企業法務リーガルメディア

中小企業のための生成AI利用ルール整備の実務|AI法・著作権・個人情報・営業秘密・従業員利用への対応

はじめに

生成AIは、文章作成、議事録の整理、翻訳、調査の補助、営業資料の作成など、企業の日常業務に急速に浸透しています。人手不足を補い業務効率化を図る手段として、中小企業でもChatGPTをはじめとする生成AIサービスを利用する場面が増えています。一方で、顧客情報、契約書、議事録、未公表資料、営業秘密などを不用意に入力することによる情報漏えい、個人情報保護法上の問題、秘密保持義務違反、著作権侵害といった法的リスクも顕在化しています。

生成AIを業務に取り入れる際の論点は、「使うか使わないか」ではなく、「どの範囲で、誰が、どの情報を入力し、出力をどのように確認して使うか」を社内で明確にすることにあります。本稿では、中小企業の経営者、管理部門(人事・総務・法務)、および顧問先からの相談を受ける士業の方を対象に、生成AIの利用をめぐる現行の法令とガイドラインを整理したうえで、社内ルールを整備する際の実務上のポイントと参考書式を示します。

目次

第1章 なぜ今、生成AI利用ルールの整備が必要か

1 生成AIの業務利用が前提となりつつある

生成AIは、特別な専門知識がなくても自然言語で指示できる点に特徴があり、定型的な文書作成や情報整理の負担を軽減します。中小企業においても、限られた人員で業務量をこなすための実務ツールとして定着しつつあります。利用を一律に禁止する方針は、業務効率化の機会を逃すだけでなく、従業員が私用端末や私的アカウントで利用する「シャドーAI」を招き、かえって会社が利用実態を把握できない状態を生みます。

2 利用に伴う法的リスクは複数の法分野にまたがる

生成AIの利用に伴うリスクは、単一の法律で完結しません。入力面では個人情報保護法と不正競争防止法(営業秘密)、取引先との秘密保持義務が関係し、出力面では著作権法をはじめとする知的財産権や、誤情報による信用毀損・契約上の責任が問題となります。さらに、2025年に成立した「人工知能関連技術の研究開発及び活用の推進に関する法律」(以下「AI法」といいます。)や、国が示すAI事業者ガイドラインなど、AIの利活用とリスク対応の両立を求める枠組みも整備されてきました。

3 ルール整備は「リスク回避」と「活用促進」の両立策である

社内ルールの整備は、利用を制限するためだけのものではありません。入力してよい情報の範囲、利用してよいサービス、出力物の確認手順をあらかじめ定めておくことで、従業員は安心して生成AIを業務に活用できます。ルールの不在は、判断を個々の従業員に委ねることを意味し、情報漏えいや権利侵害が生じた際の責任の所在も不明確になります。整備された規程は、トラブルの予防と、問題が生じた場合の説明責任の双方に資するものです。

第2章 生成AI利用をめぐる法令・ガイドラインの最新動向

生成AIに関する法的枠組みは、この数年で急速に整備が進みました。中小企業が押さえておくべき主要な法令とガイドラインを、現行の内容に即して整理します。

1 AI法(AI推進法)の成立と中小企業への意味

AI法は、2025年(令和7年)6月4日に公布され、同年9月1日に全面施行されました。正式名称は「人工知能関連技術の研究開発及び活用の推進に関する法律」で、AIの研究開発と活用の推進を図ることを目的とする基本法・理念法と位置づけられます。個別の行為を直接規制し、違反に罰則を科す類型の法律ではありません。

同法は、内閣にAI戦略本部を設置し、政府がAIの研究開発および活用に関する基本的な計画(人工知能基本計画)を策定すること、国・地方公共団体・研究開発機関・事業者・国民の各主体の責務を定めること、研究開発の推進、人材の確保、適正な活用の確保、国際協力などの施策を講じることを内容としています。事業者については、基本理念にのっとり、国・地方公共団体が実施する施策に協力することが求められています。

