経済産業省は、令和7年(2025年)2月、「AIの利用・開発に関する契約チェックリスト」(以下「本チェックリスト」といいます。)を公表しました。
本チェックリストは、AI利活用に関する契約を利用型契約(汎用的AIサービス利用型)と開発型契約(カスタマイズ型、新規開発型)に大別して整理したうえで、ユーザ・ベンダ間の契約における条項のチェックリストを提示し、留意点の説明を付しています。
本チェックリストのポイント
- AI関連サービスのユースケースとして、汎用的サービスAI利用型、カスタマイズ型、新規開発型を設定しています。
- AI関連サービスにおいてユーザが提供するインプットと、ベンダが出力・提供するアウトプットに関して、契約条項のチェックポイントを挙げています。
- インプットとアウトプットのそれぞれにつき、特定、提供、使用・利用、外部提供、権利帰属に関する条項のチェックポイントが挙げられています。インプット処理成果とアウトプット処理成果に関する条項も取り上げられています。
解説
本チェックリストの背景等
経済産業省からは、2018年に「AI・データの利用に関する契約ガイドライン」が公表され、2019年に一部改訂されていました。同ガイドラインは、AIモデル(学習済みモデル)の開発に焦点を当てていたものでした。
もっとも、2022年頃より、生成AI技術を用いたサービスが普及し始め、AIモデルの開発だけでなく、その利活用の局面における契約の重要性も、以前よりさらに高まっています[1]。
また、特に事業活動において、生成AI技術を用いたサービスの導入を検討する事業者が増加している一方で、AIの技術や法務に必ずしも習熟していない事業者が導入を検討するケースも増えているとされます[2]。
これらのことから、経済産業省において弁護士や法学者等をメンバーとするAI利活用に伴う契約時の留意事項検討会が組織され、本チェックリストが策定されるに至りました。
AI関連サービスのユースケース
本チェックリストでは、AI関連サービスのユースケース例として以下の3つが想定されています[3]。類型2と3は、新たなソフトウェアやデータベース、モジュールやシステム等の開発要素が加わる点が、利用型契約である類型1との違いとされています。
| 説明 | ユースケース例 | |
|---|---|---|
| 類型1:汎用的AIサービス利用型 | 事業者A(AI利用者)が、事業者C(AI開発者・AI提供者)が提供する汎用的AIサービスを利用するケース。 | 小売事業者・製造事業者・サービス事業者A(AI利用者)が、マーケティングの一環で、顧客の来店・購入履歴(氏名・年齢等の情報や、実際に購入した商品・サービスの履歴が含まれたもの)を、大規模言語モデルを用いたAIサービスのプロンプトとして提供し、嗜好や注意点の分析についてのアウトプットを求めるために、事業者C(AI開発者・AI提供者)と契約する。 |
| 類型2:カスタマイズ型 | 事業者A(AI利用者)が、事業者B(AI提供者)が事業者A向けに改良・調整したAIサービス(カスタマイズサービス)を利用するケース。カスタマイズサービスは、事業者C(AI開発者・AI提供者)が開発し、提供する汎用的AIサービスに対して、事業者Bが開発した付加的な機能(非AI モデル)を組み合わせたもの。 | 小売事業者・製造事業者・サービス事業者A(AI利用者)が、ユーザエクスペリエンス改善のため、AIチャットボットサービスの提供事業者B(AI提供者)に対して、自社の業態や製品・サービスに特化したカスタマイズサービスの提供を求める。この際、提供事業者は、汎用的AIサービスの提供事業者C(AI開発者・AI提供者)との間の契約に基づき基盤モデルを利用し、モジュールやデータベース等を新規に開発する。 |
| 類型3:新規開発型 | 事業者A(AI利用者)が、事業者C(AI開発者・AI提供者)と提携して独自のAIシステムを開発・利用するケース。 | 製造事業者A(AI利用者)が、自社製品の制御プログラムや稼働データを基に、製品の異常を早期に検知するためのシステムを開発事業者C(AI開発者・AI提供者)と提携して開発・利用する。 |
類型2:カスタマイズ型における事業者B(AI提供者)は、カスタマイズサービスの利用者である事業者A(AI利用者)との関係ではサービスの提供者(ベンダ)として関与するが、汎用的AIサービスを提供する事業者C(AI開発者・AI提供者)との関係では、汎用的AIサービスの利用者(ユーザ)になります[4]。
<類型2:カスタマイズ型>
類型1:汎用サービス利用型は、幅広い利用者に汎用的なサービスが利用されることが想定されており、生成AIサービスもこれに含まれます。本チェックリストは、生成AIに限らないAI関連サービスを対象とするものです。
チェックリストの対象となる条項
