AIの利用・開発に関する契約チェックリストとは?
経産省作成のリスクチェック・
活用のポイントを分かりやすく解説!

アバター画像
契約ウォッチ編集部
2025.03.13
この記事のまとめ

AIの利用・開発に関する契約チェックリスト」とは、経済産業省がとりまとめたAIの利活用に関する契約のチェックリストです。

チェックリストでは、AIを利用する場面を「インプット」(プロンプトやデータを入力すること)と「アウトプット」(出力された分析結果やコンテンツのこと)に二分し、それぞれについて契約条項を作成する際に留意すべきポイントを示しています。
法務部門やAIシステムを導入する事業部門の担当者が、AIに関する契約条項を検討する際には、チェックリストを活用するとよいでしょう。

この記事では、AIの利用・開発に関する契約チェックリストの内容を分かりやすく解説します。

ヒー

生成AIを利用したサービスの契約書レビューが来ましたが、新しいサービスすぎて何に注意したらよいのか全然分かりません…。

ムートン

そんなときはこのチェックリストを見ながらレビューするとよいですよ。注意点なども記載されていますので、確認していきましょう。

※この記事は、2025年3月12日に執筆され、同時点の法令等に基づいています。

※この記事では、法令名を次のように記載しています。

  • チェックリスト…AIの利用・開発に関する契約チェックリスト
  • 個人情報保護法…個人情報の保護に関する法律

目次

AIの利用・開発に関する契約チェックリストとは

AIの利用・開発に関する契約チェックリスト」とは、経済産業省がとりまとめたAIの利活用に関する契約のチェックリストです。
法務部門やAIを取り扱う事業部門の担当者が、AIに関する契約条項を検討する際には、チェックリストを活用するとよいでしょう。

参考:経済産業省ウェブサイト「「AIの利用・開発に関する契約チェックリスト」を取りまとめました」

チェックリストの対象読者・利用者

チェックリストの読者としては、AIの利活用に関する実務経験を問わず、幅広い実務担当者が想定されています。

引用元|経済産業省「AIの利用・開発に関する契約チェックリスト」3頁

主に想定されているチェックリストの利用場面は、以下の2つです。

① 社内法務部・顧問弁護士等が契約条項を具体的に検討する場面
② ビジネス部門担当者等が契約についての初期的な検討を行う場面

チェックリストの対象となるAIシステム・サービス

チェックリストが対象としているAIシステムは、以下の図に示された仕組みによるものです。AIモデルに対してユーザがインプットを行い、それに対してAIモデルがアウトプットを返すシステムが想定されています。

引用元|経済産業省「AIの利用・開発に関する契約チェックリスト」4頁

具体的には、ChatGPTなどの「生成AI」と呼ばれるAIモデルが、チェックリストの対象となるシステムの典型例です。

ヒー

生成AIは便利ですよね。生成AIを使うサービスを導入したいという声は、色々な部署から上がっています。

チェックリストにおけるAI利用の場面分類|インプットとアウトプット

チェックリストでは、AIを利用する場面を「インプット」と「アウトプット」に二分し、それぞれについて契約条項を作成する際に留意すべきポイントを示しています。

ユーザがAIを利用する場面

① インプット
ユーザ(=利用者)がAIモデルに対して、プロンプトや学習用の生データなどを入力することをいいます。

② アウトプット
AIモデルがユーザに対して、分析結果やコンテンツ等のAI生成物、AIシステム等の成果物を出力・提供することをいいます。

AIの利活用に関する契約においては、チェックリストを参考にしつつ、インプットとアウトプットに関する条項を適切に定めることが求められます。

インプットに関する契約チェックリスト

チェックリストでは、AIモデルに対するインプットに関して定めるべき契約条項として、以下のものが挙げられています。

① インプットの定義(A-1)
② ユーザによるインプットの提供・保証・情報提供(A-2)
③ ベンダによるインプットの利用・管理(A-3)
④ ベンダによるインプットの提供(A-4)
⑤ インプットの権利帰属(A-5)
⑥ インプットの処理成果(A-6)

ムートン

以下ではチェックポイントを中心に紹介していきますが、「AIの利用・開発に関する契約チェックリスト」には「事実上取り得る対応」についても記載があります。当てはまる場合は確認するとよいでしょう。

インプットの定義(A-1)