中小企業にとっての実務上の意味は、次の点にあります。第一に、AIを業務に用いる企業は同法にいう「活用事業者」に含まれ得ますが、直接の義務や罰則が課されるわけではありません。第二に、もっとも、同法は国がAIの適正な活用の確保に向けて必要な施策を講じる枠組みを定めており、AIの不適正な利用により権利利益の侵害などの重大な事案が生じた場合には、国による調査や情報の提供、指導・助言等の対応がなされ得ます。第三に、こうした国全体の方向性を踏まえると、企業が自主的に利用方針と社内ルールを整え、説明できる体制を持つことの重要性が高まっています。AI法は、罰則による規律ではなく各主体の自主的な取組を促す構造となっているため、中小企業においても自主的なルール整備が実質的な要請となります。

2 AI事業者ガイドライン(第1.2版)

総務省および経済産業省は、AIの開発・提供・利用に関する基本的な考え方を示す「AI事業者ガイドライン」を公表しています。最新版は第1.2版(2026年(令和8年)3月31日公表)で、AIエージェントやフィジカルAI、リスクベースアプローチ、AI法・広島AIプロセスなどの最新動向が反映されました。同ガイドラインは、社会情勢の変化に応じて随時見直される「リビングドキュメント」と位置づけられています。

同ガイドラインは、AIに関係する主体を「AI開発者」「AI提供者」「AI利用者」に区分しています。生成AIを業務に用いる一般の事業者は、主として「AI利用者」に当たります。ガイドラインは、人間中心、安全性、公平性、プライバシー保護、セキュリティ確保、透明性、アカウンタビリティ、教育・リテラシー、公正競争の確保、イノベーションといった共通の指針を示しています。

AI利用者に期待される事項としては、提供時に想定された範囲内での適正な利用、入力するデータやプロンプトの適切な取扱い、生成された出力をそのまま用いるのではなく人間が内容を確認し最終的な判断と責任を負うこと、バイアスや誤りを含む出力への留意、関係者への必要な説明などが挙げられます。ガイドライン自体に法的拘束力はありませんが、社内ルールを設計する際の実務上の指針として有用であり、自社の取組がこれに沿っていることは、対外的な説明においても意味を持ちます。

3 個人情報保護法と生成AI

個人情報保護委員会は、2023年(令和5年)6月2日に「生成AIサービスの利用に関する注意喚起等について」を公表しています。個人情報取扱事業者が留意すべき点として、主に次の事項が示されています。

  1. 生成AIに個人情報を含むプロンプトを入力する場合には、あらかじめ特定した利用目的を達成するために必要な範囲内であることを確認すること。
  2. 入力した個人データが当該サービス提供事業者による機械学習等に利用される場合があるため、利用目的の達成に必要な範囲を超えて取り扱われないよう、学習に利用されない設定や契約条件であることを確認すること。
  3. 本人の同意なく要配慮個人情報を取得することのないよう留意すること。

入力した個人データが提供事業者側で利用・保存される態様によっては、利用目的による制限、第三者提供や委託の規律との関係が問題となり得ます。実務上は、学習に利用しない設定の有無や利用規約・データの取扱条件を事前に確認することが基本となります。

さらに、いわゆる3年ごと見直しに基づく個人情報保護法の改正が進められています。2026年(令和8年)には改正法案が国会に提出され、本稿執筆時点(2026年6月)で審議が進められています。改正案には、悪質な違反に対する課徴金制度の導入、こどもの個人情報や生体データの保護強化、統計情報の作成等を目的とする利用に関する規律の見直しなどが含まれています。施行は成立後一定の準備期間を経たうえとなる見込みですが、規制強化の方向性を踏まえ、個人情報を扱う場面でのAI利用には早期から慎重な運用が求められます。

4 著作権法と文化庁の「考え方」

生成AIと著作権については、文化庁が2024年(令和6年)3月15日に「AIと著作権に関する考え方について」(文化審議会著作権分科会法制度小委員会)を取りまとめています。これは法的拘束力を持つものではありませんが、現行著作権法の解釈に関する整理として実務上重視されています。論点は、AIの「学習段階」と、生成・利用の「生成段階・利用段階」に分けて理解すると整理しやすくなります。

