ChatGPTを使うだけでも対象です——中小企業のためのAIルール整備(ガイドライン1.2版対応)

目次

「うちには関係ない」と思っていませんか

AIをめぐるルールや法律のニュースが、最近よく流れます。聞いたことはあっても、自分ごとに思えない方は多いはずです。

AI事業者ガイドライン。AI推進法。EU AI Act。どれも「大企業やIT企業の話だろう」と感じてしまう。無理もありません。

その一方で、社内ではこんなことが起きていないでしょうか。

営業の担当者が、提案書の下書きをChatGPTで作っている。経理が、わからない処理をAIに聞いている。誰がどのAIを、どんな仕事に使っているか。会社としては、正確に把握できていない。

便利だから、自然と広がる。でも、ルールは決めていない。これは今、多くの中小企業で起きている現実です。

そして実は、この「ルールなく使っている状態」こそ、新しいルールが気にかけている場所です。

この記事では、中小企業の社長に向けて3つのことを整理します。自社は規制の対象なのか。規制は実際に何を求めているのか。そして、今日から何を始めればいいのか。専門の法務部門がなくても、できることはあります。

なぜ「自分は対象外」と感じてしまうのか

「自分は対象外」という感覚には、ひとつ見落としがあります。AIを使うだけでも、あなたは規制の当事者です。

「AIのルール」と聞くと、開発する側の話に思えます。大きなAIを作る会社、サービスとして提供する会社。自分たちは、ただ使っているだけ。そう感じるのは自然です。

ですが、国のAI事業者ガイドラインは、AIに関わる事業者を3つの立場に分けています。「作る人(開発者)」「提供する人(提供者)」、そして「使う人(利用者)」です。

つまり、AIを業務で使っているだけでも、あなたは「AI利用者」という当事者になります。ChatGPTで提案書を書く。それだけで、ガイドラインが語りかける相手に入ります。

AIに関わる「3つの立場」 AI開発者 AIそのものを作る AI提供者 AIをサービスとして提供する AI利用者 業務でAIを使う ★あなたの会社 ChatGPTで提案書を書く——それだけで「AI利用者」 = ルールが語りかける「当事者」になります

図:AIに関わる立場は「作る・提供する・使う」の3つ。業務でAIを使うだけで、あなたの会社は「AI利用者」という当事者になります。

法律の側も、同じ方向を向いています。2025年9月に全面施行されたAI推進法は、AIを事業で活用する「活用事業者」にも責務を定めました。罰則のある厳しい規制ではありません。ですが「自分は無関係」という立場は、もう取りにくくなっています。

もうひとつ、知っておきたい動きがあります。取引先からの問い合わせです。

「御社のAI利用ポリシーを教えてください」。こうした確認が、大きな会社から取引先へと広がり始めています。ルールを整えていない状態は、ここで取引上の不利になりかねません。

規制が実際に求めていること——「人間の最終判断」と社内ルール

では、規制は何を求めているのでしょうか。中小企業に関わる部分は、それほど複雑ではありません。軸は「人間が最後に判断すること」と「社内のルールを持つこと」の2つです。

ひとつ目は、人間の最終判断です。

2026年3月に改定されたガイドライン(第1.2版)では、対象が自律的に動くAI、いわゆるAIエージェントにまで広がりました。AIエージェントとは、人の指示を受けて、自分でメール送信やデータ処理などのタスクを実行するAIのことです。

このガイドラインでは、外部に影響を与える操作の前には、人が判断を挟むことが求められています。「AIに任せきりにしない」。この当たり前を、ルールとして持つということです。

ふたつ目は、社内ルールの明文化です。大がかりな規程集は要りません。A4一枚から始められます。順番は3つです。

社内ルールは「A4一枚」から——3つのステップ 1 棚卸し 誰が・どのAIを・どの仕事に使っているかを書き出す 2 線引き 「AIだけで完結してよい仕事」と「人の確認が要る仕事」を分ける 目安:外部に影響を与えるか(顧客メール・契約は人が確認) 3 明文化 決めたことを一枚にまとめ、社内で共有する 出発点:ガイドライン別添7のチェックリスト・ワークシート ゼロから考えず、自社版に作り替えて使える

図:社内ルールづくりは「棚卸し→線引き→明文化」の3ステップ。ガイドラインの別添資料を出発点にすれば、ゼロから考える必要はありません。

まず、棚卸し。誰が、どのAIを、どの仕事に使っているかを書き出します。

次に、線引き。「AIだけで完結してよい仕事」と「人の確認が必要な仕事」を分けます。判断の目安はシンプルで、「外部に影響を与えるか」です。社内文書の要約はAIに任せてよい。顧客へのメール送信や契約書の作成は、人が確認する。この線を引きます。

