「うちはChatGPTを使ってるだけだから、ガイドラインって関係ないですよね?」
先日の研修先で、ある製造業の総務部長がそう言っていました。50名規模の会社で、社内の稟議書や議事録の要約にChatGPTを使い始めていたそうです。でも正直に言うと、それだけでも「AI利用者」としてガイドラインの対象になる、というのが2026年3月に公表されたAI事業者ガイドライン1.2版の立場なんです。
100社以上の企業向けAI研修を担当してきた経験から感じるのは、このギャップです。「うちは小さいから関係ない」「AIを作ってるわけじゃないから違う」という誤解が、いまも現場に根強く残っています。ところがガイドラインは、使う側(AI利用者)にもきちんと対応事項を求めています。
この記事では、1.2版で何が変わったのかを中小企業の実務視点で整理し、すぐに使える15のチェックポイントと業種別の注意点を全公開します。100社以上の研修で蓄積した現場ノウハウをベースに書いているので、ぜひ今日から自社点検に使ってください。
結論:AI事業者ガイドライン1.2版は、ChatGPTなどを業務利用しているだけの中小企業にも対応が求められます。最大の変更点は「AIエージェントのHuman-in-the-Loop義務化」ですが、段階的なリスクベースアプローチが認められているため、規模に合わせた現実的な対応が可能です。
この記事の要点
- 要点1:2026年3月31日公表の1.2版では、AIエージェント対応・学習データトレーサビリティ義務化・リスク分類拡充の3点が主要改訂
- 要点2:中小企業でも「AI利用者」として15のチェックポイントへの対応が求められる
- 要点3:業種ごとに重点チェック項目が異なり、製造・医療・金融・小売では追加注意点がある
対象読者:生成AI導入済みまたは検討中の中小企業経営者・総務担当・情報システム担当
読了後にできること:今日から使える自社向けAIガイドライン対応チェックリスト15項目の点検
AI事業者ガイドライン1.2版とは何か — 中小企業が押さえるべき基本構造
まず前提を整理しておきましょう。AI事業者ガイドラインは、総務省と経済産業省が共同で策定しているガイドラインで、初版は2024年に公表されました。2025年3月にv1.1、そして2026年3月31日にv1.2が出ています。
ガイドラインが対象とする事業者は3種類に分かれています。
| 区分 | 定義 | 具体例 |
|---|---|---|
| AI開発者 | AIモデル・システムを設計・構築する | OpenAI、Google、社内RAG構築企業 |
| AI提供者 | AIを活用したサービス・製品を提供する | AIチャットボット提供会社、SaaS事業者 |
| AI利用者 | AIツール・サービスを業務に利用する | ChatGPT/Copilot/Geminiを使う全事業者 |
重要なのは、同一企業が複数区分に該当する場合があることです。ChatGPTを使うだけなら「AI利用者」だけですが、社内データでRAGを組んだり、ファインチューニングを実施したりすると「AI開発者」の責務も加わります。
AIガバナンスの基本的な考え方については、中小企業のAI導入戦略完全ガイドでも詳しくまとめていますので、あわせてご覧ください。
ガイドライン自体に直接的な罰則規定はありません。ただし、対応を怠ることで関連法規(個人情報保護法・著作権法・不正競争防止法など)への違反リスクや、取引先・顧客からの信頼失墜というビジネスリスクが現実的に発生します。特に大企業と取引する中小企業は、取引条件としてガイドライン準拠を求められるケースが増えています。
1.2版でv1.1から何が変わったのか — 中小企業視点の6大改訂点
