blog
2026/03/04 12:19
以下、「生成AI導入:SaaS・クラウドサービス利用規約の作成」からの抜粋です。
より詳細な記載内容は、上記リンク先をご参照下さい。
【カスタマイズ型生成AIサービスの利用規約作成における重要ポイント】
カスタマイズ型生成AIサービスとは、GeminiやChatGPTなどの既存の基盤モデル(API)に、独自の追加学習やRAG(検索拡張生成)などの機能を組み合わせて、特定の業態や目的に特化させたサービスを指します。
この形態において最も留意すべきは、サービスが「ユーザー」「サービス提供者(ベンダー)」「基盤モデル提供者(GeminiやChatGPTなど)」という三層構造から成り立っている点です。この特有の構造と生成AIの技術的性質を踏まえ、以下の6つのカテゴリーに分けて利用規約上の留意点を解説します。
1. インプット(入力段階)に関する規律とリスク対応
生成AIサービスでは、ユーザーの入力(インプット)がそのままAIの生成結果に影響を与えます。サービス提供者(ベンダー)はユーザーが何を入力するかを直接管理できないため、利用規約による厳格なコントロールが不可欠です。
▪️インプットの定義
→対象となるインプット(プロンプト、アップロードされたファイル、学習用生データなど)の範囲を明確に定義する必要があります。
▪️不適切なインプットの禁止(禁止行為の明記)
→第三者の著作権、名誉権、プライバシー、肖像権等の権利を侵害する情報の入力を明示的に禁止します。
→事実と異なる誤った情報の生成を目的とした入力や、違法・公序良俗に反する行為を助長する情報の入力を禁止します。
→法律、医療、財務など、専門的知識を要し、誤出力が重大な損害を招く領域での重要な判断を目的とした利用を禁止対象に含めることが望ましいです。
▪️第三者に対する秘密保持義務違反の防止
→ユーザーが第三者に対して秘密保持義務を負う機密情報の入力を禁止します。ユーザーが秘密情報や限定提供データを提供した場合、不正競争防止法違反や契約違反を構成するリスクがあるためです。
▪️サービス提供者によるインプットの利用目的と条件の明示
→入力されたデータが、サービス提供者(ベンダー)によるサービスの運用・保守目的以外に利用されるか否か(特に、AIの再学習やモデル改善に利用されるか)を明確にします。
→インプットを汎用的なAI学習に利用する場合、意図せず他のユーザーへのアウトプットとして機密情報が漏洩するリスクがあるため、利用者は不必要な情報を提供しないよう社内体制を整備する必要があります。逆にサービス提供者側は、学習に利用しない旨を明記することでユーザーの懸念を払拭できます。
▪️データの保持期間と消去義務
→インプットデータの保持期間や、ユーザーからの削除要請に応じる義務の有無、契約終了時のデータ廃棄ルールを明記します。
2. アウトプット(出力段階)に関する規律と免責
AIの出力結果(アウトプット)は、学習データやアルゴリズムの特性上、誤情報(ハルシネーション)や不適切な表現を含む可能性があります。この不確実性に対する責任分配が利用規約の要となります。
▪️アウトプットの定義
→サービスから生成されるコンテンツ、分析結果、システムなどの成果物を明確に定義します。
▪️正確性等の保証の否認(免責規定の明記)
→提供されるアウトプットの信頼性、正確性、最新性、完全性、特定目的への適合性について、サービス提供者は保証しない旨を規定します。
→RAG機能など外部データベースを参照する場合でも、AIの機能上、当該データを正確に反映しない誤情報が生成される可能性があることを明示し、情報提供元の責任ではないことを示します。
▪️ユーザーの自己責任の原則
→アウトプットはあくまで参考情報・補助情報であり、最終的な確認や業務への利用はユーザー自身の責任で行うべきことを明記します。機械学習の特性上、他者の権利を侵害する情報が含まれる可能性があるため、人による確認が必要です。
▪️知的財産権の権利帰属
