慶應義塾大学　総合政策学部　教授　新保　史生氏
独立行政法人情報処理推進機構　AIセーフティ・インスティテュート（AISI）　主任研究員　髙村　博紀氏
JIPDEC　セキュリティマネジメント推進室　主任研究員　畔津　布岐

• 「IT-Report 2025 Winter」全文はこちらから

OECDのAI原則（2019年／2024年改正）や広島AIプロセス（2023年）、その後成立した欧州のAI法（2024年）や米国のAI行動計画（2025年）・各州法（2024～25年）、日本のAI推進法（2025年）など、近年、AI技術開発・設計・導入・利用に関する法規制が整備され、AI事業者（開発・提供・利用者）が守るべき規制が世界的に広がってきています。

日本ではデータ利活用基本方針でAI活用が推奨され、また、AI開発・提供・利用にあたって必要な取り組みについての基本的な考え方を示した「AI事業者ガイドライン」（総務省／経済産業省、2024年）では、AI事業者に対しAIリスクを正しく認識し、プライバシー保護、セキュリティ確保、教育・リテラシー（AIに対する知識、説明能力、活用能力）の向上やAI倫理への理解を求めるようになってきています。

そこで、特集2は「AIを安心、安全に導入・利用するためにーAI事業者が実践すべき対策」をテーマとして、慶應義塾大学　総合政策学部教授　新保史生氏に国内外のAI法規制について、また、AIのメリットとAIリスク軽減・回避策、AIを安心・安全に導入・利用するためのポイントについて、独立行政法人情報処理推進機構　AIセーフティ・インスティテュート（AISI）¹主任研究員　髙村　博紀氏にそれぞれ解説していただきます。

新保氏は専門である憲法、情報法のほか、AIブーム到来以前の2014年から、ロボットやAIが人間社会に深く関わるために法的・倫理的なルールや考え方を示すロボット法の研究²に取り組まれています。現在は、ロボットとアバターを組み合わせたサイバネティック・アバターを安全・安心に活用できる社会の実現に向けた仕組みの研究プロジェクト³に取り組まれています。
AIの進展に伴い、ロボットによる直接遠隔操作に加え、AIによる自律的動作も可能になりつつあることから、自分の身代わりとなるアバターの利用に向けてロボット法が確立しつつあると感じています。

髙村氏は、数学基礎論／ロジックの研究者として、ソフトウェアの検証など科学技術に関する研究に携わられていましたが、2009年頃から信頼性の標準化活動やサイバーセキュリティ関連の認証取得サポートに従事された後、認証を与える側の立場である一般財団法人日本品質機構に所属されました。AIの国際標準化の検討が始まった2018年以降、SC 42専門委員会（人工知能）において、標準化に向けた開発・検討に従事し、現在は、2024年に発足したAIセーフティ・インスティテュート（AISI）において、国際規格を使った適合性評価の在り方について検討を進められています。

なお、新保氏と髙村氏は今年8月に発行された「JIS Q 42001：2025 情報技術－人工知能－マネジメントシステム」の原案作成、10月に発行された「ISO/IEC 42001：2023（JIS Q 42001：2025）情報技術－人工知能－マネジメントシステム　要求事項の解説」の執筆に携わられています。

• 1　AIセーフティ・インスティテュート（AISI）　別ウインドウで開く
• 2　「ロボット法をめぐる法領域別課題の鳥瞰」（情報法制研究創刊号（2017）） 他、多数の論文を発表。
• 「ロボット法をめぐる法領域別課題の鳥瞰」（情報法制研究創刊号（2017）） 別ウインドウで開く
• 3　ムーンショット研究開発プロジェクト目標1「アバターを安全かつ信頼して利用できる社会の実現」別ウインドウで開く

畔津：近年、消費者のくらしや仕事のあり方について、AI、特に生成AIの影響が広まってきています。
AI開発の進展はめまぐるしく、新興企業による新たなAIサービス等も台頭し、AI活用が急速に広がりつつあります。それに伴い、国内外でAI関連の各種法規制が成立しています。