学習段階については、著作権法第30条の4が、著作物に表現された思想または感情を自ら享受し、または他人に享受させることを目的としない利用(情報解析など)について、原則として著作権者の許諾なく利用できると定めています。もっとも、享受を目的とする利用が併存すると評価される場合や、著作権者の利益を不当に害することとなる場合(ただし書)には、この規定は適用されません。たとえば、特定の著作物の創作的表現を出力させることを目的とした追加学習などは、適用の対象外となり得ます。

生成・利用段階については、AIを用いて生成した文章や画像であっても、既存の著作物との間に類似性と依拠性が認められる場合には、通常の著作権侵害と同様に侵害が成立し得ます。とりわけ、利用者が既存の著作物を認識したうえで類似する生成物を作成した場合には、依拠性が認められやすくなります。生成物を広告、ウェブサイト、営業資料、顧客向け文書などに用いる場面では、特に注意が必要です。なお、人間の創作的寄与が認められず、AIが自律的に生成したにとどまる生成物については、そもそも著作物として保護されない可能性があり、自社の成果物として権利を主張できないことにも留意が必要です。

5 不正競争防止法・営業秘密管理指針

自社の技術情報や営業情報を生成AIに入力する場面では、不正競争防止法上の営業秘密の管理が問題となります。経済産業省の「営業秘密管理指針」は2025年(令和7年)3月31日に改訂され、生成AIの利用に関する考え方が示されました。営業秘密として保護されるには、秘密管理性、有用性、非公知性の3要件を満たす必要があります。

このうち秘密管理性については注意が必要です。情報が自社の管理下を離れ、生成AIの提供事業者など第三者に提供される態様で入力されると、秘密として管理されているとはいえないと評価され、秘密管理性が否定される場合があり得ます。秘密管理性が失われれば、その情報は営業秘密として法的保護を受けられなくなります。経済産業省の「秘密情報の保護ハンドブック」や「限定提供データに関する指針」にも、生成AIの利用に関する記載が加えられています。

実務上は、生成AIに提供してよい情報の範囲をあらかじめ明確にし、営業秘密に該当する情報は原則として入力しないこと、入力する場合には学習に利用されない契約・設定であることを確認すること、生成された出力物の社外提供を管理することが求められます。

第3章 中小企業が直面する主な法務リスクの類型

生成AIの利用に伴うリスクは、次の類型に整理できます。社内ルールの設計は、これらの類型ごとに対策を講じる作業といえます。

リスク類型 主な内容
情報漏えい 顧客情報・社内資料・未公表情報を入力し、提供事業者側で保存・学習に利用され、外部に流出するおそれ。
個人情報 個人データの入力が利用目的の範囲を超える、本人同意なく取り扱う、要配慮個人情報を不適切に取得するなどの個人情報保護法上の問題。
営業秘密・秘密保持 自社の営業秘密の秘密管理性喪失、取引先から受領した秘密情報の入力による秘密保持義務違反。
著作権・権利侵害 生成物が既存著作物に類似し著作権を侵害する、第三者の商標・肖像・名誉等を侵害するおそれ。
誤情報・責任 事実と異なる出力(ハルシネーション)をそのまま用いることによる信用毀損、誤った助言・判断に伴う責任。
シャドーAI 従業員が私用アカウントや無料サービスを無断で業務利用し、会社が利用実態を把握・統制できない状態。

これらは相互に関連します。たとえば、従業員が私用アカウントで顧客の個人情報を含む議事録を入力した場合、シャドーAIの問題であると同時に、情報漏えい、個人情報保護法上の問題、場合により取引先に対する秘密保持義務違反が同時に生じ得ます。ルールは、特定の類型だけでなく、入力から出力・利用までの一連の流れを通じて設計する必要があります。

第4章 情報入力に関するルール ― 何を入力してよいか

生成AIのリスク管理の中心は、入力情報の管理にあります。何を入力してよく、何を入力してはならないかを明確にすることが、ルール整備の出発点です。

1 入力情報の3区分

入力する情報は、性質に応じて次の3つに区分し、取扱いを定めることが実務的です。

区分 情報の例 取扱いの原則
入力可 公開情報、社内の一般的な定型文、個人や秘密を特定できない一般的な相談内容。 通常の業務利用として許可する。
条件付き 社内資料、未公表の企画案、加工により特定性を除いた情報。 学習に利用されない法人向けサービスに限る、上長の承認を得るなどの条件下で許可する。
入力禁止 顧客の個人情報、契約書、議事録、営業秘密、取引先から受領した秘密情報、未公表の財務情報。 原則として入力を禁止する。利用する場合は別途の手続と承認を要する。

