「AIのガイドライン?うちはAI開発してないし関係ないよ」——もしそう思ったなら、この記事はまさにあなた向けです。
ChatGPTで議事録を作っている、Copilotでメールを下書きさせている。それだけで、あなたの会社はもうこのガイドラインの対象に入っています。この記事では、2026年3月に出たばかりの最新版を「で、うちの会社は結局なにをすればいいの?」に絞って読み解きます。
このガイドライン、自社に関係あるか
AI事業者ガイドラインは、総務省と経済産業省が共同で作った、企業がAIを使うときの指針です。法律ではないので罰則はありませんが、国が「こう使ってほしい」と示した推奨ルールだと思ってください。
対象は「AIを作る会社」だけではありません。ガイドラインでは企業を「AI開発者(モデルを自社で訓練・開発する会社)」「AI提供者(AIサービスを顧客に売る会社)」「AI利用者(既製品のAIを業務で使う会社)」の3つに分類しています。
ChatGPTで議事録をまとめている、Copilotでメールの下書きを頼んでいる——それだけで「AI利用者」に該当します。つまり、多くの一般企業がすでにこのガイドラインの範囲内にいるわけです。
この第1.2版は2026年3月末に公開された最新版で、前回の第1.1版(2024年4月)から約2年ぶりの改訂です。AIが自律的に判断して動く「AIエージェント」が企業に広がり始めた現状を受けて、ルールが見直されました。では具体的に何が変わったのか——次のセクションで見ていきます。
第1.2版の変更点と新ルール
ここからは第1.2版の中身に入ります。まず、v1.1(2024年4月)からの主な変更点を一覧で整理しました。
| 項目 | v1.1(2024年4月) | v1.2(2026年3月) |
|---|---|---|
| 人間による確認 | 重要な場面での人間確認を一般的に推奨 | 高リスク判断での人間確認をより強い表現で要請 |
| AIエージェント | 言及なし | 定義を新設し、管理要件を追加 |
| ログ管理 | 記録保持の一般的な推奨 | 入力・出力・判断の3点記録を明確化 |
| API利用の分類 | 明確な記載なし | APIでシステム構築→開発者扱いを明確化 |
| 中小企業対応 | 本編のみ | 中小企業向け手引きを新設 |
「全部読む時間はない」という方は、この表だけでも頭に入れておくと全体像がつかめます。以下、特に影響の大きい変更を一つずつ見ていきます。
人間による確認がさらに強化
一番大きな変化は、重要な判断でAIに任せきりにしないための体制が、より強く求められるようになったことです。
前の第1.1版でも「重要な意思決定では人間が最終確認すべき」とは書かれていましたが、記述としては一般的な推奨にとどまっていました。第1.2版ではこの項目がより具体的かつ強い表現に改められています。
専門的にはHuman-in-the-Loop(人間が判断の輪に入る)と呼ばれる考え方ですが、一言でいえば「AIの答えを鵜呑みにするな」ということです。
では、どんな業務が「重要な判断」に当たるのか。ガイドラインが示している考え方をまとめると、次のような基準が浮かび上がります。
- 個人の権利や生活に直接影響するか——採用の合否、融資の審査、保険の査定など、相手の人生を左右する判断
- 判断の結果を取り消せるか(不可逆性)——一度決まると覆しにくい判断ほどリスクが高い
- 影響を受ける人の数や範囲——社内メモの要約と、数千人に届くメルマガの配信では重みが違う
- 経済的・社会的な損害の大きさ——誤った判断が大きな損失やトラブルにつながるか
自社の業務にこの基準を当てはめてみてください。「これはAIの出力をそのまま使っても大丈夫な場面か」を判断する物差しになります。
![[比較図] 左に「人間確認が必要な業務例」(採用合否判定、融資審査、医療診断補助、個人情報の大量処理)、右に「AIの出力をそのまま活用しやすい業務例」(社内議事録の要約、メール下書き、情報検索の補助、社内FAQの回答)を対比した図。中央に判断基準として「不可逆性」「影響範囲」「権利への影響」「損害の大きさ」の4軸を配置](http://ai-mikata.com/wp-content/uploads/2026/04/autopress-3.webp)
AIエージェントのルールが新設
「AIエージェント」が初めてガイドラインに定義されたのも、1.2版の大きな変更です。
AIエージェントとは、人がいちいち指示しなくても自分で判断して作業を進めるAIのこと。スケジュール調整、メール送信、情報検索と要約——こうした作業を自律的にこなすAIツールを導入しているなら、この新ルールが直接関係してきます。
