トップブログ › AI事業者ガイドライン第1.2版を5分で読み解く

AI事業者ガイドライン第1.2版を5分で読み解く|中小企業がいま守るべき5項目

公開日: 2026-05-17

「ChatGPT を使い始めたい。でもガイドラインを読んでいる時間がない」――中小企業の経営者・情シス・DX 担当の方から、私たちは何度も同じ相談を受けました。経済産業省と総務省が公開している「AI事業者ガイドライン第1.2版」は、A4 換算で 100 ページを超えます。法律実務家でなければ、平日の昼休みに読み切れる分量ではありません。

本記事では、このガイドラインを中小企業の「利用者」目線で 5 つの実務項目に圧縮しました。明日の朝、社内 Slack で何を周知すればよいか、その粒度で書いています。なお、本ガイドラインは法的拘束力を直接持つ法令ではなく、関係省庁が整理したベストプラクティス集として位置づけられています。ただし、ここを満たさないまま事故が起きた場合、説明責任を問われるリスクは小さくありません。「読まなくても罰せられないから後回し」ではなく、「事故が起きたときに会社を守ってくれる紙」として扱うのが現実的だと考えています。

[出典] AI事業者ガイドライン第1.2版(経済産業省・総務省)
本体ページ: https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html
PDF: https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20260331_1.pdf

その前に:ガイドラインの「3つの主体」を整理する

ガイドラインは AI に関わる事業者を 3 つの主体に分けています。本論に入る前に、自社がどの主体に該当するかを確認してください。

主体定義(要約)典型例
AI 開発者AI モデル・システムを開発する事業者OpenAI、Anthropic、国産 LLM 開発企業
AI 提供者AI システムを組み込んでサービスとして提供する事業者ChatGPT を業務 SaaS に組み込む SaaS ベンダー
AI 利用者業務で AI システムを利用する事業者・個人社内で ChatGPT / Copilot / Gemini を使う一般企業

中小企業のほぼ全てが「利用者」に該当します。自社で LLM を学習させていない限り、開発者・提供者の責務(学習データの適法性、モデルの透明性確保、安全性評価など)は直接的な対象ではありません。本記事は利用者に絞って書きます。

とはいえ、利用者にも責務はあります。ガイドラインは「AI を業務で使う事業者は、AI を使った結果に対する説明責任を負う」という方針を明確にしています。「AI が勝手にやった」「ベンダーが悪い」という言い訳は、少なくともこのガイドラインの建付け上は通りません。

中小企業がいま守るべき5項目

(1) 入力する情報の判別 ― 「これは入れていいのか」を立ち止まる仕組み

一番事故が起きやすいのが、ここです。私たちが研修現場で見てきた事故の 7 割は、入力段階で起きていました。「会議の議事録を要約してほしい」と何気なく ChatGPT に貼り付けたメモに、顧客の氏名・取引先の機密案件名・未公開の人事情報が含まれていた――この種の事故です。

ガイドラインは利用者の責務として、入力する情報の機密性・個人情報該当性を事前に判別することを求めています。具体的には次の 3 カテゴリを社内で線引きしておくのが現実的です。

  • 赤(入力禁止): 個人情報(氏名・住所・メール・電話・マイナンバー)、顧客情報、社外秘の財務・人事・契約情報、未公開の経営判断、ソースコードのうち機密ロジック
  • 黄(要マスキング): 取引先名、案件番号、固有名詞を含む議事録、社内の意思決定プロセス
  • 緑(入力可): 公開済みの一般情報、社外公開済みの自社プレスリリース、業界一般のリサーチ依頼

個人情報保護委員会も、生成 AI への個人情報入力について明確に注意喚起しています。「本人同意なく入力することは法令違反となる可能性がある」という整理であり、これは現場で最も誤解されている点です(出典: 個人情報保護委員会 生成 AI 注意喚起)。

明日の朝にやることは 1 つだけです。「入力前に、赤・黄・緑のどれかを 3 秒考える」というルールを社内 Slack に書いて固定表示してください。それだけで事故は半減します。

[出典] AI事業者ガイドライン第1.2版 第3部(利用者編)
PDF(経産省・総務省)

(2) 出力物の検証 ― 「AI が言ったから」は通らない

生成 AI の出力にはハルシネーション(事実無根の情報をもっともらしく出す現象)が含まれます。これは仕様であり、不具合ではありません。利用者は、出力をそのまま社外に出してはいけない――この一行が、ガイドラインの利用者責務の中核です。

