AIシステム外注のガバナンス体制｜発注者が契約書に盛り込むべきAI法対応の要点

AIシステムの外注が加速しています。自社でエンジニアを抱えずに、AIを活用したサービスやシステムを外部の開発会社に委託する企業が急増しています。しかし、「開発は外注先に任せれば終わり」という認識は、今や大きなリスクをはらんでいます。

2025年に施行された日本のAI推進法（正式名称：人工知能技術の利用の推進及び安全性の確保等に関する法律）と、同年から段階的に本格適用が始まったEU AI Act（EU人工知能規則）は、AIシステムの「発注者」にも明確な義務と責任を課しています。開発を受注した会社だけでなく、そのAIシステムを事業に組み込んで利用する発注者側も、規制の対象になり得るのです。

「うちは外注しているだけだから関係ない」という思い込みが、契約の不備や法的責任の問題として後から表面化するケースが増えています。受託先から届いた契約書草案にAI関連条項が含まれていない、または法務担当から「AI法への対応を確認するように」と指示されたものの、具体的に何をチェックすればよいか判断軸が固まらない——そうした状況で困っている情報システム部門のご担当者は少なくないはずです。

本記事では、AIシステムを外注する発注者が整備すべきガバナンス体制を、「契約書への組み込み」と「運用中の監視・監査」の2軸で解説します。受託先への契約書修正依頼を出せるようになる判断軸と、プロジェクト運用中に実施すべき定期チェックのフローを、実務に即した形でお伝えします。

AIシステム外注でガバナンスが必要な理由

AI推進法・EU AI法で「発注者」に課される義務とは

日本のAI推進法は2025年6月に施行されました。この法律は、AIを活用するすべての事業者を対象とし、「AI提供者」（AIシステムを開発・販売する事業者）と「AI利用者」（AIシステムを事業に利用する事業者）の双方に、安全で適切なAI利用のための取り組みを求めています。

AIシステムを外注する発注者は、多くの場合「AI利用者」に該当します。外注先（受託会社）がシステムを開発する「AI提供者」であるとしても、そのシステムを実際に自社の事業に組み込んで利用する発注者は、利用者として一定の責任を負います。具体的には、利用するAIシステムの安全性確認、適切な運用管理、インシデント発生時の対応体制の整備などが求められます。

EU AI Actは、EUとその加盟国に所在する企業だけでなく、EU域外の企業にも「域外適用」が及びます。具体的には、AIシステムの出力がEU市場に影響する場合（EU域内の顧客や従業員への提供を含む）、日本企業であっても規制の対象になり得ます。EU AI Actは「高リスクAI」「限定リスクAI」「最小リスクAI」のリスク分類に応じて、それぞれ異なる義務を課しています。採用審査、ローン審査、医療診断補助などの「高リスクAI」を利用している場合は、ログ管理・透明性確保・人間による監督体制の整備が義務付けられています。

ここで重要なのは、発注者が「AI提供者」と「AI利用者」の両方の立場を兼ねることがある点です。たとえば、外注して開発したAIシステムを、さらに自社の顧客向けに提供している場合、その発注者は受託会社に対しては「AI利用者」であり、自社顧客に対しては「AI提供者」の立場を持つことになります。このような場合、規制対応の責任はさらに重くなります。

外注先に任せるだけでは発生する3つのリスク

AIシステムの開発を外注先に丸投げし、ガバナンス体制を整備しないまま運用を続けると、主に3つのリスクが発生します。

リスク①: 成果物の瑕疵責任

AIシステムが生成するアウトプットに問題があった場合——たとえば、学習データに著作権侵害のあるデータが含まれていた、AIの出力に差別的な表現が混入していた、といったケースで——責任の所在はどこにあるのでしょうか。外注先が「適切に開発した」と主張しても、そのシステムを使って事業を行っている発注者が、顧客や第三者から責任を問われる可能性は十分あります。特にAI生成物の知的財産権の帰属や、出力品質に関する保証について契約書に明記されていない場合、トラブル発生後に発注者が不利な立場に置かれやすくなります。

リスク②: 情報漏洩リスク

外注先に提供した自社の機密データや顧客データが、外注先のAIシステムの学習に使われてしまうリスクがあります。多くの外注先はAIモデルの改善のためにデータを活用します。契約書に「提供データをAI学習に使用しない」という明示的な制限が記載されていなければ、発注者は自社データが不正に利用されたとしても法的に主張できない可能性があります。

リスク③: 規制違反リスク

外注先のAIガバナンス体制が不備だった場合、発注者も連帯して規制違反の責任を問われる可能性があります。EU AI Actでは、「AIデプロイヤー」（AIを事業に活用する利用者）として、AIシステムが規制要件を満たしているかを確認する義務が課されています。「外注先が管理しているから知らなかった」という主張は、規制当局には通じません。