従来のChatGPTのように「聞かれたら答える」タイプとは違い、AIエージェントは自分から動きます。だからこそ想定外の動きをするリスクも高く、管理の目をより厚くする必要があるわけです。Qiitaの解説記事でも、エージェント時代に企業が備えるべきポイントが詳しくまとめられています。
第1.2版がAIエージェントに対して具体的に求めているのは、主に次の3点です。
- タスク範囲の事前定義——エージェントが自律的に実行できる作業の範囲をあらかじめ決めておくこと。「何でもやっていい」状態にしない
- 高リスク操作の承認フロー——外部へのデータ送信、契約に関わる処理、金銭の移動など、影響の大きいアクションの前には人間の承認を挟む仕組みを入れる
- 判断ログの記録——エージェントが何を判断し、何を実行したかのログを残す。問題が起きたときに「なぜそうなったか」を追跡できる状態にしておく
すでにAIエージェントを導入している、あるいは検討中の会社は、この3点が自社の運用でカバーできているかを確認してみてください。
ログは「入力・出力・判断」の3点セット
AIが何をしたかの記録を残す体制も、1.2版で明確に求められるようになりました。
ガイドラインでは「トレーサビリティ」という用語で表現されていますが、難しく考える必要はありません。要は「あとからAIの行動を追跡できるようにしておけ」ということです。
たとえばAIが作った見積書にクレームが来たとき、「なぜこの金額になったのか」を確認できないと困りますよね。AIへの入力内容、AIの出力結果、最終的な人間の判断——この3点をセットで記録しておくイメージです。
v1.1では記録保持について一般的な言及にとどまっていましたが、v1.2ではこの「入力・出力・判断」の3点セットが具体的に示されています。記録の粒度が明確になったぶん、何を残せばいいかが分かりやすくなりました。
APIで社内ツールを作ると「開発者」扱いに
意外と見落とされているのが、ChatGPTなどのAPIを組み込んで社内ツールを作ると「開発者」扱いになるという点です。
たとえば、自社の営業資料をAIに読み込ませて質問に答えるチャットボットを構築したとします。こうした「外部のAI+自社データ」の組み合わせはRAG(検索拡張生成:社外のAIに社内情報を参照させる仕組み)と呼ばれますが、大事なのは名前よりも分類のほうです。
このようなツールを自社で組み上げた時点で、単なる「AI利用者」ではなく「AI開発者」として扱われます。安全性テストやリスク評価など、責任が一段重くなるんです。
「OpenAIのAPIを呼んでいるだけで、AIそのものは作っていないんだけど」——そう感じる方は多いと思います。でもガイドライン上は、APIでシステムを組み上げた時点で「開発」に該当します。社内にそういったツールがある会社は、一度自社の立ち位置を確認しておいたほうがいいでしょう。
なお、第1.2版では「中小企業向けAI活用の手引き」が新たに追加されました。本編はどうしても大企業寄りの記述になりがちですが、この手引きでは規模の小さい会社が最低限やるべきことをコンパクトにまとめてくれています。「うちは小さい会社だから対応なんて無理」と思った方は、まずこの手引きから目を通してみてください。
![[図解] 第1.2版の主要変更を4つのボックスで横並びに示す図。左から「①人間確認の強化」「②AIエージェントの定義追加」「③ログ管理の明確化」「④API利用=開発者扱い」の4ボックス。中央上に「第1.2版の重要変更」ラベル](http://ai-mikata.com/wp-content/uploads/2026/04/autopress-2.webp)
業界・立場で変わる重点
ここまで紹介した変更点を、すべての会社が同じレベルで対応する必要はありません。前のセクションで触れた3つの分類ごとに、力を入れるべきポイントが変わります。
| 分類 | 主な該当企業 | 重点的に求められること |
|---|---|---|
| AI開発者 | AIモデルを訓練する会社、APIで社内システムを構築した会社 | 安全性テスト・リスク評価、利用者への情報開示 |
| AI提供者 | AIサービスを顧客に販売・提供する会社 | 利用者への説明責任、適切な情報開示、不正利用の防止 |
| AI利用者 | 既製品のAIを業務で使う会社(多くの一般企業) | ログ管理、人間による確認体制の整備 |
多くの読者の会社は「AI利用者」に当てはまるはずです。3者の中で求められるハードルは最も低い——とはいえ、ログ管理と人間による確認体制、この2つだけは外せません。
