① AI 事業者ガイドライン(第 1.2 版)
【2026年最新版】AI事業者ガイドライン第1.2版を徹底解説|開発者・提供者・利用者が押さえるべきポイントまとめ
総務省・経済産業省が2026年3月31日に公開した第1.2版は、本編42ページ+別添185ページという大ボリューム。全部読むのはちょっとしんどい……というのが正直なところだと思います。
この記事では、そのエッセンスをお届けします。AIを使う人・作る人・サービスとして提供する人、それぞれに関係する内容をわかりやすく整理しましたので、ぜひ最後まで読んでみてください。
ガイドラインの基本情報
タイトル:AI 事業者ガイドライン
発行元:総務省・経済産業省
発行日:令和8年(2026年)3月31日
バージョン:第1.2版
対象:AI開発者・AI提供者・AI利用者(政府・自治体等の公的機関を含む事業者)※業務外利用者・データ提供者は対象外
総ページ数:42ページ(本編)リンクURL:https://www.soumu.go.jp/main_content/001064279.pdfタイトル:AI 事業者ガイドライン(第 1.2 版)別添(付属資料)総ページ数:185 ページタイトル: 別添9. 海外ガイドライン等の参照先総ページ数:3ページ
このガイドラインの位置づけ
このガイドラインは、Living Document(生きている文書)です。
硬い法律ではなく、柔軟に更新されていく実践的な指針という位置づけ。ルールベースではなくゴールベースのアプローチで、「こうしなければならない」ではなく「こう目指しましょう」という考え方が中心です。
※AIで生成したイメージ画像です
AI事業者ガイドラインとは? まず基本を押さえよう
このガイドラインが生まれた背景
生成AIの登場により、AIを「作る」だけでなく「使う」ことが一気に身近になりました。いわゆる「AIの民主化」です。
でもその一方で、知的財産の侵害、フェイク情報の大量生成、個人情報の漏えいなど、新しいリスクも同時に膨らんでいます。
そこで2025年、日本では「人工知能関連技術の研究開発及び活用の推進に関する法律」が施行されました。本ガイドラインはその法律に対応した形で策定・更新されたもので、今回の第1.2版はその最新版にあたります。
ガイドラインのユニークな特徴
このガイドライン、いくつか面白い特徴があります。
- ゴールベースのソフトロー:「これをしなければ違法」という罰則型ではなく、「こういう状態を目指しましょう」という目標型のスタンスです。
- Living Document(生きた文書):一度作ったら終わりではなく、技術や社会の変化に合わせて継続的に更新されます。第1.2版という版番号がそれを表しています。
- マルチステークホルダー:政府だけで作るのではなく、企業・研究者・市民など多様な関係者が関与して作られています。
ざっくり言うと、「法律で縛るよりも、みんなで良い方向を目指しましょう」という姿勢のガイドラインです。
対象者は誰?
| 対象者 | 内容 |
|---|---|
| AI開発者 | AIモデルを直接設計・開発する組織や個人 |
| AI提供者 | 開発されたAIに付加価値を加えてサービスとして提供する事業者 |
| AI利用者 | 事業活動においてAIシステム・サービスを使う事業者(企業・自治体等) |
なお、個人として趣味でAIを使う方(業務外利用者)やデータを提供するだけの方は対象外です。あくまで「事業として関わる人たち」向けのガイドラインです。
AIの定義と種類:このガイドラインの「言葉の定義」
難しく見えるAI用語も、きちんと定義が整理されています。まずここを理解しておくと、ガイドラインの内容がぐっと読みやすくなります。
| 用語 | 意味 |
|---|---|
| AI | 機械学習ソフトウェアを含む抽象的な概念 |
| AIシステム | 自律性を持って動作・学習するソフトウェアを含むシステム全体 |
| 高度なAIシステム | 最先端の基盤モデルや生成AIを含む、現時点での最先端システム |
| 生成AI | 文章・画像・プログラム等を生成できるAIの総称(ChatGPT, Claudeなど) |
| AIエージェント | 目標達成のために自律的に行動するAIシステム |
| フィジカルAI | ロボットや自動運転など、物理環境に直接働きかけるAIシステム |
「AIって一言で言っても、こんなに種類があるんだ」という感じですよね。特にAIエージェントとフィジカルAIは最近注目度が急上昇しているカテゴリです。
第2部:AI社会の基本理念と10の共通指針
3つの基本理念(Why)
