「ルールはあるに越したことはないが、なければないで動いてきた」。多くの企業の社内AI利用はそのような位置づけにあります。しかし2026年春、その前提を崩す2つの制度変化が同時に起きました。総務省・経済産業省によるAI事業者ガイドライン第1.2版の公表(2026年3月31日)と、経産省による「AI利活用における民事責任の解釈適用に関する手引き」の公表(2026年4月9日)です。本記事では、この2つが企業の社内AI運用ルールの意味合いをどのように変えたのかを整理します。
活用が先行し、ルールが追いつかない現実
活用率34.5%・ルール策定率19.5%というギャップ
帝国データバンクが2026年3月に全国2万3,349社を対象に実施した調査によると、生成AIを業務で「活用している」企業は34.5%に達し、そのうち86.7%が効果を実感しています[1]。一方で、同社の別の調査では活用企業のうちガイドライン・利用ルールを「策定済み」とした企業は19.5%にとどまり、「策定中」9.5%、「策定を検討している」23.5%と、過半数がルール整備の途上にあることが示されています[2]。生成AIの活用が先行し、ルール整備が追いついていない実態が浮かび上がります。
この状況をリスクとして認識している企業はまだ少数です。同調査での懸念・課題項目では「情報の正確性」(50.4%)や「専門人材・ノウハウ不足」(41.3%)が上位を占め、「トラブル時の責任所在などのルール整備」を選んだのは25.5%にとどまっています[1]。しかし2026年春の制度変化は、この「責任所在」問題を一段と実務的な次元へ引き上げました。
2026年春、2つの制度変化が転換点を作った
AI事業者ガイドライン第1.2版は、前版(第1.1版)では薄かったAIエージェントの扱いを整理し、自律的に外部へアクションを実行するAIへの「人の関与・統制設計」の重要性を明確に示しました[3]。もう一方の民事責任手引きは、AI利用で損害が発生した場合の責任の所在を、現行の民法・製造物責任法に基づき初めて体系的に整理したものです[4]。この2文書は独立していますが、相互に参照しながら読むと「ルール未整備」の持つリスクの輪郭が浮き上がってきます。
ガイドライン1.2版が強化した「人の関与」の重要性
AIエージェントにHuman-in-the-Loopが必要になった理由
第1.2版で注目される変化のひとつが、AIエージェントへの人の関与(Human-in-the-Loop:HITL)に関する整理です[3]。AIエージェントとは、メール送信、ファイル操作、社外システムとのデータ連携といった外部に影響を与えるアクションを自律的に実行するAI機能を指します。第1.2版ではAIエージェントの定義とリスクが明確化され、自律性の高い利用形態では人の関与・統制設計の重要性が改めて強調されています。
業務自動化のためにAIエージェント機能を導入している企業や、ノーコードツールでワークフロー自動化を進めている部門は、現在の設計において人の関与・確認がどの工程でどのように組み込まれているかを改めて整理しておく必要があります。
社内RAGで知らぬ間に「開発者責任」を負う構造
第1.2版が整理したもうひとつの重要な変化は、「AI利用者」と「AI開発者」の境界線です[3]。ChatGPTやCopilotをそのまま業務に使っている企業は「AI利用者」として扱われます。一方、自社の社内文書を使ってRAG(検索拡張生成)を構築したり、ファインチューニングを実施したりしている場合は、その構築・統合の程度によっては「AI開発者」または「AI提供者」としての責務が加わる可能性があると整理されています。
この区分が実務上意味するのは、トレーサビリティへの配慮の重要性です。学習データの出所、利用許諾状況、処理履歴を記録・追跡できる仕組みを整えることが、期待される対応として示されています[3]。「社内の資料を使ってRAGを組んでいる」という企業は少なくありませんが、その時点で単純な「利用者」の立場を超えている可能性があります。導入の手軽さゆえに自社の責任範囲の変化に気づいていないケースが今後問題化しやすいポイントです。
理由③ 民事責任手引きで変わった「注意義務」の範囲
「支援型」と「代替型」—責任の所在はどう異なるか
民事責任手引きは、AI利用を「補助/支援型AI」と「依拠/代替型AI」の2類型に整理しています[4]。補助/支援型は人間の判断を補佐するもので、最終的な意思決定には人間が介在します。診断補助AIや契約書レビュー支援ツールなどが代表例で、利用者には出力を適切に評価・判断する通常の注意義務が引き続き課される一方、AI開発者・提供者側にも説明義務や設計上の措置が問われ得ます。
一方、依拠/代替型は人間の判断をAIが代替するケースです。業務判断の大部分をAIに委ねる運用がこれに該当し得ます[4]。このタイプでは、AI利用企業(ユーザー)がシステムの設計・運用体制について「注意義務」を問われます。損害が発生した場合、「なぜその設計にしたのか」「運用上どのような確認体制を設けていたか」が問われ、その根拠が記録されていない企業は不利な立場に置かれます。
ルール整備が「注意義務の履行」を証明する時代へ
重要なのは、民事責任手引きが新しい法律ではなく、現行法の解釈を整理したものだという点です[4]。つまり、訴訟や紛争の場においてこの手引きに照らして「適切な注意義務を果たしていたか」が判断される可能性が生まれました。社内のAI運用ルールは、その注意義務の履行を示す文書として機能しうるのです。
逆に言えば、ルールがない状態は「注意義務を尽くしていなかった」と認定されるリスクを高めます。「AIが誤った回答をしたが、社内にルールがなかった」という状況は、以前は単なる運用上の失敗でした。手引きの公表以降は、「適切な注意義務を果たしていたか」を問われる際の考慮要素となりえます。これが「3つ目の理由」であり、最も見落とされやすい変化です。
さいごに
2026年春に起きた2つの制度変化は、どちらも「義務化」とは明示していません。ガイドラインはソフトローであり、手引きは解釈指針です。しかしその組み合わせは、社内AI運用ルールを「あればよい」という任意の整備から、注意義務の内容を説明するうえでの重要な参照資料へと変えつつあります。AIエージェントを使う企業にはHITL設計の可視化が、社内RAGを構築した企業にはトレーサビリティへの配慮が、依拠型AIを業務に組み込む企業にはルール整備の文書化が重要性を帯びています。
まずは自社の生成AI活用を「支援型か代替型か」で分類し、AIエージェント機能が存在する場合は承認フローの設計を確認することを起点にしてください。全面的な規程整備は時間がかかりますが、この2点を明確にするだけでも、法的リスクの輪郭をつかむ第一歩になります。
出典
- [1] 生成AIに関する企業の動向調査(2026年3月) – 帝国データバンク
- [2] 生成AIの活用状況調査(2024年7月) – 帝国データバンク
- [3] AI事業者ガイドライン(第1.2版) – 経済産業省・総務省
- [4] AI利活用における民事責任の解釈適用に関する手引き – 経済産業省
この記事を書いた人
