生成AIガイドライン一覧と作り方|AI事業者ガイドライン1.2版の改訂ポイントと社内策定の実務
この記事のポイント
AI事業者ガイドライン第1.2版(2026年3月公表)でAIエージェント・HITL・トレーサビリティの3点が明確化、1.1版基準は見直し推奨- 政府ガイドラインは「AI事業者ガイドライン1.2版+デジタル庁ガイドライン+AI推進法・AI基本計画」の3層構造で読み解くと整理しやすい
- 自治体は指定都市の90%が生成AI導入済み(総務省令和7年6月版)、東京都・神戸市・横須賀市が公開ガイドラインの参照基準として有力
- 社内ガイドライン策定は4〜5ステップで進めるのが現実的。禁止リスト型より「許可リスト型+例外申請」型のほうが形骸化しにくい
- EU AI Actは2026年8月2日から一部規定の適用拡大、高リスクAIは用途で適用時期が分かれ、EU域内ユーザーがいる日本企業も対象に
Microsoft MVP・AIパートナー。LinkX Japan株式会社 代表取締役。東京工業大学大学院にて自然言語処理・金融工学を研究。NHK放送技術研究所でAI・ブロックチェーンの研究開発に従事し、国際学会・ジャーナルでの発表多数。経営情報学会 優秀賞受賞。シンガポールでWeb3企業を創業後、現在は企業向けAI導入・DX推進を支援。
生成AIガイドラインは、2025年9月のAI推進法全面施行、2026年3月31日のAI事業者ガイドライン第1.2版公表、2026年8月から段階適用が広がるEU AI Actという3つの節目を受けて、実務上の参照度合いが急速に高まっています。
とくに第1.2版では、AIエージェント・フィジカルAIへの対応、Human-in-the-Loop(人間監視)の運用、学習データのトレーサビリティが重要事項として明確化され、社内ガイドラインを2025年以前に作った組織は実務上の見直しが望ましい状況です。
本記事では、AI事業者ガイドライン第1.2版・デジタル庁ガイドライン・東京都ガイドラインなど政府・自治体の主要ガイドラインを一覧化し、業界団体・企業の事例、社内ガイドライン策定の5ステップ、運用で詰まる論点、策定・運用コストの目安までを2026年6月時点の最新情報で体系的に整理します。
「自社の生成AIガイドラインを今からどう作るか/どう更新するか」を決めるための実務的な手引きとして活用ください。
生成AIガイドラインとは——2026年の制度地図
生成AIガイドラインは、生成AIを開発・提供・利用する立場ごとに、技術・倫理・運用面で守るべき事項を整理した指針です。
ChatGPTやClaudeのような汎用モデルの普及で、企業や行政が「どこまでなら使ってよいのか」を判断する根拠が必要になり、政府・業界団体・企業がそれぞれの立場で公表する文書群を指す総称として定着しました。
AI事業者ガイドラインは法的拘束力を持つ規制ではなく非拘束的なソフトローですが、2025〜2026年に複数の制度が動いたことで、調達条件・取引先審査・サイバー保険の引受条件などを通じて実務上の参照度合いが急速に高まっている、という構図を最初に押さえておくと全体像がつかみやすくなります。
なぜ2026年は参照度合いが高まる節目なのか
ガイドラインの位置づけを押し上げているのは、独立した3つの制度動向です。本セクションでは個別の詳細には踏み込まず、参照度合い変化の構図だけを整理します。
以下の表で、2025〜2026年に動いた3つの制度を並べました。
| 時期 | 制度・動き | 何が変わったか |
|---|---|---|
| 2025年9月1日 | AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律)の全面施行 | 罰則は伴わないが、政府がAIガバナンスを政策の中核に位置づけ、企業の自主的な取り組みを前提とする枠組みが法定化 |
| 2026年3月31日 | AI事業者ガイドライン第1.2版の公表 | AIエージェント・フィジカルAIの定義追加、Human-in-the-Loopの運用、学習データのトレーサビリティに関する記載が重要事項として明確化 |
| 2026年8月2日 | EU AI Actの一部規定の適用拡大 | 高リスクAIは用途・製品組込み・移行措置によって適用時期が分散。EU域内にユーザー・サービスを持つ日本企業にも、リスク分類に応じた文書化・透明性義務が段階的に及ぶ |
e-Gov法令検索のAI推進法ページ。2025年6月4日公布・2025年9月1日全面施行(出典:e-Gov)
3つに共通するのは、いずれも企業に対して「ガイドラインを持っていないこと自体がリスク」と読める設計になっている点です。
AI事業者ガイドラインは法的拘束力を持たないソフトローですが、罰則の有無とは別の経路——調達条件・取引先審査・サイバー保険の引受条件——を通じて、ガイドライン未整備の組織が不利になる仕組みが急速に整いつつあります。
