「業務効率化のためにAIの開発を外注しよう」と話を進めていく中で、ふと不安がよぎることはないでしょうか。AIを学習させるには、自社が持っている顧客データや業務データを開発会社(ベンダー)に渡す必要があります。では、その渡したデータや、データを学習して生まれたAIの権利は、いったい誰のものになるのでしょうか。
この疑問は、AI開発の見積もりを取ったり契約交渉に入ったりする段階で、多くの発注担当者が直面します。しかし、社内に明確に答えられる人がいないことも少なくありません。法務の専任担当がいない、あるいはいても相談しづらい。インターネットで調べても、出てくるのは法律事務所の専門的な解説ばかりで、専門用語が多くて読み解けない。そんなもどかしさを感じている方は多いはずです。
こうしたモヤモヤを整理する手がかりになるのが、「データオーナーシップ」という考え方です。そして、AI開発の外注で発生するデータの権利は、「学習データ」「学習済みモデル」「AI出力物」という3つの層に分けて考えると、契約書のどこを見て何を確認すべきかが一気に見えやすくなります。逆にいえば、この3層を曖昧にしたまま契約を結んでしまうと、あとから「自社のデータが競合のAIにも使われていた」「作ってもらったAIを他社に乗り換えられない」といったトラブルにつながりかねません。
本記事では、AI開発を外注する発注者向けに、データオーナーシップの基本から、3層構造の権利帰属、そして契約で権利を守るための確認ポイントまでを、専門知識がなくても分かるように解説します。
なお、ChatGPTのような既製のAIツールを「使う」場面での著作権リスクは、本記事が扱う「AIを外注して作らせる」場面とは論点が異なります。この違いについてはのちほど整理しますが、ツール利用時の著作権リスクを先に知りたい方は生成AIの著作権リスク対策もあわせてご覧ください。
フリーランス新法対応 業務委託発注の法律・契約リスク点検ガイド
この資料でわかること
業務委託でエンジニアに発注する企業担当者・法務担当者が、2024年11月に施行された「フリーランス新法(特定受託事業者に係る取引の適正化等に関する法律)」への対応を含め、業務委託契約に関する法律・契約実務を体系的に把握し、自社のコンプライアンス体制を整備できる状態にする。
こんな方におすすめです
- フリーランス新法への対応状況を社内で点検したい企業担当者
- 業務委託契約書・NDAの記載事項を確認したい法務担当者
- 偽装請負リスクを把握し指揮命令の境界線を整理したい開発マネージャー
入力いただいたメールアドレスにPDFをお送りします。
データオーナーシップとは(基本定義)
データオーナーシップとは、ひとことでいえば「そのデータの所有・管理に関する権利と責任を誰が持つかを明確にする」という考え方です。「このデータは誰のもので、誰が利用・管理する責任を負うのか」をはっきりさせることが、データオーナーシップの出発点になります。
組織内のデータ管理体制を整える文脈で語られることが多い言葉ですが、本記事ではこれを「自社のデータを外部のベンダーに渡してAIを開発してもらう」という場面に当てはめて考えていきます。なぜなら、AI開発の外注では「渡したデータの権利が誰のものになるのか」という、まさにデータオーナーシップそのものが問われる場面が必ず発生するからです。
データの「所有権」と「利用権」は別物
データオーナーシップを考えるうえで最初に押さえておきたいのが、データには「所有権」という概念がそのままは当てはまらない、という点です。
土地や建物のような有形の財産であれば、民法に基づく「所有権」がはっきりと存在します。しかし、データは形のない情報であり、コピーしても元のデータが減るわけではありません。そのため、日本の法律では「データそのものを誰が所有しているか」を直接定める所有権の規定は存在しないのです。
そこで実務上の論点になるのが、「誰がそのデータを利用・管理・コントロールできるか」という利用権の問題です。AI開発の外注でいえば、「自社が渡したデータを、ベンダーがどの範囲まで使ってよいのか」「学習が終わったあと、そのデータをどう扱うのか」といった利用のルールを、当事者間の契約で決めていくことになります。つまり、データの権利を守るとは「所有権を主張する」ことではなく、「利用条件を契約で明確にする」ことだと理解しておくと、このあとの話がスムーズに頭に入ってきます。