「ガイドラインが改訂されたとは聞いたけど、具体的に何が変わったのか分からない」という声は研修先でもよく聞きます。1.2版の改訂は6点に整理できます。
改訂1:AIエージェント・フィジカルAIの正式追加
v1.2で最も大きな変化は、AIエージェントとフィジカルAI(ロボット・自律システム)が初めて正式な規制対象として明記されたことです。Microsoft Copilotの「エージェント機能」やSlack連携のAIワークフローなども対象に含まれます。
改訂2:Human-in-the-Loop(HITL)の義務化
「推奨」から「義務」へ格上げされたのが、AIエージェントが外部アクションを取る際の人間監視です。メール送信・発注処理・データ削除・カレンダー操作など、AIが自律的に「何かをする」アクションには、人間が確認・承認するメカニズムを組み込むことが求められます。
ただし、全操作に承認が必要なわけではありません。リスクレベルに応じた段階的監視設計(リスクベースアプローチ)が認められているため、過度な制約なく対応できます。
改訂3:学習データトレーサビリティの義務化
社内データでRAGを構築したり、ファインチューニングを実施したりする場合、学習データの出所・利用許諾・処理履歴の記録・追跡が「推奨」から「義務」へ引き上げられました。「どのデータを使ったか分からない」という状態は、v1.2では許容されません。
改訂4:AIリスク分類の拡充
従来のセキュリティ・プライバシーリスクに加え、AIエージェント時代に特有の4つのリスクが明示されました。
- ハルシネーション起因の誤動作(AIが誤情報を自信満々に実行する)
- 合成コンテンツ・ディープフェイク問題
- AIへの過度依存による人間の判断力低下
- アルゴリズムによる感情操作リスク
改訂5:主体別役割の精緻化
AI開発者・提供者・利用者それぞれの定義と役割が補足されました。特に、ファインチューニングや社内RAG構築を実施する場合は「AI開発者」の責務が発生することが明記されています。
改訂6:実装支援ツールの公開
中小企業や初学者向けに、AI事業者ガイドライン活用の手引き・チェックリスト(別添7)・ワークシート(Excel形式)・チャットボットが新たに公開されました。経済産業省のウェブサイトから無料でダウンロードできます。
中小企業が「AI利用者」として対応すべき実務チェックリスト15項目
研修現場で最もよく聞かれるのが「具体的に何をすればいいのか」という質問です。以下の15項目は、100社以上のAI研修・導入支援の経験をもとに、中小企業の「AI利用者」が最低限対応すべき項目を体系化したものです。
事例区分: 想定シナリオ
以下のチェックリストは、100社以上の研修経験をもとに構成した典型的な対応項目です。
【ポリシー策定編】チェック1〜4
チェック1:AI利用ポリシーの文書化
社内でどのAIツールをどの業務に使ってよいか、明文化されていますか?口頭説明だけでは不十分です。1〜2ページのシンプルな規程でも構いません。
【AI利用ポリシー策定プロンプト(ChatGPT向け)】
以下の条件で、中小企業向けのAI利用ポリシー(社内規程)の草案を作成してください。
会社情報:[業種・従業員規模]
利用ツール:[ChatGPT / Copilot / Gemini など]
主な利用業務:[請求書作成・議事録要約・顧客メール返信など]
含める項目:
1. 利用可能ツールのリスト
2. 禁止入力情報の定義(個人情報・財務情報等)
3. AI出力の確認責任
4. インシデント発生時の報告ルート
5. 定期見直しの頻度
不足している情報があれば最初に質問してから草案を作成してください。チェック2:禁止情報の明文化
AIツールに入力してはいけない情報を具体的にリストアップしていますか?
