AI契約のキホン：企業が押さえるべきチェックポイント

はじめに：なぜ「契約」が重要なのか

AI技術の発展に伴い、ビジネスでAIサービスを利用・開発する機会が急増しています。しかし「便利だから」と契約内容を曖昧にしてしまうと、思わぬトラブルに発展することがあります。

例えば、自社が提供したデータを知らない間に他社のAI学習に流用されていたり、AIが生成した成果物を自由に使えないと言われたり、AIの誤った出力に対する責任が不明確だったりといった問題です。

こうしたリスクを避けるためには、契約で何をどう取り決めるかが非常に重要になります。経済産業省も2025年に「AIの利用・開発に関する契約チェックリスト」を公開し、AI契約時に注意すべきポイントを整理しています。

よくあるAI契約のパターン（SaaS、PoC、共同開発、API提供など）

ひと口に「AI契約」と言っても、利用形態によって契約内容は様々です。経営者としては、自社がどのパターンの契約を結ぼうとしているかを把握しておくことが大切です。典型的には以下のようなケースがあります

汎用的AIサービス利用型（SaaS型）

一般的なクラウドAIサービスを利用する契約です。例えばChatGPTや画像認識APIなど既存のAIサービスをサブスクリプションや従量課金で使うケースです。これは利用型契約に分類され、多くはサービス提供側が提示する利用規約（約款）に同意して使います。
契約交渉の余地は小さいですが、後述するデータの扱いや利用範囲の制限をきちんと確認する必要があります。

技術検証契約（PoC契約）

本格導入の前段階として、AIソリューションのProof of Concept（概念実証）を行うための短期契約です。スタートアップ企業が持つAI技術を試験的に導入してみたり、精度や有用性を検証する目的で締結されます

PoC契約では成果が保証されないことも多く、無料または低価格で行われる場合もあります。そのため検証の範囲や期間、費用負担、成果物の取扱い（検証用に作成したモデルやデータの扱い）、本導入に移行しなかった場合の権利処理などを明確にしておくことが重要です。

共同開発契約（アライアンス型）

他社と協力してAIシステムやサービスを共同開発する契約です。例えば事業会社とAIスタートアップがパートナーシップを組み、お互いのリソースを出し合ってAIを開発するケースが該当します。その場合、役割分担（どちらが何を担当するか）や費用負担、開発成果の知的財産権の共有、第三者提供の可否などを細かく取り決めます。

共同開発では成果物の権利帰属が曖昧になりがちなので、契約できちんと権利分配を決めておく必要があります。

新規開発・受託開発契約（カスタムAI開発）

自社専用のAIシステムを一から開発委託する契約です。AI開発ベンダーにPoCを経て本開発を発注する場合などがこれに当たります。この契約では、通常のシステム開発と異なり成果物の性能がデータ次第で変動するなど特殊性があります。

そのため納品物の仕様や完成基準を明確に定めにくく、後述するように「成果物が必ず目的を達成する保証はしない」という条項が入ることもあります。
知的財産の帰属（完成したAIモデルやプログラムの権利）が誰にあるかも重要な論点です。

API提供契約

AIモデルへのアクセスをAPI経由で提供する契約です。例えば、AI提供者が自社のAIエンジンをAPIとして公開し、ユーザー企業がそれを自社システムから呼び出して利用するケースです。
この場合、利用規約型の契約で提供されることが多く、API利用権の範囲（1日のリクエスト数や用途制限）、サービスレベル合意（SLA）、アップデートやサービス停止時の扱いなどを確認しておきましょう。APIを介してやり取りされるデータの扱い（入力データがプロバイダ側に保存されるか、再利用されるか）や、レスポンスとして得られるアウトプットの利用権限も契約上チェックポイントになります。

以上がよくある契約形態です。自社のケースがどれに当たるかによって、契約書で重視すべき点も多少変わります。しかし根底にあるチェックポイントは共通する部分が多いです。以下、具体的な重要ポイントを一つずつ見ていきましょう。

