みなさま、日々お疲れ様です!大窪です!
前回は、AIにまつわる責任の話……経産省の「民事責任の手引き」を取り上げました。
☞前回記事:「AIが起こしたミス」、責任は誰?|経産省「民事責任の手引き」が示した”2つの類型”
あの記事の中で、「契約書・仕様書を”説明”視点で見直す」という話に触れました。そこで気になるのが、こんな疑問です。
- 「契約書って、結局どこを見たらいいんですか?」
- 「SLAって聞いたことはあるけど、AIだと何が違うんですか?」
- 「解約したら、入力したデータって全部消えるんですか?」
言われてみれば確かに、AIツールの契約書をきちんと読んだことがあるという方は、それほど多くないかもしれません。
個人プランで使い始めたChatGPTを、いつの間にか業務に組み込んでいる。
Microsoft 365に統合されたCopilotが、社内ドキュメントを横断検索してくれる。
営業ツールに組み込まれたAIが、メール文面を提案してくれる。
「便利だから」「みんな使っているから」で導入したAIツール。
その契約書には、見落とすと結構ヒヤッとする条項が並んでいたりします。
今回は、AIツールを選定・契約するときに必ず目を通しておくべきポイントを、中小企業の現場目線で整理してみます。
そもそもSLAって何?
SLA(Service Level Agreement)とは、日本語にすると「サービス品質保証契約」。
ざっくり言えば、「このサービスはこれぐらいの品質で提供します。もし下回ったら、こう補償します」というベンダー側の約束を、契約として明文化したものです。
クラウドサービスやSaaSではおなじみですが、AIツールでは特に以下の2点が論点になります。
- 稼働率(uptime):そのサービスが「ちゃんと動いている時間」の保証
- 応答性能:問い合わせに対するレスポンス速度の保証
ここで一つ、現実を共有させてください。
個人プランで使っているChatGPTやClaude、Gemini……これらは原則SLAがありません。
「あれ?じゃあ業務で止まったら?」
答えはシンプルで、「ベンダー側に補償義務はない」です。
SLAが付くのは、API契約・Enterprise契約・ビジネスプラン以上、というのが業界の通り相場です。
AIツールのSLA、ここを見る
SLA文書を渡されたとき、最低限見ておきたい項目を整理しました。
| 項目 | よくある条件 | 注意ポイント |
|---|---|---|
| 月間稼働率 | 99.9% | 「99.9%」でも月43分のダウンは許容範囲。Enterpriseだと99.95%以上が一般的 |
| 補償内容 | 翌月利用料の10〜25%返金 | 「業務が止まったことによる損害」までは補償されないのが普通 |
| 計画停止の扱い | 事前通知あり | 計画停止は稼働率から除外される。”想定内のダウン”には補償が出ない |
| 障害通知方法 | ステータスページ・メール等 | 通知に気づけないと意味なし。誰がウォッチするかの社内ルールが必要 |
ポイントは、「SLAは”返金の上限”を約束しているだけで、業務影響まで補填するものではない」ということ。
月3,000円のサブスクで、動作が止まって100万円の機会損失が出ても、戻ってくるのはせいぜい数百円……そういう世界です。
だからこそ、業務の重要な部分で使うなら“止まる前提”で運用設計しておくことが大切になります。
AIならではの契約条項チェック10選
ここからが本題。AIツール特有の契約書を結ぶ前にチェックしておきたい10項目です。
① 入力データの「学習利用」可否
ユーザーが入力したプロンプトやファイルを、ベンダー側がモデル改善に使うかどうか。
これ、プランによって設定がまったく違います。
- 個人プラン:デフォルトで学習利用ON(設定でOFFにできるケースが多い)
- API契約・Enterprise契約:原則学習利用しないと明記されている
業務情報を扱うなら、ここは絶対に確認しましょう。
② データの保存期間と削除請求権
入力したプロンプト・出力ログが、ベンダー側のサーバーに何日間残るか。
たとえば、よくある条件は「悪用検知のため30日間保存」。
それを過ぎたら自動削除、というパターンが多いです。