ガイドラインがカバーする3つの領域
生成AIガイドラインで扱う論点は、おおむね次の3領域に整理できます。
-
技術的領域
モデルの選定基準、入出力ログの保持、APIアクセス管理、シャドウITの検出、機密データの入力制御などの実装レイヤー。
-
倫理・法的領域
著作権・個人情報・差別的出力・誤情報の取り扱い、ハルシネーション(事実でない生成)の責任配分、透明性の確保。
-
組織運用領域
利用範囲・許可ツール・申請フロー・インシデント対応・教育・監査・経営層の関与体制。
多くの企業が見落としがちなのは3つ目の組織運用領域で、技術と法務のチェックリストは作るものの、誰が運用責任を持ち、どんなレビューサイクルを回すかが曖昧なまま終わるパターンが目立ちます。
支援現場では、最初の社内ガイドラインに「3か月ごとに見直す」と明記し、レビュー会議の主管を情シスではなく経営企画部門に置くケースが、運用が回りやすい構成として定着しつつあります。
政府・行政が公表する主要ガイドライン
ここからは、日本政府が公表する主要ガイドラインを「事業者向け」「行政向け」「上位の枠組み」の3層で整理します。
民間企業が社内ガイドラインを作るとき、骨格として参照すべきは事業者向け、運用設計の参考にすべきは行政向け、経営層の説明資料として参照すべきは上位の枠組み、という使い分けが現実的です。
政府ガイドラインの3層構造
以下の表で、政府が公表する主要ガイドライン・法令を体系的に整理しました。
| 区分 | 名称 | 所管 | 公表時期 | 主な対象 |
|---|---|---|---|---|
| 事業者向け | AI事業者ガイドライン 第1.2版 | 総務省・経済産業省 | 2026年3月31日 | AIを開発・提供・利用する事業者全般 |
| 事業者向け | コンテンツ制作のための生成AI利活用ガイドブック | 経済産業省 | 2024年7月(随時更新) | コンテンツ産業 |
| 行政向け | 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン(DS-920) | デジタル庁 | 2025年5月27日 | 政府職員・各府省庁 |
| 行政向け | 初等中等教育段階における生成AIの利活用に関するガイドライン Ver.2.0 | 文部科学省 | 2024年12月26日 | 学校・教育委員会 |
| 上位の枠組み | AI推進法 | 内閣府 | 2025年9月全面施行 | 国・地方公共団体・事業者 |
| 上位の枠組み | AI基本計画 | 内閣府 | 2025年12月閣議決定 | 政府・関連事業者 |
骨格として最も重く扱われるのが、総務省・経済産業省が共同で取りまとめるAI事業者ガイドラインです。
2024年4月の第1.0版で、それまで別々に存在していた「AI開発ガイドライン案」「AI利活用ガイドライン」「AIガバナンス・ガイドライン」の3本を統合し、1.01版(2024年11月)、1.1版(2025年3月28日)、そして1.2版(2026年3月31日)と継続改訂されてきた経緯があります。
AI事業者ガイドライン第1.2版で変わった3つのポイント
第1.2版は、AIエージェント・フィジカルAIといった新しいAIの形態に対応するため、第1.1版から約1年で改訂されました。社内ガイドラインを1.1版基準で整備した組織は、本セクションの3点が実務上の見直し対象になります。
AI事業者ガイドライン第1.2版(2026年3月31日公表、総務省・経済産業省)の公式アナウンス(出典:経済産業省)
AIエージェント・フィジカルAIへの対応追記
「AIエージェント」は特定の目標を達成するために環境を感知して自律的に行動するAIシステム、「フィジカルAI」はセンサーや駆動系を通じて現実世界に直接働きかけるAIシステム、と新たに定義されました。
両者ともに、人間の介在なく行動連鎖を起こす設計が前提になるため、ガイドラインでは最終的な判断に人間が関与する設計(Human-in-the-Loop)が設計上の重要事項として示されています。
社内ガイドラインに「AIエージェントによる業務自動化を導入する場合は、最終承認者を明示する」といった条項を追加する組織が増えてきました。
学習データのトレーサビリティに関する記載の明確化
データ来歴の記録・追跡は1.1版でも触れられていましたが、1.2版では多義的に捉えられていた表現を整理し、重要事項として明確化されました。
具体的には、学習データの出所・収集方法・前処理内容・利用範囲を文書化し、第三者が検証できる形で保持することが望ましいと整理されています。
自社でRAGを組んで社内文書を取り込んでいる場合、どの文書を、いつ、どの権限で取り込んだかを台帳化しておくと、後追いの監査対応が楽になります。
リスク分類の拡充と主体別役割の明確化