成果物と知的財産権（誰のものになる？）

AIサービス契約でまず注目すべきは、成果物の扱いと知的財産権の帰属です。ここで言う成果物とは、AIが生成・提供するアウトプットや、AI開発によって生まれるモデル・プログラムなどを指します。契約でこれを曖昧にすると、後から「作ったのに自由に使えない！」といった問題になりかねません。

例えば、社内向けにAIにプレスリリース文を書かせたところ、「その文章の著作権はAIベンダーにあるから勝手に公開できない」と言われてしまった…というケースです。

極端な例ですが、自社が期待した通りに成果物を活用できなくなる可能性があります。

そこで契約上チェックすべきは次の点です

アウトプットの権利は誰に帰属するか？

AIが生成した文章・画像・分析結果などの著作権や利用権をユーザーが得られるのか、それとも提供者（ベンダー）が保持するのかを明確にします。

利用するだけなのか、改変・再配布もできるのかもポイントです。

商用利用の可否

AI成果物を商品やサービスの一部として商用利用してよいかを定めます。例えば生成画像を自社の広告に使ったり、AI生成コードを自社製品に組み込んで販売することを契約上許されるか確認します。

ベンダーによる再利用の範囲

ベンダーが同じAIシステム・モデルを使って他社向けにも類似のアウトプットを提供することを許すか決めます。例えばカスタム開発したAIモデルをベンダーが汎用製品化して他社に提供するのを禁止できるか、といった条項です。ユーザー側としては、自社向けに開発・調整した成果物は自社だけのものにしたい一方、ベンダー側としてはノウハウの再利用をしたいという利害があり、交渉ポイントになります。

成果物の不具合や誤りへの責任

AIのアウトプットに誤りがあった場合に誰が責任を負うかも取り決めます。

例えばAIが誤った分析結果を出したことで損害が出たらどうするか、第三者の著作権を侵害するような画像を生成してしまったら誰が対応するか、といったことです。多くの場合ベンダーは「成果物の内容について保証しない」「第三者から権利侵害を主張されたらユーザーが対応する」といった免責を盛り込みます。この点は後述の「責任と免責」の章でも触れますが、成果物に関するリスクをどちらが負担するかという視点で契約を確認しましょう。

なお、共同開発や受託開発の場合はプログラムやモデル自体の著作権・特許権の帰属も重要です。「開発の成果（学習済みモデルやソースコード）はすべて発注者に譲渡する」「ただしベンダーの汎用モジュール部分は除く」など、契約書に詳細な定めがあるはずです。ここを疎かにすると、自社が開発費を出したのに完成したAIの権利を使えない、といったことにもなりかねません。経営者としては自社が得られる権利の範囲を理解し、必要なら交渉しておくことが肝心です。

入力データ・学習データの取り扱い

次に重要なのが、AIに提供する入力データ（インプット）の扱いです。AIサービスではユーザー側が何らかのデータを提供し、それをAIが処理してアウトプットを返すのが一般的です。
この入力データの契約上の取り決めが甘いと、様々なリスクが生じます

例えば: 自社の営業データをAIに学習させたところ、AI開発会社がそのデータを流用して別の顧客のAIにも同じ学習をさせていた…というケースです。自社の貴重なデータが競合他社のサービス向上に使われてしまったら大問題です。このような事態を防ぐには契約でデータ利用のルールを定めておくことが不可欠です。

データの所有権・権利

提供するデータ（インプット）の所有権や知的財産権は契約上誰に属するかを明記します。

通常、元データの権利は提供者に留まると定めますが、明文化しておくことでベンダー側が勝手に権利主張できないようにします（例えば「ユーザーは提供データについて適法な権利を有し、本契約による提供によって何ら権利移転は生じない」等）。