区分の線引きは、業種や情報の性質によって異なります。重要なのは、判断を個々の従業員に委ねるのではなく、具体例とともに会社として基準を示すことです。判断に迷う情報は入力しない、という原則をあわせて周知しておくと運用が安定します。

2 利用サービスの選定と学習利用の確認

同じ生成AIでも、無料の個人向けサービスと、法人向けの有料プランやAPIとでは、入力データの取扱いが異なることが少なくありません。法人向けのプランでは、入力内容を学習に利用しない設定や、データの保存期間・管理に関する条件が用意されている場合があります。会社として利用してよいサービスを指定し、各サービスの利用規約とデータの取扱条件を確認することが基本です。

3 個人情報の入力

個人情報を含む情報を入力する場合は、第2章で述べた個人情報保護委員会の注意喚起を踏まえ、利用目的の範囲内であること、学習に利用されない設定であること、本人の同意なく要配慮個人情報を取り扱わないことを確認します。実務的には、顧客名・連絡先・取引内容など特定の個人を識別できる情報は原則として入力せず、入力が必要な場合は氏名等を仮名化・匿名化して特定性を除いたうえで用いることが安全です。

4 営業秘密・秘密保持義務との関係

自社の営業秘密を生成AIに入力すると、第三者に提供したと評価され、秘密管理性が失われるおそれがあります。営業秘密に該当する情報は、原則として入力禁止情報に位置づけるべきです。また、取引先との取引や業務委託において秘密保持義務を負っている情報を入力することは、それ自体が契約違反となり得ます。秘密保持契約(NDA)の多くは、秘密情報を目的外で第三者に開示・提供することを禁じており、生成AIへの入力がこれに抵触する可能性があるためです。取引先から受領した情報は、自社の情報以上に慎重な取扱いが求められます。

第5章 出力・成果物の利用に関するルール

入力面の管理に加えて、生成AIが出力した文章・画像・提案内容を業務で利用する場面にもルールが必要です。

1 著作権侵害の回避

第2章で述べたとおり、生成物が既存の著作物と類似性・依拠性を有する場合には、著作権侵害が成立し得ます。とりわけ、生成物を広告、ウェブサイト、パンフレット、営業資料、顧客向け文書など社外に向けて利用する場合には、注意が必要です。実務上の対応としては、特定の作家・作品・キャラクター・ブランドを名指しして模倣させるような指示を避けること、生成物が既存の著作物に酷似していないかを確認すること、画像については素材の出所に疑いがある場合は利用を控えることが挙げられます。商用利用の可否は、利用するサービスの規約によっても左右されるため、あわせて確認します。

2 出力物の正確性とファクトチェック

生成AIは、事実と異なる内容をもっともらしい文章で出力することがあります(ハルシネーション)。誤った情報を確認せずに顧客向け文書や対外的な説明に用いると、信用の毀損や、誤った助言に伴う責任の問題を生じます。出力をそのまま用いるのではなく、事実関係・数値・引用・法令や制度の内容は必ず人間が裏付けを確認する運用とすべきです。最終的な内容の確認と責任は人間が負うという原則を、ルールに明記しておくことが重要です。

3 成果物の権利と社外利用・取引先対応

生成AIの出力をもとに作成した成果物については、著作物として保護されるか否か、第三者の権利を侵害していないかを意識する必要があります。人間の創作的寄与が乏しい生成物は著作権による保護を受けられない可能性があり、その成果物について自社が独占的な権利を主張できない場合があります。重要な成果物については、人間による加筆・修正・編集を加えること、権利関係を確認することが望まれます。

取引先に納品する成果物に生成AIを利用する場合には、取引先の方針との整合にも留意が必要です。近時は、納品物におけるAI利用の可否や、AI利用を理由とする品質・権利の保証を契約上明確にする例も見られます。受託業務で生成AIを利用する場合には、後述の契約条項の整備や、必要に応じた取引先への説明を検討します。