ガイドラインが目指す社会のゴールは、2019年に策定された「人間中心のAI社会原則」をベースにした3つの理念です。
- 人間の尊厳が尊重される社会(Dignity)
- 多様な背景を持つ人々が多様な幸せを追求できる社会(Diversity & Inclusion)
- 持続可能な社会(Sustainability)
技術的な話だけでなく、「社会をどうしたいか」という根本的な価値観からスタートしているのが印象的です。AIは手段であって、目的は人間が幸せに生きることなんですよね。
10の共通指針(What)
全てのAI関係者が取り組むべき10の指針があります。難しく聞こえますが、内容は「そりゃそうだよね」と納得できるものばかりです。
| # | 指針 | ポイント |
|---|---|---|
| 1 | 人間中心 | 人の尊厳・自律を尊重し、意思決定の操作や偽情報に加担しない |
| 2 | 安全性 | 信頼性・堅牢性・制御可能性を確保する |
| 3 | 公平性 | バイアスへの配慮と、人間の判断を介在させる仕組みづくり |
| 4 | プライバシー保護 | 個人情報保護法等の遵守、プライバシー・バイ・デザインの実践 |
| 5 | セキュリティ確保 | 機密性・完全性・可用性の維持、最新動向への対応 |
| 6 | 透明性 | 検証可能性の確保、ステークホルダーへの情報提供 |
| 7 | アカウンタビリティ | トレーサビリティ向上、責任者の明示、文書化 |
| 8 | 教育・リテラシー | AIリテラシーの確保とリスキリング推進 |
| 9 | 公正競争確保 | 公正な競争環境の維持 |
| 10 | イノベーション | オープンイノベーション推進と相互運用性の確保 |
「プライバシー・バイ・デザイン」(設計段階からプライバシーを組み込む考え方)や「セキュリティ・バイ・デザイン」(同じく設計段階からセキュリティを組み込む)というキーワードは、今後のAI開発の現場でよく使われる言葉になっていくはずです。
広島AIプロセス国際指針とは?
G7で採択された「全てのAI関係者向けの広島プロセス国際指針」も、このガイドラインに組み込まれています。リスク評価・透明性確保・セキュリティへの投資・コンテンツ認証など、高度なAIシステムに関する国際的な行動規範です。
日本のガイドラインが国際的な枠組みと連動して作られているのは、グローバルでAIを使う企業にとっては安心できるポイントだと思います。
AIガバナンスの構築:「アジャイル・ガバナンス」という考え方
ガバナンスというと難しく聞こえますが、要は「組織としてAIをちゃんと管理・運用する仕組みづくり」のことです。
このガイドラインが推奨するのが「アジャイル・ガバナンス」というアプローチです。
環境・リスク分析
一度ルールを決めて終わりではなく、このサイクルを継続的に回し続けることが大切です。AIの技術は急速に変化するので、ガバナンスも一緒に進化させていく必要があります。
ガイドラインでは経営層のリーダーシップの重要性も強調しています。AIのリスク管理は「IT部門の仕事」ではなく、会社全体の課題として経営レベルで取り組むべきもの、という認識がこれからの標準になっていきそうです。
第3部:AI開発者に求められること
AI開発者は、AIモデルを直接設計・変更できる立場として、最も大きな社会的影響力を持つ主体です。それだけに求められる責任も大きくなります。
データ前処理の段階
- 個人情報や知的財産に配慮した適切なデータ収集
- バイアスの管理(偏ったデータで学習させると、偏った判断をするAIができてしまいます)
AI開発の段階
- 安全性を考慮した開発(ガードレール技術等の実装)
- セキュリティ・バイ・デザインの採用
- 検証可能性の確保(「なぜそう判断したか」を後から確認できる仕組み)
AI開発後の段階
- 最新のセキュリティ動向への継続的な対応
- ステークホルダーへの情報提供
- 開発に関する情報の文書化
また、「高度なAIシステムを開発する組織向けの広島プロセス国際行動規範(I〜XI)」への準拠も求められており、G7合意の「報告枠組み」への参加も期待されています。
国際的なスタンダードに合わせることで、グローバルな信頼を獲得できる、という考え方ですね。
第4部:AI提供者に求められること
AI提供者とは、OpenAIやAnthropicが作ったモデルをベースに、自社サービスとして提供する事業者のことです。身近な例で言えば、ChatGPTを活用した業務ツールを提供するSaaS企業などがイメージしやすいでしょう。
AIシステムを実装するとき
- リスク対策としてのガードレール技術の実装