リスク分類の粒度が細かくなり、AI開発者・AI提供者・AI利用者という3主体それぞれが負うべき役割が図表で再整理されました。
社内ガイドラインを書くときは「自社がどの主体にあたるか」を明示し、開発者責任と利用者責任を混在させない構成にすると整合が取りやすくなります。
デジタル庁「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」
2025年5月27日にデジタル庁が公表した、政府職員向けの調達・利活用ガイドラインです。形式上は政府機関を対象としていますが、運用設計の参考資料として民間企業が参照する事例が増えています。
デジタル庁「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン(DS-920)」(2025年5月27日公表、出典:デジタル庁)
主な要請事項は以下のとおりです。
-
AI統括責任者(CAIO)の設置
組織横断でAI活用の方針と統制を担う責任者を置く。CIOやCISOと兼任する場合は役割範囲を明確化。
-
生成AIシステム特有のリスクケース・対応ルールの策定
ハルシネーション・著作権侵害・個人情報漏洩・プロンプトインジェクションなど、生成AI特有のリスクを類型化し、検知・対応手順を文書化。
-
「先進的AI利活用アドバイザリーボード」への定期報告
利活用状況・インシデント・改善計画を外部有識者を含む会議体に報告するレビューサイクル。
民間企業の場合、CAIOに相当するロールを「AIガバナンス委員会」のような会議体に置き換え、社外取締役や外部顧問を入れる構成が現実的な落とし所になります。
自治体・教育機関のガイドライン
自治体と教育機関のガイドラインは、業務特性が民間企業と大きく異なるため、そのまま流用するものではありません。
ただし先行事例として整理されているテンプレートの完成度が高く、自社で雛形を作るときの参考資料としての価値があります。
自治体ガイドラインの普及状況——指定都市の90%が導入済み
総務省が公表した自治体における生成AI導入状況の調査(令和7年6月30日公表、調査基準日は令和6年12月31日)によると、生成AIを「導入済」と回答した団体は**指定都市で90.0%、都道府県で87.2%**に達しました。
民間企業の感覚では「先進的な大企業が先行」と思いがちですが、自治体の普及スピードのほうがすでに速い状態です。住民サービスを止められないという制約があるため、各自治体は独自のガイドラインを公表しています。
総務省「自治体における生成AI導入状況の調査」(令和7年6月30日公表、調査基準日:令和6年12月31日)。指定都市90.0%・都道府県87.2%が導入済み(出典:総務省)
以下の表で、参照基準として有力な自治体ガイドラインを整理しました。
| 自治体 | ガイドライン名 | 特徴 |
|---|---|---|
| 東京都 | AI導入・活用ガイドライン | 2026年3月にデジタルサービス局戦略部が公開。「生成AI利用の手引き Version 1.0」と分離して提供 |
| 神戸市 | 「生成AIの利活用に関する条例」関連ガイドライン | 全国初の生成AI利活用条例を制定し、利用範囲を条例レベルで定義 |
| 横須賀市 | ChatGPT全庁活用に関するガイドライン | 全国の自治体に先行してChatGPTを全庁導入し、運用知見を公開 |
| 茨城県 | 茨城県職員のための生成AI利用ガイドライン | 県職員向けの実務目線で、禁止事項と推奨事項を整理 |
東京都「AI導入・活用ガイドライン」(2026年3月、デジタルサービス局戦略部公開、出典:Speaker Deck)
とくに東京都の構成は、本体ガイドラインと利用の手引きを分離している点が参考になります。
本体ガイドラインで方針・原則を抽象化して定義し、手引きで具体的な操作手順・プロンプト例・トラブル対応を扱う2層構造にすると、方針改定と手順更新のサイクルを分けて回せます。
文部科学省「初等中等教育段階における生成AIの利活用に関するガイドライン Ver.2.0」
文部科学省は2024年12月26日にVer.2.0を公表し、暫定ガイドライン(2023年7月)から大幅にアップデートしました。Ver.2.0では、生成AIを「使わない」前提から「使うことを前提に活用範囲を定める」方向に転換されています。
文部科学省「初等中等教育段階における生成AIの利活用に関するガイドライン Ver.2.0」(2024年12月26日公表、出典:文部科学省)
文部科学省の令和8年4月30日資料によれば、2026年度のパイロット校事業では149自治体・478校が学習・校務での活用事例創出に参加しており、教育現場の制度整備は実装フェーズに入っています。