- 機密区分:個人情報(顧客・従業員)・財務情報・未公開の事業計画 → AI入力厳禁
- 社内限定区分:営業情報・内部文書 → 社内管理のAIのみ可
- 公開可区分:一般的な業務文書・公開情報 → 外部ツール利用可
チェック3:従業員への周知体制
ポリシーを策定しただけでは不十分です。全従業員への説明と、理解確認(サイン・確認テスト等)の記録が必要です。新入社員研修への組み込みまで設計できていると理想的です。
チェック4:更新プロセスの設計
AIツールは急速に進化します。ポリシーの年次見直し(少なくとも年1回)と、重大なアップデート時の臨時改定のルールを決めておきましょう。
【Human-in-the-Loop編】チェック5〜8
チェック5:外部アクション業務の洗い出し
社内で使っているAIが「外部に何かをする」業務を把握していますか?以下のアクションが対象です。
- AIが自動でメール・チャットを送信する
- AIが発注・予約・申請を実行する
- AIがファイルを作成・編集・削除する
- AIがシステム設定を変更する
チェック6:リスクレベルによる3段階設計
外部アクションをリスクに応じて分類し、監視レベルを設計します。
| リスクレベル | アクション例 | 必要な監視 |
|---|---|---|
| 高リスク | 取引実行・データ削除・システム設定変更 | 事前の人間承認必須 |
| 中リスク | ドラフトメール送信・報告書出力 | 事後ログ確認(日次チェック) |
| 低リスク | 社内向け要約・翻訳・検索 | サンプリング抽出確認(月次) |
チェック7:承認フローの設計・記録
「高リスク」アクションについては、誰が承認するか、どう記録するかを明確にします。メールの承認依頼・Slackの確認メッセージ・紙の確認印など方法は問いません。
チェック8:AI出力の最終確認責任の明示
AIが生成した文書・判断・アクションについて、最終的な責任者が人間であることをポリシーに明記します。「AIが出力したから仕方ない」は、ガイドラインが最も問題視するポイントです。
【AI出力確認チェック用プロンプト(重要文書向け)】
以下のAI生成文書を確認してください。
文書種別:[契約書ドラフト / 顧客提案書 / 規制申請書類など]
AI生成日時:[YYYY/MM/DD HH:MM]
使用ツール:[ChatGPT / Copilot等]
以下の観点で問題点を指摘してください:
1. 事実誤認・ハルシネーション疑いの箇所(根拠とともに)
2. 法的・コンプライアンス上の問題
3. 社外秘情報の不適切な記載
4. 数字・固有名詞の確認が必要な箇所
確認できなかった箇所は「要人間確認」と明示してください。【データ管理編】チェック9〜11
チェック9:利用ログの保管
いつ・誰が・どのツールを・どの業務に使ったかのログを保管していますか?クラウドツールのアクセスログ、社内のAI利用申請記録などが対象です。保管期間は最低1年(重要業務は3年以上)を推奨します。
チェック10:社内RAG・カスタムAIの使用データ把握
もし社内データでRAGを構築しているなら、以下の記録が必要です。
- 学習・参照データの出所(どこから取得したか)
- 利用許諾の確認記録(著作権・契約条件)
- データの更新・削除履歴
- 個人情報が含まれていないかの確認記録
【学習データトレーサビリティ台帳テンプレート(入力プロンプト)】
以下の情報をもとに、社内RAGのデータトレーサビリティ管理台帳のExcelテンプレートを
作成してください。
管理項目:
- データID(連番)
- データ種別(社内文書 / 外部資料 / 公開情報)
- ファイル名・URL
- 取得日
- データの作成者・所有部署
- 個人情報含有:有 / 無 / 要確認
- 著作権・利用許諾確認:済 / 未了
- RAG登録日
- 最終更新日
- 担当者
- 備考
不足している情報があれば最初に質問してから作成してください。チェック11:インシデント対応手順の策定
AIが誤った情報を出力したり、機密情報が漏洩したりした場合の対応手順を事前に決めておきますか?検知→報告→対応→再発防止の4ステップで整理しておくと対応が早くなります。
【透明性・説明責任編】チェック12〜15
チェック12:AI生成物の開示ルール