最後に、明文化。決めたことを一枚の紙にまとめ、社内で共有します。

ガイドラインには、別添資料としてチェックリストやワークシートも用意されています。これを自社版の出発点にできます。

なお、ここで扱うのは「ルールと体制」の話です。AIには、プロンプトインジェクション(AIへの指示に悪意ある命令を紛れ込ませる攻撃)といった脅威もあります。こうした攻撃から技術的に身を守る方法は、別の記事「中小企業のAIガバナンス・セキュリティ入門」で詳しく整理しています。あわせて読むと、守りの全体像が見えます。

ルールがあると、安心してAIを「攻められる」

ここまで読むと、「結局、制約が増えるのか」と感じるかもしれません。ですが、ルールづくりの目的は、AIを縛ることではありません。むしろ逆です。

守りの線がはっきりしているからこそ、その内側でAIを大胆に使えます。ルールは、踏むのをためらわせるブレーキではなく、安心して踏めるアクセルの土台です。国のガイドラインも、この「攻めのための備え」という考え方を打ち出しています。

実利もあります。先ほどの「御社のポリシーは?」という取引先からの問い合わせに、すぐ答えられる。これは信頼であり、取引の機会にもつながります。

法的な備えとしても効きます。2026年4月には、AIをめぐるトラブルの責任を整理した手引きが、経済産業省から公表されました。そこでは、ガイドラインに沿った備えをしていた事実が、「相当の注意を払っていたか」を判断する材料になり得るとされています。

ルールを持つことは、何かが起きたときに会社を守る盾にもなる、ということです。

ベンチャーネットは、AIを「人に取って代わるもの」ではなく、「人の仕事を支えるもの」と考えています。だからこそ、最後の判断は人に残す。ルールづくりは、その線をはっきりさせる作業でもあります。

よくある質問と、つまずきやすい点

Q. ルールを整えないと、罰則がありますか。
AI推進法そのものに、直接の罰則はありません。ただし悪質な場合には、国が実態を調べ、事業者名を公表する仕組みがあります。また、AIが原因で誰かに損害を与えた場合の責任は、個人情報保護法や民法など、別の法律で問われます。「罰則がない=何もしなくてよい」ではない、と捉えるのが安全です。

Q. EU AI Actは、うちのような国内の会社にも関係しますか。
基本は、EU向けにサービスや製品を出している場合の話です。2026年8月から大部分が適用され、製品に組み込まれる高リスクのAIは2027年8月に完全適用となります。国内中心の事業なら、まずは国内のガイドラインと推進法を押さえれば十分です。海外展開があるなら、早めに該当するかを確認しておきます。

Q. 本格的な体制を作らないといけませんか。
いいえ。整った規程より、まず「A4一枚」です。新しい委員会を作る必要もありません。いまある経営会議に「AIの議題」を一つ加え、誰が・何を・どこまで任せるかを定期的に見直す。それで第一歩になります。

つまずきやすい点も、2つ挙げておきます。

ひとつは、「法律違反でないなら、何もしなくていい」という考え方です。これが落とし穴になります。罰則の有無ではなく、取引先からの信頼やトラブル時の備えという観点で見ると、ルールがない状態の不利は小さくありません。

もうひとつは、完璧を目指して動き出せないことです。走り出してから整えるより、最初に最小限の線を引くほうが、結局は速く、そして安全に進めます。

まとめ——線引きに迷ったら、伴走できます

AIのルールは、もう「大企業だけの話」ではありません。AIを業務で使う中小企業も、当事者です。

とはいえ、やることは複雑ではありません。誰が何に使っているかを棚卸しし、人の確認が要る仕事に線を引き、一枚の紙にまとめる。そして、重要な判断は人に残す。この身の丈の備えが、安心してAIを使う土台になります。

ただ、どこに線を引くか。何を「人が確認すべき仕事」とみなすかは、業種や扱う情報によって変わります。そして「自社にとっての適切な線」は、中にいると意外と見えにくいものです。だからこそ、外の視点が一度入ると、線がはっきり定まります。

ベンチャーネットは、AIの活用を「見える化→わかる化→儲かる化」の流れで伴走しています。その中には、安心して使うための「ルールづくり」も含まれます。

自社だけで線引きに迷うときは、一度ご相談ください。規制に身構えるためではなく、安心して前に進むために。

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

持田 卓臣のアバター 持田 卓臣 株式会社ベンチャーネット代表取締役

株式会社ベンチャーネット 代表取締役
2005年に株式会社ベンチャーネットを設立後、SEOをはじめとするデジタルマーケティング領域のコンサルティングサービスを展開
広告・SNS・ウェブ・MA・SFAと一気通貫で支援を行っています
著書に『普通のサラリーマンでもすごいチームと始められる レバレッジ起業 「バーチャル社員」があなたを救う』(KADOKAWA、2020年)

目次