AI関連サービスにおいては、ユーザがインプットを提供し、ベンダがアウトプットを出力・提供する関係がみられます。本チェックリストも、AI関連サービスの利用に際して、ユーザがベンダに対し「インプット」を提供し、ベンダが「アウトプット」を出力・提供する場面を想定しています。チェックリストの対象は、このインプットに関する条項とアウトプットに関する条項に大別されます。
本チェックリストでいうインプットとアウトプットの例は以下のとおりです。
| インプット | プロンプト、学習用の生データ等 |
| アウトプット | 分析結果・コンテンツ等のAI生成物、AIシステム等の成果物等 |
また本チェックリストでは、ベンダがユーザから提供されたインプットを用いてアウトプット以外の処理成果(「インプット処理成果」)を創出することや、ユーザがアウトプットを処理することにより何らかの処理成果(「アウトプット処理成果」)を得ることも想定されており、これらに関する条項もチェックリストに含まれています。
本チェックリストでいうインプット処理成果とアウトプット処理成果の例は以下のとおりです。
| インプット処理成果 | 学習用データ、中間生成物、派生的知的財産等 |
| アウトプット処理成果 | AI関連サービスが出力するコンテンツを自ら加工したもの等 |
インプットやアウトプットに関する条項以外にも、実際の契約書では当然ながら種々の条項が含まれます。チェックリストは、「データの適切な利用とリスク分配の観点から特に留意すべきと思われる条項を主に取り上げている。」としつつ、「リスク判断の観点からは、取り上げられていない条項についても、十分に検討することが望ましい。」と述べ、典型例として、AI関連サービス等に関する保証・補償条項、責任限定条項、解除条項、準拠法・紛争解決条項等を挙げています[5]。本チェックリストの直接の対象ではないものの、こうした条項にも注意は必要です。
以下、本稿では、本チェックリストが主な対象としている、インプットに関するチェックリストとアウトプットに関するチェックリストを紹介します。
チェックリストの概観
本チェックリストは、主にインプットに関する条項とアウトプットに関する条項を取り上げるものですが、チェックリストの項目は以下のように相似的な構成となっています。
| インプットに関するチェックリスト | アウトプットに関するチェックリスト |
|---|---|
| 特定 | 特定 |
| ベンダへの提供 | ユーザへの提供 |
| 使用・利用 | 使用・利用 |
| 外部提供 | 外部提供 |
| 権利帰属 | 権利帰属 |
| インプット処理成果 | アウトプット処理成果 |
以下、それぞれの項目を紹介します。
インプットに関するチェックリスト
まず、ユーザからベンダに対するインプットに関する条項のチェックリストを紹介します。
特定
インプットとは何かを特定する、定義に関する条項です。
契約上保護が必要な情報を定義に含んでいるか、定義に疑義はないか、といった点がチェックポイントとして挙げられています。
規律の対象となるインプットの範囲を決める条項ですので、定義には注意が必要です。いわゆるプロンプトもここでいうインプットに含まれることがあります。
インプットの定義に合致しない場合、適用法令による制限がない限り、ベンダがインプットを自由に利用できる可能性があることが本チェックリストで指摘されています[6]。
ベンダへの提供
ユーザからベンダに対するインプットの提供に関する条項です。
提供義務・条件
インプットをベンダへ提供するにあたり、提供義務の有無、義務がある場合の提供条件(提供時期、頻度、態様等)、提供するインプットの内容(性質、量、粒度等)、といった点がチェックポイントとして挙げられています。
保証・情報提供
ユーザがベンダに対してインプットに対する一定の保証や情報提供をする義務を負うか、保証や情報提供が求められる場合のその内容(知的財産権の非侵害、適用法令の遵守等)、違反した場合の効果、といった点がチェックポイントとして挙げられています。
また本チェックリストでは、第三者の知的財産権の非侵害や個人情報保護法等の適用法令の遵守に関する保証が求められることが少なくないことが指摘されるとともに、保証・情報提供義務を負う場合にそれを遵守できない情報は提供しないことが対応として提案されています[7]。
ベンダによる使用・利用
ベンダによるインプットの使用・利用に関する条項です。
利用目的・利用条件
インプットのベンダによる利用目的が定められているか、ベンダによるサービス提供目的以外の利用が認められているか、それが認められる場合の利用条件(利用目的、利用範囲、対価の有無等)、といった点がチェックポイントとして挙げられています。
この点について本チェックリストでは、特にベンダが自己の学習にデータを用いる旨の定めがある場合、そのような利用が許容可能かは慎重な判断を要すると指摘されています[8]。
