取引先から「生成AI利用の調査票・誓約書」が届いたら?回答前に確認すべきことを弁護士が解説【改正個人情報保護法対応】

約20分
生成AI記事コンテンツ
取引先から「生成AI利用の調査票・誓約書」が届いたら?回答前に確認すべきことを弁護士が解説【改正個人情報保護法対応】

概要

取引先から生成AI利用に関する調査票や誓約書が届いたら、回答前に何を確認すべきか。2026年7月成立の改正個人情報保護法(30条の3・58条の2)を踏まえ、AI条項を設計してきた弁護士が「受け取る側」の目線で解説します。

この記事は、取引先から生成AIの利用状況に関する調査票や誓約書が届いたときに、回答・署名の前に何を確認すべきかを整理した内容です。2026年7月10日に成立した改正個人情報保護法の新設条文(30条の3・58条の2)が、なぜ「調査票の波」を引き起こすのかも条文ベースで解説しています。中小企業の経営者や総務・法務担当者が読むことで、慌てて回答して将来の紛争の種を蒔いてしまう前に、落ち着いて対応するための判断軸を得られます。

「貴社における生成AIの利用状況についてご回答ください」——取引先からこのような調査票が届く経験は、多くの中小企業にとってまだ先の話に思えるかもしれません。しかし、今回の法改正によって、この波は今後2年のうちに確実にやってくることになります。届いてから慌てて調べるのではなく、届く前に「何が書かれ、なぜそう書かれるのか」を知っておく。本記事はそのための解説をしたいと思います。

そして、ここが本記事の少し変わった点なのですが、私は普段、この種の文書を「作る側」にいます。クライアントが生成AIの利用を前提とする取引でAI関連条項を設計することもあれば、逆に取引先が生成AIを使う場面で利用制限条項を起案することもあります。つまり、これから皆さんの手元に届く調査票や誓約書と同じ種類の文書を組み立てている人間というわけです。だからこそ、その裏にある意図と、受け取った側が取るべき対応を、作り手の目線からお伝えできると考えています。

なぜこれから調査票・誓約書の波が来るのか

2026年7月10日、改正個人情報保護法が成立した

個人情報保護法の改正法案は、2026年(令和8年)7月10日、参議院本会議で可決・成立しました(本記事の条文引用は成立時点の法案ベースです。公布後に条番号等が確定した場合は本記事を更新します)。施行は公布から2年以内、2028年頃と見込まれていますが、注意すべきは、今回の改正には、取引先が中小企業に対して契約の見直しや利用状況の確認を進める法律上の直接的な動機が組み込まれているという点です。

キーワードとなる新設条文は2つあります。

  • 改正30条の3:データを預かる側(委託を受けた事業者)に対して、「委託された業務の遂行に必要な範囲」を超えて預かった個人情報を取り扱うことを直接禁止する規定
  • 改正58条の2:委託契約で取扱いの方法などを詳細に定め、それを守っている委託先については、個人情報保護法上の多くの義務を免除する特例

特に58条の2は、義務免除の条件が「契約に所定の事項が書かれていること」とされています。つまり大手企業側からすると、施行までの間に取引先との契約改定・覚書締結・利用状況の確認を進めておく強い動機が生まれるわけです。御社に調査票が届くとすれば、それは相手方の嫌がらせでも過剰反応でもなく、この改正への対応が始まったからということになります。

もともとあった「チェックシート文化」への上乗せ

そもそも現行法でも、個人データの取扱いを委託する企業には委託先への監督義務があり(現行法25条)、その具体的な内容は①適切な委託先の選定、②委託契約の締結、③委託先における取扱状況の把握、の3点とされています。取引先からセキュリティチェックシートへの回答を求められた経験のある企業は多いと思いますが、あれは③の実施手段です。今回の改正で、この既存の枠組みに「生成AIの利用状況」という新しい確認項目が上乗せされていく——これから起きることの構図は、端的に言うとこういうことです。