データオーナーとデータスチュワードの違い
データオーナーシップの話では、「データオーナー」と「データスチュワード」という2つの役割がよく登場します。混同しやすいので、ここで簡単に整理しておきます。
- データオーナー:そのデータについて最終的な権限と責任を持つ立場。どう活用するか、誰に利用を許すかといった意思決定を行う責任主体です。
- データスチュワード:データオーナーの方針に沿って、データを実際に管理・運用する立場。品質の維持や日々の取り扱いを担う実務管理者です。
「オーナー=意思決定する人」「スチュワード=実務を回す人」と覚えておくと分かりやすいでしょう。AI開発の外注では、自社(発注者)がデータオーナーとしての立場を保ち続けられるか、それとも渡した瞬間にコントロールを失ってしまうのかが、まさに契約で決まる部分になります。
データオーナーシップとデータガバナンスの違い
データオーナーシップと混同されやすい言葉に「データガバナンス」があります。この2つは似ているようで指している範囲が異なるため、ここで切り分けておきます。
項目 | データガバナンス | データオーナーシップ |
|---|---|---|
指すもの | 組織全体でデータを管理する仕組み・ルール全体 | 個別のデータの権利・責任が誰にあるか |
範囲 | 広い(全社的な方針・体制) | 狭い(特定データの帰属) |
例 | データ管理の全社ポリシー策定 | 「この業務データの権利は自社にある」と定める |
ざっくりいえば、データガバナンスという大きな枠組みの中に、データオーナーシップという個別の論点が含まれている、という包含関係になります。データガバナンスは「組織としてデータをどう管理するか」という体制づくりの話であり、データオーナーシップは「個々のデータの権利が誰のものか」という帰属の話です。
本記事で扱うのは後者、つまり「AI開発のために渡す個別のデータの権利帰属」です。全社的なデータ管理体制をどう整えるかという話には深入りせず、「外注するこのデータの権利を、契約でどう守るか」に焦点を絞って進めていきます。
なぜAI開発の外注でデータの権利が曖昧になるのか
AI開発を外注する際にデータの権利が曖昧になりやすいのは、「自社のデータをいったん外部のベンダーに渡す」という外注ならではの構造が原因です。組織内でデータを使う場合と違い、データが自社の管理下から物理的に離れていきます。ここで何が起きるのかを見ておきましょう。
学習データとして渡したデータはどこへ行くのか
AIを開発するには、まず元になるデータが必要です。発注者は自社の業務データ(顧客情報、問い合わせ履歴、画像、文書など)をベンダーに提供します。ベンダーはそれを学習に使える形に加工し、自社の開発環境にコピーして、AIに学習させます。
ここで注意したいのは、渡したデータが複製・加工されるという点です。データは形のない情報なので、提供した瞬間にベンダーの環境内で複製されます。加工して作られた学習用データセットも、元のデータから派生した新しいデータとして存在することになります。「1つ渡したつもりが、ベンダーの手元では複数の形に増えている」というのが実態です。
この複製・加工されたデータについて「どこまで使ってよいか」「学習が終わったらどうするか」を契約で取り決めていないと、データが発注者のコントロールを離れたまま、ベンダーの環境に残り続けることになります。
発注者が権利を主張できなくなる2つのリスク
データの利用範囲を契約で決めないまま外注を進めると、発注者が権利を主張できなくなる代表的なリスクが2つあります。AI開発の外注を検討する担当者が最も恐れる部分なので、具体的に見ておきます。
リスク1:自社データがベンダー経由で他社向けAIに転用される
自社が渡したデータが、契約で用途を限定していないと、ベンダーの別案件、つまり競合他社向けのAI開発にも使われてしまう可能性があります。たとえば、自社の問い合わせ対応ノウハウが詰まったデータでAIを作ってもらったところ、同じデータをもとにベンダーが同業他社向けにも似たAIを提供していた、という事態です。自社の競争力の源泉だったデータが、回り回って競合を利することになりかねません。