発注前に確認すべき外注先のガバナンス体制

チェックすべき5つの確認項目

外注先を選定する段階で、以下の5項目についてAIガバナンスの体制を確認することをおすすめします。これらは、後述の「デューデリジェンス（事前審査）」の核となる確認事項です。

1. AI事業者ガイドライン（経産省・総務省）への準拠状況

日本の経済産業省と総務省が策定した「AI事業者ガイドライン」への準拠状況を確認します。このガイドラインはAI開発・提供・利用それぞれの事業者向けに、安全なAI活用のための指針を示しています。準拠を宣言しているか、具体的な対応内容を開示しているかを確認してください。

2. ISO/IEC 42001（AIマネジメントシステム）の取得・準拠

ISO/IEC 42001は、AIマネジメントシステムの国際標準規格です。この認証を取得している外注先は、AIリスク管理・品質保証・透明性確保のための体系的な仕組みを整備していることを示しています。認証取得が難しい場合でも、同規格への準拠宣言や内部監査の実施有無を確認しましょう。

3. 学習データの出所・ライセンス管理の明示

外注先が使用するAIモデルや学習データの出所・ライセンス状況を確認します。著作権問題のあるデータや、プライバシー保護上の問題があるデータを学習に使用していないか、データプロバンス（由来）管理の仕組みがあるかを問い合わせましょう。

4. ハルシネーション対策・品質保証プロセスの有無

生成AIのハルシネーション（事実と異なる内容を生成する問題）への対策と、AIシステムの出力品質を担保するプロセスがあるかを確認します。出力の検証方法、精度評価の指標、継続的な品質モニタリングの仕組みを持っているかどうかが判断の基準となります。

5. インシデント発生時の報告フロー・責任分界の明確さ

AIシステムに問題が発生した場合の報告フローが明確に定まっているかを確認します。発覚から発注者への報告まで何時間以内に連絡するか、どの範囲を外注先が対応し、どこから発注者の責任になるか、責任分界点が文書化されているかを確認しましょう。

デューデリジェンス（事前審査）の実施手順

外注先選定前のデューデリジェンスは、「書面確認」と「公開情報確認」の2段階で実施するとスムーズです。

質問書（RFI）による書面確認

外注候補先に対して、以下の項目を含む質問書（RFI: Request for Information）を提出し、回答を求めます。

• AIガバナンスポリシーの有無と内容
• AI事業者ガイドライン・ISO/IEC 42001への対応状況
• 学習データのライセンス管理体制
• 過去のAIインシデント発生事例とその対応実績
• 発注者提供データの取り扱い方針（学習への使用の可否）

回答の具体性や開示の積極性は、そのまま外注先のガバナンス成熟度を示す指標になります。

公開情報による確認

外注先の公式ウェブサイトに掲載されているAI倫理ポリシー・プライバシーポリシー・ISO認証情報を確認します。また、経産省のAI関連ガイドラインへの賛同宣言や、業界団体への加盟状況も参考になります。

契約書に盛り込むべきAIガバナンス条項

AIシステムの外注契約書には、一般的なシステム開発委託契約の条項に加えて、AI固有のガバナンス条項を明示的に盛り込む必要があります。以下の4つの必須条項を、契約書の各セクションに反映させることをおすすめします。

必須条項①: AI生成物の知的財産権の帰属

AIシステムが生成するアウトプット（テキスト・画像・コード・分析結果など）の著作権・知的財産権がどこに帰属するかを明確に定めます。

整理すべきポイント

日本の著作権法上、AIが自律的に生成したコンテンツは「著作権が発生しない」ケースが多い（創作的寄与のある人間が関与していないと判断される場合）一方、人間がAIの出力を相当程度加工・編集した場合は著作権が発生する可能性があります。この曖昧さを契約で手当てしておくことが重要です。

契約書に明記すべき文言の例

「本件AIシステムが生成するアウトプット（以下「AI生成物」という）の著作権その他知的財産権（著作権法第27条及び第28条の権利を含む）は、生成と同時に甲（発注者）に帰属するものとする。乙（受注者）は、AI生成物について、いかなる権利も主張しないことを確認する。また、乙はAI生成物の二次利用（乙のポートフォリオへの掲載・プロモーション利用を含む）を甲の事前書面による承諾なく行ってはならない。」

必須条項②: 学習データの利用制限と機密保護

発注者が提供したデータを外注先がAIの学習に使用することを制限する条項です。この条項がなければ、自社の機密情報や顧客データが外注先のAIモデル改善に転用されるリスクがあります。