→生成されたアウトプットに係る著作権等の知的財産権が誰に帰属するのか(原則ユーザーか、サービス提供者か)を規定します 。一般的にはユーザーに権利を留保させますが、プロンプトのテンプレート等、サービス提供者が用意した部分にはユーザーの権利が及ばないよう例外を設けます。
▪️第三者提供・利用条件の制限
→生成AIを用いたサービスによる出力である旨の表示義務や、商業利用の可否など、ユーザーがアウトプットを利用・外部提供する際の条件を定めます。
3. 生成AIシステムに対する攻撃・不正行為への防衛対策
生成AIサービスは外部からの不正な入力により、システムの安定性や知的財産が脅かされるリスクを常に抱えています。
▪️プロンプトインジェクションの禁止
→入力文に不正な指示を埋め込み、意図しない出力や機密情報の漏洩、誤作動を誘発する行為を禁止行為として定義します。
▪️モデルの蒸留(Distillation)の禁止
→大量のアウトプットを収集・分析し、競合する類似のAIモデルやシステムを再構築する行為(リバースエンジニアリングを含む)を厳格に禁止します。
▪️データセットやRAGデータベースへの不正アクセス禁止
→システムの学習用データセット、ソースコード、RAG等のデータベースを不正に取得、改ざん、損壊する行為を禁止します。
▪️違反時の措置
→これらの不正行為があった場合、直ちに利用停止や損害賠償請求を行えるよう、契約上の明確な根拠を持たせることが不可欠です。
4. 個人情報保護法およびセキュリティへの対応
入力データ(インプット)に個人情報が含まれる場合、個人情報保護法の適用を受けます。
▪️第三者提供と委託・事業承継・共同利用の整理
→ユーザーがサービス提供者(ベンダー)に個人データを提供する場合、それが「第三者提供」にあたるか「委託・事業承継・共同利用」にあたるかを整理する必要があります。
→サービス提供者(ベンダー)が、入力された個人データを自社のAIモデル学習など「委託された業務以外の目的」で利用する場合や、独自のデータと突合する場合は「委託」とは認められず、原則としてユーザー側で本人の事前同意が必要となります 。
▪️外国にある第三者への提供(越境移転規制)
→利用する基盤モデルのAPIやサーバーが海外にある場合、個人情報保護法28条の越境移転規制が適用されます 。
→EEAや英国など同等水準と認められた国への提供、または基準適合体制を整備している場合を除き、あらかじめ「外国にある第三者への提供を認める」旨の本人の同意を取得する必要があります。
▪️セキュリティ水準と管理体制の明示
→インプットデータの漏洩を防ぐため、他のユーザーのデータと隔離する等の厳重な管理義務を規定します。ユーザー側も、必要に応じて監査条項やログ保存義務を求めることが考えられます。
5. 第三者サービス(基盤モデル)への依存と料金体系の柔軟性
カスタマイズ型生成AIサービスは、GeminiやChatGPTなどの外部基盤モデルに依存しているため、その影響を直接受けます。
▪️第三者サービス起因のサービス停止・変更の免責
→基盤モデルのAPI仕様変更、メンテナンス、障害などにより、自社のサービスが停止・中断・制限を受ける可能性があることを明示し、それに伴う損害については一切の責任を負わない旨を規定します。緊急時は事後通知で足りる旨も記載します。
▪️料金体系の定義と改定権限の確保
→生成AIの料金体系は「定額制(月額制)」「従量制(API課金)」「クレジット制(高度機能消費型)」の3種類に大別され、昨今は実行型AIの普及に伴いクレジット制が増加しています。自社の提供機能に応じた適切な課金方式を規約に反映します。
→基盤モデル側のAPI利用料金が変更された場合など、合理的な理由がある場合には、自社サービスの利用料金を変更できる権利を規約上確保しておくことが極めて重要です。
6. 利用規約の変更
▪️規約変更のルール
→技術や法制度の変化が激しい領域であるため、利用規約の変更に関する規定は必須です。民法上の「定型約款」の要件を満たす場合、①変更する旨、②変更内容、③効力発生時期を適切に周知することで、個別の同意なく規約を変更できる民法548条の4のルールを念頭に置いた手続を規定します。