インプットに関する規律を定めるに当たり、まずは規律の対象となるインプット定義する必要があります。

インプットの定義を明確に定めるとともに、規律の対象外である情報はベンダ(=AIモデルを提供する事業者)が自由に利用できる点に留意した情報管理を行うことが大切です。

ムートン

なお、チェックポイントでは「ユーザのサービス利用目的に照らして、上記内容は許容できるか」という点が共通して示されていますが、本解説では省略しています。
不利な点があっても、許容できるかどうかは個別のケースごとに検討すべきでしょう。

インプットの定義を定める条項のチェックポイント

・インプットの定義は、ユーザがベンダに対し提供する情報のうち、契約上保護することが必要な情報を含んでいるか
・インプットの定義に疑義はないか

ユーザによるインプットの提供・保証・情報提供(A-2)

ユーザがインプットを行うに当たり、ベンダに対してどのような義務を負うのかを定めます。
一例として、第三者の知的財産権を侵害しないこと個人情報保護法などの法令を遵守していることなどの保証が定められるケースがあります。

ユーザによるインプットの提供・保証・情報提供に関する条項のチェックポイント

① 提供義務およびその内容
・ユーザがベンダに対し、インプットを提供する義務を負うか
・ユーザの提供義務がある場合、いかなる提供条件(提供時期、頻度、態様その他の条件)が課せられるか
・ユーザがベンダに対し、提供するインプットの内容(性質、量、粒度その他の内容)について、満たすべき条件があるか

② 保証・情報提供
・ユーザがベンダに対し、インプットに関する保証・情報提供をする義務を負うか
・ユーザによる保証・情報提供が求められる場合、どのような保証・情報提供が求められるか(知的財産権の非侵害、適用法令遵守等を超える保証等を求められるか)
・保証・情報提供義務に違反した場合、どのような効果が生じるか

ベンダによるインプットの利用・管理(A-3)

ユーザのインプットによって得た情報を、ベンダが利用または管理するに当たって遵守すべきルールを定めます。特に、利用目的や目的外利用の制限、安全管理体制の構築などに関する規定が重要です。

ベンダによるインプットの利用・管理に関する条項のチェックポイント

① 利用目的・利用条件
・インプットの利用目的が定められているか
・ベンダによるインプットのサービス提供目的以外の利用が認められているか
・ベンダによる利用が認められる場合、どのような利用条件(利用目的、利用範囲、対価の有無、その他の条件)が課せられているか。特に自社技術開発や学習目的等のサービス提供目的以外の目的で利用することが許容されているか

② 管理・セキュリティ
・ベンダがインプットを管理する義務を負うか
・ベンダが管理義務を負う場合、いかなる水準の管理が求められるか
・ベンダによる管理体制について、ユーザによる監査・情報提供依頼が認められるか

③ 保持期間・消去
・ベンダがインプットを保持可能な期間はどの程度か
・保持期間が完了した場合にベンダがどのような対応をするか
・ベンダが、ユーザが求める場合や、契約期間の終了時に、インプットの削除義務を負うか
・ベンダが削除の履践を証明する書類等の発行義務を負うか(主に秘密情報の場合)

ベンダによるインプットの提供(A-4)

ユーザのインプットによって得た情報を、ベンダがユーザに対して提供する義務を負うか、および第三者提供できるかなどを定めます。
特に機密性が高い情報をインプットする可能性がある場合は、重要度の高い規定と言えます。

ベンダによるインプットの提供に関する条項のチェックポイント

① ユーザへの提供
・ベンダがユーザに対し、インプットを提供する義務があるか
・ベンダによるインプットの提供義務がある場合、どのような提供条件が課せられているか(提供対象の制限の有無や、ユーザによる対価の支払いの有無や、提供可能時期、回数制限等)

② 第三者提供
・ベンダがインプットを第三者に対し提供できるか
・ベンダが第三者提供できる場合、いかなる第三者提供条件(提供先、提供範囲そ
の他の条件)が課せられているか

インプットの権利帰属(A-5)

インプットに関する知的財産権などの権利につき、ユーザからベンダに移転するのか、それともユーザに残るのかを定めます。
一般的には、ユーザからベンダに対してインプットの権利を移転すべきケースは限定的と考えられます。

インプットの権利帰属に関する条項のチェックポイント

・ベンダがインプットに関して、知的財産権等一定の権利を取得するか
・ベンダが権利を取得する場合、どのような権利取得条件(権利移転の対象、対価の有無、ライセンスの有無・内容その他の条件)があるか

