DX推進 2026.04.27

AI事業者ガイドライン最新版｜中小企業が押さえるべき改訂ポイントと対応手順（2026年4月版）

AI事業者ガイドラインとは

「AI事業者ガイドライン」は、総務省と経済産業省が共同で策定した、AIに関わるすべての事業者が自主的に取り組むべき指針です。2024年4月に第1.0版が公表され、その後改訂を経て第1.1版（2025年3月28日公表）が現行版として運用されています。

このガイドラインは法的な強制力はない「ソフトロー」ですが、AIインシデントが起きた際の「合理的な注意義務を尽くしていたか」を判断する基準になり得るため、実質的には中小企業も無視できない位置付けです。

3対象事業者区分

37本編ページ数

159別添ページ数

ガイドラインは事業者を3つに分類しています。中小企業の多くは「AI利用者」に該当しますが、自社サービスにChatGPT APIを組み込んでいれば「AI提供者」、独自モデルを開発していれば「AI開発者」にも該当します。

区分	定義	該当する中小企業の例
AI開発者	AIモデルやシステムを開発する事業者	独自LLMをファインチューニングして提供している会社
AI提供者	AIを組み込んだサービスを提供する事業者	自社SaaSにChatGPT APIを組み込んでいる会社
AI利用者	AIを業務で使う事業者	ChatGPT・Copilotを社内で使っている一般企業

「うちは利用者だけ」と思っている中小企業でも、自社のWebサイトにLLMを使ったチャットボットを置いていたり、社内向けの問い合わせ対応AIを社外向けにも公開していたりすると、AI提供者の責務が発生します。「外向きにAIを使った価値を提供しているか」を一度棚卸しすることをおすすめします。

第1.1版では、第1.0版以降の生成AIの急速な普及・国際的な議論の進展・国内のインシデント事例を踏まえた改訂が加えられています。中小企業に特に関係するのは以下の3点です。

ハルシネーション（もっともらしい嘘）、プロンプトインジェクション（外部から不正な指示を注入される攻撃）、モデルの偏り（バイアス）など、生成AI固有のリスクと対応策がより具体的に記載されました。

EU AI Act、米国大統領令、広島AIプロセスなど、世界各国のAI規制と整合する内容に整理されました。海外取引のある中小企業は、国内ガイドラインに準拠していれば海外ルールにも概ね対応できる建付けになっています。

第1.1版では、医療系スタートアップなど具体的な企業の取り組み事例が追加されました。「大企業向けのガイドライン」というイメージが強かった第1.0版に比べ、自社で参考にできる事例が増えています。

ガイドラインは膨大ですが、中小企業がまず取り組むべきポイントは次の5つに絞れます。

「どんなAIを、どんな業務で、どこまで使ってよいか」を社内文書として明文化します。個人情報・顧客情報・営業秘密のAIへの入力可否を明確にしておくのが起点です。

AIに入力してよいデータを「公開情報」「社内一般情報」「機密情報」「個人情報」の4区分に分け、それぞれの取扱いを規定します。機密・個人情報は社内専用環境（Azure OpenAI / Bedrock等）でのみ扱うのが基本形です。

生成AIの出力には誤りが含まれ得ます。重要な業務（契約書ドラフト、医療判断補助、人事評価等）では、必ず人間が最終確認するワークフローを組み込みます。

情報漏洩・重大な誤回答・AI暴走が起きた場合の社内連絡フロー、対外説明、顧客対応を事前に決めておきます。

ガイドラインの内容、社内ポリシー、最新のリスクトレンドを年1〜2回の研修で共有します。中途入社者向けのオンボーディングにも組み込みます。

ガイドラインは強制力こそありませんが、AIインシデントで顧客や取引先に損害を与えた際、「業界標準の対策を講じていたか」が責任判断の重要な要素になります。第1.1版に沿った社内ルール整備は、実務的にはコンプライアンスの最低ラインだと考えてください。

政府は「AI推進法（仮称）」を含む法整備の議論を継続的に進めており、ガイドライン本体も今後さらなる改訂が予想されます。特にエージェントAI・自律システムに関する記載は、2026年後半〜2027年に大きく拡張される見通しです。

中小企業としては、現時点の第1.1版で社内体制を整備しつつ、四半期ごとに改訂動向をウォッチする仕組みを作っておくのが望ましいでしょう。

AI事業者ガイドライン準拠の社内ルール策定から運用までご支援します