顧客・取引先に提供する文書にAIが使われている場合、どう開示するかを決めていますか?「AIアシスト」「AI生成初稿を人間が確認・修正」など自社のスタンスを明確にしておきましょう。
チェック13:外部委託先のAI利用把握
外注先・協力会社がAIを使って成果物を納品する場合、それを把握・管理していますか?契約書・仕様書にAI利用に関する条項を追加することを検討しましょう。
チェック14:定期的なAI利用状況レビュー
AI利用の現状を定期的に経営会議や担当会議でレビューしていますか?新しいツールが社員によって勝手に使われていないか(シャドーIT)の把握も含めて、半期に1回程度の棚卸しを推奨します。
チェック15:自社のAI立場の再確認
現在の自社の立場(AI利用者 / AI提供者 / AI開発者)を半年に1回は確認しましょう。新しいAI機能を追加するたびに区分が変わる可能性があります。
【自社AI立場確認プロンプト】
当社のAI活用状況を確認したいです。以下の情報をもとに、
AI事業者ガイドライン上の自社の立場(開発者/提供者/利用者)を判定してください。
利用状況:
1. 使用中のAIツール・サービス:[一覧]
2. 社内でのカスタマイズ内容:[RAG構築 / ファインチューニング / なし]
3. 顧客・社外へのAI機能提供:[有(概要) / 無]
4. AIを組み込んだ自社製品・サービス:[有(概要) / 無]
各立場に該当するかどうかと、該当する場合の追加対応事項を教えてください。中小企業のAIガバナンス体制構築 — 推奨する3ステップ運用フロー
研修先でよく使う言葉があります。「ガバナンスは一度作って終わりではなく、回すもの」です。以下の3ステップで、継続的に機能するガバナンス体制を構築しましょう。
ステップ1:現状把握(1〜2週間)
まず全社のAI利用実態を調査します。部署ごとに使っているツール・目的・利用頻度を洗い出し、チェックリスト15項目と照らし合わせて「対応済み」「未対応」「確認中」を色分けします。
【社内AI利用実態調査プロンプト(アンケート設計用)】
社内AIツール利用実態を調査するためのアンケートを作成してください。
対象:全従業員(IT知識がない人でも回答できるレベル)
目的:AI利用状況の把握とガイドライン対応状況確認
含める質問:
1. 業務で使っているAIツール(複数選択)
2. 使用頻度と主な用途
3. AIに入力している情報の種類
4. 困ったことや不安なことがあったかどうか
5. AI利用に関するルールを知っているか
回答しやすい形式(選択式中心)で設計してください。ステップ2:優先対応(1〜3ヶ月)
調査結果をもとに、リスクの高い未対応項目から着手します。優先度の高い順は以下のとおりです。
- 禁止情報の明文化(チェック2)→ 即日対応可能
- AIが外部アクションを取っている業務の洗い出し(チェック5)
- AI利用ポリシーの草案策定・社内承認(チェック1)
- ハイリスク業務のHITL設計(チェック6・7)
ステップ3:継続改善(半年ごと)
ガイドラインの改訂情報をウォッチしながら、自社のポリシーと体制を更新し続けます。総務省・経産省のウェブサイトを半年に1回以上確認し、重大な改訂があれば臨時レビューを実施します。
業種別の実務注意点 — あなたの会社はどのリスクが高いか
AI研修を通じて気づいたのは、業種によってリスクの重点が全然違うということです。「医療と製造では対応すべきことが全く異なる」という感覚です。以下に4業種の重点ポイントをまとめました。
製造業での重点チェック
- 設計データ・品質データのAI入力禁止:製造上の機密情報(原材料配合・製造工程の独自技術)をAIに入力すると、利用規約上でモデルの学習データに使われるリスクがある
- 検査AIのHITL設計:AIによる品質検査の自動判定は、高リスクアクションとして人間の最終確認を必須とする
- サプライチェーン発注AIの承認フロー:AIが発注を自動実行するシステムは、金額・数量の上限設定と人間承認フローが必須
小売・サービス業での重点チェック
- 顧客個人情報の入力禁止徹底:CRMデータ・購買履歴をそのままAIに貼り付けることは個人情報保護法違反リスクがある
- AIチャットボット対応範囲の明確化:顧客対応AIが自動返信できる範囲(FAQ対応)と人間対応が必要な範囲(クレーム・重要相談)を設計する
- 価格設定AIの最終確認:AIが提案する価格・割引率は、人間の最終承認を経てから適用する
