2026年3月31日、総務省と経済産業省が「AI事業者ガイドライン(第1.2版)」を公表しました。全100ページ超の行政文書ですが、ChatGPTを業務で使っているだけでも対象になります。この記事では自社が対象かどうかの判定から、A4一枚で始められる具体的な対応策までをまとめました。原文を全部読む必要はありません。
うちも対象?30秒で判定
主体区分は4つだけ
ガイドラインはAIに関わる事業者を4つの立場に分けています。第1.2版ではこの区分が整理・明確化され、自分がどれに当たるのかわかりやすくなりました。
- AI開発者 — AIの仕組みそのものを作る会社
- AI提供者 — AIサービスを販売する会社
- 提供支援者 — AI販売・導入を仲介する会社
- AI利用者 — AIを業務で使う会社
中小企業の大半が該当するのはAI利用者です。自社でAIを開発していなくても、他社が作ったAIサービスを業務に使っていれば対象になります。
自社がどの区分に当たるか迷ったら、総務省が公開しているチェックリスト(PDF)も参考になります。確認項目にチェックをつけていくだけなので、10分もあれば自社の立ち位置がわかります。
![[図解] 4つの主体区分(AI開発者・AI提供者・提供支援者・AI利用者)を横並びで示し、「AI利用者」のボックスだけをアクセントカラーでハイライト。「中小企業の大半はここ」と矢印で指し示す](http://ai-mikata.com/wp-content/uploads/2026/06/autopress-35.webp)
このツールを使えば「対象」
ChatGPTで議事録を要約している。Copilotでメールの下書きを作っている。AI搭載の会計ソフトや勤怠管理を使っている。
どれか1つでも当てはまれば、あなたの会社はガイドラインの対象です。
「うちはAIなんて使っていない」と思っていても、取引先のシステムにAI機能が組み込まれているケースは珍しくありません。
第1.2版で変わったこと
「前のバージョンから何が変わったの?」という疑問に、ここでまとめて答えます。
第1.2版の主な変更点は4つです。
| 変更点 | かんたんに言うと |
|---|---|
| AIエージェント・フィジカルAIの追加 | 「指示すると自動で動くAI」や「ロボットに搭載されたAI」も対象に |
| リスク記載の見直し | AI事故が起きたときの影響の整理がより具体的に |
| トレーサビリティの強調 | 「誰がいつ何のAIを使ったか」をたどれる状態にする重要性を明記 |
| 各主体の役割の補足 | 4つの区分それぞれに求められることがより明確に |
中小企業に特に関係するのは、上の2つです。
AIエージェントとは、「議事録をまとめておいて」と指示するだけで文字起こし→要約→共有まで自動でこなしてくれるAI。ChatGPTの最新機能やMicrosoft Copilotのエージェント機能がこれに当たります。
トレーサビリティについては、このあとの「AI利用ログの残し方」で具体的なやり方を紹介します。
今日から始める対応チェックリスト
「対象だとわかった。で、何をすればいいの?」——ここからは、明日の朝イチで動けるレベルの具体策を4つに絞って紹介します。
その前にひとつ安心材料を。このガイドラインはゴールベースアプローチという設計になっています。
「この手順でやりなさい」という細かいルール集ではなく、「こういう状態を目指しましょう」と目標だけ示す方式です。具体的にどうやるかは、会社の規模や業種に合わせて自由に決められます。だから「A4一枚の社内ルール」でも、目標に向かっていれば立派な対応です。
ガイドラインには「共通の指針」が10項目ありますが、中小企業がまず押さえるべきは次の4つだけです。
- プライバシー保護 — 個人情報を適切に扱う
- セキュリティ確保 — 情報漏れ・不正アクセスを防ぐ
- 透明性 — AIを使っていることを適切に伝える
- アカウンタビリティ — 問題が起きたら説明できる状態にする
この4つをカバーする具体策が、これから紹介する4つのチェック項目です。
AI利用ルールをA4一枚に
「ガイドラインに対応しなきゃ」と聞くと、分厚いマニュアルを想像しますよね。
でも、最初に必要なのはA4一枚のシートだけです。書くことは3つ。
- 使っていいAIの名前(例:ChatGPT、Microsoft Copilot、〇〇会計ソフトのAI機能)