→ベンダー側は、依存している基盤モデルの利用規約(上流規約)の変更を随時監視し、必要に応じて自社のカスタマイズサービスの規約を連動して変更する体制を整備する必要があります。
当事務所は、これらのポイント検討し、お客様のサービスの特性(BtoBかBtoCか、インプット/入力データに機密情報や個人情報が含まれやすいか、学習データをどう取り扱うか)に合わせて利用規約をテーラーメイドいたします。
より詳細な記載内容は、上記リンク先をご参照下さい。
生成AI|SaaS・クラウドサービス利用規約作成のポイント
経済産業省「AIの利用・開発に関する契約チェックリスト」によれば、生成AIサービスは以下の3類型に分類されます。
類型1:汎用的AIサービス利用型
GeminiやChatGPT等の汎用的AIサービスをそのまま利用するサービス
類型2:カスタマイズ型
GeminiやChatGPTを基盤モデルとして利用し、特定の業務に特化させたサービス
類型3:新規開発型
独自に開発されたAIシステムによるサービス
※ここでは、AIサービスに参入する企業のほとんどが採用すると思われる類型2:カスタマイズ型を想定し、利用規約を作成する際のポイントを記載いたします。
【カスタマイズ型生成AIサービスの利用規約作成における重要ポイント】
カスタマイズ型生成AIサービスとは、GeminiやChatGPTなどの既存の基盤モデル(API)に、独自の追加学習やRAG(検索拡張生成)などの機能を組み合わせて、特定の業態や目的に特化させたサービスを指します。
この形態において最も留意すべきは、サービスが「ユーザー」「サービス提供者(ベンダー)」「基盤モデル提供者(GeminiやChatGPTなど)」という三層構造から成り立っている点です。この特有の構造と生成AIの技術的性質を踏まえ、以下の6つのカテゴリーに分けて利用規約上の留意点を解説します。
1. インプット(入力段階)に関する規律とリスク対応
生成AIサービスでは、ユーザーの入力(インプット)がそのままAIの生成結果に影響を与えます。サービス提供者(ベンダー)はユーザーが何を入力するかを直接管理できないため、利用規約による厳格なコントロールが不可欠です。
▪️インプットの定義
→対象となるインプット(プロンプト、アップロードされたファイル、学習用生データなど)の範囲を明確に定義する必要があります。
▪️不適切なインプットの禁止(禁止行為の明記)
→第三者の著作権、名誉権、プライバシー、肖像権等の権利を侵害する情報の入力を明示的に禁止します。
→事実と異なる誤った情報の生成を目的とした入力や、違法・公序良俗に反する行為を助長する情報の入力を禁止します。
→法律、医療、財務など、専門的知識を要し、誤出力が重大な損害を招く領域での重要な判断を目的とした利用を禁止対象に含めることが望ましいです。
▪️第三者に対する秘密保持義務違反の防止
→ユーザーが第三者に対して秘密保持義務を負う機密情報の入力を禁止します。ユーザーが秘密情報や限定提供データを提供した場合、不正競争防止法違反や契約違反を構成するリスクがあるためです。
▪️サービス提供者によるインプットの利用目的と条件の明示
→入力されたデータが、サービス提供者(ベンダー)によるサービスの運用・保守目的以外に利用されるか否か(特に、AIの再学習やモデル改善に利用されるか)を明確にします。
→インプットを汎用的なAI学習に利用する場合、意図せず他のユーザーへのアウトプットとして機密情報が漏洩するリスクがあるため、利用者は不必要な情報を提供しないよう社内体制を整備する必要があります。逆にサービス提供者側は、学習に利用しない旨を明記することでユーザーの懸念を払拭できます。
▪️データの保持期間と消去義務
→インプットデータの保持期間や、ユーザーからの削除要請に応じる義務の有無、契約終了時のデータ廃棄ルールを明記します。
2. アウトプット(出力段階)に関する規律と免責
AIの出力結果(アウトプット)は、学習データやアルゴリズムの特性上、誤情報(ハルシネーション)や不適切な表現を含む可能性があります。この不確実性に対する責任分配が利用規約の要となります。
▪️アウトプットの定義