よくある質問項目と、その裏にある取引先の意図

調査票にどんな質問が並ぶのかは、送る側が何を心配しているかが分かれば予測できます。私が取引先の生成AI利用に関する条項を設計するとき、相手方について把握したいと考える事項は、次の順序で整理されます。

第一段階:そもそも、どんなデータを渡しているのか(送る側の社内確認)

意外に思われるかもしれませんが、条項設計は相手への質問からではなく、自社の棚卸しから始まります。業務委託などで渡しているデータに、個人情報が含まれているか。自社の営業秘密が含まれているか。契約上の守秘義務の対象か。著作権などの知的財産が関係するか。要するに「渡しているデータに法律上の権利義務が付着しているかどうか」という点の確認です。ここで何かしらの権利義務が付着したデータを渡していると分かって、初めて相手方への質問が始まることになります。

第二段階:相手方は生成AIを使っているのか

権利義務の付着したデータを渡している以上、それが生成AIに入力されるのかどうかは、送る側にとって確認必須の事項となってくるわけです。

第三段階:使っているなら、どのサービスの、どのプランか

サービス名とプランを聞くのは、興味本位ではありません。そのサービスの利用規約を確認し、入力されたデータがどう処理されるのかを把握するためです。特に送る側が気にするのは、個人情報と秘密情報(自社の営業秘密)を入力しているのか否か、そしてクリエイティブ系のやり取りがあるのであれば、著作物を入力しているのかどうか、という点です。

第四段階:誰が使っているのか=管理体制

最後に確認したいのが、相手方の社内で誰が生成AIを使っているのかという管理体制です。会社公認の社内AI環境が整っていたとしても、従業員が個人契約のプランで勝手に使ってしまう、いわゆるシャドーAIの余地は残ります。そこで送る側は、正面から「シャドーAIはありますか」と聞くのではなく、「無断利用を禁止するルールはありますか」「そのチェック体制はどうなっていますか」という形で、裏側から確認することになります。

この4段階を知っておくと、調査票の個々の質問が「どのリスクを潰すための質問なのか」が読めるようになります。健康診断の問診票と同じで、質問の意図が読めれば、過不足のない回答も、後述する交渉もできるようになるわけです。

まず既存契約(NDA・基本契約)を棚卸しする

調査票が届いたとき、いきなり回答欄を埋め始めるのはおすすめできません。弁護士の目線から見た確認フローは次のとおりです。

ステップ1:自社は実際に生成AIを使っているのか、いないのか

使っている場合は、どのサービスをどのプランで使っているのかの把握から始まります。「使っていない」と思っている場合は、次のステップが重要になってきます。

ステップ2:その「使っていない」は、シャドーAIまで含めて言えるのか

「使っていない」という認識が、シャドーAIの実態把握までできた上での「使っていない」なのか、単に会社として導入していないだけで現場の実態は何も知らないという意味での「使っていない」なのか。この区別が、後述するとおり回答の質を決定的に左右する点です。

ステップ3:取引先から受け取っているデータの法的性質を確認する

生成AIを使っている(またはシャドーAIの可能性がある)のであれば、次に、取引先から受け取っている情報がどういう情報なのかを確認していきます。ここで既存のNDA(秘密保持契約)が関係してくるのはなぜかというと、受け取ったデータに秘密保持条項という契約上の義務が付着しているからなんですね。同じように、個人情報、営業秘密、著作権、場合によっては肖像権——受け取ったデータにどんな法的性質が付着しているかを、一つずつ確認していくことになります。

ステップ4:その入力は、契約上認められているのかを総合判断する

最後に、そのデータを生成AIに入力することが既存の契約書上で認められているのか否かを総合的に判断します。ここまでやって初めて、調査票に正確に回答できる状態になるというわけです。

安易に「利用していません」と回答してはいけない理由

「うちは生成AIを導入していないので『利用なし』と答えておきます」——顧問先の担当者からこう言われたとしたら、私は次の2点を確認します。

1点目:シャドーAIを禁止する社内ルールはありますか?

会社として導入していないことと、従業員が誰も使っていないことは、まったく別の話だからです。

2点目:そのルールを、どうやって管理・運用していますか?