医療・介護業での重点チェック
- 患者情報の絶対禁止:氏名・症状・診断結果などの患者情報を一般的なAIツールに入力することは、個人情報保護法および医療法上のリスクがある。医療情報セキュリティに対応したツールに限定する
- AIによる医学的判断の補助限定:AIの出力はあくまで情報提供であり、医学的判断は必ず医師が行う体制を明文化する
- 電子カルテ連携AIの監査ログ:電子カルテと連携するAI機能は、全アクセス・変更のログを保管する
金融・士業での重点チェック
- 非公開情報の取り扱い:M&A・財務・法的アドバイスに関する非公開情報は、利用規約でデータ管理が保証されたエンタープライズプランのAIのみ使用する
- AI生成の法的文書の最終確認:AIが生成した契約書・法的意見書は、必ず専門家が全文確認してから使用する。AIの「ハルシネーション」が法的リスクに直結する
- 金融規制との整合性確認:金融機関はFSA(金融庁)のAI利用ガイドラインとの整合性も確認が必要
【要注意】研修現場でよく見る4つの失敗パターンと回避策
100社以上の研修・導入支援の中で、同じ失敗パターンが繰り返されています。正直に言うと、これを避けるだけで対応の質が劇的に変わります。
失敗1:「ガイドライン対応」をIT部門だけに押しつける
❌ よくある間違い:「AIガイドライン対応はITチームに任せた」と経営者が手を離す
⭕ 正しいアプローチ:経営者が関与して全社ポリシーを策定し、IT・法務・各部門が実行する体制にする
なぜ重要か:AIガイドライン対応は技術問題ではなく経営問題です。「AIを使う業務をどこまで許容するか」「どのリスクをどう受容するか」は経営判断が必要です。IT部門に権限なく丸投げすると、現場でバラバラな対応になります。ある顧問先で「IT部門が禁止ルールを作ったが、営業部門が知らずにChatGPTで顧客情報を使い続けていた」という事例を見たことがあります。
失敗2:「うちは小さいから関係ない」と放置する
❌ よくある間違い:従業員10人以下だからガイドラインは大企業向けだと思っている
⭕ 正しいアプローチ:規模に関わらず、AIツールを業務利用している時点で「AI利用者」としての対応が求められる
なぜ重要か:ガイドラインに規模要件はありません。むしろ大企業との取引がある中小企業は、取引条件としてガイドライン準拠を求められるケースが増えています。「準拠宣言書を提出してほしい」という依頼が今後増加することが予想されます。
失敗3:AIの出力を確認なしでそのまま使う
❌ よくある間違い:「AIが言ってるから正しい」「プロが書いたより分かりやすいから確認は不要」
⭕ 正しいアプローチ:AI出力は必ず人間がファクトチェックしてから業務に使う
なぜ重要か:ガイドラインが強調するのは「人間の監視と最終確認責任」です。研修先で「ChatGPTが出した数字を確認せずに提案書に入れて、顧客との商談で指摘された」という話を聞いたことがあります。AIはハルシネーション(もっともらしい嘘)を生成することがあります。特に数字・固有名詞・法的判断は必ず一次ソースで確認してください。
失敗4:使っているAIツールの利用規約を読んでいない
❌ よくある間違い:とりあえずChatGPTの無料プランで顧客情報を使ってしまう
⭕ 正しいアプローチ:ビジネス利用時はエンタープライズプランや有料プランの利用規約を確認し、データ処理ポリシーを把握する
なぜ重要か:ChatGPTの無料プラン・Plusプランはデフォルトで会話をモデルの改善に使用する設定になっています(オプトアウト可能)。顧客情報・財務情報を入力している場合、情報漏洩のリスクが生じます。エンタープライズプランや「Team」プランでは、データが学習に使用されない設定になっています。
ガイドライン対応を自動化・効率化するための5つのプロンプト
ガイドライン対応の実務を少しでも楽にするために、すぐに使えるプロンプトを5つまとめました。すべて実際の研修で使っているものです。
プロンプト1:AI利用状況の簡易監査レポート作成
【AI利用状況 簡易監査レポート作成プロンプト】
当社のAI利用状況について、経営会議向けの簡易監査レポートを作成してください。
会社情報:
- 業種:[業種]
- 従業員数:[人数]
- 主な利用AIツール:[ツール名一覧]
報告項目:
1. 現在の利用状況サマリー
2. AI事業者ガイドライン v1.2 との整合性評価(高/中/低リスク別)