• 4　「EU AI法」別ウインドウで開く
• 「EU AI法」概要別ウインドウで開く
• 5　「コード・オブ・プラクティス（行動規範）」別ウインドウで開く

（2）米国の法規制

米国ではバイデン政権下の2023年に発出された「AIの安全性・信頼性・倫理性を確保するための包括的な大統領令Executive Order 14110」が、トランプ政権移行直後に撤回されました。新たに「米国のAIリーダーシップ阻害要因の除去」や「AIアクションプラン」などが発出され、自由な研究開発を重視するとともに「各省庁のAI活用・調達指針」の見直しや公共調達ルールの柔軟化などが進められています。規制緩和とイノベーション重視を打ち出す一方で、NISTのAIリスクマネジメント・フレームワーク（AI RMF）やAIを安全に利用するための評価・チェック手法は、「偽情報対策」「DEI（多様性・公平性・包摂性）」「気候変動」への言及が削除されているものの、AIのガバナンスに関する基本的な枠組みは一定程度継続されています。

（3）中国の法規制

中国のAI規制は、2021年から2023年の間に「インターネット情報サービス・推薦アルゴリズム管理規定（2021）」「インターネット情報サービス深層合成管理規定（2022）」「生成AIサービスの管理に関する暫定措置法（2023）」が制定され、2023年までに全てが施行され、さまざまな監督・報告義務、モデル説明責任、コンテンツモニタリング義務などが定められています。

中国の法規制を考える際には、AIの利活用やデータ法制との関係性において注意すべき点があります。AIの研究開発・利活用のための規制だけではなく、国家戦略・体制維持の目的から、自由なデータ流通の取り組みとは相反する「データローカライゼーション（国内保存・処理を義務づける政策）」が実施されているという点です。

畔津：国内でも法律やガイドラインが公表されています。著作権法や競争防止法等を含め、どのような影響があるのでしょうか。

新保：日本では、「人工知能関連技術の研究開発及び活用の推進に関する法律（通称：AI推進法）⁶」が2025年5月に成立しました。この法律は首相を本部長とする人工知能戦略本部（AI戦略本部）を設置しAI政策の司令塔機能を持たせるとともに、AI基本計画を政府が策定する枠組みを定めています。

2025年9月には、基本計画指針の取り扱いを議題とする第1回人工知能戦略本部の会議が開催されています。事業者が遵守すべき原則や手法を示す枠組みであるガイドラインの見直し、さらに、AI推進法による枠組みの下で、既存の法律（個人情報保護法や不正競争防止法など）が定める法令上の義務と整合性を取る必要性が引き続き課題となります。

現在発行されているガイドライン、規格等について紹介します。

（1）AI事業者ガイドライン

AIを開発・提供・導入する全ての事業者が特に参照すべきガイドラインとして「AI事業者ガイドライン」⁷が2024年11月に公表され、現在は1.1版に更新されています。

（2）JIS Q 42001：2025

EUの動向や日本の今後の取り組みを考えるうえでターニングポイントになると考えられているのが、「JIS Q 42001：2025 情報技術－人工知能－マネジメントシステム（以下、「AIMS」という。）⁸」（2025年8月）です。ISO/IEC 42001の国内標準化により、ISO/IEC 42006（AIマネジメントシステム認証機関に対する基準）も含め、今後、国際的な適合性評価の仕組みに基づくAIマネジメントシステムの認証を行うことで、AIの安全な利用に関し、EUの取り組みとの関係においても非常に重要な意味を持つと考えられます。

なお、ISO/IEC 42001の解説として、「ISO/IEC 42001：2023（JIS Q 42001：2025）情報技術－人工知能－マネジメントシステム　要求事項の解説」⁹が10月に発行されています。また、7月からISO/IEC 42001に基づくAIMS適合性評価制度が一般社団法人情報マネジメントシステム認定センター（ISMS-AC）にて開始されました。

（3）個人情報保護法

個人情報保護法の3年ごと見直しとしての法改正にあたっては、2026年通常国会に改正案が提出される予定で、検討が進められています。AI関連としては、統計作成等であると整理できるAI開発等において、本人同意なしでの個人データの第三者提供や公開されている要配慮個人情報の取得が可能となる制度の整備が予定されています。改正に向けた検討内容については、後ほど説明します。

• 6　「AI推進法」　別ウインドウで開く
• 7　「AI事業者ガイドライン」別ウインドウで開く
• 8　「JIS Q 42001：2025　情報技術－人工知能－マネジメントシステム」別ウインドウで開く
• 9　「ISO/IEC 42001：2023（JIS Q 42001：2025）情報技術－人工知能－マネジメントシステム　要求事項の解説」別ウインドウで開く