インプットの処理成果(A-6)

インプットの処理成果としては主にアウトプットが想定されますが、アウトプット以外に契約上規律すべきものがあれば、その取扱いに関するルールを定めます。

インプットの処理成果に関する条項のチェックポイント

・インプット処理成果の定義は、ベンダの処理により生じる成果のうち、契約上保護することが必要な情報を含んでいるか
・インプット処理成果の定義に疑義はないか

※A-3、A-4、A-5も参照

アウトプットに関する契約チェックリスト

チェックリストでは、AIモデルによるアウトプットに関して定めるべき契約条項として、以下のものが挙げられています。

① アウトプットの定義(B-1)
② ユーザに対するアウトプットの提供(B-2)
③ ユーザによるアウトプットの利用・管理(B-3)
④ ユーザによるアウトプットの第三者提供(B-4)
⑤ アウトプットの権利帰属(B-5)
⑥ アウトプットの処理成果(B-6)

アウトプットの定義(B-1)

アウトプットに関する規律を定めるに当たり、まずは規律の対象となるアウトプット定義する必要があります。アウトプットの呼称はさまざまで、一例として「アウトプット」「出力結果」「コンテンツ」「成果物」などが挙げられます。

アウトプットの定義に関する条項のチェックポイント

・アウトプットの定義は、ユーザのサービス利用目的を十分にカバーしているか
アウトプットの定義に疑義はないか(特に開発型契約の場合には、開発対象が不明確となる場合が少なくないため注意)

ユーザに対するアウトプットの提供(B-2)

アウトプットに関して、ベンダがユーザに対して負う義務の内容を定めます。

ユーザに対するアウトプットの提供に関する条項のチェックポイント

① 完成義務
・ベンダがアウトプットを完成する義務を負うか
・ベンダの完成義務がある場合、どのような完成条件が課せられるのか(完成時期、検収条件等)

② 提供義務・条件
・ベンダがユーザに対し、アウトプットを提供する義務を負うか
・ベンダの提供義務がある場合、どのような提供条件(提供時期、頻度、態様その他の条件)が課せられるか
・ベンダがユーザに対し、提供するアウトプットの内容(性質、量、粒度その他の内容)について、満たすべき条件があるか

③ 保証・情報提供
・ベンダがユーザに対し、アウトプットの保証・情報提供義務を負うか
・ベンダによる保証・情報提供が必要な場合、どのような条件による保証・情報提供が必要なのか
・保証・情報提供違反があった場合、どのような効果が生じるか

ユーザによるアウトプットの利用・管理(B-3)

AIモデルにより得られたアウトプットを、ユーザが利用または管理するに当たって遵守すべきルールを定めます。特に、利用目的目的外利用の制限安全管理体制の構築などに関する規定を重点的にチェックしましょう。

ユーザによるアウトプットの利用・管理に関する条項のチェックポイント

① 利用目的・利用条件
・アウトプットの利用目的の定めがあるか
・ユーザによるアウトプットの利用について、いかなる利用条件(追加的対価・プロフィットシェア、利用目的の制限、禁止的行為、利用範囲その他の条件)が課せられているか

② 管理・セキュリティ・消去
・ユーザがアウトプットの管理・消去義務を負うか。負う場合その内容は何か

ユーザによるアウトプットの第三者提供(B-4)

アウトプットによって得た情報を、ユーザが第三者提供できるかどうかなどを定めます。特にベンダ側にとっては、ユーザによる意図しない情報漏えいが発生しないような規律を定めることが大切です。

ユーザによるアウトプットの第三者提供に関する条項のチェックポイント

・ユーザがアウトプットを第三者に対し提供できるか
・ユーザが第三者提供できる場合、どのような第三者提供条件(提供先、提供範囲その他の条件)が課せられているか。利用型の場合には、AIを用いたサービスによるものである旨の表示をする必要があるか

アウトプットの権利帰属(B-5)

アウトプットに関する知的財産権などの権利につき、ベンダからユーザに移転するのか、それともベンダに残るのかを定めます。

アウトプットの権利帰属に関する条項のチェックポイント

・ユーザがアウトプットに関して、知的財産権等、一定の権利を取得するか
・ユーザが権利を取得する場合、どのような権利取得条件(権利移転の対象、対価の有無、ライセンスの有無・内容その他の条件)があるか

アウトプットの処理成果(B-6)

