生成AI導入前支援サービス（コンサルティング・導入前支援サービス）は、企業（ユーザ）が生成AIを安全かつ効果的に導入するための準備段階です。以下の業務メニューが想定されます。

▪️導入アセスメント・ロードマップ策定
現在の業務フローを分析し、生成AIで効率化できる領域を特定。
導入効果の試算（ROI）と実装計画の策定。

▪️ガイドライン・利用ルールの策定支援
セキュリティポリシー、著作権、入力データに関する社内ルールの策定。
情報漏洩リスク対策のコンサルティング。

▪️PoC（概念実証）支援
本格導入前に、特定部署や特定業務（例：議事録作成、メール文案作成）で試験的に導入し、実効性を検証するサポート。

---

1. 契約の性質と成果（アウトプット）に関する注意点

(1) 契約の性質決定と成果水準の明確化

本サービスは、単なる情報の提供だけでなく、ロードマップやガイドライン案、PoC結果という具体的な成果物を生み出します。

• 契約の性質: 契約が、仕事の完成を目的とする請負契約（完成義務あり）となるか、または、事務処理の遂行を目的とする準委任契約（善管注意義務に留まる）となるかを確認し、ベンダにどの程度の完成義務（アウトプットの完成条件や検収条件）を求めるかを検討することが重要です。

• AI特有の難しさ: AIモデルの開発や性能保証は技術的な背景から容易ではありません。しかし、アセスメントやガイドライン策定といったコンサルティング部分については、明確な完成水準（例：法令遵守、社内ポリシーへの適合性）を設定できる可能性があります。

• 成果物の定義: サービス全体を通じて生み出されるアウトプット（ロードマップ、ガイドライン案、PoC報告書、試作モジュール等）の定義が、ユーザの最終的な導入目的を十分にカバーしているか確認する必要があります。

(2) アウトプットの権利帰属と利用条件

• 権利帰属の明確化: 策定されたガイドラインやロードマップ、PoCで作成されたモジュールやデータ分析結果について、ユーザが知的財産権等の権利を取得するかどうか、またはライセンスを受けるのかを明確にする必要があります。開発型契約では、新たに創出された成果（フォアグラウンドIP）の権利帰属が利害対立しやすい論点です。

• 利用条件の制限確認: ユーザが、アウトプットを後の本格導入や商業利用に用いることを想定している場合、利用目的の制限や商用利用の禁止、追加的な対価、またはAIを用いて生成されたことの表示義務といった制限的な利用条件が課せられていないかを精査し、事業上の利用可能性が確保されるかを確認してください。

• 非保証と確認義務: PoCを通じて得られたアウトプット（例：試験導入された生成AIによるメール文案）には、機械学習の特性上、不正確な情報や虚偽の情報（ハルシネーション）、あるいは他者の権利を侵害する情報が含まれる可能性（リスク）があります。ベンダ側は、これらのリスクに関し保証しない旨を契約で定めるのが通常の取扱いとなります。一方、ユーザ側は、利用目的に応じて、正確性や適法性を適切に評価し、人による確認を行うことが必須となります。

2. インプット（ユーザ提供データ）に関する注意点

コンサルティング、アセスメント、特にPoCの実行には、ユーザ様の現行業務データや機微情報（インプット）の提供が不可欠となります。インプットの利用条件は、提供側（ユーザ）にとって最も大きなリスク要因です。

(1) インプットの利用目的の制限

• 学習目的利用の禁止または制限: ベンダによるインプットの利用目的が、本サービスの提供目的（アセスメント、ロードマップ策定、PoC実施）のみに限定されているかを確認してください。

• 汎用的AI学習目的の回避: ベンダがインプットを自己の技術開発や学習目的等、サービス提供目的以外の目的で利用することが許容されている場合、特にそれが汎用的なAI学習目的（第三者も利用するAIサービス改良）に利用される場合、自社の秘密情報流出や知的財産権侵害のリスクが極めて高くなります。このような利用が許容可能か、慎重に判断し、不必要な情報を提供しないことが基本的な対応方針です。

(2) 個人データの取扱いと法令遵守

インプットに個人データ（業務フロー分析やメール文案作成等のPoCで利用されるデータ）が含まれる場合、以下の点に厳重に注意が必要です。

• 委託関係の維持: ベンダへの個人データの提供が、ユーザの利用目的の達成に必要な範囲内での「委託」（個人情報保護法27条5項1号）として整理されることを確認してください。ベンダが、委託された業務以外に個人データを自己の活動目的で利用したり、独自に取得した情報と突合したりする行為は、第三者提供に該当し、本人の同意が必要となる可能性があります。

• 越境移転規制の確認: ベンダが外国にある第三者に該当する場合、追加で越境移転規制（個人情報保護法28条）の遵守が求められます。この場合、原則として「外国にある第三者への提供を認める」旨の本人の同意を取得するか、またはベンダが基準適合体制を整備している必要があります。

• ユーザの義務: ユーザは、委託先であるベンダに対して、必要かつ適切な安全管理措置を講じさせる委託先の監督義務（個人情報保護法25条）を負います。委託契約に、ベンダが講じる安全管理措置や、ユーザが合理的に取扱状況を把握するための規定を盛り込むことが望ましいです。

3. セキュリティと監査に関する留意点

ガイドライン策定支援に含まれるセキュリティポリシーや情報漏洩対策のコンサルティング内容を反映させ、インプットの提供に伴うセキュリティリスクを最小化する必要があります。

• 管理・セキュリティ体制の確認: ベンダがインプットを管理する義務を負う場合、いかなる水準の管理が求められるかを確認してください。

• 監査条項と情報収集: ベンダの管理体制について、ユーザによる監査・情報提供依頼（監査条項）セキュリティ水準を確認するために、アーキテクチャに関する資料やSBOM（Software Bill of Materials：ソフトウェア部品構成表）等の情報提供を求めることも有益です。

• ログの保存: サイバー攻撃や内部不正対策のため、AIサービスおよびその基盤部分に対する認証ログ、アクセスログ、操作ログ等の各種ログの保存をベンダに求めることが考えられます。

4. 開発型契約特有のその他の注意点

導入支援やPoCは、その後の本格導入のベースとなるため、将来の契約関係を見据えた調整が必要です。

• インプットの権利帰属: インプット（ユーザ提供情報）に関する権利（知的財産権等）がベンダに不必要に移転しないかを確認してください。ユーザがベンダに対し権利を移転する必要が生じる場面は限定的です。

• インプットの削除義務: 契約期間の終了時やユーザが求めた場合、ベンダがインプット（ユーザ提供情報）の削除義務を負うか、また削除の履行を証明する書類等の発行義務を負うかを定めておくことが望ましいです。

• 第三者提供の制限: ベンダがインプット（ユーザ提供情報）を第三者（例：基盤モデルの提供元）に提供できるか、できる場合の条件（提供先、提供範囲）が明確に定められているかを確認し、不必要な第三者提供のリスクを排除します。

---

生成AI導入前支援サービスに関する契約は、企業（ユーザ）が今後生成AIを利活用するための「基礎固め」です。提供する機密情報や個人データという「土地」を業者（ベンダ）が将来何に使えるのか、そして業者との協力で生まれたアウトプット（設計図や試作品）の権利を誰が持つのかを、曖昧なままにしてしまうと、後の本格導入時に大きなトラブルの種となります。

従って、特にインプット（ユーザ提供情報）の利用目的とアウトプットの権利帰属について、各自の事業利益を最大限に守るよう、個別交渉の機会を最大限に活用し、明確な条件設定を行う必要があります。