（1）EU AI法への準拠

畔津：これまで国内外の法規制についてご紹介いただきました。そのような法規制の動向を踏まえて、実際、AI事業者はどのような点に留意すべきでしょうか？

新保：日本と海外の法規制の違いを理解しておかないと誤った対応を取ってしまう可能性があります。また実施すべき対応ができていない場合、AIリスクの規模は大きくなります。

EU AI法の制裁金は巨額です。AI法は全ての義務規定の適用が2027年8月2日となるため、それまでに順次取り組みを進めていくこととなりますが、現状、まだ先のことと切迫感が生じないために、何をすべきかが分からないだろうと思います。まずは、海外法規制と日本の対応の整理が必要です。

EUの場合、事前規制プラス適合性評価の仕組みに基づく取り組みを義務として求めています。それに対し、日本のAI推進法は基本法的な位置づけの法律であり、AI事業者ガイドラインに基づく自主的な取り組みや事後的対応が事業者に委ねられています。

そのためAIMSに基づくマネジメントシステムの構築が重要となります。単にAI事業者ガイドラインを参照して取り組むというのではなく、マネジメントシステムの構築・取り組みがAIガバナンスの実装に向けた取り組みにつながります。

EU AI法の域外適用を視野に入れた場合、EU向けAIサポートやAIシステムの手続的規制を検討する際にはEU AI法への準拠が必須となります。そのため、AIMS適合性評価の仕組みを先行して取り入れることは非常に効果があり、意義があります。

次に、プロバイダーかデプロイヤーか、GPAIのプロバイダーなのか事業者の立場や義務、責任範囲といった契約レベルによりそれぞれが求められる義務の範囲は異なりますが、AIシステム提供事業者の場合、高リスクAIをリスクマネジメントの観点からどう管理するかの取り組みが必要となります。

プロバイダーにはCEマークの表示とデータベース登録義務、モニタリング対応、インシデント発生時の通報義務等の義務が発生します。デプロイヤーに対しては、FRIAの実施が義務付けられていますが、信用や保険などのデータを取り扱う場合、この原則が必須となります。

さらに、GPAIプロバイダーに対しては、行動規範を遵守することで実務上の適合実証が補強できる仕組みになっています。その他、事業者として実施すべき点は、契約レベル、セキュリティをどのように実施するか、今後のEU AI法の内容を見据えつつ、各項目をチェックすることが重要です。

（2）AI事業者ガイドラインの活用方法

畔津：国内においては今年3月にAI事業者ガイドラインが更新されましたが、AI事業者における活用法について、ポイントを教えて下さい。

新保：AI事業者ガイドラインには、三つの活用方法があると考えています。

• ①　AI活用の現状把握：最低限必要な取り組みに向けた法令の遵守と適用可能な基準の確認
• ②　体制構築のための指針：体制構築のために何が必要かの確認
• ③　AIガバナンスの具体的取り組みの礎：必要な体制構築や実施内容の確認

AI事業者ガイドラインはあくまでも指針であるため、原則の適用から次のステップに進む必要があります。たとえば、EU市場へのAIシステムの提供や展開を見据えた場合、適合性評価の仕組みに準拠する必要があるため、次のステップに移行するための前段階として、ガイドラインに基づいた取り組みを行うことが重要です。

ただし、ガイドラインは自主的な取り組みの現状把握と体制構築までにとどまっているため、実践にあたっては、AIMS等のマネジメントシステムの活用が重要になります。

畔津：法規制の観点からは、諸外国においてAIに関する法規制の整備が進む中、AI事業者において留意すべき点として日本と海外の法規制の違いを理解し適切な対応をとることがAIリスクの規模を抑えるために重要なこと、また国内においてはAI推進法は基本法的な位置付けの法律であり、AI事業者ガイドラインは自主的な取り組みの現状把握と体制構築に役立つこと、またガイドラインに基づいた取り組みを行うことによって次のステップである実践ではAIMS等のマネジメントシステムが有用であることをご紹介いただきました。

ここからは、主にAIを導入・利用する立場の事業者の観点から、AIを利用することで発生する具体的なリスクと、リスク軽減・回避のための対策について、事例などを交えてご紹介いただきます。

2．AI リスク対策

髙村：AIリスクに対しては以下のような対策が必要です。

従来の機械安全や労働安全といった枠の中で醸成され、築かれてきた安定した社会の中でAIを活用することでより安全、安心、快適で持続可能な社会を実現できるか、これまでのルールの延長の中で考える必要があると思います。一方で、新たなリスクに対しては、一定の社会的コンセンサスを得つつ対応する必要があります。