民間企業が参考にできる視点は、リスク評価マトリクスと授業活用ケーススタディの形式です。「業務シーン × 生成AIの使い方 × リスク水準」のマトリクスで整理する方式は、社内研修教材のフォーマットにそのまま応用できます。
業界団体・企業のガイドライン事例
業界団体・企業が公表するガイドラインは、政府ガイドラインとは別レイヤーで参照価値があります。
政府ガイドラインが「抽象化された原則」を扱うのに対し、業界団体・企業のガイドラインは具体的な業務シーンに対する判断基準を提示している点が違いです。
業界団体のガイドライン
業界横断で広く参照されるのが、JDLA(日本ディープラーニング協会)と業界別の自主ルールです。
| 団体 | ガイドライン名 | 公表時期 | 特徴 |
|---|---|---|---|
| JDLA | 生成AIの利用ガイドライン 第1.1版 | 2023年10月 | 組織が利用ルールを策定する際の雛形。Word形式でカスタマイズ可能 |
| JDLA | 生成AI開発契約ガイドライン | 2025年9月 | ユーザ・ベンダ間の契約締結を支援。アセスメント段階の扱いを明文化 |
| 金融データ活用推進協会(FDUA) | 金融生成AIガイドライン | 2024年〜 | 金融業界特有の規制対応を踏まえた利活用指針 |
| 文化庁 | AIと著作権に関する考え方について | 2024年3月 | 学習段階・生成段階それぞれの著作権の整理 |
JDLA「生成AIの利用ガイドライン 第1.1版」雛形ダウンロードページ。組織が利用ルールを策定する際のテンプレートとしてWord形式で公開(出典:JDLA)
とくにJDLAの「生成AIの利用ガイドライン」は、雛形としての完成度が高く、社内ガイドラインを最短で立ち上げたい組織にとっての出発点として有力です。
ベンダーロックインを避けたい組織は、JDLAの雛形をベースに、自社の事業特性(取り扱うデータ・規制業種か否か・国際展開の有無)に応じてカスタマイズする方式が現実的になります。
企業の公開事例
企業が自社のガイドラインを公開する事例も増えてきました。社内向け文書を完全公開するケースは少ないものの、設計思想・運用ノウハウを公開する事例から学べることは多くあります。
-
サイバーエージェント
2023年4月17日に社内向け生成AI利用ガイドラインVer.1.0を策定し、同4月に「ChatGPTオペレーション変革室」を新設。2024年2月には画像生成AIガイドラインも社内向けに発表した。エンジニアからの「使ってよいか」という問い合わせ増加を背景に、許可ツール・禁止事項・著作権上の注意点を整理する形で社内ルール化が早期に進められた事例として参照価値が高い。
-
DeNA
全従業員向けの「生成系AIサービス社内利用観点マニュアル」を整備。あわせて社員によるAI活用事例100本をまとめたスライドを公開し、ガイドラインだけでなく「実際にどう使われているか」の事例集を別冊で提供する2層構成を採用。
-
日立製作所
グループ全体のAI倫理原則を背景に、Generative AIセンターを設置して生成AIの業務利用ガイドラインを策定・継続更新。既存のプライバシー・AI倫理に関する規定や見識を生かし、リスクをコントロールしながら生成AI活用を進める体制を整えている。
-
ベネッセホールディングス
教育事業を持つ立場から、社員向けのセキュアな利用環境(BenesseChat)と、学習者向けサービスで別々にリスク対策を実装。BtoC事業を持つ企業がガイドライン適用範囲を段階展開する際の参考事例(内閣府AI制度研究会 ベネッセ資料)。
共通する特徴は、「禁止事項」だけで終わらせず、「許可されるツール」と「推奨される使い方」を明示している点です。
禁止リストだけのガイドラインは形骸化しやすく、現場が「結局何が使えるのか」を判断できずにシャドウIT化するリスクが高くなります。
社内ガイドライン策定の5ステップ
ここからは、社内で生成AIガイドラインをゼロから策定する場合の手順を5ステップで整理します。
JDLAの雛形を使う場合でも、自社の事業特性に合わせたカスタマイズが必要です。「雛形を埋めて終わり」ではなく、自社の現状把握から運用設計までを通すことで、形骸化を防げます。
ステップ1: 現状把握——利用実態と業務リスクの棚卸し
最初に着手するのは、自社で生成AIがすでにどう使われているかの実態把握です。多くの組織で、情シス・法務が把握しているより広く現場利用が進んでいます。
把握すべき項目は以下のとおりです。
- 利用されている生成AIサービス(ChatGPT・Claude・Microsoft 365 Copilot・GitHub Copilotなど)と、契約形態(個人契約・法人契約・無料版)
- 利用部門と用途(文書作成・要約・翻訳・コード生成・データ分析など)
- 入力されているデータの種類(社外秘・個人情報・取引先情報の有無)
- インシデント発生履歴(情報漏洩・著作権クレーム・誤情報による業務影響)