特に、インプットがベンダによる汎用的なAI学習目的に使用される場合、以下のリスクがあるとされています[9]。
・個人情報保護法上のリスク(個人データの第三者提供の禁止、個人情報保護法27条)
・自社の機微情報流出のリスク
・第三者との契約上の秘密保持義務違反のリスク
・知的財産権等の権利利益侵害のリスク(例えば、第三者の著作物をインプットとして提供する場合において権利制限規定の適用ないとき)
他方、不特定多数のユーザのための汎用的な学習目的でなく、インプットを提供した特定のユーザの個別のニーズに特化したアウトプットを出力する類型2:カスタマイズ型のサービスにおいては、当該サービスが特定のユーザに対してのみ提供されるのであれば、このようなリスクは発生しないか低減されているとも指摘されています[10]。
管理・セキュリティ
ベンダによるインプットの管理・セキュリティ体制については、ベンダがインプットを管理する義務を負うか、管理義務を負う場合いかなる水準の管理が求められるか、ベンダの管理体制についてユーザの監査や情報提供依頼が認められるか、といった点がチェックポイントとして挙げられています。
保持期間・消去
ベンダによるインプットの保持期間や消去義務についても、保持期間はどの程度か、保持期間完了後のベンダの対応、ベンダが削除義務を負うか(ユーザが求める場合や、契約期間終了時)、削除を証明する書類等の発行義務を負うか、といった点がチェックポイントとして挙げられています。
ベンダによる外部提供
ベンダによるユーザのインプットの提供に関する条項です。提供先がユーザである場合と第三者である場合とに分けて説明がされています。
ユーザへの提供
ユーザに対しては、ベンダによるインプットの提供義務があるか、提供義務がある場合の提供条件(提供対象の制限、ユーザによる対価支払いの有無、提供可能時期、回数制限等)、といった点がチェックポイントとして挙げられています。
ユーザへの提供に関する条項は、特に利用型契約で、契約終了やサービス切り替え等の場合に定められることが想定されると記載されています[11]。
第三者提供
他方、第三者に対する提供については、ベンダによるインプットの第三者提供が可能か、可能な場合の条件(提供先、提供範囲等)、といった点がチェックポイントとして挙げられています。
ベンダによるインプットの第三者提供の可能性がある場合にユーザとしては不必要な情報は提供しないこと、インプットの第三者提供が許容できない場合は契約締結断念を検討することも指摘されています[12]。ベンダがインプットを第三者に提供することはスタンダードな行為ではなく、注意すべきということでしょう。
権利帰属
インプットの権利がベンダに帰属するかどうかを定める条項です。インプットに知的財産権等の権利が観念できる場合は、権利帰属の条項もチェックが必要といえます。
ベンダがインプットに関して知的財産権等の権利を取得するか、取得する場合の条件(権利移転対象、対価の有無、ライセンスの有無・内容等)、といった点がチェックポイントとして挙げられています。
ここでも、ベンダによるインプットの権利取得の可能性がある場合、ユーザとしては不必要な情報は提供しないことが事実上取り得る対応として挙げられています[13]。
とはいえ、一般的には、ユーザがベンダに対し、インプットの権利を移転する必要が生じる場面は限定的との指摘もされています[14]。
インプット処理成果
インプット処理成果の契約上の規律に関する条項です。本チェックリストにおいてインプット処理成果とは、ベンダがユーザから提供されたインプットを用いて創出するアウトプット以外の処理成果のことであり、学習用データ等の中間生成物がその例です。
特定
インプット処理成果の定義については、保護が必要な情報を含んでいるか、疑義がないか、といった点がチェックポイントとして挙げられています。
インプット処理成果を契約上取り扱う必要が常にあるわけではなく、利用型契約では言及されることは必ずしも多くない一方、開発型契約では議論がされることがあるとの説明もされています[15]。
使用・利用
外部提供
権利帰属
これらについては、それぞれ「インプット」の当該項目を参照とされています。
アウトプットに関するチェックリスト
続いて、ベンダからユーザに対するアウトプットに関する条項のチェックリストを紹介します。
特定
アウトプットとは何かを特定する、定義に関する条項です。
アウトプットの定義はユーザのサービス利用目的を十分にカバーしているか、疑義はないか、といった点がチェックポイントとして挙げられています。
ここでいうアウトプットは開発型契約であれば成果物と呼ばれることもあります。
ユーザへの提供
ベンダからユーザに対するアウトプットの提供に関する条項です。
完成義務
ベンダが完成義務を負うか、負う場合の条件(完成時期、検収条件等)、といった点がチェックポイントとして挙げられています。