利用目的の限定

ベンダーがそのデータを何の目的で利用できるかを限定します。契約で「本サービス提供のためにのみ利用する」「サービス改善目的であってもユーザーの事前承諾なく利用しない」などと決めておけば、勝手に他用途へ使われるのを防げます。「目的外利用の禁止」はデータ提供側にとって非常に重要な条項です。

第三者提供の禁止・条件

ベンダーがユーザーの提供データを外部の第三者に提供しないよう義務付けます。あるいは提供する場合の条件（例えば法令に基づく要求時のみ可、匿名化した統計情報としてのみ可、など）を定めます。

これにより、ユーザーのデータがベンダー経由で他所に渡ってしまうリスクをコントロールできます。特にクラウドAIではサービス運営企業以外に下請け企業やデータセンター運営者など複数の第三者が関与し得るため、契約上の縛りが重要です。

学習後のデータ削除

AIのトレーニングや分析にデータ利用が終わった後、データを削除または返却する義務を定めることも必要です。

期間を区切って「契約終了時または利用目的達成時に、提供データおよびその複製物を全て消去する」などの条項を入れ、データの長期保存・再利用を防ぎます。学習データは企業の貴重な資産になり得るため、不要になったら確実に消去してもらうか、あるいは逆に自社で回収できるように決めておくことが重要です。

以上の取り決めによって、自社データの扱いをコントロールできます。また、データ提供時には「ユーザーがそのデータの適法な利用権を持っていること」を保証する条項も一般的です（不正なデータではないこと、第三者権利を侵害しないこと等の保証）。

これはベンダー側のリスクを下げるためのものですが、経営者としては自社が提供するデータについて適切な権利処理や匿名化を施しておくことも大切です。例えば顧客データをAIに学習させるなら、事前に顧客から利用許諾を得ておく、個人情報を含む場合は匿名加工する、といった社内対応も求められます。契約と合わせて自社内のデータ管理体制も確認しましょう。

個人情報・機密情報の管理

AIサービス導入時には、自社や顧客の個人情報や機密情報がAIに入力されたり、クラウド上に預けられたりするケースも多々あります。そのため契約では、こうしたセンシティブな情報の取り扱いルールを明確に定めておく必要があります。ポイントは「秘密保持契約(NDA)」と「個人情報保護対応」の2つです。

まず機密情報の保護については、一般的な秘密保持条項を確認します。契約書中に「双方は相手方の機密情報を第三者に漏えいしない」「本契約の目的以外に利用しない」といった文言があるかチェックしましょう。またAI特有の配慮として、機密情報がAIシステム内部に蓄積・流出しないかも注意が必要です。

具体例: 社員のチャット履歴をAIに学習させたところ、AIがその中の社内機密情報まで記憶してしまい、外部ユーザーが対話で引き出せる状態になってしまった…という事例が想像できます。

実際に2023年にはサムスン電子で、社員が機密のソースコードや会議録をそのままChatGPTに入力してしまい、社外にデータが漏洩する事故が発生しました

このように生成AIの活用には情報漏えいリスクが伴うため、契約上も「提供データに機密情報が含まれる場合の特別取り決め」や「ベンダー側の情報管理義務の強化（暗号化やアクセス制限等）」を盛り込むと安心です

必要に応じて「ベンダーによる定期的なセキュリティ監査受入れ」や「ログ保存・報告義務」を定めることも検討されます。

個人情報保護の観点

次に個人情報保護の観点では、契約で個人データの取り扱いを確認します。もしAIサービス利用にあたり欧州のGDPRや日本の個人情報保護法が適用される個人データを扱うなら、データ保護に関する契約条項（DPA: Data Processing Agreement）を締結する必要があるかもしれません。一般にGDPRでは「EU居住者の個人データを扱う全ての企業」に規制が及び漏洩時には72時間以内の報告義務や高額な罰金のリスクがあります。