この棚卸しを飛ばしてガイドラインを作ると、現場の実態と乖離した「絵に描いた餅」になりがちです。
支援現場では、棚卸し段階で「経営陣が知らない部署が、社外秘データを無料版ChatGPTに投入していた」というケースが頻繁に発見されます。ガイドラインを書く前に、まずこの実態を可視化することが重要です。
ステップ2: 方針決定——許可リスト型か禁止リスト型か
ガイドラインの基本設計として、最初に決めるべきは「許可リスト型」か「禁止リスト型」かの選択です。
以下の表で、両者の特性を比較しました。
| 型 | 設計思想 | メリット | デメリット |
|---|---|---|---|
| 禁止リスト型 | 「やってはいけないこと」を列挙し、それ以外は自由 | 現場の自由度が高い、執筆コストが低い | 想定外の使い方が漏れる、形骸化しやすい |
| 許可リスト型 | 「使ってよいツール・用途」を明示し、それ以外は申請制 | 統制が効きやすい、リスク把握が容易 | 現場の機動性が落ちる、申請フローの運用負荷 |
| ハイブリッド型 | コア業務は許可リスト、補助的業務は禁止リストで運用 | 統制と機動性のバランスを取れる | 設計が複雑、運用判断が必要 |
規制業種(金融・医療・公共)であれば許可リスト型、それ以外であればハイブリッド型が現実的な落とし所になります。
純粋な禁止リスト型は、現場の自由度を確保できる一方、新しい生成AIサービスが次々登場する状況では、ガイドラインが追いつかないリスクが高くなります。
ステップ3: 必須8項目のルール設計
社内ガイドラインに最低限含めるべき項目は、以下の8つです。
-
目的と適用範囲
ガイドラインが扱う対象業務・対象者・例外規定を明示。グループ会社・委託先への適用方針も含める。
-
用語の定義
生成AI・AIエージェント・プロンプト・ハルシネーションなど、本文で使う用語を冒頭で定義。社内の認識を揃える役割。
-
利用が許可されるAIツール
法人契約済みのChatGPT Enterprise・Microsoft 365 Copilot・Azure OpenAI Serviceなど、具体的なツール名と契約形態を列挙。無料版の業務利用可否も明記。
-
利用が許可される業務・目的
文書作成・要約・翻訳・コード生成など、業務カテゴリごとに可否を整理。禁止事項(顧客対応の自動応答など)も明記。
-
入力禁止情報の明示
個人情報・営業秘密・取引先情報・人事情報・財務情報など、入力を禁止するデータ種別を列挙。判断に迷ったときの相談窓口も併記。
-
出力物の取り扱い
生成物の著作権帰属・第三者の権利侵害チェック・公開前の人手レビュー要否・引用ルール。
-
インシデント報告フロー
情報漏洩・著作権クレーム・誤情報による業務影響が発生した場合の報告先・対応手順・記録方法。
-
運用体制
ガイドラインの主管部署・改定承認者・レビューサイクル(推奨:四半期ごと)。
これらを1つの文書に詰め込むのではなく、「方針編」「運用編」「FAQ編」の3冊構成にすると、改定サイクルを項目ごとに分けて回せます。
ステップ4: 教育と周知——3か月以内の全社研修
ガイドラインを策定しても、現場が知らなければ機能しません。策定から3か月以内に、全社向けの研修を実施するスケジュールで設計するのが現実的です。
研修の構成は、以下の3層構造が定着しています。
-
全社員向け(1時間)
ガイドラインの趣旨、入力禁止情報、インシデント発生時の連絡先。eラーニングで実施することが多い。
-
管理職向け(2時間)
部下が違反した場合の対応、シャドウITの兆候、業務での活用判断。集合研修で実施するケースが多い。
-
AI推進担当者向け(1日)
ツール評価、契約レビュー、運用ルール改定、社外講演対応。少人数の認定研修として実施。
研修受講をガイドライン遵守の前提条件にすると、運用後の「知らなかった」という言い訳を封じやすくなります。
ステップ5: 運用と見直し——四半期レビューと年次改定
策定後の運用は、四半期ごとの軽量レビューと、年次の本格改定の2層で回すのが標準的です。
四半期レビューでは、インシデント発生件数・問い合わせ件数・新規ツールの追加申請を確認し、必要に応じてFAQ編を更新します。
年次改定では、本体ガイドラインを見直します。AI事業者ガイドラインの改訂サイクル(過去実績で約1年に1回)に合わせると、政府指針と社内ガイドラインのズレを最小化できます。
2026年6月時点で社内ガイドラインを持つ組織のうち、年次改定を継続できているのは半分以下という肌感があります。ガイドラインは作ることより、改定し続けることのほうが難しいという前提で運用設計するのが現実的です。
海外規制(EU AI Act・米国)の動向
国内ガイドラインだけで完結できる企業は限られています。EU域内にユーザー・取引先・サービス展開がある時点で、EU AI Actの対象になり得るためです。
EU AI Act——2026年以降に段階的に適用拡大
EU AI Actは、2024年に欧州議会で採択されたAI規制の包括的な法律です。リスクベースアプローチで、AIシステムを4段階に分類し、リスク水準に応じた義務を課す設計です。
ただし2026年5月の政治合意以降、欧州委員会は適用時期を段階的に調整する方針を示しています。2026年6月時点の適用スケジュールは以下のように整理できます。
| 時期 | 適用内容 |
|---|---|
| 2025年2月2日 | 許容できないリスクのAI(社会的スコアリングなど)の禁止が適用開始 |
| 2025年8月2日 | 汎用目的AI(GPAI:ChatGPT・Claude・Geminiなど)への透明性・著作権保護義務が適用開始 |
| 2026年8月2日 | 一部規定の適用拡大。透明性義務など、残る規定の運用が進む |
| 2027年12月2日 | 附属書III掲載の高リスクAIシステムの主要義務の適用開始(2026年5月の政治合意で当初予定から後ろ倒し) |
| 2028年8月2日 | 製品安全規制下の高リスクAI(医療機器・自動車などの製品組込み系)への適用開始 |
EU AI Actの段階的適用スケジュール(出典:European Commission)
2026年8月2日を「完全施行」と単純に説明する記事も見られますが、実態は「一部規定の適用拡大」であり、用途・製品組込み・移行措置によって適用時期は分散しています。汎用目的AI(GPAI)の規制はすでに2025年8月から進行中です。
日本企業が留意すべきは以下の3点です。
-
EU域内ユーザーがいる時点で対象
日本国内で開発・運用していても、EU域内のユーザーが利用できる時点で規制対象になり得る。
-
高リスク分類への該当チェック
採用・与信評価・教育評価・法執行など、EU AI Act附属書IIIに列挙された用途に該当するAIは高リスク扱い。
-
GPAI提供者への義務
EU AI Act Article 53では、GPAIのモデル提供者に対し、技術文書の整備、下流の提供者向け情報の提供、EU著作権法遵守の方針策定、学習に用いたコンテンツの概要公表(学習コンテンツ要約)を求めている。日本企業がOSSモデルをファインチューニングして提供する場合も対象になり得る。
2025年末に発表された「Digital Omnibus」と呼ばれる調整パッケージで、一部の適用時期が前後する動きもあります。EU域内事業を持つ企業は、欧州委員会のガイドライン草案を継続的にウォッチする必要があります。
米国——州法と業界別自主規制の併存
米国は、連邦法レベルの包括的AI規制は持たない代わりに、州法と業界別自主規制で対応する構造になっています。
カリフォルニア州のSB 1047(2024年に知事拒否)、コロラド州のSB26-189(2026年5月14日署名・旧Colorado AI Actを置き換え、主要義務は2027年1月1日以降)など、州レベルで規制が動き始めています。連邦政府は、トランプ政権下で2025年初頭に前政権のAI大統領令を撤回しており、規制色は弱まる方向に転じました。
米国市場展開がある日本企業は、州ごとの動向を個別にウォッチする必要があります。EU AI Actのような単一の枠組みで対応できないため、法務レビューの工数はEUより重くなる傾向があります。
ガイドライン運用で詰まる論点
ガイドラインを策定しても、運用で詰まるポイントは決まっています。本セクションでは、AI総研の支援現場で繰り返し見ている詰まりポイントと、ケース別の解き方を整理します。
詰まりポイント1: 「個人契約の業務利用」の扱い
最も判断が割れるのが、社員が個人契約しているChatGPT Plus・Claude Pro等を業務に使ってよいか、という論点です。
論点は以下の3層に分かれます。
-
完全禁止派
契約主体が個人のため、企業のセキュリティ統制が及ばない。情報漏洩リスクが高い。
-
条件付き許可派
個人契約でも、入力禁止情報を投入しない範囲なら業務利用を認める。シャドウIT化を防ぐ現実解。
-
黙認派
明示的に禁止すると違反者が増えるため、法人契約を整備するまでの過渡期として黙認する。
業界・規制水準にもよりますが、金融・医療・公共などの規制業種は完全禁止、それ以外はハイブリッド型で「アカウントの法人契約化を3か月以内に進める」というロードマップを示す方式が現実的な落とし所になります。
ここで意思決定を曖昧にすると、現場が「結局どうすればいいかわからない」状態で動かなくなります。
詰まりポイント2: 出力の著作権・正確性チェックの責任
生成AIで作成した文書・画像・コードに著作権侵害があった場合、誰が責任を負うのか、という論点も詰まりやすいポイントです。
実務上は、生成物を業務利用する従業員に一次責任を置き、組織として権利侵害チェックの手順を明文化する構成が一般的です。