開発型契約のうち請負型契約で特に問題となると説明されている一方、完成義務を負わない場合でもベンダは善管注意義務を負うことが指摘されています[16]。
提供義務・条件
ベンダがユーザに対してアウトプットを提供する義務を負うか、負う場合の提供条件(提供時期、頻度、態様等)、提供するアウトプット内容の条件(性質、量、粒度等)、といった点がチェックポイントとして挙げられています。
AI関連サービスではアウトプットの提供がされるのが通常かとも思われますが、本チェックリストでは、開発型契約の中にはアウトプットを提供する義務が課せられない場合があると説明されています[17]。
保証・情報提供
ベンダがユーザに対してアウトプットの保証・情報提供義務を負うか、その条件、保証・情報提供違反があった場合の効果、といった点がチェックポイントとして挙げられています。
利用型契約では、幅広い非保証条項が設けられることがあるのに対して、開発型契約では、第三者の知的財産権の非侵害や要求された仕様への合致等が求められる場合が少なくないとも指摘されています[18]。
また、保証がある場合であっても、機械学習の特性上、アウトプットには、不正確、虚偽、あるいは他者の著作権等の権利利益を侵害する情報が含まれる可能性があることにも注意喚起がされています[19]。
ユーザによる使用・利用
ユーザによるアウトプットの使用・利用に関する条項です。
利用目的・利用条件
アウトプットの利用目的の定めがあるか、アウトプットの利用に関していかなる条件が定められているか(追加的対価・プロフィットシェア、利用目的の制限、禁止的行為、利用範囲等)、といった点がチェックポイントとして挙げられています。
目的外利用禁止が利用条件で定められる場合は利用目的の規定がその範囲を定めることとなり、また、AI関連サービスによっては、商用利用の禁止やアウトプットがAIを用いて生成されたことを表示する等の条件設定がされることがあるとも指摘されています[20]。特に汎用サービス利用型ではこれらの規定が含まれていないか、注意が必要となるでしょう。
管理・セキュリティ・消去
ユーザがアウトプットの管理・消去義務を負うか、負う場合その内容、といった点がチェックポイントとして挙げられています。ただし、アウトプットが形式上ベンダの秘密情報に該当する場合等には適用が想定されるが、そのような場合でなければ一般的には想定し難いとも説明されています[21]。
ユーザによる外部提供
ユーザによるアウトプットの第三者提供に関する条項です。
ユーザがアウトプットを第三者へ提供できるか、第三者提供できる場合の提供条件(提供先、提供範囲等)の有無、といった点がチェックポイントとして挙げられています。
秘密保持義務条項における第三者提供禁止義務として定められる場合があることにも注意が必要です[22]。
権利帰属
アウトプットの権利帰属に関する条項です。アウトプットに知的財産権等の権利が観念できる場合は、権利帰属の条項もチェックが必要といえます。
ユーザがアウトプットに関して知的財産権等の権利を取得するか、取得する場合の条件(権利移転の対象、対価の有無、ライセンスの有無・内容等)、といった点がチェックポイントとして挙げられています。
アウトプットに関する権利がユーザに移転しない場合、アウトプットの利用方法が限定されることも指摘されています[23]。
アウトプットの権利帰属や利用条件の定めは、ユーザとベンダの利害が対立しやすいところですので、特に開発型契約では具体的なアウトプットとその利用法のイメージをもって条項をチェックし場合によっては契約交渉することが重要となるでしょう。
アウトプット処理成果
アウトプット処理成果の契約上の規律に関する条項です。本チェックリストにおいてアウトプット処理成果とは、ユーザがアウトプットを処理することによって得る処理成果のことです。
特定
アウトプット処理成果の定義については、ユーザの処理により生じる成果のうち保護が必要な情報を含んでいるか、疑義がないか、といった点がチェックポイントとして挙げられています。例としては、出力画像をさらにユーザが加工した画像の取扱いに関する規律として定められることが挙げられています[24]。
使用・利用
外部提供
権利帰属
これらについては、それぞれ「アウトプット」の当該項目を参照とされています。
個人情報保護法に関する留意点
本チェックリストでは、個人情報保護法(以下「個情法」)に関する留意点も丁寧に説明されています[25]。
具体的には、ユーザからベンダに対し提供するインプットに個人データが含まれる場合、個人情報保護法の第三者提供規制(個情法27条)の遵守が必要になること、ベンダが外国にある第三者にあたる場合は、さらに越境移転規制(個情法28条)の遵守が必要となることが注意点として指摘されています。