- 入力してはいけない情報(顧客の個人情報、未公開の売上データなど)
- 困ったときの責任者の名前(「とりあえず〇〇さんに聞く」がわかればOK)
これだけです。完璧なルールを作ろうとして手が止まるくらいなら、この3項目をWordに打ち込んで社内共有するほうがずっとマシです。
先ほど触れたゴールベースアプローチの設計上、ガイドラインは「やり方は各社で決めてよい」というスタンスです。最初から正解を出す必要はありません。
実際に、30ページの社内AIガイドラインをA4一枚に絞り直して運用を回し始めた中小企業の事例もあります。ポイントは「厚さ」ではなく「まず作って、回して、改善する」サイクルを始めること。走りながら直していくほうが、結果的にガイドラインの求める状態に近づけます。
AIエージェント利用の確認点
第1.2版でAIエージェントが新たに対象に加わったことは先ほど触れました。
便利な反面、途中の処理がブラックボックスになりやすい。だからガイドラインは「人間が監督するポイントを決めておくこと」を求めています。
全部を見る必要はありません。「ここだけは人間が確認する」という判断の分岐点を1つ決めるだけです。
たとえば、AIエージェントに見積書のたたき台を作らせるなら、「取引先に送る前に金額と宛名を目視確認する」——これが分岐点です。
AI利用ログの残し方
第1.2版で強調されたトレーサビリティ——つまり「あとから経緯をたどれる状態にしておくこと」。
具体的にやることはシンプルです。ExcelかGoogleスプレッドシートに次の4項目を記録するだけで十分です。
| 記録する項目 | 記入例 |
|---|---|
| いつ | 2026/6/15 |
| 誰が | 営業部 山田 |
| 何のAI | ChatGPT(GPT-4o) |
| 何の目的 | 提案書の構成案を作成 |
専用のシステムを買う必要はまったくありません。目的は「何かあったとき、誰がどのAIをどう使ったか振り返れる状態にしておく」こと。
月に1回、責任者がログをざっと確認する運用を入れれば、ガイドラインが求める水準はクリアできます。
![[表] AI利用ログのExcelテンプレート例。列は「日付」「使用者」「AIツール名」「使用目的」「備考」の5列。3行分のサンプルデータ入り](http://ai-mikata.com/wp-content/uploads/2026/06/autopress-34.webp)
トラブル時の3ステップ
AIが個人情報を含む回答を生成してしまった。取引先にAI生成だと伝えずに資料を送ってしまった。——こうしたトラブルが起きたとき、慌てないための手順を3つだけ決めておきましょう。
そのAIツールの使用をいったん停止する
使用ログと出力結果を消さずに保全する(スクリーンショットでもOK)
社内の責任者に報告し、必要に応じて専門家に相談する
この3ステップを紙に書いて休憩室にでも貼っておけば十分です。
大事なのは②の「残す」。焦って証拠を消してしまうと、あとから何が起きたかたどれなくなります。ログさえ残っていれば、対処の選択肢はぐっと広がります。前のセクションで触れたトレーサビリティが、まさにここで効いてくるわけです。
罰則なしでも放置できない理由
やることは意外と少ない——ここまで読んで、そう感じた方もいるはずです。
だからこそ、先送りにする理由がありません。
大企業はサプライチェーン全体のAI管理体制を問われる立場にあり、中小企業にも「御社のAI利用方針を見せてください」と聞かれるケースが出てきました。PwCはこのガイドラインへの対応を「事業者が最低限取り組むべきスタートライン」と位置づけています。A4一枚でも「うちはこう管理しています」と見せられるだけで、取引先とのやりとりで後手に回らずに済みます。
そしてもうひとつ。罰則ゼロ=責任ゼロではありません。
ChatGPTに顧客の個人情報を入力してしまった。AI生成の資料に著作権侵害があった。こうした事故で「何も対策していませんでした」と答えれば、会社の過失として問われるリスクがあります。利用ルールとログの保全をしていたかどうか——それが過失の有無を分ける線です。
コストはほぼゼロなのに、放置のリスクだけが膨らんでいく。であれば、チェックリストを今日中に済ませてしまいましょう。
あわせて読みたい