ここが本質的な点です。シャドーAIは、規程で禁止するだけでは運用面での担保が非常に難しいものです。何かしらの技術的な制約(アクセス制限など)を置いているのか、それとも紙のルールがあるだけなのか——このグラデーションを確かめる必要があります。加えて、従業員への抜き打ちの検証などを行っているかどうかも、間接的なチェックポイントになってきます。

なぜここまで慎重になる必要があるのか。端的に言うと、調査票や誓約書における「利用していません」という回答は、文言次第ではありますが、一般に表明保証としての意味を持ち得るからです。後になって従業員の無断利用が発覚した場合、それが意図的だったか、認識していなかったかにかかわらず、「利用していない」と回答したことについて表明保証責任を問われる可能性が出てきます。実態把握なしの「利用なし」回答は、将来の紛争の種を自分で蒔く行為になりかねないという点は、強調してもしすぎることはありません。

預かりデータを生成AIに入力する行為は、改正個人情報保護法でどう評価されるか

取引先から預かったデータを含む資料を生成AIに入力して業務を効率化する——多くの現場ですでに行われている、あるいはこれから行われようとしているこの行為が、法的にどう評価されるのかを整理したいと思います。

現行法での整理:委託元の監督と「契約違反」の問題

そもそも現行法において、取引先が御社に個人データを渡せるのは「委託」だからです(現行法27条5項1号により、委託に伴う提供は本人同意が不要となる代わりに、委託元には25条の監督義務が課されています)。実は、預かったデータを委託業務以外に使ってはならないというルールは、現行法の条文には存在せず、ガイドラインの解釈で導かれているにとどまります。したがって現時点では、預かりデータの生成AI入力は、まず「委託元との契約(NDA・基本契約)に違反しないか」という契約問題として現れることになります。

改正30条の3:預かり情報の目的外利用が「受託者自身の法律違反」になる

改正法は、ここを大きく変えました。条文は短いので全文を引用します。

(受託者である個人情報取扱事業者の義務)
第30条の3 他の個人情報取扱事業者又は行政機関等から個人情報の取扱いの全部又は一部の委託(二以上の段階にわたる委託を含む。)を受けた個人情報取扱事業者は、法令に基づく場合等を除くほか、その取扱いを委託された個人情報(当該個人情報取扱事業者において個人関連情報となるものを除く。)を、当該委託を受けた業務の遂行に必要な範囲を超えて取り扱ってはならない。

ポイントは4つあります。

  1. 預かる側(受託者)が初めて直接の名宛人になったという点。従来は委託元経由の間接的な統制だったものが、法律上の直接義務に格上げされました。
  2. 対象が「個人データ」ではなく「個人情報」であるという点。データベース化されていない預かり資料——契約書ドラフト、議事録、メールのやり取り——に含まれる個人情報も射程に入ります。中小企業が取引先から預かる情報のほぼ全部と考えるべき広さです。
  3. 再委託先も直接義務を負うという点(「二以上の段階にわたる委託を含む」)。
  4. 例外は法令に基づく場合と、人命救助・災害等の緊急時のみという点。業務効率化のような経営上の理由は、例外にはなりません。

違反した場合はどうなるのか。個人情報保護委員会の勧告・措置命令の対象となり、命令違反には1年以下の拘禁刑または100万円以下の罰金が定められています。また、本人(取引先の顧客など)から直接、利用停止等を請求され得る立場にもなります(改正35条1項)。なお、今回導入される課徴金制度の直接の対象行為には、30条の3違反は列挙されていません。「即・課徴金」といった情報を見かけたら、それは不正確ですのでご注意ください。

要するに、預かったデータを「委託された業務の遂行に必要な範囲」を超えて生成AIに入力する行為は、施行後は契約違反にとどまらず、御社自身の法律違反になり得るということです。

