経産省から「AIの利用・開発に関する契約チェックリスト」が公開されました!
以前のblogでも触れていましたが、
↓
ーーーーーーーーーーーーーーーーーーー
経済産業省 AIを利用する場合の チェックリスト作成
https://plug-in01.com/topics/archives/282
ーーーーーーーーーーーーーーーーーーー
予定通り作成されたということですね。
(https://www.meti.go.jp/press/2024/02/20250218003/20250218003.html)
全部で44ページのPDF資料になっています。
目次はこんな感じ。
↓
ざーっと読んでみましたが、図での説明も多くてわかりやすい印象。
それぞれのサービスの「型」や「立場(開発者・提供者・利用者)」でチェックすべき項目が整理されています。
そして、実際のチェックリストを使う場合は、
こちらの図で該当するチェック項目が整理されています。
↓
AIを事業で活用する場合は、契約内容(利用規約を含む)の確認は必須です!
このチェックリストを参考にすることで、必要事項が効率的に確認できそうです。
組織の法務部門や新規事業を担う部門、ISMS事務局の方々などは一読することをお勧めします。
ーーーーーーーーー
以下は、ChatGPTにこのチェックリストについて要約してもらったものですが、せっかくなので貼っておきます(笑)
1. チェックリスト策定の背景・目的
- AI技術の進化と普及に伴い、AIに関連する契約の締結機会が増えている。
- 生成系AIや基盤モデルなどの新技術の登場を受け、従来のガイドライン(AI・データ契約ガイドライン)を補完する形で、より分かりやすいチェックリストを作成。
2. 契約の対象となるユースケース
- AIシステム自体を納品して利用者が運用するケース(システム提供型)
- ベンダが運用するAIサービスを利用者が使うケース(サービス提供型)
- これらをさらに「汎用的AIサービス利用型」「カスタマイズ型」「新規開発型」の3つに分け、想定される契約内容を整理。
3. インプットとアウトプットの取扱い
- AIサービスを利用するにあたり、ユーザが提供する情報(インプット)と、AIが生成・出力する成果物(アウトプット)の取扱いを契約で明確化。
- インプット:機密情報や個人情報が含まれ得るため、利用目的・使用範囲・第三者提供などの管理を定めることが重要。
- アウトプット:生成物や成果物の正確性・権利帰属・再利用の可否等を契約で確認。
4. 個人情報保護法への対応
- インプットに個人データが含まれる場合、**第三者提供規制(27条)や越境移転規制(28条)**の適用を踏まえて、
- ベンダが委託先に該当するか
- 本人の同意取得が必要か
- 外国にある第三者への提供はどう扱うか
といった点を整理する必要がある。
5. セキュリティ水準の確保
- 利用者が提供する情報や、AIによる学習成果を扱うシステムの安全管理措置について、契約上どの程度定めるかを検討。
- ログの保存や監査条項などを設定し、情報漏えいリスクを低減する。
6. 規約改定への備え
- 汎用的AIサービスなどで利用規約に基づき契約するケースでは、サービス提供側の都合で規約が改定され得る。
- 規約改定の周知方法や同意のプロセスについて、利用者が随時確認する必要がある。
7. チェックリスト活用のポイント
- 契約内容のすべてを修正・交渉するのは現実的ではない場合もある。
- インプット提供の範囲を限定する、自社のセキュリティ体制を強化するなど、契約以外の運用面でもリスク管理を行う。
- AIサービス導入に伴うメリット・デメリットを総合的に検討し、自社のニーズに合わせた契約条件の調整が大切。