- 適正利用のための「利用上の留意点」を設定する
- バイアスの検討
- プライバシー・バイ・デザインとセキュリティ・バイ・デザインの実践
- 適切な文書化
サービスを提供した後も
- 定期的な適正利用の検証
- プライバシー侵害対策
- 脆弱性への対応
- ステークホルダーへの情報提供
- サービス規約・プライバシーポリシーの整備と文書化
提供した後も責任が続く、というのが重要なポイントです。「リリースしたら終わり」ではなく、運用を続ける中でリスクに向き合い続けることが求められます。
第5部:AI利用者に求められること
「私はAIを使う側だから、開発とか提供は関係ない」と思っている方も、実はこのガイドラインの対象です。事業活動でAIを使う人には、それなりの責任が発生します。
主に求められることをまとめると:
- AI提供者の定めた利用上の留意点を守る
- 精度の高いデータを入力し、出力のリスクを正しく理解する
- バイアスへの配慮と、責任ある出力結果の活用
- 個人情報や機密情報を不用意に入力しない
- 顧客やエンドユーザーへの説明責任(「AIを使っています」という通知、問合せ窓口の設置など)
- AI提供者から受け取った文書の適切な保管・活用
「AIが出した答えだから」という理由で責任を回避することはできません。AIの出力を最終的に使う人間が、その内容に責任を持つ姿勢が大切です。
別添:具体的なリスクの種類と対策
本編だけでなく、別添(185ページ)には具体的なリスクと対策が細かく整理されています。ここではその一部をご紹介します。
AIによる主なリスク一覧
| リスクの種類 | 具体例 |
|---|---|
| AIシステムへの攻撃 | データ汚染、プロンプトインジェクション、マルウェア生成 |
| バイアスのある出力 | 差別的な採用判断、不公平なクレジット審査 |
| ハルシネーション | 存在しない判例の引用、虚偽情報による名誉毀損 |
| ブラックボックス化 | アルゴリズムの説明不能、説明責任の欠如 |
| 個人情報の不適切取扱 | 情報漏えい、同意なき第三者提供 |
| 生命・財産への事故 | 不適切な出力による深刻な損害 |
| 悪用 | 音声合成詐欺、マルウェアの自動生成 |
| 知的財産権侵害 | 生成AIによる著作権侵害コードの生成 |
| 偽・誤情報の拡散 | ディープフェイク、選挙干渉 |
| 民主主義への悪影響 | 個人情報を使ったターゲティング選挙工作 |
| 多様性の喪失 | LLM出力の収束によるエコーチェンバー加速 |
| 環境負荷 | データセンターの電力消費増大 |
「プロンプトインジェクション」や「ハルシネーション」は、生成AIを業務で使う方には特に知っておいてほしいリスクです。「AIが嘘をついても気づかなかった」という事態は、実際のビジネス現場でも起きています。
AIガバナンスの6フェーズと16の行動目標
別添2では、AIガバナンス構築に向けた行動目標が6フェーズ・16項目で体系化されています。
- 環境・リスク分析:便益・リスクの理解、社会的受容の把握、自社のAI習熟度の評価
- ゴール設定:AIガバナンス・ゴールの設定
- システムデザイン:乖離評価・対応の仕組み化、人材リテラシー向上、部門間協力、インシデント予防
- 運用:説明可能な運用状態の維持、ガバナンス実践状況の開示
- 評価:AIマネジメントシステムの機能検証、外部意見の反映
- 再分析:環境・リスクの定期的な再評価
各項目には、仮想企業を想定した具体的な実践例(i〜v)が複数掲載されています。「自社ではどうすればいいか」を考えるためのヒントが豊富です。
別添9:海外ガイドラインとの対照関係
このガイドラインは日本独自のものではなく、以下の10の国際文書を参照して作られています。
| # | 文書名 | 発行機関 | 発行年 |
|---|---|---|---|
| ① | Advancing accountability in AI | OECD | 2023年 |
| ② | Hiroshima AI Process Comprehensive Policy Framework | G7 | 2023年 |
| ③ | AI Risk Management Framework (AI RMF 1.0) | NIST(米国) | 2023年 |
| ④ | Cybersecurity Framework | NIST(米国) | 2018年 |
| ⑤ | Blueprint for an AI Bill of Rights | ホワイトハウス (米国) | 2022年 |