改正58条の2:契約を整えれば、義務はむしろ軽くなる

一方で、今回の改正はペナルティ一辺倒ではないという点も重要です。58条の2は、委託契約において①預かった情報の取扱いの方法、②漏えい等・範囲を超えた取扱い・契約違反を知ったときに速やかに委託元へ報告すること、③その他規則で定める事項——が定められ、かつ実際の取扱いがその契約に従って行われている委託先について、個人情報保護法上の多くの義務(利用目的の通知公表、開示請求対応など)を免除するという特例です。

ただし、2点ほど注意が必要です。

第一に、免除されても安全管理措置(23〜26条)と30条の3(範囲超過の禁止)は残るという点。契約でどれだけ身軽になっても、「安全に管理せよ」「委託の範囲を超えるな」の2本柱からは逃れられない設計になっています。

第二に、②の報告事項です。よく見ると、漏えいだけでなく、「委託業務に必要な範囲を超えた取扱い」や「契約違反の取扱い」を知ったときも、速やかに委託元へ報告することが契約に組み込まれることになります。つまり、従業員が無断で取引先データを生成AIに入力していたことを会社が知った場合、委託元への自己申告が契約上の義務になる構造なんですね。調査票への回答は一回きりのイベントではなく、この種の条項が契約に入った瞬間から、継続的な自己申告体制の問題に変わっていくわけです。

大手企業がこの特例の「入場券」となる契約整備を全取引先に展開していく——これが冒頭で述べた「波」の正体です。そして、受託側にも特例による義務軽減というメリットがある以上、契約締結を拒否一辺倒で構えるのは得策ではありません。勝負は、契約の「取扱いの方法」に生成AIの利用をどう書き込むか(書き込ませるか)の交渉に移っていくことになります。

規則はまだ存在しない——今は「確約しすぎない」が正解

ここで重要な注意点があります。58条の2が定める「取扱いの方法として個人情報保護委員会規則で定める事項」の中身は、本記事執筆時点で存在しません。規則は未制定で、案も未公表です。前回改正のスケジュールに照らせば、規則案の公表・パブリックコメントは2026年末頃、ガイドラインは2027年、施行は2028年頃と見込まれます。

したがって、今の時点で届く調査票・誓約書・覚書は、いわば「規則確定前の暫定対応」ということになります。ここで過大な確約をしてしまうと、規則公表後に自縄自縛になる可能性が高まります。回答や契約文言には、「取扱方法の詳細は、改正法に係る委員会規則等の公表後、別途誠実に協議する」といった留保を組み込んでおくのが実務的な落としどころです。

当事務所では規則案の公表を継続的にウォッチしており、公表され次第、本記事を更新します。

誓約書にサインする前のチェックポイント

「貴社データを一切生成AIに入力しません」——このような全面禁止型の誓約書が届いた場合の対応を考えたいと思います。

そのままサインすることの問題

先方が全面禁止を求めてくるのには、必ず背景・目的があります。まずそこを把握することが重要です。その上で、「生成AIは怖いから、とりあえず全面禁止」という要求をそのまま受け入れてしまうとどうなるか。御社がこれまで積み上げてきた業務効率化や、生成AIを前提とした企業競争力が壊れてしまうことになります。そう簡単にサインする、という判断にはならないはずです。

修正交渉の方向性:「なぜ禁止か」を深掘りし、技術的な代替案を示す

禁止の理由をたどっていくと、基本的には「渡しているデータに法的な権利義務が付着していて、取扱いに注意を要するから」というところに行き着きます。であれば、深掘りすべきは「その懸念に対応したサービスや技術的なセキュリティ措置が存在するか」という点です。機密性の高い情報であっても、全面禁止に同意する前に、サンドボックス的な環境やスタンドアロン的な構成など、「こういう条件・環境であれば生成AIを使ってよい」という落としどころがあるのかないのか。ここを最初に検討することになります。

