AI新法とは?知らなくても困らない人が読む3分解説
2025年5月に成立し、同年9月に全面施行された「人工知能関連技術の研究開発及び活用の推進に関する法律」、通称AI新法。名前だけ聞くと「IT企業向けの話でしょ?」と思うかもしれません。しかもこの法律、違反しても罰則がない。
AI新法は、EU(ヨーロッパ連合)の「AI Act」とは真逆の設計思想で作られています。EUが「違反したら巨額の罰金」という規制型なのに対し、日本は「AIをどんどん使おう、でも最低限のルールは守ってね」という促進型。罰則がないのは、国がAI活用を後押ししたいからです。
ただし、この法律の第7条には、AIを業務で使う事業者(ChatGPTで議事録を作っている会社も含みます)に「努力義務」が定められています。「必ずやれ」ではないけれど、「やる努力はしてくださいね」という法律上の要請です。
罰則なし・努力義務だけ——やっぱり関係ない、と思うかもしれない。でも現実のビジネスでは、この「努力義務」が3つの方向からボディブローのように効いてきます。
AI新法を「罰則なし」で無視できない3つの理由
取引先から対応を求められる
最初に動くのは、大企業です。
大手企業はすでにAIガバナンス(AIの使い方に関する社内ルール)の整備を進めています。そして大企業が自社のルールを整えると、次に何が起きるか。取引先にも同じ水準を求め始めます。
「御社のAI利用方針を提出してください」——こう言われたとき、白紙だとどうなるか。
罰金を取られるわけではありません。でも、商流から外されます。仕事が来なくなる。AI新法で悪質な事業者には国が調査に入れる権限も設けられたことで、大企業側も「取引先がAI法に沿った運用をしているか」をチェックする動機が強まっています。
罰則で罰せられるのではなく、取引先から「商流」で外される。法律違反ではなく、ビジネス上の信頼の問題です。
これは建設業の安全基準や、個人情報保護法の対応と同じ構造です。法律そのものより、「取引先が求めるから対応せざるを得ない」という外圧で広がっていきます。
補助金の申請条件に入ってくる
2つ目は、お金の話です。
国や自治体のIT関連補助金・助成金で、申請要件に「AI利用に関する社内方針の整備」が含まれるケースが出てきています。AI導入計画の提出を求められたり、ガイドラインの有無を確認されたりする流れは、AI新法の施行をきっかけに今後さらに広がる可能性があります。
AI対応の社内ルールがないと、補助金の申請書の時点で弾かれる可能性がある
つまり、対応していないと申請書を出す段階で弾かれてしまう。IT導入補助金を使ってAIツールを導入しようとしたのに、AI利用方針が未整備だから申請できない——これは実際にもらえるはずだったお金を逃すという、わかりやすい実害です。
事故が起きたとき責任が重くなる
3つ目が、いちばん見落とされがちなリスクです。
たとえば、AIが出した情報をそのままお客様に伝えて、その内容が間違っていて損害が出たとします。このとき裁判になると、「御社は努力義務すら守っていなかったんですね?」という話になります。
努力義務は法的に「やらなくてよい」という意味ではありません。「やっていないと過失を問われやすくなる」というのが実務上の運用です。
法律の世界では、努力義務は「やらなくてよい」という意味ではありません。
「やっていないことが、過失(落ち度)の認定を重くする材料になる」というのが実務上の運用です。AI新法の第7条では、活用事業者に対し透明性の確保や安全性への配慮が求められています。これを何もしていなかった場合、善管注意義務(きちんと注意を払う義務)違反として、損害賠償の金額が上がるリスクがあります。
逆に言えば、A4用紙1枚でもいいから「うちの会社はAIをこう使います、こういうリスクにはこう対応します」というルールを作っておくだけで、法的な防御力はまるで変わります。
完璧なガイドラインは必要ありません。最低限のルールがあるかないかで、いざというときの立場がまったく違ってくるのです。
AI新法の努力義務、うちの業種は何をする?
