をAIで作る場合
定型契約書のドラフトをAIで作る場合の留意点:
- 標準契約書テンプレートとの差分確認
- 法務担当・弁護士の最終レビュー
- 条項のリスク評価(責任範囲・損害賠償・解約等)
- 標準条項からの逸脱の理由を文書化
3-4. AI生成物を含む成果物の取扱
業務委託先がAIで生成した成果物を納品してきた場合:
| 論点 | 対応 |
|---|---|
| AI生成物の著作権 | 契約で帰属を明示 |
| 著作権侵害リスクの責任 | 契約で責任分配を明記 |
| 第三者開示の制限 | 通常の成果物と同様 |
| AI利用の開示義務 | 契約で要求するか検討 |
最近の業務委託契約では「AI利用の開示義務」を追加するケースが増えています。
軸4|プロバイダ規約
4-1. 各プロバイダの利用規約の要点
| プロバイダ | 業務利用条件 | 商用利用補償 |
|---|---|---|
| OpenAI | 商用利用可(プラン別) | ChatGPT Enterprise で補償 |
| Microsoft | 商用利用可 | Copilot Copyright Commitment |
| 商用利用可(プラン別) | Workspace Gemini で補償 | |
| Anthropic | 商用利用可 | Claude Enterprise で補償 |
4-2. 学習データへのオプトアウト設定
商用SKU を使わずに個人版を業務に使う場合(推奨はしないが)、学習からのオプトアウト設定を確実に行います。
| 製品 | オプトアウト設定 |
|---|---|
| ChatGPT 個人版 | 設定 → データコントロール → 「全員のためにモデルを改善する」OFF |
| Copilot 個人版 | プライバシー設定で確認 |
| Gemini 個人版 | アクティビティ管理で「Gemini Apps Activity」OFF |
| Claude 個人版 | 設定で確認 |
ただし、オプトアウト設定があるからといって完全に安全ではありません。利用規約の解釈次第で、入力データが何らかの形で利用される可能性は残ります。業務利用は商用SKUが原則です。
4-3. プロバイダ規約違反のリスク
利用規約違反のケースと結果:
| 違反 | 結果 |
|---|---|
| 個人版を業務でヘビーユーズ | アカウント停止 |
| 利用規約禁止用途(兵器、違法行為)への利用 | アカウント永久停止 |
| 大量自動アクセス(API乱用) | 利用制限 |
| 子供向け不適切利用 | アカウント停止 |
4-4. 規約変更への追従
AIサービスの利用規約は頻繁に変わります。
推奨運用:
- 主要プロバイダの規約変更通知を購読
- 半期に1回、利用規約の差分確認
- 重大変更時は社内ポリシー見直し業界別の特殊論点
業界によって、追加の法的要件があります。
医療業
- 患者情報の取扱は医療情報安全管理ガイドライン(3省2ガイドライン)
- 医療用語の専門性
- 3省2ガイドライン適合のクラウドサービス選定
金融業
- 業法上の情報管理要件(FISC安全対策基準等)
- 機微情報(取引情報、信用情報)の取扱厳格化
- AIガバナンス監督指針
法律事務所・弁護士
- 弁護士法上の守秘義務
- 顧客データのAI入力に関する慎重判断
- 弁護士会の指針
建設・製造業
- 取引先からの技術情報の取扱
- 営業秘密の保護(不正競争防止法)
- 特許情報の取扱
人事・教育機関
- 学生・社員の個人情報
- 評価情報の取扱
- バイアス・差別のリスク
中小企業向け実務ガバナンス設計
法務論点を整理した上で、中小企業として敷くべき実務ガバナンスを示します。
ガバナンス1|利用ライセンスを商用SKUに統一
業務利用は必ず商用SKU。個人版・無料版は業務利用禁止と明文化します。
ガバナンス2|禁止データの明確化
社内ポリシーで以下を明確にします:
■絶対に入力してはいけないデータ
- 顧客の個人情報(氏名・住所・連絡先・生年月日・健康情報)
- 社員個人情報(給与・評価・健康・人事考課)
- 取引先から受領したNDA下の情報
- 未公開の財務情報・M&A情報
- 機密技術情報(ノウハウ・設計書)
- 法務文書(係争中の案件、契約交渉中の文書)
■伏字化・匿名化が必要なデータ
- 取引先名(A社、B社等で表記)
- 個人名(仮名・伏字化)
- 機密プロジェクト名
- 金額・取引条件
■入力可能なデータ
- 公開情報(プレスリリース、Webサイト等)
- 自社作成の業務文書(個人情報を除外したもの)
- 一般的な業務手順・FAQ
- 公開技術情報ガバナンス3|利用ログ・監査の運用
| 観点 | 実装 |
|---|---|
| 利用ログ取得 | M365 Purview、Google Workspace 監査ログ |
| 月次レビュー | 利用状況・違反疑い |
| 違反対応 | 警告・教育・処分 |
ガバナンス4|社員教育
新人研修・年次研修で以下を教育:
- なぜ法務論点があるのか(背景)
- 商用SKUと個人版の違い
- 入力NG・OKの判断軸
- 違反事例
- 困った時の相談窓口(情シス・法務)
ガバナンス5|定期見直し
四半期 or 半期に1回、以下を見直します:
- 各プロバイダの利用規約変更
- 関連法令の改正
- 業界ガイドラインの更新
- 社内利用実態(利用ログから)
ガバナンス6|契約見直し
業務委託契約・NDA に「AI利用」に関する条項を追加します:
契約条項例:
- 受託者は本契約に基づき取得した情報を生成AIサービスに入力する場合、
事前に委託者の書面同意を得るものとする。
- 受託者が生成AIを利用する場合、学習データに利用されないことが
保証されたサービス(商用SKU等)を使用するものとする。
- 受託者が生成AIで作成した成果物には、その旨を明示するものとする。インシデント発生時の対応
生成AI関連で個人情報漏洩・著作権侵害が発生した場合の対応:
Step 1|事実確認(24時間)
- 漏洩・侵害の事実確認
- 影響範囲の特定(誰の・どの情報か)
- 流出経路の特定(どのプロバイダ・どのアカウント)
Step 2|法的対応の判断(1〜7日)
- 個人情報保護委員会への報告(速報3〜5日以内)
- 本人通知の判断
- 取引先への通知の判断
- 弁護士相談
Step 3|技術対応(同時並行)
- 該当データの削除依頼(プロバイダへ)
- アカウント・アクセス権の見直し
- 監査ログでの追跡
Step 4|再発防止策(1〜3ヶ月)
- 社内ポリシー強化
- 社員教育の再実施
- 監視強化
- 必要に応じてSKU・サービス見直し
よくある質問
Q1. ChatGPT 個人版を業務で使っています。問題ありますか?