→サービスから生成されるコンテンツ、分析結果、システムなどの成果物を明確に定義します。
▪️正確性等の保証の否認(免責規定の明記)
→提供されるアウトプットの信頼性、正確性、最新性、完全性、特定目的への適合性について、サービス提供者は保証しない旨を規定します。
→RAG機能など外部データベースを参照する場合でも、AIの機能上、当該データを正確に反映しない誤情報が生成される可能性があることを明示し、情報提供元の責任ではないことを示します。
▪️ユーザーの自己責任の原則
→アウトプットはあくまで参考情報・補助情報であり、最終的な確認や業務への利用はユーザー自身の責任で行うべきことを明記します。機械学習の特性上、他者の権利を侵害する情報が含まれる可能性があるため、人による確認が必要です。
▪️知的財産権の権利帰属
→生成されたアウトプットに係る著作権等の知的財産権が誰に帰属するのか(原則ユーザーか、サービス提供者か)を規定します 。一般的にはユーザーに権利を留保させますが、プロンプトのテンプレート等、サービス提供者が用意した部分にはユーザーの権利が及ばないよう例外を設けます。
▪️第三者提供・利用条件の制限
→生成AIを用いたサービスによる出力である旨の表示義務や、商業利用の可否など、ユーザーがアウトプットを利用・外部提供する際の条件を定めます。
3. 生成AIシステムに対する攻撃・不正行為への防衛対策
生成AIサービスは外部からの不正な入力により、システムの安定性や知的財産が脅かされるリスクを常に抱えています。
▪️プロンプトインジェクションの禁止
→入力文に不正な指示を埋め込み、意図しない出力や機密情報の漏洩、誤作動を誘発する行為を禁止行為として定義します。
▪️モデルの蒸留(Distillation)の禁止
→大量のアウトプットを収集・分析し、競合する類似のAIモデルやシステムを再構築する行為(リバースエンジニアリングを含む)を厳格に禁止します。
▪️データセットやRAGデータベースへの不正アクセス禁止
→システムの学習用データセット、ソースコード、RAG等のデータベースを不正に取得、改ざん、損壊する行為を禁止します。
▪️違反時の措置
→これらの不正行為があった場合、直ちに利用停止や損害賠償請求を行えるよう、契約上の明確な根拠を持たせることが不可欠です。
4. 個人情報保護法およびセキュリティへの対応
入力データ(インプット)に個人情報が含まれる場合、個人情報保護法の適用を受けます。
▪️第三者提供と委託・事業承継・共同利用の整理
→ユーザーがサービス提供者(ベンダー)に個人データを提供する場合、それが「第三者提供」にあたるか「委託・事業承継・共同利用」にあたるかを整理する必要があります。
→サービス提供者(ベンダー)が、入力された個人データを自社のAIモデル学習など「委託された業務以外の目的」で利用する場合や、独自のデータと突合する場合は「委託」とは認められず、原則としてユーザー側で本人の事前同意が必要となります 。
▪️外国にある第三者への提供(越境移転規制)
→利用する基盤モデルのAPIやサーバーが海外にある場合、個人情報保護法28条の越境移転規制が適用されます 。
→EEAや英国など同等水準と認められた国への提供、または基準適合体制を整備している場合を除き、あらかじめ「外国にある第三者への提供を認める」旨の本人の同意を取得する必要があります。
▪️セキュリティ水準と管理体制の明示
→インプットデータの漏洩を防ぐため、他のユーザーのデータと隔離する等の厳重な管理義務を規定します。ユーザー側も、必要に応じて監査条項やログ保存義務を求めることが考えられます。
5. 第三者サービス(基盤モデル)への依存と料金体系の柔軟性
カスタマイズ型生成AIサービスは、GeminiやChatGPTなどの外部基盤モデルに依存しているため、その影響を直接受けます。
▪️第三者サービス起因のサービス停止・変更の免責
→基盤モデルのAPI仕様変更、メンテナンス、障害などにより、自社のサービスが停止・中断・制限を受ける可能性があることを明示し、それに伴う損害については一切の責任を負わない旨を規定します。緊急時は事後通知で足りる旨も記載します。