具体的には、外部公開する文書については類似度チェックツールでの検査を必須化、コードについてはOSSライセンスの照合を必須化、といったオペレーションを定めます。
GitHub Copilotの著作権問題のように、ツール提供者が一定の補償プログラムを用意しているケースもあるため、契約条項とあわせてチェック設計をするのが現実的です。
詰まりポイント3: AIエージェント運用時のHITL設計
2026年に入って急増しているのが、AIエージェントによる業務自動化の導入に関する論点です。
第1.2版でHuman-in-the-Loopが重要事項として明確化されたため、「どこまで自動化してよいのか」「人間の最終承認はどの段階で挟むのか」が論点として浮上しています。
実装段階での詰まりポイントは以下のとおりです。
- 自律的に外部APIを呼ぶエージェントに、どのAPIまで権限を与えるか
- 自動承認可能な金額・データ規模のしきい値をどう設定するか
- エージェントの行動ログをどこに保管し、誰がレビューするか
- 想定外の動作をしたときの停止権限を、誰が持つか
これらは、ガイドライン本体ではなく、運用ルールの別冊として整備するほうが現実的です。エージェント技術は半年で大きく変わるため、本体ガイドラインに書き込むと改定サイクルが追いつきません。
ケース別の推奨アプローチ
以下の表で、組織の規模・業種別の推奨アプローチを整理しました。
| 組織タイプ | 推奨アプローチ | 着手の優先順位 |
|---|---|---|
| 大企業(規制業種) | 許可リスト型+AI統括責任者の設置、JDLA雛形をベースに法務監修 | 個人契約の業務利用を即座に禁止し、法人契約への移行を3か月以内に完了 |
| 大企業(非規制業種) | ハイブリッド型、サイバーエージェント・DeNAの事例を参考に「許可ツール+禁止事項」を1ページに集約 | 棚卸し→雛形ベース策定→3か月以内の全社研修 |
| 中堅企業 | JDLA雛形の流用、年次改定でAI事業者ガイドラインに追随 | 棚卸し→雛形流用→管理職向け研修を優先 |
| 中小企業 | 禁止リスト型でシンプルに、東京都「生成AI利用の手引き」を参考に5ページ程度に圧縮 | 入力禁止情報の明示とインシデント連絡先の周知だけは必須 |
| 自治体・公共機関 | デジタル庁ガイドライン・先行自治体ガイドラインの構成を流用 | CAIO相当のロール設置と外部有識者会議の組成 |
規模・業種に関係なく共通するのは、**「禁止事項だけを書いた1ページのガイドラインで止めない」**という点です。
許可されるツール、推奨される使い方、インシデント時の連絡先、レビューサイクル——この4要素は組織規模を問わず必須要素として組み込む必要があります。
ガイドライン策定・運用にかかるコスト
ガイドライン策定・運用のコストは、組織規模と内製比率で大きく変わります。コスト構造を理解しておくと、内製化・外部委託・ハイブリッドの選択判断がしやすくなります。
本セクションで示すレンジは公的な統計値ではなく、AI総合研究所がこれまでに支援した企業の事例に基づく概算です。実際の費用は業種・規模・既存のガバナンス成熟度で大きく上下するため、見積りの初期参考値として扱ってください。
内製で進める場合の工数目安
内製でガイドラインを策定する場合の工数は、組織規模に応じておおむね以下のレンジに収まる傾向があります。
| フェーズ | 中堅企業(300〜1000名)の工数目安 | 大企業(1000名超)の工数目安 |
|---|---|---|
| 現状把握(ステップ1) | 2〜4週間(情シス・法務の主担当1〜2名) | 4〜8週間(部門横断のWGを組成) |
| 方針決定〜ルール設計(ステップ2-3) | 4〜6週間(主担当2〜3名+法務レビュー) | 8〜12週間(WG+経営層承認プロセス) |
| 教育・周知(ステップ4) | 2〜3週間(教材作成+eラーニング配信) | 4〜8週間(階層別研修の運営) |
| 運用設計(ステップ5) | 2週間(運用ルール・改定プロセスの文書化) | 4週間(事務局体制の構築) |
| 合計 | 約3か月、延べ1〜2人月 | 約6か月、延べ3〜5人月 |
支援現場の肌感では、中堅企業で数か月、大企業で半年規模が標準的な策定期間です。
社内人件費に換算すると、中堅企業で数百万円規模、大企業で1000万円規模に達することが多くなります。
外部委託の費用相場
外部のコンサルティング会社・法律事務所に委託する場合の費用は、案件の重さに応じて以下のような区分で整理できます(いずれもAI総研の支援実績に基づく概算)。
-
雛形カスタマイズ型: 数十万〜200万円規模
JDLA雛形をベースに、自社向けにカスタマイズしてもらうライトな委託形態。
-
フル策定型: 数百万円〜1000万円規模