ガイドラインは「AI 出力の最終的な責任は、それを業務に使う利用者にある」という立場を取っています。法律相談で AI が出した条文番号、医療情報、税務上の数値、引用文献、顧客への提案書――どれも人間の最終確認を通してから外に出す必要があります。

検証粒度は業務リスクに応じて 3 段階で十分です。

  • 高リスク業務(法務・税務・医療・金融・契約書・顧客向け提案): 専門家または上長による全件レビュー
  • 中リスク業務(社外メール・記事・広報文): 担当者本人+もう 1 名の二重確認
  • 低リスク業務(社内議事録の要約、ブレスト、たたき台作成): 担当者本人の目視確認のみ

「AI に任せたから速くなった」が真の効率化ではありません。「AI でドラフトを作り、人間で 30 分検証する」サイクルが回って初めて、事故ゼロで時間が浮きます。

[出典] AI事業者ガイドライン第1.2版 第3部(利用者編・人間によるレビュー)
PDF(経産省・総務省)

(3) 著作権リスクの認識 ― 生成物の権利関係は曖昧である

「ChatGPT が書いた文章の著作権は誰のものか」――研修で必ず聞かれる質問です。

現時点(2026 年 5 月)の整理は次の通りです。AI が単独で自動生成した出力には、原則として著作権は発生しません(人間の創作的寄与がないため)。一方で、AI が学習に使ったデータに既存著作物が含まれていた場合、生成物が偶然それに類似してしまうリスクは残ります。「類似性」と「依拠性」が認められれば、著作権侵害になり得るというのが文化庁の整理です。

中小企業の利用者が現実にやるべきことは 3 つです。

  • AI 生成画像・文章を社外公開する前に、画像検索・文章検索で類似物がないか確認する
  • キャラクター名・実在の作家名・既存ブランド名・既存商品画像をプロンプトに入れない
  • 商用利用する場合、利用している AI サービスの利用規約上の商用利用可否を契約書ベースで確認する

「AI が作ったから自由に使える」は誤解です。生成過程で他者の著作物に近づいた瞬間、責任は利用者に戻ってきます。

[出典] 文化庁 AI と著作権について
https://www.bunka.go.jp/seisaku/chosakuken/aiandcopyright.html
[出典] AI事業者ガイドライン第1.2版 第3部(権利侵害への配慮)
PDF(経産省・総務省)

(4) 社内利用ルールの文書化 ― 口約束では会社を守れない

「うちは小さい会社だから、口頭で『個人情報は入れるなよ』と言っておけば十分」――これが一番危険です。口約束は、事故が起きたときに 100% 通用しません。労務トラブル・顧客クレーム・委員会対応のいずれでも、最初に求められるのは「社内ルールの文書」です。

ガイドラインは利用者に対し、AI 利用に関する社内ルール・利用基準を整備することを推奨しています。中小企業向けに最低限必要な要素は、A4 1〜2 枚に収まる範囲で次の 7 つです。

  1. 使ってよい AI サービス(業務用契約のあるもの/無料版は禁止、など)
  2. 入力禁止情報の定義(赤・黄・緑のリスト)
  3. 出力物の検証ルール(誰が、何を、いつ確認するか)
  4. 社外公開時の表記(AI 利用の明示が必要な場合)
  5. 事故発生時の連絡先(情シス・上長・経営者の順序)
  6. 研修受講の義務化(全社員、年 1 回以上)
  7. 違反時の対応(注意・再研修・懲戒の三段階)

このリストを Google Docs で 1 枚作り、就業規則に「別紙として AI 利用ルールを定める」と一行追加する。それだけで「文書化されたルールが存在する会社」になります。法務事務所への大型依頼は、その後でも遅くありません。

[出典] AI事業者ガイドライン第1.2版 第3部(社内ガバナンス)
PDF(経産省・総務省)

(5) 教育・周知 ― ルールは「読ませて初めて」効力を持つ

4 番目までを整えても、社員が読んでいなければゼロです。私たちが入った 30 社のうち、ルールを文書化済みの企業は 11 社ありましたが、そのうち全社員が一度でも目を通していた企業は 3 社でした。残りの 8 社は、事故が起きても「読んでいませんでした」で終わる状態でした。