▪️料金体系の定義と改定権限の確保
→生成AIの料金体系は「定額制(月額制)」「従量制(API課金)」「クレジット制(高度機能消費型)」の3種類に大別され、昨今は実行型AIの普及に伴いクレジット制が増加しています。自社の提供機能に応じた適切な課金方式を規約に反映します。
→基盤モデル側のAPI利用料金が変更された場合など、合理的な理由がある場合には、自社サービスの利用料金を変更できる権利を規約上確保しておくことが極めて重要です。
6. 利用規約の変更
▪️規約変更のルール
→技術や法制度の変化が激しい領域であるため、利用規約の変更に関する規定は必須です。民法上の「定型約款」の要件を満たす場合、①変更する旨、②変更内容、③効力発生時期を適切に周知することで、個別の同意なく規約を変更できる民法548条の4のルールを念頭に置いた手続を規定します。
→ベンダー側は、依存している基盤モデルの利用規約(上流規約)の変更を随時監視し、必要に応じて自社のカスタマイズサービスの規約を連動して変更する体制を整備する必要があります。
当事務所は、これらのポイント検討し、お客様のサービスの特性(BtoBかBtoCか、インプット/入力データに機密情報や個人情報が含まれやすいか、学習データをどう取り扱うか)に合わせて利用規約をテーラーメイドいたします。
契約書ひながたダウンロード販売
当事務所の契約書ひながたから、本ページに関連するものをピックアップしました。このひながたを基にしたカスタマイズも、別途お見積もりにて承ります。
別ベージに飛びます→ 契約書や利用規約のひながたをベースにしたカスタマイズ
個人事業者様や中小企業様のみならず、大手企業様や弁護士/司法書士/行政書士等の士業様からも多数ご利用いただいています。お役立て下さい。
現在、ひながたに関するお問い合わせ・ご相談を無料で承っています。
→ご相談フォームをご利用下さい。
→電話、LINEでのご相談もお待ちしております。
電話| 050-3693-0133 , 090-4499-0133(年中無休 9時-20時)
LINEでのお問い合わせ
よくあるお問合せ(ぜひお問合せください。)
→契約書ひながたが沢山あり過ぎます。どれを使えばいいか教えて下さい!
→自分の事業に使える契約書・利用規約のひながたはありますか?
→購入しましたが、わからない箇所があるので教えて下さい。
→購入しましたが、どのように修正したらいいのかわからないので教えて下さい。
→ 生成AI(カスタマイズ型)_SaaS・クラウドサービス利用規約
※生成AIを活用したSaaS・クラウドサービスに係る利用規約のひながた・テンプレートです。
※GeminiやChatGPTを基盤モデルとして利用し、特定の業務に特化させた「カスタマイズ型」の生成AIサービスを想定しています。
※定額制(サブスクリプション)とした規定例を記載しています。
※但し、「月額料金」に加えて、「所定期間料金」も設定できるようにしています。(例えば6ヶ月分や12ヶ月分の所定期間料金を支払っていただく場合は割引することが考えられます。)
→ 生成AI導入支援・業務委託契約書3本セット(研修、導入前支援、構築・運用)
※生成AI導入支援の業務に関する、業務委託契約書のひながた3本セットです。
※以下の契約書ひながた3本がセットになっています。
(1) 生成AI導入支援・研修業務委託基本契約書+個別契約書
(2) 生成AI・導入前支援業務委託基本契約書+個別契約書
(3) 生成AI導入支援・カスタマイズ型AIサービス構築・運用業務委託基本契約書+個別契約書
→ 生成AI導入支援(再委託)・業務委託契約書3本セット(研修、導入前支援、構築・運用)
※生成AI導入支援の業務に関する、業務委託契約書のひながた3本セットです。
※以下の契約書ひながた3本がセットになっています。
(1) 生成AI導入支援(再委託)・研修業務委託基本契約書+個別契約書
(2) 生成AI・導入前支援(再委託)・業務委託基本契約書+個別契約書
(3) 生成AI導入支援(再委託)・カスタマイズ型AIサービス構築・運用業務委託基本契約書+個別契約書