第6章 社内規程・ガイドラインの整備手順

1 整備の手順

社内ルールの整備は、次の手順で進めると過不足なく行えます。

2 規程に盛り込むべき事項

生成AI利用規程には、少なくとも次の事項を盛り込むことが望まれます。

3 従業員教育

規程を整備しても、現場に浸透しなければ実効性は確保できません。規程の配布にとどめず、入力してはならない情報の具体例、私用アカウントを使わない理由、出力を確認する手順を、具体的な業務場面に即して説明することが有効です。新たなサービスの導入時や、法令・ガイドラインの改訂時には、あらためて周知する機会を設けます。

4 取引先・委託先との契約対応

自社が委託先に業務を委託する場合や、取引先から業務を受託する場合には、生成AIの利用に関する取決めを契約に反映することを検討します。委託先が自社の秘密情報を生成AIに入力することを制限する条項、受託者が成果物の作成に生成AIを利用する場合の取扱い、成果物が第三者の権利を侵害しないことの確認などが考えられます。具体的な条項例は次章に示します。

第7章 参考書式 ― 生成AI利用規程・ガイドライン条項例

以下は、社内ルールを整備する際の出発点として用いることができる条項例です。あくまで一般的な雛形であり、実際の運用にあたっては、業種、取り扱う情報の性質、利用するサービスの内容に応じて修正のうえ、自社の他の規程との整合を確認してご利用ください。

1 生成AI利用規程(条項例)

第1条(目的)

本規程は、当社の役員および従業員(以下「従業員等」という。)による生成AIの業務利用について必要な事項を定め、業務の効率化を図るとともに、情報漏えい、個人情報の不適切な取扱い、営業秘密の流出、第三者の権利侵害その他の法的リスクを防止することを目的とする。

第2条(定義)

本規程において「生成AI」とは、入力された情報に基づき文章、画像、音声、プログラムその他のコンテンツを生成する人工知能を用いたサービスをいう。

第3条(適用範囲)

本規程は、当社の業務において生成AIを利用するすべての従業員等に適用する。

第4条(利用の基本方針)

従業員等は、関係法令、ガイドラインおよび本規程を遵守し、適正に生成AIを利用しなければならない。生成AIの出力は参考情報であり、その内容の確認および最終的な判断は従業員等が行うものとする。

第5条(利用を許可する生成AIサービス)

1 業務における生成AIの利用は、当社が別に定め、または承認した生成AIサービス(以下「指定サービス」という。)に限る。

2 従業員等は、業務に関し、私的に保有するアカウントまたは当社が承認していないサービスを利用してはならない。

第6条(入力禁止情報)

従業員等は、次の各号に掲げる情報を生成AIに入力してはならない。ただし、当社が学習に利用されないことを確認した指定サービスを用い、所属長の承認を得た場合は、この限りでない。

第7条(個人情報の取扱い)

従業員等は、個人情報を生成AIに入力する場合には、あらかじめ特定した利用目的の範囲内であること、入力する情報が提供事業者の機械学習等に利用されないこと、および本人の同意なく要配慮個人情報を取り扱わないことを確認しなければならない。個人を識別できる情報は、可能な限り仮名化または匿名化したうえで入力するものとする。

第8条(営業秘密および秘密保持義務)

従業員等は、当社の営業秘密および第三者に対して秘密保持義務を負う情報について、その秘密性が失われることのないよう、生成AIへの入力を行ってはならない。

第9条(出力物の確認義務)

従業員等は、生成AIの出力を業務に利用する場合には、その内容の正確性、適法性および第三者の権利を侵害していないことを確認しなければならない。事実関係、数値、法令および制度に関する記述は、出力をそのまま用いず、裏付けを確認するものとする。

第10条(出力物の利用および著作権)

1 従業員等は、生成AIの出力を社外に向けて利用する場合には、既存の著作物その他の第三者の権利を侵害しないことを確認しなければならない。

2 従業員等は、特定の著作物、作風またはブランドを模倣させることを目的とした利用を行ってはならない。

第11条(教育および研修)

当社は、従業員等に対し、生成AIの適正な利用に関する教育および研修を実施する。

第12条(モニタリングおよび違反時の措置)