現状把握から運用設計まで一気通貫で支援。法律事務所と連携するケースが多い。
-
顧問契約型: 月額数十万円規模
策定後の運用支援。インシデント対応の相談、定期レビュー、改定支援を含む。
規制業種の大企業で、法律事務所のレビューを含めるフル策定型を選ぶと、トータルで1000万円超の規模になることもあります。
中堅企業以下であれば、雛形カスタマイズ型+自社運用というハイブリッドが、コストパフォーマンス的に最も現実的です。
運用フェーズで発生するランニングコスト
策定後の運用フェーズでは、見落とされがちなランニングコストがあります。
- 四半期レビューの工数(年4回、各回1〜2日程度)
- 年次改定の工数(年1回、1〜2か月程度)
- 全社員向け年次研修の運営(eラーニング配信費用含む)
- 新規ツールの評価・承認プロセス(月数件のペース)
- インシデント対応(発生件数による)
これらを総合すると、運用コストは中堅企業で年間数十万〜100万円規模、大企業で年間数百万円規模に達するケースが多くなります(AI総研の支援実績に基づく概算)。
社内ガイドラインの維持コストを、初期策定コストと同じレンジで見積もる組織が増えてきました。「作って終わり」ではなく「運用し続ける」ことを前提にした予算化が、ガイドラインを生かす最重要のポイントになります。
ガイドライン整備と業務AI活用を一気通貫で設計する
生成AIガイドラインの整備は、組織がAIを安全に活用するための土台です。
ただし、ガイドラインが整っているだけで業務効率化が進むわけではなく、現場が実際にAIをどう使うかという業務実装と並走させて初めて、投資が回収できるようになります。
AI総合研究所では、PoCから全社展開までの設計、部門別ユースケース、AI運用における統制・セキュリティのチェックポイントを220ページにまとめた「AI業務自動化ガイド」を無料で公開しています。ガイドライン策定と並行して、業務プロセスへのAI実装まで一気通貫で設計したい企業向けの実践資料として活用ください。
ガイドライン整備と並走して業務AI活用を進める
AI業務自動化ガイド(220ページ)
ガバナンス文書の整備だけで止まると、現場のAI活用は進みません。AI業務自動化ガイドでは、PoCから全社展開までの設計、部門別ユースケース、AI運用における統制・セキュリティのチェックポイントを1冊に整理しました。ガイドライン策定と並走して業務実装まで一気通貫で設計したい企業向けの資料です。
まとめ
本記事では、2026年6月時点の生成AIガイドラインを、政府・自治体・業界団体・企業の4層で整理し、社内ガイドライン策定の5ステップと運用で詰まる論点までを解説しました。要点を改めて整理します。
-
**2025〜2026年に動いた3つの制度(AI推進法・AI事業者ガイドライン第1.2版・EU AI Act)**により、AI事業者ガイドラインは非拘束的なソフトローでありながら、調達条件・取引先審査・保険引受などを通じて実務上の参照度合いが急速に高まった
-
**AI事業者ガイドライン第1.2版(2026年3月31日公表)**では、AIエージェント・フィジカルAIへの対応、Human-in-the-Loopの運用、学習データのトレーサビリティが重要事項として明確化され、1.1版基準で作った社内ガイドラインは実務上の見直しが望ましい
-
政府ガイドラインは事業者向け・行政向け・上位枠組みの3層構造で読み解く。デジタル庁ガイドラインは政府職員向けだが、CAIO設置・リスクケース策定など民間企業の運用設計の参考にも有効
-
業界団体・企業のガイドラインはJDLA雛形が出発点として有力。サイバーエージェント・DeNA・日立製作所などの事例から、許可リスト+運用ルールの2層構成が定着している
-
社内ガイドラインは5ステップで策定(現状把握→方針決定→ルール設計→教育・周知→運用と見直し)。禁止リスト型より許可リスト型・ハイブリッド型のほうが形骸化しにくい
-
EU AI Actは2026年8月2日から一部規定の適用拡大が進む段階で、高リスクAIは附属書III掲載の用途で2027年12月2日、製品組込み系で2028年8月2日と適用時期が分散。EU域内ユーザーがいる時点で日本企業も対象になり得るため、国内ガイドラインだけで完結できない
2026年は、生成AIガイドラインが「作って終わり」から「運用し続ける」フェーズに入る節目の年です。第1.2版改訂への追従、AIエージェント運用ルールの整備、EU AI Act対応——これらを並行で進めるには、年次改定のサイクルを確立し、ガイドライン・運用ルール・FAQの3層構成で改定サイクルを分けて回す設計が現実的になります。
まずは自社の現状把握から着手し、JDLA雛形・東京都ガイドラインなどの先行事例をベースにカスタマイズすることが、最短で運用可能なガイドラインを作る現実的な第一歩になります。