リスク2:学習済みモデルの権利がベンダーに帰属し、乗り換え・改修ができなくなる
データを学習して完成したAI(学習済みモデル)の権利が、契約上ベンダーに帰属するケースは少なくありません。この場合、「開発したAIを自社で自由に改修したい」「別のベンダーに乗り換えて改良を続けたい」と思っても、権利を持つ元のベンダーの許可がなければ動けない、という状況に陥ります。せっかく自社のデータで育てたAIなのに、自社の判断で活用しきれない、という不自由が生じるのです。
だからこそ、これらのリスクは契約を結ぶ前に整理しておく必要があります。そして、整理の鍵になるのが、次に解説する「権利の3層構造」です。
AI開発で発生する権利の3層構造(この記事の核心)
ここが本記事の中心です。AI開発の外注で「データの権利」と一括りにされがちなものは、実は性質の異なる3つの層に分けられます。この3層を分けて考えることが、契約で何を確認すべきかを見極める最大のポイントになります。
3つの層とは、次のとおりです。
- 学習データ:AIに学習させるために渡す元データ・加工後のデータセット
- 学習済みモデル:データを学習して完成したAI本体(パラメータ)
- AI出力物:完成したAIが生成する成果物(文章・画像・予測結果など)
それぞれ「誰に権利が帰属しうるか」「何が論点になるか」が異なります。順番に見ていきましょう。
学習データの権利帰属
1つ目の層は、AIに学習させる元になる「学習データ」です。ここには、発注者が提供する生データと、それをベンダーが加工して作る学習用データセットの両方が含まれます。
学習データそのものについては、「もともと誰が持っていたデータか」がまず重要です。自社の業務データであれば、当然その内容に対する権利は自社にあります。一方で、ベンダーが加工して作った学習用データセットは、元データから派生した新しい成果物として扱われるため、「加工後のデータの権利は誰のものか」が論点になります。
なお、AIの学習に関しては、日本の著作権法に「著作権法第30条の4(AI学習などの情報解析を目的とした著作物の利用を一定の条件で認める例外規定)」という条文があります。これは、情報解析のためであれば、原則として権利者の許諾なく著作物を利用できるとする規定です(著作権法第30条の4/e-Gov法令検索)。ただし、これは「著作物を学習に使うこと」を法律レベルで許容する話であって、「発注者と受託者の間で、提供データをどう扱うか」を決めるものではありません。当事者間の利用範囲は、あくまで契約で取り決める必要がある、という点を押さえておきましょう。
学習済みモデルの権利帰属
2つ目の層は、データを学習して完成したAI本体、つまり「学習済みモデル」です。学習の結果として調整された数値の集まり(パラメータ)が、AIの中身にあたります。
ここで重要なのは、学習済みモデルは原則として開発したベンダー側に権利が生じやすいという点です。モデルを作り上げるノウハウや技術はベンダーのものであり、発注者がデータを提供しただけでは、自動的にモデルの権利が発注者に移るわけではありません。
そのため、発注者が「完成したAIを自由に使いたい」「将来は自社で改修したい」と考えるなら、契約のなかで利用権の確保や権利帰属の取り決めを明示しておく必要があります。何も決めなければモデルはベンダーのもの、という前提に立って交渉に臨むことが大切です。先ほど触れた「ベンダーから乗り換えられなくなる」リスクは、まさにこの層を曖昧にしたときに現実化します。
AI出力物の権利帰属
3つ目の層は、完成したAIが実際に生み出す「AI出力物」です。AIが生成した文章、画像、分析結果などがこれにあたります。
AI出力物については、「生成された成果物の権利が発注者・ベンダーのどちらに帰属するのか」「そもそも著作権が認められるのか」が論点になります。これも契約で取り決めておくべき項目です。
ここで気をつけたいのが、ChatGPTのような既製のAIツールを「使って」コンテンツを作る場合の著作権リスクとは、論点が異なるという点です。既製ツールの利用時には「生成物が他者の著作権を侵害しないか」「生成物に著作権が認められるか」といった別の観点が問われます。AIツールを利用する立場での著作権リスクについては生成AIの著作権リスク対策で詳しく解説しているので、自社でAIツールを業務利用している場合はあわせてご確認ください。