AI技術については専門知識が必要であり、AIリスクが技術的に全て解決できるとは限りませんが、ビジネス、個人での利用に限らず、エンドユーザーとして利用するにあたっては、便利である反面、さまざまなリスクの影響を受けることを理解しておくことがリスク対策の根底にあると思います。

AIリスクに対しては、ある程度規範となる基準、ガイドラインや国際規格をきちんと読み込み、組織として守らなければならない対策を講じる必要があります。

利用者側からはAI提供事業者がガイドラインに基づいてAIを運用しているかを確認することも必要ですが、利用者自身もガイドラインや規格を理解しておく必要があると思います。

一人一人が自分事としてAIの利活用に伴うメリットとデメリットを理解する必要があると考えます。ただし、リスクを心配するあまり利用しなくなる可能性もありますが、利用するメリットもたくさんあります。AIを使わないことのリスクも言われています。現時点での技術水準を理解しつつ、もしも疑問が生じたときは関係者間でのリスクコミュニケーションが取れるような、社会的な場を企業や家庭が提供していくことが必要だと思います。

3．AI ガバナンスとAI 倫理について

髙村：AI事業者ガイドラインや規格に基づいて、AIガバナンスを実施し、AIに対する取り組みを明確にすべきです。AIを利用する際の倫理教育も必要となります。誰でも自由に作りたいものを作れるが故に、著作権の問題が発生し、自身が被害者／加害者の立場になってしまうリスクも考えなければなりません。

車を例に挙げれば、ドライバーは車のメカニズムを全て知っているわけではありませんが、安全に車を運転するためには最低限、標識を理解し、交通ルールを守らなければなりません。一方でメーカーは、車の安全性を確保するために定期的にメンテナンスする、ということがガバナンスなのです。

AI倫理ですが、AI自体が自主的に判断（自律）するようになればAIに対して倫理的な行動を課すことになりますが、現状は、AIを人が利活用する際に、バイアスや差別への対処、公平性や透明性、説明可能性などについて配慮する、AIを使っても問題を起こさないようにするためにはどうすればいいか考えなければなりません。

AIリスクのレベルについても検討して、そのレベルにより、自己適合だけでなく国際規格に則り、第三者評価を受けて組織のガバナンスを構築するのがよいと思います。

EUとの取引においてはEUの法律に準拠しなければならず、日本の場合はAIMSのような国際規格をうまく活用し、吸収できる点を活用するのがよいでしょう。

4．AI 利用時の注意点

髙村：エンドユーザーであっても、AIサービス提供事業者であっても、AIに携わるということはビジネス上のメリットを享受したいのは当然のことなのですが、使うことによってリスクが発生することをエンドユーザーも事業者も理解したうえで、事業者であれば、AIリスクに対しどのような対策を講じているかを対外的にアピールしつつ、組織内でのリテラシー教育を行うことも重要です。

畔津：利用者側もビジネスとしてもそれぞれがAIリスクとメリットを認識しつつ、リスクコミュニケーションを取りながら活用していくのがよい、ということですね。

髙村：AIはツールとしてどう使うかが重要です。AIに使われてしまって（振り回されて）はいけません。具体的な対策としては、ガイドラインや規格を参照していただきたいと思います。

畔津：まとめとして、今後の法規制の動向と、AIの活用とそれに伴うリスク対策の動向についてお願いします。

1．今後の法規制の動向

新保：個人情報保護法の3年ごと見直しによる改正に向けた検討が進められていますが、課徴金や団体による差し止めなどの論点をはじめ、子ども・生体データ、オプトアウト第三者提供、漏えい報告の在り方などの主要個別論点もさまざまな議論がなされており注目を集めています。

今回の法改正ではAIに関連する点で非常に重要な改正として、統計作成等による同意要件緩和手続きが盛り込まれる予定です。これは特定の個人との対応や関係が排斥された一般的・汎用的な情報の分析結果の獲得、利用のみを目的とした取り扱いを実施する場合に、本人同意要件緩和の検討が必要である、との考えに基づいています。

AI開発等のためにデータを横断的に解析するニーズが急増していることから、個人の権利利益を侵害するおそれが少ない利用形態については、現法の同意要件を緩和する合理的な根拠があるという考えに基づいています。そのため、統計作成に利用される個人データは、特定の個人を識別できる個人情報としての利用にはあたらないため、個人の権利利益を侵害するおそれは相対的に低い、と考えられています。

