結論:2026年夏のロードマップ策定を待たず、今から動くべき理由
2025年12月23日、日本政府は国として初めてとなる「AI基本計画」を閣議決定した。目標は明快だ。「信頼できるAI」を軸に、「世界で最もAIを開発・活用しやすい国」を実現する——。
この計画は単なる理念の表明ではない。AIガバナンスの強化、サイバー事案対処能力の向上が明記され、2026年夏にはロードマップ(工程表)の策定が予定されている。つまり、半年以内に政府方針が具体的なアクションレベルに落とし込まれる。
情シス部門にとってこれが意味するのは、「AI基本計画がどう自社に影響するか」を経営層に説明し、対応方針を固める猶予が今から数ヶ月しかないということだ。
本記事では、AI基本計画の要点を稟議書でも引用できるレベルで整理し、企業が今とるべき3つの対応策を解説する。
AI基本計画の全体像——5分でわかる要点
計画の位置づけ
AI基本計画は、2024年5月に成立したAI基本法(基本法的性質を持つ法律)に基づいて策定された。法的拘束力のある個別規制ではなく、国の方向性と基本原則を示すものだ。EUのAI Actのような「禁止・罰則型」ではなく、産業振興と信頼確保のバランスを取る「推進型」のアプローチを採用している。
3つの柱
| 柱 | 概要 | 企業への影響 |
|---|---|---|
| AIの開発・活用の促進 | 世界で最もAIを開発・活用しやすい環境を整備 | 規制緩和・補助金拡充が期待。AI投資の追い風 |
| 信頼できるAIの実現 | 安全性・透明性・公平性の確保をガバナンスとして制度化 | 社内AI利用ポリシーの策定・見直しが必須に |
| サイバーセキュリティの強化 | AIを悪用したサイバー攻撃への対処能力向上 | AIセキュリティの観点が情シスの業務領域に追加 |
主要な政策方針
AIガバナンスの強化: 政府はAI開発者・提供者・利用者それぞれに対して、リスク管理と透明性確保を求める方向を明確にした。既存の「AI事業者ガイドライン」(2024年4月策定)を実効性のあるフレームワークに昇格させる意図がある。
計算基盤の整備: AI開発に必要なGPUクラスタなどの計算資源を国として確保し、スタートアップや研究機関に開放する方針。大企業だけでなく中堅企業のAI活用を後押しする狙いだ。
人材育成: AI人材を2030年までに倍増させる目標を掲げている。企業にとっては、社内のAIリテラシー教育が「あると望ましい」から「対外的に説明が求められる」レベルに変わる可能性がある。
なぜ情シス部門が「今」動くべきなのか
ロードマップは2026年夏に出る
AI基本計画は方針を示した文書であり、具体的な施策・スケジュールは2026年夏に策定されるロードマップに記載される。これは裏を返せば、ロードマップが出てから対応を始めると、準備期間がほとんどないまま対応を迫られることを意味する。
取引先・監査法人からの質問が来る
大手企業のサプライチェーンに組み込まれている企業は、取引先から「AI利用に関するポリシーはあるか」「AIガバナンス体制はどうなっているか」と問われる場面が増えている。AI基本計画の閣議決定は、こうした問い合わせを加速させるトリガーになる。
EU AI Actとの二重対応
EU AI Actは2026年8月に全面施行される。EU市場と接点のある企業は、日本のAI基本計画とEU AI Actの両方を見据えたガバナンス体制を構築する必要がある。片方だけ対応して後からもう片方に合わせ直すのは二度手間だ。
企業がとるべき3つの対応策
対応策1:AI利用ポリシーの策定・見直し
最優先は、自社のAI利用ポリシーを整備することだ。すでに策定済みの企業は、AI基本計画の方針と整合しているかを確認する。未策定の企業は、最低限以下の項目をカバーするポリシーを作成する。
ポリシーに含めるべき項目:
- AI利用が許可される業務範囲(生成AI、分析AI、自動化AIそれぞれ)
- 入力してはならない情報の分類(個人情報、営業秘密、未公開財務情報など)
- AI出力の検証プロセス(誰が、どの基準で、出力の正確性を確認するか)
- インシデント発生時の報告フローと責任者
- 利用ツールの選定基準とセキュリティ要件
稟議書での表現例: 「2025年12月23日閣議決定のAI基本計画において、AI利用者に対するガバナンス体制の整備が明記されたことを受け、当社のAI利用ポリシーを策定(見直し)し、リスク管理体制を強化するものです。」
対応策2:AI資産の棚卸し
