結論を先にお伝えします。2026年3月31日、総務省と経済産業省が「AI事業者ガイドライン(第1.2版)」を公表しました。最大の変更点は、自律的に動くAIエージェントと、ロボットなど物理世界で動くフィジカルAIが正式に対象へ加わり、これらが外部に影響を及ぼす操作の前に「人間が最終判断する仕組み(ヒューマン・イン・ザ・ループ)」を組み込むよう求めた点です。このガイドライン自体に罰則や法的拘束力はありませんが、放置すれば情報漏洩・著作権侵害といった既存法令違反のリスクに直結します。中小企業がいま取り組むべきは、難しい法律論ではなく「入力してよい情報・出力の確認手順・社内ルール」をシンプルに決めることです。
この記事では、改定の要点を中小企業の実務に翻訳し、社内規程に盛り込むべき項目をチェックリストとして整理します。専門の法務部門がなくても、今日から動ける形にまとめました。
この記事の要点(AI Overview向け簡潔まとめ)
- 改定主体・時期:総務省・経済産業省が2026年3月31日に「AI事業者ガイドライン(第1.2版)」を公表。
- 最大の変更点:AIエージェントとフィジカルAIを対象に追加し、外部へ作用する操作の前に人間の判断を介在させることを明確化。
- 法的位置づけ:ソフトロー(任意の指針)で、ガイドライン違反そのものに罰則はない。ただし個人情報保護法・著作権法などの既存法令には引き続き従う必要がある。
- 中小企業の優先対応:入力禁止情報の明確化、出力の確認手順、社内AI利用ルールの整備、定期的な見直し。
今回の改定の主な変更点
AI事業者ガイドラインは、AIを安全に活用するための実務指針として総務省・経済産業省が公表しているものです。2024年4月の初版(第1.0版)以降、技術の進展に合わせて随時更新される「リビングドキュメント(生きた文書)」として扱われ、2026年3月31日に第1.2版が公表されました。今回の改定は、生成AIの普及が一段と進んだ実情を反映した内容になっています。
第1.2版で特に注目すべき変更は、次の3点に整理できます。中小企業の現場目線で言い換えると、いずれも「AIに任せきりにしない仕組みづくり」を求めるものです。
変更の柱 | 内容 | 中小企業への意味 |
|---|---|---|
AIエージェントの追加 | 指示を受けて自律的にタスクを進めるAIを対象に明記 | 「考えるだけ」でなく「行動するAI」を導入する前にルールが必要 |
フィジカルAIの追加 | ロボットなど物理世界で動作するAIを対象に明記 | 製造・物流など現場機器とAIの連携を見据えた論点が登場 |
人間の判断の介在 | 外部へ作用する操作の前に人間が判断する仕組みを重視 | 承認なしにメール送信・発注・公開などをさせない設計が望ましい |
あわせて、リスクの大きさに応じて対策の水準を変える「リスクベースアプローチ」の考え方や、想定される利用場面・ユースケースの整理も拡充されています。すべてのAI利用に一律の重い対策を課すのではなく、影響の大きい用途ほど慎重に、という現実的な姿勢が示されている点は、リソースの限られる中小企業にとっても取り組みやすい方向性といえます。
AIエージェントの扱い
今回の改定で最も実務に響くのが、AIエージェントの位置づけです。AIエージェントとは、人が一つひとつ指示しなくても、与えられた目的に向けて自分で手順を考え、調べ物・文章作成・システム操作などを連続して実行するAIを指します。チャットで質問に答えるだけの従来型と違い、「実際に行動する」点が大きな違いです。AIエージェントの全体像は、別記事のAIエージェント完全ガイドでも詳しく解説しています。
第1.2版は、こうしたAIエージェントが外部環境へ自律的にアクションを取る場面への対応を強化しました。中小企業がこの考え方を実務に落とし込むときの勘所は、次のとおりです。
- 「実行前の承認ライン」を決める:メール送信、発注、SNS投稿、ファイル削除など、取り消しにくい操作は人間の承認を必須にする。
- 権限を絞る:AIエージェントに渡すアカウントやデータへのアクセス範囲を、業務に必要な最小限にとどめる。
- 記録を残す:いつ・何を・どんな指示で実行したかのログを残し、後から確認できるようにする。
- 暴走時の止め方を用意する:想定外の動作をしたとき、すぐ停止・取り消しできる手順を事前に決めておく。
ポイントは、AIエージェントの「便利さ」と「自律性のリスク」はトレードオフだと理解することです。任せる範囲が広いほど業務は楽になりますが、誤作動の影響も大きくなります。最初は社内向けの調べ物や下書き作成など、影響の小さい業務から段階的に広げるのが安全です。
中小企業が現場で守るべきこと
ガイドラインは大企業だけのものではありません。むしろ、専任の管理者がいない中小企業ほど、シンプルなルールを決めておく効果は大きくなります。ここでは、現場ですぐ実践できることを優先度順に挙げます。
情報漏洩・著作権の注意
生成AIの利用で最も事故が起きやすいのが、情報漏洩と著作権まわりです。第1.2版に罰則はありませんが、ここで取り上げる行為は既存法令の違反につながり得るため、最優先で対策すべき領域です。
- 入力してはいけない情報を決める:顧客の個人情報、契約書、未公開の経営情報などを、外部サービスのAIに安易に入力しない。何が「禁止情報」かを具体的に明文化する。
- サービスの利用規約を確認する:入力した内容が学習に使われるか、商用利用が可能かを契約条件で確認する。
- 出力をそのまま使わない:AIの生成物が他者の著作物や商標に酷似していないか、人の目で確認してから公開・納品する。
- 事実確認を徹底する:AIは誤った情報をもっともらしく出すことがある。数値・固有名詞・法令などは必ず一次情報で裏取りする。
情報漏洩を防ぐ具体的な対策は、AI利用時の情報漏洩を防ぐセキュリティ対策でさらに掘り下げています。あわせて参考にしてください。
従業員への周知と教育
ルールは作るだけでなく、現場に浸透させて初めて意味を持ちます。AIを使うのは現場の一人ひとりだからです。難しい研修でなくても、「入力してよい情報・ダメな情報」「困ったときの相談先」をA4一枚で共有するだけでも、事故の確率は大きく下がります。社員教育の始め方は生成AIの社員教育の始め方で具体的に紹介しています。
社内ルールの整備やAI導入の進め方に不安がある場合は、無理に自社だけで抱え込まず、外部の支援を活用する選択肢もあります。Mihataでは、中小企業向けに社内ルール作りから運用定着までのAI導入支援を行っています。