このような観点から、統計作成にのみ利用されることが担保されることを条件に、本人同意なき個人データ等の第三者提供、公開されている要配慮個人情報の取得を可能にすることで、データの利活用促進と個人の権利利益保護とのバランスをとるうえで非常に有意義と考えられています。

AI開発事業者は、自社がどのような措置を講じるべきか、今後の法改正を注視しておく必要があります。

2．今後のAI の活用とそれに伴うリスク対策

畔津：国内外の法改正の動きやめまぐるしい速さでAI開発が進む中、AIの活用とそれに伴うリスク対策として今後国内ではどのような動きが見込まれるでしょうか？

髙村：AI技術の進展が進んでいる中、9月に政府内に人工知能戦略本部と専門調査会が設置¹⁰され、基本計画の検討が開始されています。

AISIでは内閣府を中心とする13府省庁の政策の下、AIセーフティに関するハブとして活動を行っています。戦略本部の動きの中でAISIに対し、求められるものがあれば、応じていくこととなります。

具体的には戦略本部での議論内容を具体化していくことがAISIの使命と捉えています。AISIは発足して1年半ほどとなりますが、AI事業者ガイドライン改定作業の事務局として一部を担っており、また、評価観点ガイド¹¹や、9月には評価観点ガイドに基づいた「AIセーフティ評価のための評価ツール」¹²を公開しました。（図1～図4）

• 10　人工知能戦略本部別ウインドウで開く
• 人口知能戦略専門調査会別ウインドウで開く
• 11　AISI「AIセーフティに関する評価観点ガイド」別ウインドウで開く
• 12　AISI「AIセーフティ評価のための評価ツール」別ウインドウで開く

また、2025年度よりAISI事業実証ワーキンググループを立ち上げ、AIセーフティの社会実装に向けた取り組みをはじめています。引き続き、AISIとして具体的にどうリスク対策を講じればよいか、今後も提供していきたいと考えています。ユーザーの目標に対し、自ら計画立案して行動を起こす「AIエージェント」や自律的に意思決定をもって目標達成のために行動する「エージェンティックAI」といった言葉がありますが、新しいAI技術が生み出される中、メリットだけではなく、国民の生活を脅かしかねないリスクにさらされる可能性があれば、その対策として新たなガイドラインを作り、AIを使える年齢層をどう設定するか、といったことも含め、検討していかなければならないと思います。

AISIは関係省庁やAIに関する最先端の研究を行われている各パートナーシップ協定団体とも連携しつつ、ガイドラインを利用し、その反響を踏まえて政策にどう活用してもらうか、国と事業者間のハブとして機能していければ、と思っています。

畔津：今後、事業者はAIの活用でどのような点に注意が必要でしょうか？

髙村：専門的な知見がないと難しいとは思いますが、新しい技術に対しできる限りフォローしていくことが重要でしょう。自社内で難しい場合は、AIシステム、AIサービスベンダー等、専門家との連携も考えられます。自組織だけで全てに対処することは難しいと思いますので、ガイドラインや規格を参照していただき、専門の事業者との連携が図れるよう、AISIの活動や成果を活用していただければと思います。

畔津：AIに関しては、専門の事業者や関連機関などと連携しつつ、重要・最新情報を収集し、コミュニケーションを取りながら活用していくことに注意が必要なのですね。また、AIの導入・利用に際しては、国内外の法規制とその改正動向を理解し、関連するガイドラインや規格等を活用して現状を把握し、リスク対応のための体制構築を行うことが重要ということがよく分かりました。

事業者はこれらの点に注視しながらAIを活用し、メリットを生かしつつリスク対策を実施していくこと、さらにAIリスクのレベルによっては国際規格に則った適合性評価の仕組みを活用することが重要だと思いました。

なお、このような適合性評価の仕組みの一つとして、先ほどもご紹介いただきましたとおり、2025年7月8日からISMS-ACがISO/IEC 42001に基づくAIマネジメントシステム（AIMS）適合性評価制度を開始しています。詳細は、ISMS-ACの「AIMS適合性評価制度の概要¹³」をご参照ください。

本日は貴重なお話をありがとうございました。

• 13　「AIMS適合性評価制度の概要」別ウインドウで開く