アウトプットそのものに加えて、アウトプットをさらに加工した処理成果についても契約上規律する必要がある場合は、その取扱いに関するルールを定めます。

アウトプットの処理成果に関する条項のチェックポイント

・アウトプットの処理成果の定義は、ユーザの処理により生じる成果のうち、契約上保護することが必要な情報を含んでいるか
・アウトプットの処理成果の定義に疑義はないか

※B-3、B-4、B-5も参照

チェックリストを活用するうえでの留意点|AIを利用するユーザの視点で解説

契約締結時にチェックリストを活用するAIの利用者(ユーザは、特に以下の各点に注意しましょう。

① チェックリストは参考資料|具体的な事情に合わせた対応を
② インプット提供に関する留意点|AI学習目的の利用の有無をチェック
③ AIの開発を委託する場合は、契約の性質や権利帰属などに注意
④ 個人情報保護に関して、第三者提供規制や越境移転規制に注意
⑤ サービスのセキュリティ水準を確認|必要な条項を検討する
⑥ 利用規約の改定状況を随時チェック|利用規約はベンダが変更できる

チェックリストは参考資料|具体的な事情に合わせた対応を

チェックリストはあくまでも、AIの利活用に関する契約を締結するに当たり、考慮することが望ましい論点を指摘したものに過ぎません。

契約書において、チェックリストで指摘されているリスクが懸念される場合でも、実際に是正を求めたり、契約締結を断念したりするべきかどうかは状況によって異なります。取引の内容自社の状況などに応じて、総合的に見て最善の対応をとりましょう。

ヒー

「チェックリストに当てはまるから変更しないといけない」というわけではないんですね。

インプット提供に関する留意点|AI学習目的の利用の有無をチェック

ユーザがインプット提供(=プロンプトやデータを入力)する際に、対価なしでその知的財産権等をベンダに移転することが契約条件として定められている場合など、契約条件があまりにもユーザにとって不利な場合は、契約条件を検討する必要があります。

特にインプットがAI学習目的に利用されるかについては、以下の場合に分けて、情報漏洩などのリスクを検討すべきです。

  • インプットが汎用的なAI学習目的に利用される(「サービスの改善のため」など)
  • インプットがユーザへのサービス提供に必要な範囲でのみAI学習目的に利用される
  • インプットがAI学習目的に利用されない

AIの開発を委託する場合は、契約の性質や権利帰属などに注意

ユーザがベンダにAIシステム等の開発を委託する場合は、契約交渉において、特に以下のような論点が問題になりやすいことに注意を要します。

・インプット処理成果の利用条件
・契約の性質(準委任、請負など)
・アウトプットの権利帰属、利用条件
など

当事者間で認識を十分共有するとともに、自社にとって不利益な契約条件を押し付けられるようであれば、契約締結を断念することも検討すべきです。

個人情報保護に関して、第三者提供規制や越境移転規制に注意

ユーザのインプットに個人データが含まれる場合、個人情報保護法の第三者提供規制(同法27条)や越境移転規制(同法28条)に注意する必要があります。

ユーザがインプットとして個人データをベンダに提供する場合には、原則として本人同意や委託についての安全管理措置が必要となるため、適切な対応をとらないと個人情報保護法違反となる可能性があります。

サービスのセキュリティ水準を確認|必要な条項を検討する

ユーザは、利用しようとするサービスのシステム構造セキュリティ水準を確認し、重要なセキュリティ要件が契約内容に反映されているか検討しましょう。
その際はベンダが作成した資料だけでなく、技術的観点からの解説などを幅広く確認することが望ましいといえます。

場合によっては、監査条項ログの保存についての条項を定めることも考えられます。

利用規約の改定状況を随時チェック|利用規約はベンダが変更できる

幅広いユーザを対象とするAIモデルのベンダは、その利活用に関するルールを利用規約で定めるのが一般的です。

利用規約は、ベンダがユーザの同意を必要とせずに一方的に変更することができることに留意すべきです(民法の定型約款に関する規定。民法548条の2~548条の4)。
なお、海外のベンダが提供するサービスの場合には、準拠法によって異なるルールが適用される場合があるため、必要に応じて確認を行いましょう。

ムートン

最新の記事に関する情報は、契約ウォッチのメルマガで配信しています。ぜひ、メルマガにご登録ください!

参考文献

経済産業省ウェブサイト「「AIの利用・開発に関する契約チェックリスト」を取りまとめました」

このカテゴリ一覧へ戻る