いわゆるクラウド例外に該当する場合は個人データの第三者提供には該当しないこと、第三者提供に該当する場合も日本国内の第三者であれば、ユーザの利用目的の達成に必要な範囲内において個人データの取扱いを「委託」をすること(個情法27条5項1号)に該当するならば当該「提供」について本人の同意を得る必要はないことも踏まえ、対応を検討する必要があります。この観点でも、ベンダの利用目的に関する条項を確認しておくべきといえるでしょう。
チェックリストを踏まえた対応
本チェックリストは、以下のとおり、チェックリストを踏まえた対応として、リスクの所在が指摘されているからといって直ちに契約条件是正や契約締結断念することが推奨されるのではなく、望ましくない契約条件が課せられる場合でも、リスク発生可能性が事業上許容可能な範囲にある場合や、契約外の運用によってその発生可能性を事業上許容可能な範囲まで低減できる場合もあると述べています[26]。
チェックリストは、AIの利活用に関する契約を締結するに際して考慮することが望ましい論点の所在を示すに留まる。チェックリストでリスクの所在が指摘されているからといって、直ちに契約条件の是正に向けた行動を取ることや契約締結を断念することを推奨するものではない。
契約の主たる機能には、当事者間のリスク分配があるものの、リスクはAIの利活用それ自体に内在するものであって契約文言の巧拙で完全にコントロールできるものではない。そのため、契約上、相手方が一定のリスクに対する最終的な対応責任を負うとされる場合でも、リスクの発生自体を回避できるとは限らない。また、自社が契約上一定のリスクを負うとされるような必ずしも望ましくない契約条件が課せられる場合でも、リスクが発生する可能性が事業上許容可能な範囲内にある場合や、契約外の対応によってその発生可能性を事業上許容可能な範囲まで低減できる場合には、契約を締結し事業を進めることが合理的と判断される場合もある。
これに続けて本チェックリストでは、チェックリストを踏まえてどのように対応することが適切であるかは、個別のユーザが置かれた具体的な事情に依拠するため、以下の各要素を含む関連する事情を総合的に考慮して判断することが必要であると説明されています。
- ベンダにより提供されるAI関連サービスの内容
- 契約の形態(利用規約又は個別契約)
- 契約文言を受け入れることによるリスク
- 契約上の各義務の履行可能性
- AIの利用目的に照らした代替サービス及び代替手段の有無
- 契約交渉に必要な労力
- 契約外(実運用等)の方法によるリスク低減の可否
実際の契約締結過程では、本チェックリストが述べるように、契約外の実運用まで含めたリスク評価が重要であり、このことはAI関連サービスでも変わらないといえるでしょう。
脚注
————————————–
[1] 本チェックリスト2頁
[2] 本チェックリスト2頁
[3] 本チェックリスト7~8頁
[4] 本チェックリスト9頁
[5] 本チェックリスト11頁
[6] 本チェックリスト12頁
[7] 本チェックリスト13頁
[8] 本チェックリスト14頁
[9] 本チェックリスト28~29頁 なお、29頁では、本チェックリストは、「ベンダによる自社技術の開発目的利用自体が不適切であると評価するものではない」「重要なのは、適用法令を遵守した上で、ユーザが契約条件及びそれに伴うリスクを適切に認識し、アウトプットを得て利用することによるベネフィットと、インプットの提供にともなう契約上又は事実上のデメリットとを比較・判断した上で契約条件を受け入れるか、又はどのようなインプットを提供するかを決定することである」との説明もされています。
[10] 本チェックリスト30頁 ただしこの場合でも、「契約や約款に基づき例外的にベンダが第三者にインプット又は学習結果を自己使用・外部提供することを許容する規定になっている場合や、ベンダのシステムの欠陥やサイバー攻撃等によりこれらが外部に漏えいすること、ベンダが自己使用・第三者への提供禁止義務を履行せず無断使用する等のリスク自体は存在する」と指摘されています。
[11] 本チェックリスト16頁
[12] 本チェックリスト17頁
[13] 本チェックリスト17頁
[14] 本チェックリスト17頁
[15] 本チェックリスト18頁
[16] 本チェックリスト19頁
[17] 本チェックリスト20頁
[18] 本チェックリスト20頁
[19] 本チェックリスト20頁
[20] 本チェックリスト21頁
[21] 本チェックリスト21頁
[22] 本チェックリスト22頁
[23] 本チェックリスト22頁
[24] 本チェックリスト23頁
[25] 本チェックリスト33~38頁
[26] 本チェックリスト24頁
本記事に関するお問い合わせはこちらから。
(文責・神田雄)
- 投稿タグ
- AIの利用・開発に関する契約チェックリスト, AI契約, AI関連サービス, 経済産業省