3. 優先対応すべき課題トップ3
4. 今後3ヶ月のアクションプラン案
A4 1〜2ページ相当の分量で、経営者が意思決定しやすい形で整理してください。
数字・固有名詞は私が提供した情報のみを使い、根拠のない推測は「確認が必要」と明示してください。プロンプト2:AI禁止情報ガイドの草案作成
【AI入力禁止情報ガイド草案プロンプト】
全従業員向けの「AIツールへの入力禁止情報一覧」を作成してください。
前提:
- 対象ツール:[ChatGPT / Microsoft Copilot / Gemini 等]
- 業種:[業種]
- 特に気になるリスク:[個人情報 / 知財 / 財務情報 等]
出力形式:
- 禁止情報を3カテゴリに分類(厳禁 / 要注意 / 自己判断)
- 各カテゴリに具体例を3つ以上
- 「迷った時は上長確認」の判断基準を一文で
A4半ページ程度の分量で、ITに詳しくない社員でも理解できる言葉で書いてください。プロンプト3:インシデント対応フロー設計
【AIインシデント対応フロー設計プロンプト】
AI利用に関するインシデント(情報漏洩・誤情報拡散・不正利用等)が発生した場合の
対応フローを設計してください。
前提:
- 会社規模:[従業員数]
- 情報システム担当:[有(専任) / 有(兼務) / 無(外注)]
- 主な想定インシデント:[顧客情報の誤入力 / AI生成の誤情報による損害 / 等]
フロー設計要件:
1. 検知から初動(30分以内にとるべきアクション)
2. 社内エスカレーション(誰に何を報告するか)
3. 外部対応が必要な場合(顧客・監督官庁への報告判断基準)
4. 記録・再発防止のステップ
不足している情報があれば最初に質問してから設計してください。プロンプト4:従業員向けAI利用研修資料の骨子作成
【AI利用研修 骨子作成プロンプト】
全従業員(AIに詳しくない層が中心)向けのAI利用研修資料の骨子を作成してください。
研修目的:AI事業者ガイドライン v1.2 に対応した社内ルールの理解と実践
研修時間:[30分 / 60分]
参加者:[全従業員 / 管理職のみ / IT担当者のみ]
含めるべきセクション:
1. なぜ今AIルールが必要なのか(5分)
2. 自社のAI利用ルール(禁止事項と推奨事項)(10分)
3. Human-in-the-Loop の考え方(5分)
4. 困った時の相談先・報告先(5分)
5. 理解確認クイズ(5分)
各セクションのスライド内容と、講師向けの解説ポイントを含めてください。プロンプト5:外部委託先向けAI利用確認書テンプレート
【外部委託先AI利用確認書テンプレートプロンプト】
外部委託先(フリーランス・外注会社)に成果物作成を依頼する際に使用する
「AI利用確認書」のテンプレートを作成してください。
確認内容:
1. AIツールを使用したかどうか(使用 / 未使用 / 補助的使用)
2. 使用した場合のツール名と用途
3. 当社の機密情報・個人情報をAIに入力していないかの確認
4. AI生成物の人間によるチェック実施の宣言
5. 著作権・知的財産権に関する責任の所在
A4 1ページ以内、署名欄付きの書面形式で作成してください。1.2版対応で発生しうるリスクと未対応時のビジネス影響
ガイドライン自体に直接罰則はありませんが、対応を怠ることで以下のリスクが現実化します。
法的リスク(関連法規への違反)
個人情報保護法については、個人情報保護委員会がAI開発・利用に関する指針の策定を進めています(2026年1月の3年ごと見直し改正方針より)。AI利用に絡む個人情報の不適切な取り扱いは、個人情報保護法第83条の罰則(法人に対し1億円以下の罰金)の対象になりえます。
著作権については、AIが生成した成果物に他者の著作物が含まれていた場合、著作権法違反のリスクがあります。特にRAGに著作物を無断で登録している場合は要注意です。
ビジネスリスク(取引・信頼への影響)
大企業との取引においては、サプライチェーンセキュリティの一環としてAIガバナンス対応を取引条件にする動きが加速しています。「AI利用に関する自己点検チェックリストの提出」を求める大企業が2026年以降に増えると予想されます。
海外展開を視野に入れる場合、EU AI Act(2024年8月施行・段階適用)との整合性も必要です。EU圏での事業を行う場合、禁止AI(感情認識AIの職場利用等)や高リスクAI(採用選考AIなど)への規制が直接適用される可能性があります。