3層の権利帰属早見表
ここまでの3層を1枚にまとめると、次のようになります。契約交渉の前に、この表をチェックリスト代わりに使ってみてください。
層 | 何を指すか | 原則的な権利の傾向 | 契約での主な論点 |
|---|---|---|---|
学習データ | 提供した生データ・加工後の学習用データセット | 元データの内容は発注者に権利あり/加工後データの帰属は要確認 | 利用目的・範囲の限定、第三者への転用禁止 |
学習済みモデル | 学習して完成したAI本体(パラメータ) | 開発したベンダーに権利が生じやすい | 権利帰属または利用許諾の明示、改修・乗り換えの可否 |
AI出力物 | AIが生成する文章・画像・予測結果など | 取り決めがなければ帰属が不明確になりやすい | 成果物の帰属、利用範囲の明示 |
この3層を分けて見るだけで、「自社が守りたいのはどの層か」「契約のどこを重点的に確認すべきか」がはっきりしてきます。
発注者がデータオーナーシップを守る契約のポイント
3層構造が整理できたら、次は実際に契約でどう守るかです。ここでは、国が示している考え方を発注者目線でかみ砕いたうえで、契約前に確認すべき項目をチェックリストにまとめます。
経済産業省「AI・データの利用に関する契約ガイドライン」が示す考え方
AI開発の契約については、経済産業省が「AI・データの利用に関する契約ガイドライン」を公表しています(経済産業省 AI・データの利用に関する契約ガイドライン)。このガイドラインは「データ編」と「AI編」で構成され、AI技術を使ったソフトウェア開発・利用の契約を結ぶ際の基本的な考え方や契約条項例を示したものです。
このガイドラインのなかで、発注者にとって特に重要なのが「権利の所有をめぐって争うよりも、データやモデルの利用条件を取り決めることで実をとる」という発想です。先ほど「データには所有権がそのまま当てはまらない」と説明しましたが、AI開発でも同じで、「誰が所有者か」を白黒つけることに労力をかけるより、「自社がどの範囲まで使えるか」「相手にどこまで使わせるか」という利用条件を具体的に決めるほうが、実務的で現実的だという考え方です。
つまり、発注者が目指すべきは「学習データもモデルも全部うちのもの」と強く主張することではなく、「自社が安心して使える利用条件を確保し、困る使われ方を禁止する」ことです。この視点を持つだけで、契約交渉のハードルはぐっと下がります。
発注者が契約前に確認すべき5項目チェックリスト
ガイドラインの考え方を踏まえ、AI開発を外注する発注者が契約前に確認しておきたい項目を5つにまとめました。見積もりや契約書をベンダーから受け取ったら、このチェックリストと照らし合わせてみてください。
-
1. 提供データの利用目的・範囲が限定されているか 自社が渡すデータを「本案件のAI開発のためだけに使う」と明記しているか。用途が広く曖昧なままになっていないかを確認します。
-
2. 提供データの第三者・他案件への転用が禁止されているか 渡したデータをベンダーが他の顧客向け開発や別案件に使わない、と明記しているか。先に挙げた「競合に渡るリスク」を防ぐ最重要項目です。
-
3. 学習済みモデルの権利帰属または利用許諾が明示されているか 完成したAIを自社がどこまで使えるのか、改修や別ベンダーへの乗り換えが可能か。権利が誰に帰属するかと、自社の利用範囲を確認します。
-
4. 派生データ・成果物の取り扱いが定められているか 加工後の学習用データセットやAIの出力物といった「派生して生まれたもの」を誰がどう扱えるか。第2の論点になりやすい部分です。
-
5. 契約終了後のデータ・モデルの返還・削除が定められているか 契約が終わったあと、ベンダーの環境に残った自社データやモデルを返還・削除する取り決めがあるか。データが残り続けるリスクを断つ項目です。
この5項目を契約前に確認・交渉しておけば、「気づいたら権利を失っていた」という最悪の事態はかなり防げます。すべてを自社に有利にする必要はなく、「自社が困る使われ方を禁止し、必要な利用権を確保する」というバランスで臨むのが現実的です。