力関係で交渉が難しい場合の現実解

相手が大手で、条項の修正になかなか応じてもらえない場合でも、探れる余地はあります。

  • 間接利用の可能性:「データを生成AIに直接入力しない」という誓約の趣旨を維持しつつ、生成AIを組み込んだ情報処理アプリケーションを構築して、そのアプリケーション経由での利用は認められないか、という接点を探る方法です。もっとも、アプリケーションのセキュリティが担保されるのであれば結局その中で生成AIが使えることになるため、「直接利用は禁止・間接利用は可」という整理を相手方が受け入れるかは交渉次第ですが、検討する価値のある選択肢だと考えています。
  • マスキング処理を条件とする方法:個人名等をマスキングした上での入力なら可、という条件付きの許容もよくある落としどころです(ただし後述のFAQのとおり、マスキング=法律上の匿名加工情報ではないという点には注意が必要です)。

要するに、全面禁止か無制限かの二択ではなく、技術的条件・利用形態・データの加工度合いという複数の軸で落としどころを設計していく。これがこの交渉の実務というわけです。

実例:受託者側としての当事務所の実践

ここまで解説してきましたが、当事務所自身も、依頼者から情報を預かって生成AIを日常的に活用する「受託者側」の事業者です。だからこそ、生成AI利用ポリシーを策定し、公開しています。

策定した動機は、情報の流れ方をきちんとコントロールしないと、事務所の情報資産も、依頼者からお預かりした情報資産も、不用意に流出させてしまいかねない——これを事後対応ではなく、あらかじめ明文化しておくという点にありました。改正30条の3が受託者に求める「委託業務に必要な範囲」の管理は、まさにこの事前明文化の問題です。

実際に運用してみて、効果は2つありました。1つは、取引先や依頼者からの信用につながること。もう1つは意外な効果なのですが、ルールが可視化されているので、運用をブラッシュアップする際に「どこが改善点なのか」が見つかるという点です。規程というのは現場を縛るためのものではなく、改善のための足場になるんですね。

そして、策定を通じて痛感した最大の学びは、法律面と技術面の理解を両方持たないと、実効的な対応は難しいということです。例えば「入力データを学習に利用させない」と決めるのは簡単ですが、それを各サービスのどの設定でどう操作し、その設定が維持されていることをどう担保するのか。ここは、利用規約の読解(法律)とサービス仕様の理解(技術)の両方がなければ答えられません。依頼者への説明でも、どのような法律上のルールがあり、それに対して技術的にどう対応しているのか、という両面からの説明を心がけています。調査票への回答も、突き詰めればまったく同じ構造の作業です。

弁護士の視点:この改正は脅威か、チャンスか

最後に、今回の改正を「脅威かチャンスか」と問われたときの私の見立てを述べたいと思います。端的に言うと、答えは企業の側にあります。

これまで生成AIの法的リスクのコントロールに真面目に向き合ってきた企業にとって、今回の改正は事業競争力の面で追い風になります。調査票に即答でき、誓約書の交渉ができ、自社の管理体制を根拠をもって説明できる会社は、取引先から「選ばれる側」に回っていくはずです。

一方で、生成AIの法的リスクにあまり関心を持たずに進んできた企業は、これを機にアップデートしていかないと、取引先からの信用、取引の構造そのもの、そして生成AI活用の幅に限界が出てくることになります。

施行までの約2年は、猶予期間であると同時に、差がつく期間でもあります。「使わせない」ための守りの規程ではなく、安全に攻めるためのルールを今のうちに整える。それが、届いた調査票を脅威ではなくチャンスに変える方法だと考えています。

よくある質問(FAQ)

Q. 取引先からの調査票を無視したらどうなりますか?

取引先は、一定の基準を満たしているかどうかで取引を継続するか判断している可能性が高いといえます。無視した場合、取引先が徐々にフェードアウトしていく、契約の更新拒絶に至るといった事態は容易に想定できます。

Q. 「利用していません」と答えた後で従業員の無断利用が発覚したら、責任を問われますか?

意図的だったか、認識していなかったかにかかわらず、回答の文言次第では、「利用していない」という回答について表明保証責任を問われる可能性があります。回答前に、シャドーAIを含めた実態把握が不可欠となる理由はここにあります。