前のセクションで「やらないとまずい」と感じた方もいるかもしれません。
では具体的に、何をやればいいのか。AI新法の第7条が求めている努力義務の中身を整理すると、中小企業がまず押さえるべき柱は大きく2つです。
- 安全に使う工夫をすること(AIが出す結果をチェックする、誤情報をそのまま流さない等)
- AIを使っていることを相手に伝えること(お客様が「これAIの回答だったの?」と後から知って不信感を抱かないようにする)
第7条には権利侵害の防止やセキュリティ確保の項目もありますが、まずはこの2つを押さえれば最低ラインには立てます。
重要なのは、「自社のAI利用がどのくらいリスクのある使い方か」によって、対応の手厚さを変えることです。社内の議事録要約と、お客様への与信判断では、リスクの重さがまったく違う。すべてに同じ対策を講じる必要はありません。自社の使い方がどっち寄りかを見極めるのが最初の一歩です。
「AI事業者ガイドライン」とは?AI新法との違い
「AI事業者ガイドライン」とは、経済産業省と総務省が出した実務の手引きで、法律であるAI新法とは別物です。AI新法が「安全に使う努力をしてください」と方向を示し、ガイドラインが「具体的にはこうやりましょう」と道筋を見せる補完関係にあります。「何をどう進めればいいか」で迷ったときに参考になる資料です。
自社のリスクレベルが見えたら、次は具体的な行動ステップです。
AI新法に対応する——9月までにやるべき3つのこと
AI新法は2025年9月に全面施行されています。つまり、努力義務はもう「これからの話」ではなく、「今この瞬間も求められていること」です。
まだ何も手をつけていないなら、今日から始めても遅くはありません。ただし、いきなり立派なガイドラインを作ろうとすると止まります。順番が大事です。
この3ステップを、順番通りに進めてください。
自社のAI利用を棚卸しする
最初にやることは、「うちの会社で、誰が、どこでAIを使っているか」を全部書き出すことです。
これが意外とできていません。社長は「うちはAIなんて使ってないよ」と言うけれど、総務がChatGPTでメールの下書きを作っている。営業がDeepLで海外顧客のメールを翻訳している。経理が使っている会計ソフトにはAIの仕訳提案機能がついている。——こういう「なんとなく使っているAI」は、聞いて回らないと出てきません。
棚卸しのゴールは完璧な一覧ではなく、「思ったより使ってた」と気づくこと。そこがスタートライン。
やり方はシンプルです。各部署に「業務でAIやAI機能のあるツールを使っていたら教えてください」と聞くだけ。
ExcelでもGoogleスプレッドシートでも、「部署名」「ツール名」「何に使っているか」の3列で十分です。完璧な一覧を目指す必要はありません。まず全体像をつかむことが目的です。
リスク判定と対応方針を決める
棚卸しで出てきたAI利用の一覧に、リスクの色分けをしていきます。
判定の軸は2つだけです。
- 社内向けか、社外向けか——社内の議事録要約と、お客様への提案書作成では、ミスの影響範囲がまったく違います
- 判断の重さ——参考情報として使っているのか、そのAI出力で何かを「決めて」いるのか
低リスク——社内の文書作成、会議メモの整理、売上データの傾向分析。間違いがあっても社内で完結し、誰かの権利を侵害しにくいもの。最低限のルール整備で十分です。
高リスク——金融の与信判断(お金を貸せるかどうかの判定)、人材会社の採用スクリーニング、医療現場での診断補助、製造業の品質検査AI。これらはAIの判断ミスがそのまま顧客や患者の不利益につながるため、出力のダブルチェック体制や記録の保存まで考えておくべきです。
ほとんどの中小企業では「低リスク」に分類される使い方が大半のはずです。高リスクに該当するものが1つでもあれば、そこだけ手厚くする。全部に同じ重装備をかぶせる必要はありません。AI事業者ガイドラインもこの「リスクに応じた対応」を基本方針として推奨しています。
社内ルールを1枚にまとめる
棚卸しとリスク判定ができたら、最後にルールをまとめます。
ここで大事なのは、A4用紙1枚で十分ということです。完璧なガイドラインを目指すと、永遠に完成しません。
書くべきことは3つだけです。
- AIを使っていい場面・使ってはいけない場面——「社内文書の下書きはOK、顧客の個人情報を入力するのはNG」のように、具体的な場面で線引きする
- お客様への伝え方——チャットボットに「AI応答です」と表示をつける、AIが作成した提案書にはその旨を明記するなど。AI新法でも情報提供は事業者の責務として明記されており、一文添えるだけで対応になります
- 困ったときの相談先——AIの出力で判断に迷ったとき、誰に聞けばいいかを決めておく。専任担当がいなければ「まず上長に確認」でもOK
AIガイドラインの作り方については、A4一枚で作れるテンプレートを紹介した記事も参考になります。
まずはこの3項目を埋めるだけで、AI新法の努力義務が求める最低ラインには立てます。大企業のような立派な文書は後回しで構いません。「ルールがゼロ」と「A4一枚でもルールがある」の間には、法的にも実務的にも大きな差があります。