レピュテーションリスク
AI利用に関するインシデント(顧客情報漏洩・AI生成の誤情報による損害)が発生した場合、対応体制の有無がブランドイメージに直結します。インシデント後に「実はポリシーがなかった」という状態は、顧客・取引先からの信頼を大きく損ないます。
EU AI Actとの比較 — 日本のガイドラインとの違いを理解する
グローバル展開を視野に入れる企業や、海外企業と取引する中小企業は、EU AI Actとの比較も理解しておく必要があります。
| 項目 | AI事業者ガイドライン1.2版(日本) | EU AI Act(欧州) |
|---|---|---|
| 法的拘束力 | なし(ソフトロー) | あり(ハードロー・罰則付) |
| 違反罰則 | なし(関連法で対応) | 売上高の最大7%または3,500万ユーロ |
| 対象範囲 | 開発者・提供者・利用者全員 | EU圏で事業を行う全事業者 |
| リスク区分 | リスクベースアプローチ(柔軟) | 禁止/高リスク/限定リスク/最小リスクの4分類 |
| 適用期限 | 改訂時に推奨対応期限を明示 | 2026年8月2日(GPAI規制)が直近デッドライン |
日本のガイドラインがソフトロー(法的拘束力なし)であるのに対し、EUのAI Actはハードロー(法律)です。ただし、日本のガイドライン対応を先行して進めることで、EU AI Act対応の基盤にもなります。考え方の共通部分(透明性・人間監視・リスクベースアプローチ)が多いため、一石二鳥で対応できます。
1.2版の主要改訂ポイントを踏まえた社内Q&A設計 — よくある従業員の疑問に答える
研修を実施すると、必ず出てくる質問が共通しています。社内説明会・研修用に使えるQ&Aをまとめました。
Q:ChatGPTに仕事の文書を入力してもいいですか?
A:内容によります。公開可能な情報(一般的な業務文書・公開情報の要約)は問題ありませんが、顧客の個人情報・自社の機密情報・財務情報は入力禁止です。迷ったら「これを第三者に見せてもいいか?」と考えてください。
Q:AIが書いた文書はそのまま使っていいですか?
A:必ず人間が確認してから使ってください。特に数字・固有名詞・法的な内容は、AIが「もっともらしい嘘(ハルシネーション)」を生成することがあります。AIは初稿作成のサポートであり、最終的な責任は使う人間にあります。
Q:私物スマートフォンのAIアプリを使って仕事をしてもいいですか?
A:業務情報・会社情報を入力する場合は、会社が承認したツールのみを使用してください。私物デバイスの私的アプリでの業務情報の取り扱いは、情報漏洩リスクがあります。
Q:AIに自動でメールを送信させるのはOKですか?
A:AIが自律的にメールを送信する「外部アクション」は、v1.2で人間の確認・承認が求められます。AIが送信前のドラフトを作成し、人間が内容を確認してから送信するフローにしてください。
中小企業のAIガバナンス体制構築 — 今日から始める具体的アクション
ガイドライン対応は「大きく考えて、小さく始める」が鉄則です。完璧な体制を一度に作ろうとすると、動けなくなります。
AI導入戦略全体の進め方については、中小企業のAI導入戦略完全ガイドで体系的に解説しています。また、具体的なAI研修プログラムの設計については、ChatGPT業務活用ガイドもあわせてご参照ください。
参考・出典
- AI事業者ガイドライン(第1.2版)— 経済産業省(参照日: 2026-05-19)
- 「AI事業者ガイドライン」掲載ページ — 総務省(参照日: 2026-05-19)
- AI事業者ガイドライン(第1.2版)本文PDF — 総務省・経済産業省(参照日: 2026-05-19)
- AI事業者ガイドライン(第1.2版)別添(付属資料)概要PDF — 総務省・経済産業省(参照日: 2026-05-19)
- AI事業者ガイドライン検討会 — IPA 独立行政法人 情報処理推進機構(参照日: 2026-05-19)
- AIエージェントの実用化に向けた論点の整理 — JIPDEC(参照日: 2026-05-19)
まとめ:中小企業がAI事業者ガイドライン1.2版に対応するための3つのアクション