Q. ChatGPTの法人プラン(Business/Enterprise)なら、取引先のデータを入力してもいいのですか?

これは明確に違います。法人プランが一般的にカバーしているのは、情報セキュリティ、入力された情報の機密性の保持、個人情報の取扱いに対する法令対応といった範囲です。ここに含まれていないものの代表が、第一に取引先の秘密情報——第三者には開示しないという契約上の約束をしている以上、入力はその約束に違反し得ます。第二に取引先から提供された個人情報——プライバシー保護の環境が整っていることと、取引先が定めた取扱いルールに違反しないこととは、また別問題なんですね。法人プランであろうと、違反は違反という整理になります。法人プランとDPAの関係についてはChatGPTを企業で使うときに必要なDPAの解説記事もあわせてご覧ください。

Q. 取引先に、使っているサービス名まで答える義務はありますか?

法的な義務は基本的にありません。ただ、取引先としても素性の分からないサービスを使われては困るわけで、事実上、回答が推奨される場面は多いと思います。具体的なサービス名やプランを開示したくない場合は、そのサービスの利用規約から約束できる条件——セキュリティ水準や秘密情報の取扱いの内容——を示す形で、回答に代える方法があります。

Q. 改正法はいつ施行されますか?今すぐ対応が必要ですか?

施行は公布から2年以内で、2028年頃と見込まれます。今すぐ何かをしなければ違法になる、ということはありません。ただし、大手企業からサプライチェーンに向けて順次コンプライアンス対応が広がっていくことが強く予測されるため、少なくとも施行の半年前くらいには準備が整っていないと、対応が困難になってくると考えられます。

Q. マスキングすれば、個人情報を入力してもいいのですか?

それは違います。個人名を記号に置き換えるといったマスキングは技術的な措置の話であって、法律が予定している「匿名加工情報」には、それよりも厳格な要件が課されています。「マスキングしたから問題ない」という理解ではない、という点に注意が必要です。

Q. 社内規程がまだありません。調査票にはどう答えればいいですか?

嘘は避けた方がいいですね。規程がないのであれば、その事実はそのまま述べざるを得ません。ただ、「ない」で終わらせてしまうと調査する側も困ってしまうので、「◯月までに規程を整備する予定です」といった今後のスケジュールをあわせて示すことで、相手に安心感を与える回答になります。規程づくりの具体的な進め方は、別記事「生成AI社内利用規程の作り方」で解説予定です。

調査票が届く前に、体制を整えませんか

本記事で見てきたとおり、調査票・誓約書への対応は、一度きりの回答作業ではなく、契約・規程・技術設定を横断する継続的な体制の問題です。そして58条の2の規則をはじめ、ルールの詳細はこれから2年かけて順次確定していきます。

tAiL.法律事務所の生成AI法務サービスでは、規則・ガイドラインの動向ウォッチから、調査票への回答レビュー、誓約書・覚書の交渉、社内規程の策定まで、法律と技術の両面から継続的にサポートしています。「安全に攻める」ための体制づくりは、波が来る前の今がもっとも進めやすいタイミングです。まずは無料相談で、御社の状況に照らした論点整理からどうぞ。

出典・注記

  • 個人情報の保護に関する法律等の一部を改正する法律案(令和8年4月7日閣議決定、令和8年7月10日参議院本会議で可決・成立):個人情報保護委員会「法律案の閣議決定について」
  • 本記事の条文引用は、成立時点(公布前)の法案に基づきます。公布後の官報掲載により条番号等が確定した場合、および個人情報保護委員会規則・ガイドラインの公表があった場合は、本記事を更新します。
  • 本記事は一般的な情報提供を目的とするものであり、個別の案件に関する法的助言ではありません。

執筆:弁護士 原智輝(福岡県弁護士会)/tAiL.法律事務所代表

この記事の内容でお困りですか?

法律相談もお見積りも、まずはお気軽にフォームからご連絡ください。原則1営業日以内にご返信します。

取引先から「生成AI利用の調査票・誓約書」が届いたら?回答前に確認すべきことを弁護士が解説【改正個人情報保護法対応】 | tAiL.法律事務所