自社でどのAIツール・サービスが、誰に、どの業務で使われているかを把握する。いわゆる「シャドーAI」(情シスが把握していないAI利用)が最大のリスクだ。
棚卸しのチェック項目:
| 確認項目 | 確認内容 |
|---|---|
| 利用中のAIサービス一覧 | ChatGPT、Copilot、Claude、Gemini、社内AI等 |
| 利用部署・利用者数 | 各部署で誰が使っているか |
| 入力データの種類 | 顧客情報、社内文書、ソースコードなど |
| 契約形態 | 個人アカウント or 法人契約、データ学習のオプトアウト設定 |
| API連携の有無 | 社内システムとのAPI接続があるか |
対応策3:経営層へのブリーフィング資料の作成
AI基本計画を「情シスの話」で終わらせてはならない。経営層に対して、「何が変わるのか」「自社にどう影響するのか」「何をすべきか」を簡潔に伝えるブリーフィング資料を作成する。
ブリーフィングに含めるべき要素:
- AI基本計画の概要(閣議決定の事実、3つの柱、ロードマップのスケジュール)
- 自社への影響(取引先からの要求、法規制の動向、業界団体の動き)
- 対応策と概算コスト(ポリシー策定、ツール統制、研修実施)
- 対応しない場合のリスク(取引先からの信頼低下、インシデント発生時の責任問題)
稟議書での表現例: 「政府は2026年夏にAI基本計画のロードマップを策定予定であり、具体的な施策が提示される前に社内体制を整備することで、事後対応に伴うコスト増と信用リスクを回避します。」
対応スケジュールの目安
| 時期 | アクション | 担当 |
|---|---|---|
| 2026年4〜5月 | AI資産の棚卸し(シャドーAI調査) | 情シス部門 |
| 2026年5〜6月 | AI利用ポリシーのドラフト作成 | 情シス+法務+総務 |
| 2026年6月 | 経営層ブリーフィング、ポリシー承認 | 経営会議 |
| 2026年7月 | 全社への周知・研修実施 | 人事+情シス |
| 2026年夏 | ロードマップ公表後、ポリシーの微調整 | 情シス部門 |
よくある質問(FAQ)
Q1. AI基本計画に法的拘束力はありますか? A. AI基本計画自体は閣議決定であり、直接的な罰則規定はありません。ただし、基盤となるAI基本法は法律であり、今後策定されるロードマップに基づいて個別の規制やガイドラインが具体化される可能性があります。「罰則がないから対応不要」ではなく、「方向性が確定した以上、先手で動くのが合理的」という判断が適切です。
Q2. 中小企業にも影響がありますか? A. はい。AI基本計画は企業規模を限定していません。特にサプライチェーンの一員として大手企業と取引がある中小企業は、取引先からのAIガバナンスに関する要求が強まる可能性が高いです。また、政府のAI人材育成施策や計算基盤の開放は、中小企業のAI活用を後押しする好材料でもあります。
Q3. すでにAI利用ポリシーがある場合、何を見直すべきですか? A. AI基本計画が掲げる「信頼できるAI」の観点で以下を確認してください。(1) AI出力の正確性を検証するプロセスが明文化されているか、(2) リスクに応じた利用制限(高リスク業務でのAI利用ルール)が定義されているか、(3) インシデント発生時の報告・対応フローが整備されているか。
Q4. EU AI Actとの違いは何ですか? A. EU AI Actは「リスク分類に基づく禁止・義務型」の規制です。一方、日本のAI基本計画は「推進と信頼のバランス型」であり、イノベーションを阻害しない姿勢が特徴です。ただし、EU市場と接点がある企業は両方への対応が必要です。
参考情報
- 内閣府「AI基本計画」(2025年12月23日閣議決定)
- 経済産業省・総務省「AI事業者ガイドライン」(2024年4月策定)
- 日本経済新聞「AI基本計画を閣議決定 開発・活用しやすい国目指す」
- SBbit「AI基本計画の全容と企業への影響」
AIガバナンス体制の構築、まずは無料相談から
GXOでは、AI利用ポリシーの策定支援からAI資産の棚卸し、ガバナンス体制の設計、経営層向けブリーフィング資料の作成まで、ワンストップで対応しています。「AI基本計画への対応を何から始めればよいかわからない」という段階からのご相談を歓迎しています。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK