AI事業者ガイドラインv1.2とは
2026年3月31日、総務省と経済産業省は「AI事業者ガイドライン」の最新版であるv1.2を公表しました。本ガイドラインは、AIの開発・提供・利用に関わるすべての事業者が遵守すべき行動指針を示すもので、法的拘束力はないものの、業界標準として事実上の規範となっています。
初版のv1.0は2024年4月に策定され、生成AIの急速な普及を受けて基本的な枠組みが整備されました。その後、2025年のv1.1でリスク分類の精緻化が行われましたが、v1.2ではAIエージェントとフィジカルAIが初めて正式な規制対象として明記されたことが最大の特徴です。
AIエージェントが企業の業務プロセスに深く組み込まれつつある現在、中小企業であっても「自社には関係ない」とは言えない状況になっています。Microsoft 365 CopilotやChatGPTを業務に利用しているだけでも、本ガイドラインの「AI利用者」に該当するためです。
v1.2の主な改訂ポイント
v1.2では、AI技術の進化に伴い5つの大きな改訂が行われました。以下にその要点をまとめます。
| 改訂項目 | 概要 | 影響範囲 |
|---|---|---|
| AIエージェント規定 | 自律的に判断・行動するAIエージェントの定義を明確化。Human-in-the-Loopの必須要件を新設 | AI開発者・提供者・利用者すべて |
| フィジカルAI | ロボットや自動運転など物理世界に作用するAIに関する安全基準を追加 | 製造業・物流業・建設業など |
| マルチモーダルAI | テキスト・画像・音声・動画を横断的に処理するAIに関するリスク評価基準を追加 | AI開発者・提供者 |
| サプライチェーン管理 | AIモデルの学習データ・ファインチューニング・デプロイまでの一連のサプライチェーンに関する透明性要件 | AI開発者・提供者 |
| 透明性要件の強化 | AI生成コンテンツの明示義務の厳格化。電子透かし(ウォーターマーク)の推奨から準義務化へ | AI提供者・利用者 |
特に注目すべきは、AIエージェント規定とサプライチェーン管理の2点です。これらは従来のガイドラインにはなかった全く新しい規定であり、多くの企業に直接的な影響を及ぼします。
AIエージェントに関する新規定の詳細
v1.2で新設されたAIエージェント規定は、自律的に判断・行動するAIシステムに対して具体的な要件を定めています。
AIエージェントの定義
ガイドラインでは、AIエージェントを「人間の指示に基づき、外部環境を認識し、自律的に計画を立案・実行し、目標達成のための行動を継続的に行うAIシステム」と定義しています。単純な質疑応答型のチャットボットはこの定義には含まれませんが、Microsoft 365 CopilotのようにメールやTeamsで自律的にタスクを実行するものは該当する可能性があります。
Human-in-the-Loop(人間の関与)の必須化
v1.2の最も重要な規定の一つが、Human-in-the-Loopの必須化です。AIエージェントが重要な判断や不可逆的な操作を行う際は、必ず人間による確認・承認プロセスを経ることが求められます。具体的には以下の要件が示されています。
- 承認フロー:金銭的影響や個人情報に関わる操作は、人間の承認なしに実行してはならない
- 段階的自律性:AIエージェントの自律度は業務のリスクレベルに応じて段階的に設定する
- オーバーライド機能:人間がいつでもAIエージェントの判断を覆せる仕組みを備える
権限管理
AIエージェントに対しては、最小権限の原則に基づくアクセス制御が求められます。具体的には、エージェントがアクセスできるデータ・システム・機能を業務に必要な最小限に制限し、定期的な権限棚卸しを実施することが推奨されています。
監査証跡
AIエージェントが行った判断と行動のすべてを記録し、事後的に検証できる監査証跡(Audit Trail)を保持することが義務付けられました。ログには判断の根拠、参照したデータ、実行結果、人間の介入有無を含める必要があります。
緊急停止機能
異常な動作や予期しない結果が検出された場合に、AIエージェントを即座に停止できる機能(キルスイッチ)の実装が求められています。停止後の影響範囲の特定と復旧手順もあらかじめ整備しておく必要があります。
中小企業に影響する範囲
「AIのガイドラインは大企業向けでしょう?」と思われるかもしれませんが、v1.2はAIを利用するすべての事業者に適用されます。中小企業が該当する主な場面を整理します。
AI利用者としての義務
Microsoft 365 CopilotやChatGPT、Google Geminiなどの生成AIツールを業務に利用しているだけでも、ガイドライン上の「AI利用者」に該当します。AI利用者には以下の義務があります。
- AI利用に関する社内ポリシーの策定と従業員への周知
- AI出力結果の正確性を人間が確認するプロセスの整備
- 機密情報・個人情報をAIに入力する際のルール策定
- AI生成コンテンツであることの明示(社外公開する場合)
- AIの利用に関するインシデント発生時の対応手順の整備
AI提供者としての義務
自社でAIチャットボットを構築して顧客にサービス提供している場合や、AIを組み込んだ製品・サービスを販売している場合は「AI提供者」に該当します。AI提供者には利用者よりも厳格な義務が課されます。
- AIシステムのリスク評価と軽減措置の実施
- 利用者への適切な情報提供(AIの限界、誤りの可能性等)
- 利用者からの苦情・問い合わせへの対応体制の整備
- 定期的なAIシステムの評価と改善
具体的な対応チェックリスト
ガイドラインの要件を実務に落とし込むために、中小企業が取り組むべき具体的なアクションを示します。
1. AI利用ポリシーの策定
まず最初に取り組むべきは、自社のAI利用ポリシーの策定です。ポリシーには以下の項目を含めます。
- 利用を許可するAIツールの一覧(ホワイトリスト方式を推奨)
- 各ツールの利用可能な業務範囲
- 入力してはいけない情報の定義(個人情報、機密情報、未公開財務情報等)
- AI出力の利用時に必ず行うべき確認事項
- 違反時の対応フロー
2. 従業員教育の実施
ポリシーを策定しただけでは不十分です。全従業員を対象としたAI利用に関する教育を定期的に実施する必要があります。特に、AIの出力を鵜呑みにしないこと、機密情報の取り扱い、AI生成コンテンツの表示ルールについて徹底します。
3. データ分類の整備
どのデータをAIに入力してよいか判断するためには、まずデータの分類が必要です。以下の3段階の分類を推奨します。
- 機密:AIへの入力禁止(個人情報、契約情報、財務情報、営業秘密)
- 社内限定:社内用AIツールへの入力は可(社内手順書、会議メモ等)
- 公開可:外部AIツールへの入力も可(公開済み情報、一般知識等)
4. AI生成コンテンツの表示ルール
社外に公開するコンテンツ(Webサイト、SNS投稿、報告書等)にAI生成コンテンツを含む場合は、その旨を明示するルールを整備します。v1.2では透明性要件が強化されており、表示義務の対象が広がっています。
5. インシデント対応手順の策定
AI関連のインシデント(誤情報の発信、機密情報の漏洩、AIの誤動作等)が発生した場合の対応手順をあらかじめ策定しておきます。連絡体制、初動対応、原因分析、再発防止策の各フェーズを明確にします。
Microsoft 365環境での実装
多くの中小企業が利用しているMicrosoft 365環境において、ガイドラインの要件を実装する具体的な方法を紹介します。
Copilot利用ポリシーの設定
Microsoft 365管理センターからCopilotの利用範囲を制御できます。部署やユーザーグループごとにCopilotの利用可否を設定し、アクセスできるデータの範囲を制限します。
DLP(データ損失防止)ポリシー
Microsoft PurviewのDLPポリシーを設定することで、個人情報やクレジットカード番号などの機密情報がAIに送信されることを防止できます。Copilotとの連携により、プロンプトに機密情報が含まれる場合に自動的にブロックまたは警告を表示します。
監査ログの活用
Microsoft 365のUnified Audit Logでは、Copilotの利用状況(誰が、いつ、どのアプリで、どのような操作を行ったか)を記録できます。ガイドラインが求める監査証跡の要件を満たすために、監査ログの保持期間を適切に設定し、定期的なレビューを実施します。
Sensitivity Labels(秘密度ラベル)
Microsoft Purview Information ProtectionのSensitivity Labelsを活用し、データの分類を自動化します。「機密」ラベルが付与されたドキュメントはCopilotの参照対象から除外するなど、データ分類と連動したアクセス制御が実現できます。
EU AI Actとの比較
日本のAI事業者ガイドラインとEUのAI Act(AI規則)は、いずれもAIリスク管理の枠組みを定めるものですが、アプローチに違いがあります。
| 比較項目 | AI事業者ガイドライン v1.2(日本) | EU AI Act |
|---|---|---|
| 法的拘束力 | なし(ソフトロー) | あり(ハードロー・罰則付き) |
| リスク分類 | 4段階(許容できないリスク、高リスク、限定リスク、最小リスク) | 4段階(同様の構成) |
| AIエージェント | v1.2で明示的に規定 | 汎用AIモデル(GPAI)として間接的に規制 |
| 罰則 | なし(業界自主規制) | 最大3,500万ユーロまたは全世界売上の7% |
| 適用開始 | 公表即時(経過措置なし) | 段階的適用(2024年~2027年) |
| 透明性要件 | AI生成コンテンツの明示を準義務化 | AI生成コンテンツの明示を法的義務化 |
| 中小企業配慮 | 「規模に応じた対応」を推奨 | 中小企業向けサンドボックス制度あり |
日本のガイドラインはソフトローであるため罰則はありませんが、取引先やステークホルダーからガイドライン遵守を求められるケースが増えています。特に大企業との取引がある中小企業は、実質的に対応が求められると考えるべきです。
まとめ
AI事業者ガイドラインv1.2は、AIエージェントとフィジカルAIを初めて規制対象に加えた画期的な改訂です。中小企業にとっての重要ポイントは以下の3点です。
- AI利用者の義務を認識する:CopilotやChatGPTを使うだけでもガイドラインの対象になる
- AI利用ポリシーを策定する:利用ルール・データ分類・インシデント対応手順を整備する
- 技術的な対策を実装する:DLP・監査ログ・Sensitivity Labelsなど、既存のMicrosoft 365機能を活用する
ガイドラインへの対応は一度で完了するものではなく、AI技術の進化やガイドラインの改訂に合わせて継続的に見直していく必要があります。まずは自社のAI利用状況を棚卸しし、優先度の高い対応から着手しましょう。