| ⑥ | Artificial Intelligence Act | EU | 2024年 |
| ⑦ | Guidelines for Secure AI System Development | NCSC(英国) | 2023年 |
| ⑧ | Ethics Guidelines for Trustworthy AI | EU | 2019年 |
| ⑨ | Guidelines for Privacy Impact Assessment | ISO | - |
| ⑩ | Recommendation on the Ethics of AI | UNESCO | 2021年 |
対照表の構造と参照の読み方
AI事業者ガイドライン本編・別添の各パートと、上記10の海外文書の該当セクションを対照させた一覧表です。主な対応関係は以下のとおりです。
第1部「AIとは」
- OECDの「AI terms & concepts」や、EU AI ActのRecital 27・29、EUの信頼性を備えたAIのための倫理ガイドラインの人間の主体性・監視に関する章を参照。
第2部「共通の指針」
- G7広島AIプロセス国際行動規範、NIST AI RMF(3.4 Accountable and Transparent、5.3 Measure)、UNESCO AI倫理勧告などを参照。
第3部「AI開発者に関する事項」
- データ前処理・学習時:NIST AI RMF「3.1 Valid and Reliable」「3.7 Fair – with Harmful Bias Managed」
- AI開発時:NIST AI RMF「3.2 Safe」、NIST CSFのサイバーセキュリティプログラム関連章、英国NCSCの「Secure design / development / deployment / operation」
- AIシステム実装時:OECD「5.1 Monitor, document, communicate and consult」
第4部「AI提供者に関する事項」
- OECD、G7広島AIプロセス、NIST AI RMF(透明性・説明責任関連)、米国AI権利章典(自動化システムへの期待事項)を参照。
第5部「AI利用者に関する事項」
- 第4部と同様の海外文書群(OECD、NIST AI RMF、米国AI権利章典)を参照。
第2部E「AIガバナンスの構築」
- NIST AI RMF「5.3 Measure」「3.5 Explainable and Interpretable」、NISTの説明可能AIの4原則(2020年)を参照。
OECDのAI原則、EU AI Act、米国NIST AI RMF……と、世界各国・国際機関の主要なAIガイドラインとしっかり連動して作られているのがわかります。
日本企業がグローバルにAIビジネスを展開する際、このガイドラインに沿って動けば、ある程度国際的なスタンダードにも対応できるように設計されています。
まとめと所感
読み進めると「当たり前のことを丁寧に整理したもの」という印象を受けます。でも実は、それが一番大切なんだと思います。「AIを使う/作る/提供する人それぞれが、それぞれの立場で責任を持ちましょう」というメッセージは、技術が高度化すればするほど重要になります。
特に印象的だったのは、これがLiving Document(生きた文書)であるという点です。AIの世界は半年・1年で大きく変わります。一度作ったルールを5年間守り続けるより、状況に合わせて柔軟にアップデートしていくほうが、現実的で誠実なアプローチだと感じます。
現時点では罰則のないソフトローですが、今後の法整備や国際的な規制強化の流れを考えると、今のうちにこのガイドラインを把握しておくことには大きな意義があります。事業としてAIに関わるすべての方に、一度目を通してほしい資料です。
関連記事・参考リンク
- 本編(公式):https://www.soumu.go.jp/main_content/001064279.pdf
- 別添(公式):https://www.soumu.go.jp/main_content/001064286.pdf
- 別添9 海外ガイドライン対照表:https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20260331_8.pdf
この記事は公式資料をもとに作成しています。最新情報は必ず公式ページをご確認ください。
他のガイドラインは以下よりご覧ください
AIガイドライン 18本 構造化インデックス
【一覧】日本政府 AIガイドライン 18本【INDEX】