1 当社は、必要な範囲で、生成AIの利用状況を確認することができる。

2 本規程に違反した従業員等に対しては、就業規則に基づき必要な措置を講じることがある。

第13条(改廃)

本規程の改廃は、関係法令およびガイドラインの動向を踏まえ、当社所定の手続により行う。

 

(附則) 本規程は、〇〇年〇〇月〇〇日から施行する。

2 従業員向け利用ガイドライン(簡易版)

従業員に配布する簡易な行動指針として、次のような「してよいこと」「してはならないこと」を示す方法も有効です。掲示や研修資料として用いることを想定しています。

守っていただきたいこと

してはならないこと

3 取引先・業務委託契約に関する条項例

生成AIの利用を踏まえ、取引先または業務委託契約に加えることが考えられる条項の例を示します。立場(委託者・受託者)に応じて適宜調整してください。

(秘密情報の生成AIへの入力禁止)

受領当事者は、開示当事者から開示された秘密情報を、開示当事者の事前の書面による承諾なく、生成AIその他の外部のサービスに入力してはならない。

(成果物に関する生成AIの利用)

1 受託者は、本件業務の遂行において生成AIを利用する場合、成果物が第三者の著作権その他の権利を侵害しないよう必要な措置を講じる。

2 委託者が求めた場合、受託者は、成果物の作成における生成AIの利用の有無および概要を委託者に説明する。

(非侵害の表明保証)

受託者は、成果物が第三者の知的財産権その他の権利を侵害しないことを表明し、保証する。

第8章 まとめ

生成AIは、中小企業の業務効率化に資する有用な手段である一方、入力・出力の両面で複数の法分野にまたがるリスクを伴います。2025年のAI法の全面施行、AI戦略本部の適正性確保指針の決定、AI事業者ガイドライン第1.2版への更新、営業秘密管理指針の改訂、個人情報保護法の改正の動きなど、関連する法令とガイドラインの整備は着実に進んでいます。これらは、罰則による規律よりも、各主体が自主的に適正な利用体制を整えることを促す方向にあります。

中小企業に求められるのは、利用を一律に禁止することでも、無制限に委ねることでもなく、入力してよい情報の範囲、利用してよいサービス、出力の確認手順を明確にし、従業員に周知することです。本稿で示した整備手順と条項例を出発点として、自社の実情に即した生成AI利用規程と従業員向けガイドラインを整え、必要に応じて取引先との契約に反映することが、情報漏えい・著作権侵害・従業員利用に伴うトラブルを防ぎ、生成AIを安全に活用するための基盤となります。

本稿に関する留意事項

本稿は、2026年6月時点で公開されている法令およびガイドライン等に基づく一般的な情報提供を目的とするものであり、個別の事案に関する法的助言ではありません。法令およびガイドラインは改正されることがあります。条項例は一般的な雛形であり、実際の利用にあたっては個別の状況に応じた検討を要します。具体的な対応については、弁護士にご相談ください。


リーガルメディアTV|長瀬総合YouTubeチャンネル

弁護士法人長瀬総合法律事務所では、様々な分野の法的問題を解説したYouTubeチャンネルを公開しています。ご興味をお持ちの方は、ぜひこちらのチャンネルのご視聴・ご登録もご検討ください。 

【チャンネル登録はこちら】


NS News Letter|長瀬総合のメールマガジン

当事務所では最新セミナーのご案内や事務所のお知らせ等を配信するメールマガジンを運営しています。ご興味がある方は、ご登録をご検討ください。

【メールマガジン登録はこちら】


ご相談はお気軽に|全国対応

長瀬総合法律事務所は、お住まいの地域を気にせず、オンラインでのご相談が可能です。あらゆる問題を解決してきた少数精鋭の所属弁護士とスタッフが、誠意を持って対応いたします。

【お問い合わせはこちら】


トラブルを未然に防ぐ|長瀬総合の顧問サービス

企業が法的紛争に直面する前に予防策を講じ、企業の発展を支援するためのサポートを提供します。
複数の費用体系をご用意。貴社のニーズに合わせた最適なサポートを提供いたします。

【顧問サービスはこちら】

最新法務ニュースに登録する

この記事を読んだ方は
こんな記事も読んでいます

このカテゴリーの人気記事ランキング

モバイルバージョンを終了