AIサービス提供者がデータ処理者となる場合、契約でデータの目的外利用禁止や保存期間の制限、安全管理措置、違反時の報告義務などを明記し、必要に応じてモデル契約条項(SCC)の締結や委託先一覧の共有など法令準拠の措置を講じます。日本企業でも海外の個人データを扱えばGDPR対応が他人事でなくなります。

経営者としては、自社が扱うデータに個人情報が含まれるかを把握し、ベンダーと一緒に適切な契約・対策を講じる意識が重要です。

最後に社内ルールにも触れておきます。生成AIの利活用が進む中、従業員が不用意に機密情報をAIに入力しないよう社内ガイドラインを設ける企業も増えています。

契約だけで万全ではないため、例えば「社外秘データは許可なくAIツールに入力しない」「個人情報は必ずマスキングする」等のルール策定や従業員教育も行いましょう。契約と社内対策の両面から、情報の安全を守ることが経営者のリスク管理として求められます。

責任と免責（トラブルが起きたらどうなる？）

AIサービスの契約では、不測のトラブル時の責任分界点もしっかり確認しましょう。AIは万能ではなく、誤作動や不具合、想定外の挙動を起こす可能性があります。また、サービス提供停止や第三者からのクレームなど様々なトラブルシナリオが考えられます。その際に「誰がどこまで責任を負うか」を決めておくのが契約の役割です。

特に重要なのはAIの出力結果に関する責任と損害賠償責任の範囲です。まずAIの出力（アウトプット）が誤っていたり有害だった場合、基本的にベンダー側はその内容を保証しないことがほとんどです。

なぜならAIの回答精度や挙動を100%コントロールすることは難しく、「絶対正しい結果を提供します」という約束は現実的でないからです。

例えば: AIに文章生成を依頼したら、犯罪を助長するような不適切文が出てきてしまった…というケースを考えます。その文章をうっかり公開してしまうと企業が訴訟リスクを負う可能性があり、本来AI提供者に責任を問いたいところですが、契約上は「出力内容についてベンダーは責任を負わない」とされているかもしれません

このようにAIの誤りによるリスクは基本ユーザー側が被る形になることが多いため、導入企業としては契約でどこまでサポートや補償があるかを確認しつつ、社内でダブルチェック体制を敷くなどリスク対策が必要です。

再委託や外注の制限

AIサービス提供者が契約上の業務を第三者に再委託する可能性にも注意しましょう。再委託（サブコントラクト）とは、ベンダー（受託者）が契約上の義務の一部または全部をさらに別の会社等に外注することです。

契約に何も規定がないと、ベンダーは自由に再委託できてしまい、思わぬリスクが生じます。そこで多くの契約では再委託条項が設けられ、以下のような点を取り決めます。

再委託の可否・条件

「再委託を禁止する」か「許可する場合は事前に書面承諾が必要」等を定めます。重要なAI開発プロジェクトでは秘密保持や品質確保のため再委託禁止とするケースもあります。

一方、最新AI技術はパートナー企業と協力しないと実現できないこともあるため、禁止しすぎるとベンダーが柔軟に対応できないデメリットもあります。現実には「再委託する際は事前に顧客の承諾を得る」形式が一般的です。

再委託先への義務付け

再委託を認める場合でも、ベンダーは再委託先にも同等の義務（秘密保持やデータ保護、契約上の作業基準など）を課すことを契約に明記します。例えば「受託者は再委託先に対し本契約と同等の秘密保持義務を遵守させるものとする」といった具合です

これにより再委託先からの情報漏洩リスクを低減できます

また再委託先の不履行があっても「元の受託者が責任を負う（連帯責任）」ことを定めるのもポイントです責任のたらい回しを防ぐため、「下請けがミスっても契約上はあなた（受託者）が責任持ってくださいね」という条項を入れるわけです。

再委託の範囲・定義

何をもって「再委託」とみなすかも確認します。例えばクラウド運営や汎用ソフト利用は再委託に含めないとか、個人事業主への一部業務委託も対象にするかなど、契約によって解釈が異なります