A. 問題があります。個人版は学習に使われるリスクがあり、業務利用の各種要件を満たしません。商用SKU(Team以上)に切り替えるか、Microsoft Copilot for M365 / Gemini Business 等の商用統合製品に乗り換えることを強く推奨します。
Q2. 顧客から受領した契約書をAIで要約してよいですか?
A. 基本的にはNGです。NDAや業務委託契約上の制約があるためです。例外として、以下のいずれかを満たす場合は可能性があります。
- 取引先から明示的な同意を得た場合
- 自社が著作権を持つ標準契約書の場合
- 完全に匿名化・伏字化した場合
Q3. AIが生成したブログ記事を会社のサイトに公開できますか?
A. 可能ですが留意点があります。
- 著作権侵害のリスク(既存記事との類似性)
- ファクトチェック(ハルシネーション対策)
- 商標権侵害(固有名詞)
- AI生成であることの開示(業界・媒体による)
公開前に人間によるレビュー・編集が必須です。
Q4. Copilot で社内文書を要約しています。安全ですか?
A. 基本的に安全です。Microsoft 365 Copilot は商用SKUで学習しないことが明示されており、テナント内のデータ処理として整理できます。ただし、以下も確認してください。
- 適切な SharePoint アクセス権限設定(過共有対策)
- Purview による DLP 設定
- 利用ログのレビュー
Q5. 海外取引先のデータをAIに入れて分析できますか?
A. 追加の検討が必要です。
- 取引先の所在国の法令(GDPR等)
- 契約上の制約
- データ越境移転の対応
- AIサービスのデータ保管リージョン
弁護士相談を推奨します。
Q6. 個人情報を伏字化すれば、AIに入れて良いですか?
A. 匿名化の程度による。完全に個人を特定できない状態(k-匿名化等)まで処理すれば、個人情報保護法上の制約は緩和されます。ただし、安全策として「伏字化済みでも社内ポリシーで禁止」とする企業も多くあります。
Q7. AI生成のコードをそのまま公開ソフトに使えますか?
A. ライセンス確認が必要です。AIが OSS のコードを学習している場合、出力されたコードに**ライセンス条項(GPL等)**が暗黙的に伴うリスクがあります。
- 商用SKUの著作権補償を活用
- 出力コードを必ず人間レビュー
- ライセンス検査ツール(Snyk、FOSSA等)の活用
- 重要システムでの AI生成コード使用は要慎重判断
詳細はVibe Codingのセキュリティリスクを参照。
Q8. AI議事録ツールで録音する際の同意取得は必要ですか?
A. 必要です。日本では参加者への通知が原則として必要、米国・EUの参加者がいる場合は明示同意が必要なケースがあります。会議開始時に「AI議事録ツール使用中」を必ず通知する運用を推奨します。
詳細はAI議事録ツール完全比較を参照。
まとめ
生成AI利用の法務整理は、以下のように体系化できます。
■4軸の論点
- 個人情報保護法(第三者提供、越境移転、安全管理)
- 著作権法(入力・生成物の著作権、侵害リスク)
- 契約(NDA、業務委託、雇用契約)
- プロバイダ規約(学習設定、利用規約)
■中小企業の実務ガバナンス
1. 商用SKU に統一
2. 禁止データの明確化
3. 利用ログ・監査の運用
4. 社員教育
5. 定期見直し
6. 契約見直し
■インシデント対応
- 事実確認 → 法的対応判断 → 技術対応 → 再発防止法務論点は技術進化・法改正で継続的に変化します。半期に1回の見直しを社内ルール化し、判断に迷う事案は弁護士に相談することが、安全な利用の前提条件です。
関連記事:生成AIを社内導入する際のルール策定ガイド / 社員が勝手にChatGPTを使うリスクとAI利用ガイドライン / Cursor / Claude Code / GitHub Copilot ガバナンス完全版 / Vibe Codingのセキュリティリスク / 業務別カスタムAIエージェント活用パターン10選