ガイドラインは利用者に対し、AI を業務で使う全ての関係者に対する継続的な教育を求めています。中小企業向けに無理のない運用は次の通りです。

  • 新入社員研修: 入社初日に 60 分の AI 利用研修を必須化(ルール文書を読ませ、確認テスト)
  • 全社員年次研修: 年 1 回、60〜90 分。当年の事故事例・ガイドライン改訂点を反映
  • 管理職追加研修: 部下が起こした事故への一次対応訓練(年 1 回、30 分)
  • 受講記録の保存: 誰がいつ受講したか、人事 DB または Google Sheets で 5 年保存

受講記録が残っているかどうかは、事故発生時の会社の「過失なし」立証に直結します。研修を実施したという証拠が紙で残っているかどうかで、賠償額が一桁変わる事例も実際にあります。

[出典] AI事業者ガイドライン第1.2版 第3部(教育・周知)
PDF(経産省・総務省)

よくある誤解(Q&A 3つ)

Q1. ガイドラインに法的拘束力はないのだから、無視してもよいのでは?

形式的にはその通りです。ガイドラインそのものに罰則はありません。ただし、ガイドラインの内容は個人情報保護法・著作権法・不正競争防止法・労働法と整合する形で書かれており、これらの法律違反が起きた場合の「過失の有無」「予見可能性」の判断材料として使われます。「ガイドラインを守っていなかった」事実は、裁判・行政指導・委員会対応で不利な材料になります。守らない選択は、会社の保険を 1 つ外すのと同じです。

Q2. ChatGPT の有料版を契約すれば、入力情報は学習されないと聞いた。本当か?

事業者向けプラン(ChatGPT Enterprise / Team、Azure OpenAI、Gemini for Workspace 等)では、入力データをモデル学習に使わない契約条項が標準で含まれています。ただし、これは「学習されない」というだけで、「情報漏えいリスクがゼロ」という意味ではありません。社員が誤って外部宛にコピー&ペーストする、AI ベンダー側の障害でログが流出する、といった経路は別に存在します。「学習されない契約だから何でも入れていい」という運用は、ガイドラインの利用者責務の趣旨から外れます。

Q3. 5 名規模の零細企業でも、ここまでやる必要があるか?

規模が小さいほど、事故が起きたときに会社が止まります。零細企業向けには、A4 1 枚のルール+年 1 回 30 分の研修+赤・黄・緑リストの Slack 固定の3 点セットでも十分機能します。完璧を目指すのではなく、「事故が起きたときに、これだけはやっていました」と言える紙が残っていれば、会社は守れます。

次の一歩 ― 中小企業が今週やる3つの実務

本記事の内容を、今週中に手を動かす単位に圧縮します。

  1. 月曜の朝: 経営者または情シス担当が、社内 Slack(または共有チャット)に「AI に入れてはいけない情報リスト(赤・黄・緑)」を固定投稿する。所要 15 分
  2. 水曜まで: Google Docs に A4 1 枚の「AI 利用ルール」を作成し、全社員にリンクを共有。読んだら絵文字で反応してもらう。所要 60 分
  3. 金曜まで: 全社員向けに 30〜60 分のオンライン研修を 1 回実施。録画して受講記録を Google Sheets に保存。所要 90 分

合計 3 時間弱で、「ガイドラインを踏まえた最低限のガバナンスが整った会社」に変わります。完璧でなくても構いません。残しておくべきは、「やった」という記録です。

まとめ

  • AI事業者ガイドライン第1.2版は法的拘束力こそ持たないが、事故時の説明責任の基準として機能する
  • 中小企業はほぼ全てが「利用者」。本記事の 5 項目を押さえれば、利用者責務の大枠はカバーできる
  • 守るべきは「入力判別・出力検証・著作権認識・ルール文書化・教育周知」の 5 項目
  • ルールは文書で残し、研修は受講記録で残す。「やった」証拠が会社を守る
  • 今週中に、Slack 固定・A4 1 枚ルール・30 分研修の 3 点セットで第一歩を踏み出せる

「現場運用 AI 研修」で、社内に守れるルールを定着させませんか

Kijiqa の AI 研修は、ガイドライン第1.2版に準拠した教材で、入力判別・出力検証・著作権・社内ルール・教育周知を一気通貫でカバーします。Course A5(経営者・情シス向け 60 分集中)と Course C1(全社員向け年次研修テンプレ)が中小企業の最初の一歩に最適です。
所要 3 時間で、社内に「守れる紙」が残ります。

研修コース一覧を見る 研修の相談をする