データ利用制限の範囲

制限の範囲は「学習データとしての使用」だけでなく、「推論（インファレンス）時の入力ログの保存・活用」「ファインチューニングへの使用」「第三者モデルAPIへの送信」まで明示的にカバーする必要があります。

契約書に明記すべき文言の例

「乙は、甲が提供した情報（以下「提供データ」という）を、本件業務の遂行のみに使用するものとし、乙が開発・保有するAIモデルの学習・ファインチューニング・評価、第三者が提供するAIサービスへの入力、その他本件業務の遂行と無関係な目的に使用してはならない。乙は、提供データを本件業務完了後30日以内に安全な方法で消去し、その旨を甲に書面で報告するものとする。」

必須条項③: 規制法令遵守義務の委託先への課し方

AI推進法・EU AI Actへの遵守義務を外注先にも課す条項です。発注者として自社が規制遵守の責任を持つだけでなく、外注先の不備が自社の違反に繋がらないよう、契約上の義務として明確化します。

EU AI Act遵守義務を外注先に転嫁する条項の文言例

「乙は、本件AIシステムの開発・提供にあたり、適用される国内法令（AI推進法を含む）及び外国法令（EU人工知能規則（EU AI Act）その他適用ある規制を含む）を遵守するものとする。乙がこれらの法令に違反したことにより甲に損害が生じた場合、乙はその損害を賠償する責任を負う。」

AI推進法の対応義務を確認・監査する権利の留保

「甲は、乙に対して、本件AIシステムのAI推進法及びEU AI Actへの対応状況について、年1回以上の定期報告を求める権利を有する。また、甲は必要と判断した場合、合理的な事前通知をもって、乙のAIガバナンス体制に関する文書の提出または第三者監査の実施を求めることができる。乙はこれに協力するものとする。」

必須条項④: インシデント発生時の報告・対応義務

AIシステムに問題が発生した際の報告タイムラインと対応手順を契約上で明確にします。事前に合意しておかないと、インシデント発生後に責任の押し付け合いが生じる可能性があります。

発覚後の報告義務の設定

「乙は、本件AIシステムの不具合、セキュリティインシデント、法令違反の可能性、その他甲の事業に影響を与える可能性のある事象（以下「インシデント」という）を発見または認識した場合、発覚から24時間以内に甲に口頭で第一報を行い、72時間以内に事象の概要・推定原因・影響範囲・暫定対応状況を記載した書面を提出するものとする。」

損害賠償の上限・免責条項とのバランス

外注先は通常、損害賠償の上限額を請負金額相当額に設定しようとします。しかしAI規制違反による損害は規模が大きくなりやすいため、規制法令違反に起因する損害については上限を引き上げる交渉をしておくことが重要です。

「本条に定めるインシデントのうち、乙の故意または重大な過失により発生した規制法令違反に起因する損害については、第○条（損害賠償の上限）に定める制限を適用しないものとする。」

発注後の運用ガバナンス体制の整備

社内体制: 誰が外注先のAIガバナンスを監視するか

AIシステムを外注した後も、発注者側では継続的なガバナンス体制を維持する必要があります。特定の担当者や部門がAI外注プロジェクトのガバナンスを担わないまま運用を続けると、問題が発生しても気づけない状況が生まれます。

AI外注プロジェクトに必要な社内役割

効果的なガバナンス体制を構築するには、IT部門・法務部門・事業部門の3者連携が不可欠です。

• IT部門: 外注先との技術的なやりとりの窓口、システムのパフォーマンスと安全性の技術的監視
• 法務部門: 規制対応状況の確認、契約条項の解釈、インシデント発生時の法的対応
• 事業部門: AIシステムの出力品質の現場レベル監視、実業務への影響評価

3者が定期的に情報共有できる仕組みとして、月1回程度の「AI外注プロジェクト定例会議」を設けることを推奨します。

「AIガバナンス担当者」を置くべき基準

以下のいずれかに該当する場合は、専任または兼任の「AIガバナンス担当者」を設置することを検討してください。

• 外注AIシステムが自社の中核業務（売上・顧客管理・人事評価など）に関わっている
• EU AI Actの「高リスクAI」カテゴリ（採用審査・ローン審査・医療判断支援など）に分類されるシステムを利用している
• 外注AIシステムを通じてEU域内の顧客や従業員に対してサービスを提供している
• 外注AIシステムが個人情報を大量に処理している

定期監査の実施方法

外注先への定期的なヒアリング・報告書要求の運用フロー

年に1〜2回、外注先に対してAIガバナンス状況の報告を求めます。報告を求める項目の例を示します。

1. AI事業者ガイドライン・ISO/IEC 42001への対応状況のアップデート
2. 学習データのライセンス管理状況と変更点
3. 前期間中のインシデント（軽微なものを含む）の発生状況と対応内容
4. AI推進法・EU AI Actへの対応状況の変化
5. 次期間に向けたリスク改善計画