顧客情報や社外秘の文書を入力するなら、
「いつ消えるのか」
「明示的に消してもらえるのか」
を必ず確認しておきたいところです。
③ 越境データ・データ所在地
入力したデータが、どの国のサーバーに渡るか。
日本の個人情報を米国サーバーに送る場合、個人情報保護法28条(外国にある第三者への提供)に絡んできます。
大手クラウド(Microsoft、AWS、Google)は「日本リージョン保証」プランを用意していますが、裏で動いているAIモデルは米国処理、というパターンもあるので注意が必要です。
④ 機密保持(NDA)の範囲
「ベンダー従業員は、ユーザーが入力したデータを見ない」
これが契約書に明記されているか。
「学習利用はしません」と言いつつ、品質改善のために人間レビュアーがログを見るケースを残しているベンダーもあります。
「誰が、どんな条件で、どの範囲を見るのか」までチェックしておきましょう。
⑤ 出力物の知財帰属
“AIが生成した文章・画像・コード”
この著作権や使用権は誰のものになるのか。
大手ベンダーは「ユーザーに帰属」と明記しているケースが多いですが、サービスによっては曖昧、あるいは「ベンダーにも使用権が残る」というパターンも。
営業資料・販促物・コードなど、対外的に出すものを生成させるなら、ここは外せません。
⑥ 責任制限(ライアビリティキャップ)
AIが誤った情報を出して損害が発生した場合、ベンダーがいくらまで賠償するのか。
業界の標準的な条項は、「過去12ヶ月の支払額が上限」。
つまり、月1万円のサブスクなら、最大12万円までしか補償されません。それ以上の損害は、原則として使った企業側の自己責任です。
前回取り上げた「民事責任の手引き」とも直結する論点です。
⑦ インデムニティ(第三者からのクレームに対する補償)
AIの出力が、第三者の著作権・商標などを侵害していた場合、誰が責任を取るのか。
最近、Microsoft・OpenAI・Anthropicなどの大手は「Copyright Shield」的な制度を打ち出し、「我々が引き受けます」と明記し始めています。
ただし、これには条件があります。
「フィルタを無効化していないこと」「商用利用に違反していないこと」など。
“条件付きの安心”であることは、頭に入れておきたいところです。
⑧ 解約時のデータ持ち出し(エクスポート)
解約したとき、自社のデータを取り出せるか。
“チャット履歴、アップロードしたファイル、ファインチューニングしたモデル、ナレッジベース”
どこまでエクスポート可能か、フォーマットは何か。
ここが弱いと、「便利だから乗り換えられない」というベンダーロックインに陥ります。
導入時に必ず”出口戦略”を確認しておきましょう。
⑨ サブプロセッサ(再委託先)の開示
そのAIサービスが、裏で別ベンダーを使っていないか。
たとえば、「AI機能付き」をうたう国内SaaSの裏側で、実はOpenAIのAPIが動いている…
これは珍しくありません。
その場合、データはSaaSベンダーを経由してOpenAIにも渡っていることになります。
個人情報・機密情報を扱うなら、「裏に何がいるか」を把握しておくことが不可欠です。
⑩ 価格改定条項
「30日前通知で値上げできる」
こんな条項が普通に入っています。
AI業界は今、価格変動が非常に激しい時期にあります。
「ある日突然3倍になる」ということは、現実に起こり得ます。
長期で業務に組み込むなら、価格改定の頻度・上限・通知期間を確認しておきたいところです。
個人情報を扱うなら追加で見るべきポイント
顧客情報や従業員情報など、個人情報を含むデータをAIに入力する業務がある場合、上の10項目に加えてもう少し踏み込んだ確認が必要です。
- データ処理者契約(DPA)を結べるか
GDPRや個人情報保護法に基づく、データ取扱いの責任分担を定める契約 - 監査権
必要に応じてベンダーのデータ取扱いを監査できる権利が保証されているか - インシデント通知義務
情報漏洩が起きた場合、何時間以内に通知する義務があるか
(GDPRなら72時間以内が標準)
このあたりは、連載8回目「AIと個人情報・社内データ」とあわせて確認しておくと安心です。
☞ AIと個人情報・社内データ~入力してはいけない情報とは?