裏を返せば、この2つさえ押さえておけばAI利用者としてはまず合格ラインに立てます。「全部やらなきゃいけないのか」と身構える必要はありません。
ただ、そもそも罰則のないガイドラインに、なぜわざわざ対応する必要があるのか。次のセクションでは「無視できない本当の理由」を掘り下げます。
罰則はないのに無視できない理由
法的拘束力の正体
今すぐ罰金を取られることはありません。このガイドラインは「ソフトロー」——つまり法的拘束力のない指針——であり、法律ではないからです。
ただし、AIが原因でトラブルが起きたとき、「ガイドラインを知っていたのに何もしなかった」という事実は、社会的責任を問われる根拠になり得ます。
罰則がないことと、責任がないことはまったく別の話です。
そして、このソフトローがいつまでもソフトなままとは限りません。
EUではすでに法的拘束力を持つ「EU AI法(AI Act)」が段階的に施行されており、高リスクAIの利用には厳格な義務が課されています。EU域内にサービスを提供する日本企業も対象になり得るため、「海外の話」では片付かないケースが出てきています。
日本国内でも、経済産業省と総務省を中心にAI関連の法制化が検討されています。具体的な施行時期はまだ公表されていませんが、今回のガイドライン第1.2版はその土台になる位置づけです。
つまり、ガイドラインに沿って体制を整えておけば、将来法律ができたときの対応コストを大幅に減らせます。今の対応は罰則への備えではなく、先行投資として捉えるのが正確です。
市場と取引先が動いている
法律より先に動いているのは、取引の現場です。
大企業がサプライチェーン管理(取引先全体のリスクを管理する仕組み)の一環として、取引先にもAIガバナンス対応を求め始めています。公共調達でも、AI利用指針の整備が入札条件に含まれるケースが出てきました。
罰則の有無よりも、「対応していない」だけで取引機会を逃すリスクのほうがよほど現実的です。対応済みの企業から選ばれる流れができつつある今、早めに動いておいて損はありません。
今やるべきことの優先順位
ここまで読んで「で、結局なにから手をつければいいの?」と思った方へ。やることは3つに絞れます。
最初の3ステップ
①自社の立ち位置を確認する
まず、自社が「開発者・提供者・利用者」のどれに当たるかを確認します。ほとんどの会社は「利用者」ですが、APIで社内ツールを組んでいたら開発者扱いになる——前のセクションで触れたとおりです。ここを間違えると対応の方向自体がずれるので、最初に押さえてください。
②AIツールの棚卸しをする
社内で誰が、どんなAIツールを、どんな用途で使っているかを書き出します。ChatGPT、Copilot、画像生成AI……把握しきれていないケースは意外と多いです。
この棚卸しだけで、ガイドライン対応の土台の半分はできあがります。
③重要な判断の確認フローをチェックする
重要な判断にAIが絡んでいるなら、人間が最終OKを出す流れになっているかを確認します。先ほど紹介した4つの基準(権利への影響・不可逆性・影響範囲・損害の大きさ)に照らして、自社の業務を振り返ってみてください。
この3つをやるだけで、ガイドラインの骨格に沿った対応の土台ができます。完璧なガバナンス体制の話ではありません。まず足場を固める、それだけです。
![[図解] 3ステップを左から右へ矢印でつないだフロー図。ステップ①「立ち位置の確認(開発者?提供者?利用者?)」→ステップ②「AIツールの棚卸し(誰が・何を・どう使っている?)」→ステップ③「人間確認フローのチェック(重要判断にAI丸投げしていない?)」。右端に「対応の土台が完成」ラベル](http://ai-mikata.com/wp-content/uploads/2026/04/autopress-1.webp)
小さく始める社内体制
「体制づくり」と聞くと大がかりに感じるかもしれませんが、第1.2版で追加された中小企業向けの手引きは、最小限の対応から始められるように設計されています。
専任チームは要りません。AI利用を見る担当者を1人決める——それが体制づくりの第一歩です。
その担当者がまずやることもシンプルで、「どのAIを、どんな用途で使っているか」を書いた簡単なリストを作るだけ。Excelの1シートで十分です。これだけでログ・記録の整備として成立します。
完璧を目指すと止まります。ガイドラインの別添資料でも、小規模な事業者が最小限のゴール設定から始める実践例が紹介されています。100点の体制を設計する前に、60点で動き始めるほうがガイドラインの趣旨に合っています。
月曜の朝、まず担当者を1人決めて、AIツールのリストを作る。それだけで十分なスタートです。