EU AI Actのリスク分類に応じた監査頻度の目安

インシデント発生時の対応フロー

AIシステムに問題が発生した場合、以下の4フェーズで対応を進めます。事前にこのフローを社内で合意し、担当者を明確にしておくことが重要です。

フェーズ1: 発覚（外注先からの報告 or 自社での検知）

外注先から報告を受けた場合、またはAIシステムの出力異常を自社で検知した場合、速やかにAIガバナンス担当者またはIT部門に連絡します。インシデントの種類（データ漏洩・出力品質問題・規制違反リスク・システム停止など）を初期分類します。

フェーズ2: 初動対応（サービス停止基準・証拠保全）

インシデントの影響範囲と深刻度を確認し、サービス継続の可否を判断します。以下に該当する場合はAIシステムの一時停止を検討してください。

• 個人情報の大量流出が疑われる場合
• 出力内容が法令に違反する可能性が高い場合
• EU AI Actの高リスクAIに関わるインシデントで人的被害のリスクがある場合

インシデントに関連するログ・記録・外注先とのやりとりを証拠として保全します。

フェーズ3: 規制当局への報告義務の確認

法務部門と連携して、規制当局への報告義務の有無を確認します。個人情報保護委員会への報告（個人情報漏洩の場合）、EU AI Actの市場監視機関への報告義務（高リスクAIの場合）などが対象となり得ます。報告義務がある場合は、定められた期限内（多くの場合72時間以内）に対応します。

フェーズ4: 再発防止と契約見直し

インシデントの根本原因を外注先と共同で分析し、再発防止策を文書化します。必要に応じて、契約条項（報告義務・責任分界・データ管理）の見直しを行います。

AIシステム外注のガバナンス体制 実務チェックリスト

本記事の内容を踏まえ、AIシステム外注のガバナンス体制整備に向けた実務チェックリストを以下にまとめます。担当者間での確認や上司への説明資料としてご活用ください。

発注前：外注先のAIガバナンス体制確認

• AI事業者ガイドライン（経産省・総務省）への準拠状況を確認した
• ISO/IEC 42001の取得・準拠状況を確認した
• 学習データの出所・ライセンス管理の方針を書面で確認した
• ハルシネーション対策・品質保証プロセスの有無を確認した
• インシデント発生時の報告フロー・責任分界を確認した

契約締結時：必須条項4つの盛り込み確認

• AI生成物の知的財産権帰属（発注者帰属・受注者の二次利用禁止）を明記した
• 学習データ利用制限（学習・ファインチューニング・第三者送信の禁止）を明記した
• AI推進法・EU AI Act遵守義務と監査権を明記した
• インシデント報告義務（24時間以内の第一報・72時間以内の書面報告）を明記した

運用中：定期監査スケジュールの設定

• AIガバナンス担当者（またはIT部門・法務部門・事業部門の3者連携体制）を決定した
• 年1回以上の定期報告スケジュールを外注先と合意した
• リスク分類（高リスク/限定リスク/最小リスク）に応じた監査頻度を設定した

インシデント対応：報告フローの事前合意

• インシデント発生時の社内連絡経路（誰が誰に連絡するか）を決定した
• サービス停止の判断基準を事前に合意した
• 規制当局への報告義務（個人情報保護委員会・EU機関）の確認フローを整備した

まとめ

AIシステムを外注する企業は今後も増え続けるでしょう。しかし、AI推進法・EU AI Actの施行により、「外注したら発注者の責任は終わり」という時代は終わりました。発注者もAIガバナンスの主体として、契約の整備と運用監視の2軸で体制を構築することが必要です。

本記事でご紹介したポイントを整理すると、以下の通りです。

• AI推進法・EU AI Actは発注者（AI利用者）にも義務を課している。域外適用によりEU市場に関係する日本企業も対象となり得る
• 外注先選定前のデューデリジェンス（5項目の確認・RFI提出）で、ガバナンス成熟度の低い外注先へのリスクを事前に把握できる
• 契約書には4つのAIガバナンス条項（知財帰属・データ利用制限・法令遵守義務・インシデント報告）を明記することで、トラブル発生時の法的リスクを大幅に低減できる
• 運用中は定期監査と3者連携（IT・法務・事業部門）で継続的なガバナンスを維持する

AIシステムの外注先選びやプロジェクト推進にお困りの場合は、Workeeもお役に立てます。Workeeは、企業と外部エンジニアをマッチングするプラットフォームとして、AI開発に精通した外部人材の活用をサポートしています。外注先のガバナンス体制確認から実際の委託まで、安心して進めるためのご相談もお気軽にどうぞ。