生成AIのリスクは、自社の中だけにとどまらない。業務を委託している先や、データをやり取りする取引先が、渡した情報を生成AIに入力していれば、自社が整えたルールの外でリスクが生じる。委託先のAI利用は、こちらからは見えにくく、取り決めがなければ把握すらできない。
本記事は、委託先・取引先との生成AI利用の取り決めを、発注前の論点として整理する。読者として想定しているのは、中小企業の経営者、DX担当、情シス担当、事業責任者である。ガバナンスを社内だけで完結させず、データが渡る相手まで視野に入れることが、この回の眼目である。なお、契約や法令の具体的な解釈は個別の状況や専門家の確認によるため、本記事は一般的な考え方の整理にとどめる。実際の契約は、弁護士など専門家に相談したうえで進めたい。
結論:委託先のAI利用を把握し、取り決めで線を引く
委託先との取り決めの基本は、相手のAI利用を把握できる状態にし、許容範囲を取り決めで明確にすることである。GXOがこの整理で重視するのは、次の3点である。
- 委託先が生成AIをどう使うかを、把握できる状態にする
- 渡したデータの扱いや、AI利用の範囲を取り決めで明確にする
- 再委託や秘密保持を含め、社外まで及ぶ範囲を確認する
委託先のAI利用を一律に禁じるのが目的ではない。把握できないまま渡すのを避け、許容できる範囲を相手と合意することが目的である。把握も合意もないまま機微なデータを渡してしまうと、自社の管理が及ばないところでリスクが生じ、問題が起きても気づくのが遅れる。早い段階で話題にしておくことが、後の手戻りを防ぐ。委託先のAI活用は、業務の質や速さにつながることもあるため、頭から禁じるより、安全に使える範囲を一緒に見つける姿勢が望ましい。
なぜ取り決めが必要か
自社がどれだけルールを整えても、データが社外に渡れば、その先の扱いは相手に委ねられる。社内では入力してはいけないと決めた情報が、委託先では同じ扱いになっているとは限らない。取り決めがないと、次のような問題が起きやすい。
- 委託先が、渡したデータを外部の生成AIに入力してしまう
- 相手のAI利用が見えず、リスクの有無を把握できない
- 問題が起きたとき、責任の範囲が曖昧で対応が難しい
- 再委託先まで含めると、データがどこまで広がるか分からない
取り決めは、相手を縛るためではなく、互いの認識をそろえてリスクを管理するためのものである。自社の内部でいくらルールを整えても、データが外に出れば管理は相手に移る。その切れ目に取り決めという橋を架けておかないと、せっかく社内で築いた備えが、社外との境界で途切れてしまう。委託先との取り決めは、ガバナンスを社内だけで閉じさせないための要である。社内のルールと社外との取り決めがそろって初めて、データの流れ全体に目が届く。情報漏えいの観点とも重なるため、生成AIの社内導入ガバナンス|情報漏えいリスクへの備えとあわせて考えると整理しやすい。
委託先のAI利用を把握する
取り決めの前提として、委託先が生成AIをどう使っているかを把握しておきたい。把握できていなければ、何を取り決めるべきかも見えない。次のような観点で確認するとよい。
| 確認の観点 | 把握したいこと | 補足 |
|---|---|---|
| 利用の有無 | 業務で生成AIを使うか | 使う前提で確認する |
| データの入力 | 渡したデータを入力するか | 機微なデータは特に確認 |
| 利用するサービス | どのサービスを使うか | 入力データの扱いを確かめる |
| 社内ルール | 相手にAI利用ルールがあるか | 整備状況を把握する |
委託先が生成AIを使うこと自体を問題視する必要はない。把握したうえで、渡すデータと許容範囲をすり合わせることが大切である。
把握といっても、相手の業務を細かく監査するわけではない。委託を始める段階や、契約を見直す折に、生成AIの利用について一言確認しておくだけでも、認識のずれはかなり減らせる。特に、機微なデータを渡す委託では、相手がそのデータを外部のサービスに入力する可能性があるかを、早い段階で確かめておきたい。何も聞かないまま渡し、後から「使っていた」と分かるより、最初に話題にしておくほうが互いに動きやすい。
取り決めで確認しておきたい事項
委託先とのAI利用について、契約や取り決めで確認しておきたい事項を整理する。なお、文言や条項の要否は個別の状況により、専門家への相談を前提とした一般的な整理である。