AIサービスでは、外部のAI APIをさらに利用するケース（例えば自社サービス内で外部のAIモデルを呼び出すなど）もあり得ますが、そうしたサードパーティAI利用も再委託とみなすのか認識を合わせておきましょう。

監督・報告権

再委託先で業務がちゃんと行われているかユーザー側がチェックできるよう、監査権や報告義務を設ける場合もあります。例えば「ユーザーは受託者に対し再委託先の業務遂行状況について報告を求めることができる」「必要に応じ監査できる」といった条項です。重要案件ではこうした権利が担保されることもあります。

経営者としては、契約書に再委託に関する条項があるかを見逃さないようにしましょう。自社が発注したAI開発が実は丸ごと別会社に投げられていた…という事態は避けたいものです。もちろん優良なベンダーであれば適切に管理してくれますが、契約で歯止めをかけておくことがリスク管理になります。

再委託条項が無ければ追加を検討し、あればその条件が自社の許容範囲か確認してください。特に機密データを扱う場合や品質が死活的に重要な場合には、再委託禁止や厳格な条件付けを交渉することも経営判断として有効です。

契約終了後の扱い（データの返却・破棄など）

契約期間が終了した後に何が起きるかも重要な論点です。AIサービス契約が満了・終了した際に、事前に決めておくべき事項を確認しましょう。主なポイントはデータや成果物の取り扱いと継続利用への対応です。

提供データの返却・削除

前述の入力データの章でも触れましたが、契約終了時にはユーザーが提供したデータをどうするかを決めておきます。多くの場合「ベンダーはユーザー提供データおよびバックアップを全て削除し、証明書を提出する」等の条項を置きます。

クラウドサービスでは一定期間ユーザーデータをダウンロード可能にする措置を取ることもあります。経営者としては、自社データが契約終了後にだらだら相手側に残らないようにし、必要なら返却を受けて自社管理に移すことを意識しましょう。特に個人情報や機密情報は契約終了＝削除が鉄則です。契約書に削除義務が無い場合は追記を求めてもよいでしょう。

学習モデルや成果物の扱い

開発契約等でAIモデルやプログラムそのものを納品してもらった場合、契約終了後にどちらがどこまで利用できるかも確認します。例えば「ソースコードは納品時に提供され、以後はユーザーが自由に改変・利用できる」「ベンダーは納品物を引き続き保守する義務は負わない」などです。

逆にSaaS型利用ではサービス停止後はアウトプットも使えなくなることがあります。API連携の場合もキーが無効化されサービスが停止するでしょう。契約終了後にビジネスへ影響が出ないように、必要なら終了前にデータエクスポートを行っておく、代替手段を用意しておく、といった対応計画も考えておきます。契約条項上は、終了時に残存義務（秘密保持や権利帰属条項の存続）なども確認しておくと安心です。

サービス終了・料金変更条項

ユーザー側から契約を終える場合だけでなく、提供者側のサービス提供終了にも注意が必要です。クラウドAIではベンダー都合でサービス自体が終了したり、料金体系が変更されるリスクがあります。

契約書や利用規約に「○○の事前通知期間をもってサービスを終了できる」「料金は改定可能」等の条項がないかチェックしましょう。経営者にとって、自社がAIに依存している中で急なサービス終了は困りますので、終了時のデータ引渡しや代替サービスへの移行サポートなどについてベンダーと話し合っておくと良いでしょう。

また料金改定についても、上限や事前協議事項を決めておくことが考えられます。

要するに、契約が終わった後も後腐れなくお互い業務を終えられるよう取り決めておくことが重要です。特にデータと権利、そしてサービス継続性に関する事項は事前に合意しておかないと、終了後に揉める原因になります。「終わり良ければ全て良し」ですから、締結時からエグジットプランを考えて契約に反映させておきましょう。