SaaS型AIと受託開発AIで権利帰属はどう変わるか
ここまで「AIを受託開発で作ってもらう」場面を前提に解説してきましたが、AIの導入には大きく分けて2つのパターンがあり、どちらを選ぶかで権利関係が大きく変わります。意思決定の参考に、両者の違いを整理しておきましょう。
項目 | SaaS型AI(既製のAIツールを使う) | 受託開発AI(自社向けにAIを作ってもらう) |
|---|---|---|
立場 | AIを「使う側」(利用者) | AIを「作らせる側」(発注者) |
学習データ | 自社データは原則提供しない(利用規約に従う) | 自社データを提供して学習させる |
学習済みモデル | 提供事業者のもの(自社は利用するだけ) | 権利帰属を契約で取り決める必要あり |
主に注意すべきこと | 入力データの取り扱い・利用規約・出力物の著作権 | 提供データの転用防止・モデルの権利帰属 |
確認の起点 | サービスの利用規約 | 個別の開発契約 |
SaaS型AIは、すでに完成しているAIツールを契約して使う形です。この場合、自社データを学習に渡すというより、「サービスを利用する」関係になります。注意すべきは利用規約であり、入力したデータがどう扱われるか、出力物の著作権はどうなるかといった点です。これはまさにAIを「使う側」の論点で、生成AIの著作権リスク対策で扱っているテーマと重なります。
一方、本記事で解説してきた受託開発AIは、自社のデータを提供して、自社専用のAIを作ってもらう形です。だからこそ、提供データの転用防止やモデルの権利帰属を、個別の契約でしっかり取り決める必要があります。
「既製ツールで十分なのか、それとも自社専用に開発すべきか」を検討する段階で、この権利関係の違いも判断材料に加えておくと、後悔のない選択につながります。
まとめ|AI外注前に確認すべきデータ権利の要点
最後に、本記事の要点を振り返ります。
データオーナーシップとは、データの所有・利用に関する権利と責任を誰が持つかを明確にする考え方です。データには所有権がそのまま当てはまらないため、「利用条件を契約で決める」ことが権利を守る現実的な方法になります。
AI開発を外注する際は、発生する権利を次の3層に分けて考えることが重要でした。
- 学習データ:利用目的・範囲の限定、第三者への転用禁止が論点
- 学習済みモデル:ベンダーに権利が生じやすいため、利用権・帰属の明示が必要
- AI出力物:成果物の帰属を取り決めておく
そして、契約前には「利用目的の限定」「第三者転用の禁止」「モデルの権利帰属・利用許諾」「派生データの取り扱い」「契約終了後の返還・削除」という5項目を確認することで、自社のデータオーナーシップを守れます。「全部を自社の所有にする」のではなく、「困る使われ方を禁止し、必要な利用権を確保する」という発想で交渉に臨むのがポイントです。
ここまで理解できれば、ベンダーとの契約交渉で何を確認し、何を交渉すべきかが見えてきたはずです。次のアクションとして、現在進めている、あるいはこれから検討するAI開発案件について、本記事の5項目チェックリストを使って契約内容を点検してみてください。
なお、AI開発の外注をこれから検討する段階の方は、準備の流れや費用感を整理したAI開発外注の進め方もあわせてご覧いただくと、全体像がつかみやすくなります。また、AIに限らず開発成果物やソースコードの著作権がどう扱われるかについてはシステム開発の著作権、成果物の権利整理やベンダー切り替え時の権利についてはシステム開発の成果物の権利で詳しく解説しています。
フリーランス新法対応 業務委託発注の法律・契約リスク点検ガイド
この資料でわかること
業務委託でエンジニアに発注する企業担当者・法務担当者が、2024年11月に施行された「フリーランス新法(特定受託事業者に係る取引の適正化等に関する法律)」への対応を含め、業務委託契約に関する法律・契約実務を体系的に把握し、自社のコンプライアンス体制を整備できる状態にする。
こんな方におすすめです
- フリーランス新法への対応状況を社内で点検したい企業担当者
- 業務委託契約書・NDAの記載事項を確認したい法務担当者
- 偽装請負リスクを把握し指揮命令の境界線を整理したい開発マネージャー
入力いただいたメールアドレスにPDFをお送りします。