| 観点 | 確認しておきたいこと |
|---|---|
| データの扱い | 渡したデータをAIに入力してよいか、その範囲 |
| 利用範囲 | 業務のどの場面でAIを使うか |
| 秘密保持 | 渡した情報の秘密保持がAI利用にも及ぶか |
| 再委託 | 再委託先のAI利用まで対象に含まれるか |
| 問題時の対応 | 漏えいなどが起きたときの連絡と対応 |
これらは、一律に厳しくするのではなく、業務とデータの機微度に応じて重さを変えるとよい。機微な情報を渡す委託ほど、取り決めを丁寧にしておきたい。
取り決めを考えるときは、禁止を並べることが目的になりやすい点に注意したい。相手のAI利用を一律に縛ると、相手にとって現実的でなく、形だけの取り決めになりかねない。どこまでなら許容できるか、どのデータは入力を避けてほしいか、といった線引きを具体的に示すほうが、相手も守りやすい。互いの業務の実情を踏まえて、守れる内容に落とし込むことが、機能する取り決めにつながる。
再委託と秘密保持まで見る
委託先がさらに別の先へ再委託している場合、データはその先まで届きうる。自社から見えるのは直接の委託先までで、その先は相手の管理に委ねられる。再委託まで含めて確認しておきたい。
- 再委託の有無を把握する:委託先がさらに外注しているかを確認する
- 取り決めの範囲を広げる:AI利用や秘密保持を、再委託先まで及ぶ前提で考える
- 秘密保持との関係を整理する:既存の秘密保持の取り決めが、AI利用にも及ぶかを確かめる
秘密保持の取り決めがあっても、生成AIへの入力が想定されていなければ、解釈が曖昧になりうる。AI利用を念頭に置いて、必要に応じて確認や見直しをしておきたい。実際の条項や解釈は、専門家に相談して整えるのが安全である。委託に渡す情報の範囲は生成AIの社内導入ガバナンス|入力データの境界線も参考になる。
自社が委託される側のときも考える
ここまでは委託する側の視点で見てきたが、自社が他社から業務を受ける立場のときも、同じ論点が逆向きに現れる。受け取ったデータを生成AIに入力してよいかは、相手との取り決めや、相手の想定によって変わる。自社の判断だけで使ってよいとは限らない。
- 受け取ったデータの前提を確認する:相手がAI利用を想定しているかを把握する
- 社内ルールと照らす:自社の利用ルールが、預かったデータにも及ぶようにする
- 不明なときは確認する:判断に迷う場合は、相手に確かめてから使う
委託する側として相手のAI利用を気にするのと同じように、委託される側としても、預かった情報の扱いには注意を払いたい。双方が相手の立場を想像できれば、取り決めはより実態に即したものになる。自社の振る舞いが取引先からどう見えるかを意識することは、信頼を保つうえでも意味がある。なお、こうした扱いの妥当性も、最終的には個別の契約や状況によるため、迷う場面では専門家に相談するのが安全である。
よくある質問
Q1. 委託先に生成AIの利用を禁止すべきですか
一律に禁止するのが正解とは限らない。委託先が安全に活用できるなら、業務の質や速さにつながることもある。大切なのは禁止か許可かではなく、渡したデータの扱いと利用範囲を、相手と把握・合意できているかである。
Q2. すべての取引先と細かく取り決めるのは大変です
機微な情報を渡す相手ほど丁寧に、そうでない相手は要点を押さえる、というように重さを変えるのが現実的である。リスクの大きい委託から優先して取り決めを整えれば、限られた手間で大きなリスクを抑えられる。
Q3. 既存の秘密保持契約があれば十分ですか
既存の取り決めが生成AIへの入力まで想定しているとは限らない。AI利用を念頭に、解釈が曖昧にならないかを確認しておきたい。条項の要否や具体的な文言は個別の状況によるため、弁護士など専門家に相談して整えるのが安全である。
委託先との生成AI利用、取り決めの論点を整理しませんか
GXOでは、委託先・取引先の生成AI利用について、相手のAI利用の把握、渡すデータの範囲、再委託や秘密保持を含めた確認事項の整理をご支援します。具体的な契約条項は専門家と連携しつつ、発注者として押さえるべき論点を一緒に洗い出します。
※ 初回相談では、営業資料の説明よりも現状整理とリスク確認を優先します。