「無料/個人プランで使っています」が一番危ない
ここまで読んで、「無料プランだから関係ない」と思った方…
実は、無料/個人プランこそが一番リスクが高いのです。
理由を整理すると、こうなります。
| 項目 | 無料/個人プラン | Enterprise/API契約 |
|---|---|---|
| 学習利用 | 原則ON(OFFにするには設定変更が必要) | 原則OFF |
| SLA | なし | あり(稼働率保証+補償) |
| サポート | コミュニティのみ | 専用窓口あり |
| 機密保持 | 利用規約レベル | 個別契約+NDA |
| 監査・ログ | 原則なし | 可能 |
個人で使う分には問題ないものが、業務で使った瞬間に”穴”だらけになる。
これがAIツールの怖いところです。
「みんな個人アカウントで便利に使っている」
この状態は、シャドーIT(情シスが把握できないIT利用)と同じリスクを抱えています。
中小企業が今日から始められる3ステップ
「いきなり全契約を見直すのは無理」というのが現実だと思います。
そこで、今日から始められる3ステップを提案します。
STEP 1:使っているAIツールの棚卸し
まず、社内で誰が・どんなAIツールを・どんなプランで使っているかを一覧にします。
ChatGPT、Claude、Gemini、Copilot、Notion AI、Slack AI、議事録ツール、画像生成、コード生成など、今の現場で動いているAIは、想像以上に多いはずです。
個人アカウントで使っているものも、見える化しましょう。
STEP 2:「業務影響の大きさ」で優先順位をつける
棚卸ししたツールを、業務影響で3段階に分類します。
- 高:顧客情報・社外秘を入力している/業務が止まると影響大
- 中:社内資料の作成補助/止まっても代替可能
- 低:個人的な学習・調べ物
「高」に分類されたものから、契約条項のチェックに入っていけば、効率よく潰せます。
STEP 3:「高」ツールの契約書を10項目でチェック
本記事の「AIならではの契約条項チェック10選」を、チェックリストとして活用します。
NGが見つかったら、
- プランをアップグレード(個人→ビジネス/Enterprise)
- 業務で使うツールを切り替える
- 使い方を制限する(入力していい情報の範囲を社内で定める)
といった対応につなげていきます。
このアプローチは、連載9回目「実践!社内でAIを使ってみよう~安全な導入と社内ルール」の延長線上にあるものです。
私が現場で感じていること
正直なところ、中小企業の現場でAIツールの契約書を読み込んでいる方は、ほとんどお目にかかりません。
「ベンダーが作ったものだから、まあ大丈夫だろう」
「無料だし、リスクとってまで読むほどでもないか」
気持ちはとてもよく分かります。
でも、AIは「便利さの後ろに必ずデータの流れ」があるツールです。
従来のSaaSと違って、入力した情報そのものが「価値」として処理され、場合によってはモデル改善という形で第三者にも影響する。
これは、Excelのテンプレを買ってきて使うのとはまったく違う構造です。
そして、前回の「民事責任の手引き」が示した通り、“知らなかった”は通用しない時代に入りつつあります。
契約書を全部読み込め、とまでは言いません。
ただ、「うちのAIツール、これだけは確認した」と言える状態は、ぜひ作っておきたいところです。
おわりに
今回は、AIツールを選定・契約するときに見るべきSLAと契約条項を整理しました。
要点を改めてまとめると
- SLAは「返金の上限」の約束であって、業務影響は補填されない
- AI契約には、従来のSaaSにはない10の論点がある
- 個人情報を扱うなら、DPA・監査権・インシデント通知の確認が追加で必要
- 無料/個人プランこそが、業務利用では一番危ない
- まずは棚卸し→優先順位付け→10項目チェックから始める
AIツールは、契約書を読むのが面倒なほど次々と便利な機能が出てきます。
でも、便利なものほど「入った瞬間に止められない」依存度が上がります。
導入を決める前に、契約書のポイントだけでも目を通しておく。
その一手間が、半年後・1年後の自社の足場を大きく変えます。
※本記事のアイキャッチ画像はAI(ChatGPT)で生成したものです。万が一、既存の著作物との類似性など問題がございましたら、お手数ですが[Tel:06-7777-2210]までご連絡ください。速やかに削除等の対応をいたします。
コメント