- 今日やること:チェックリスト15項目を自社で点検し、「未対応」の項目を洗い出す(上記のプロンプトを使って30分で実施できます)
- 今週中:最優先で取り組む3項目を経営判断で決定し、担当者と期限を決める。まずは「禁止情報の明文化(チェック2)」から始めると最も早く効果が出ます
- 今月中:AI利用ポリシーの草案を策定し、全従業員への周知を行う。上記のプロンプトを活用すれば草案作成は半日程度で完了します
正直に言うと、AI事業者ガイドラインへの完璧な対応を一度に実現しようとする必要はありません。「現状を把握し、リスクの高い部分から段階的に対応する」リスクベースアプローチが、ガイドライン自体が推奨する考え方です。
「うちは小さいから後回しでいい」と思っていると、取引先からの急な準拠確認や、予期しないインシデント対応に追われることになります。今から動き始めることが、中長期的なビジネスリスクの低減につながります。
あわせて読みたい:
- 中小企業のAI導入戦略完全ガイド — 戦略立案から社内展開まで
- ChatGPT業務活用完全ガイド — 具体的な活用事例と実務プロンプト集
AI事業者ガイドライン対応 + AI活用を同時に進めたい方へ
弊社では100社以上の企業向けAI研修・ガバナンス体制構築支援を行っています。「ガイドライン対応は進めたいが、同時にAI活用で業務効率化もしたい」という企業様向けに、Claude Code個別指導プログラムを提供しています。
FAQ:AI事業者ガイドライン1.2版に関するよくある質問
Q:AI事業者ガイドライン1.2版はいつ公表されましたか?
2026年3月31日に総務省・経済産業省が共同で公表しました。前版(1.1版)から約1年での改訂で、AIエージェント規制とフィジカルAI対応が最大の追加点です。
Q:中小企業もAI事業者ガイドラインの対象ですか?
はい。ChatGPT・Microsoft Copilot・Geminiなどの生成AIツールを業務利用しているだけで「AI利用者」として対象になります。規模や業種は問いません。
Q:1.2版でv1.1から何が変わりましたか?
主な変更は6点。①AIエージェント・フィジカルAIへの対応追記、②Human-in-the-Loop(HITL)の義務化、③学習データのトレーサビリティ要件強化(推奨→義務)、④リスク分類の拡充、⑤主体別役割の明確化、⑥実装支援ツール(チェックリスト・チャットボット)の新規公開です。
Q:AI事業者ガイドラインに罰則はありますか?
ガイドライン自体に直接的な罰則規定はありません。ただし、個人情報保護法・不正競争防止法・著作権法など関連法規への違反は、それぞれの法律に基づく罰則の対象となります。また取引先・顧客からの信頼失墜リスクや、欧州GDPR違反時の課徴金リスク(年間売上高の最大4%相当)も考慮が必要です。
Q:社内RAGやカスタムAI構築をすると責任が変わりますか?
はい。社内データでRAGを構築したり、ファインチューニングを実施したりすると、単なる「AI利用者」から「AI開発者」または「AI提供者」としての責務が加わります。学習データのトレーサビリティ管理や出力品質管理まで求められるため、自社のAI活用形態を正確に把握することが重要です。
Q:Human-in-the-Loop(HITL)とは何ですか?具体的に何をすればよいですか?
Human-in-the-Loop(HITL)とは、AIが自律的に外部アクション(メール送信・発注処理・ファイル削除など)を取る際に人間が確認・承認するプロセスを組み込むことです。具体的には高リスク操作には事前承認、中リスクには事後確認ログ、低リスクにはサンプリングチェック、という3段階で設計するリスクベースアプローチが実務的です。
Q:EU AI Act(欧州AI法)とはどう関係しますか?
AI事業者ガイドライン1.2版はEU AI Actとの整合性強化が明示されています。特に「透明性」「人間監視」「リスクベースアプローチ」の考え方が共通しています。欧州との取引がある場合や、将来の海外展開を視野に入れる場合は、v1.2対応を進めることでEU AI Act対応の基盤にもなります。
著者:佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』(SBクリエイティブ)。
SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
