「罰則なし」でも放っておけない 日本のAI推進法の中身とは
監修: 寺師 岳見(株式会社タレントクラウド 代表取締役)
AIを業務に入れたあと、経営者から聞かれる質問のトップ3に入るのが、「日本のAI規制ってどうなってるんですか?」です。ニュースでは「AI推進法」という名前をよく見るけれど、罰則がないと聞いて「じゃあ気にしなくていいのかな」と思う方もいます。
結論から言うと、ちょっと違います。
2025年6月に公布・一部施行され、9月に全面施行された日本のAI推進法は、たしかに罰則なし・禁止規定なし。ただ、それは「ルールがない」という意味ではありません。罰則の代わりに、総務省・経済産業省の「AI事業者ガイドライン」や、デジタル庁の調達ガイドラインが、経営者に何を期待しているかを具体的に書いています。罰則がないからこそ、経営者の判断力が前面に出る設計とも言えます。
この記事では、AI推進法とその周辺ガイドラインの中身を一通り見て、中小企業の経営者・現場リーダーがいま何を見ておくべきかを整理します。
AI推進法、ひとことで言うと何?
「AI推進法」というのは通称で、正式名称は「人工知能関連技術の研究開発及び活用の推進に関する法律」です(内閣府 AI法ページ)。
時系列で整理すると、こうなります。
- 2025年5月28日: 国会で成立
- 2025年6月4日: 公布・一部施行(AI基本計画・AI戦略本部に関する章を除いて即日施行)
- 2025年9月1日: 全面施行(残りの章を含めて全体が動き出した)
法律の性格をひとことで言うと、「AIの研究開発と活用を国が後押しする促進型の法律」です。何かを禁じたり、特定のAI利用に罰金を課したりする内容ではありません。AI活用を進めるための国の体制(AI戦略本部の設置など)を整え、事業者にも一定の協力を求める、というスタンスです。
罰則も禁止規定もありません。企業に課せられる責務は、第7条の「活用事業者の責務」だけで、これも努力義務にとどまっています。
つまり、この法律自体を読むだけだと「で、結局何をすればいいの?」と感じる人が多いはずです。具体的に何をすべきかは、法律本体ではなく、後述するガイドライン側に書かれています。
なぜ「罰則なし」なのか 日本が選んだ方向性
罰則がないのは、日本がAI規制で意図的に選んだ方向です。
比較すると分かりやすいのが、欧州の EU AI Act です。EU AI Actは「高リスク」「限定的リスク」「最小リスク」などにAI利用を分類するリスクベース規制で、高リスク領域では事前の適合性評価が義務になります。違反類型によっては最大で 3,500万ユーロ、または全世界年間売上の7% の制裁金が定められており、かなり強い設計です。
一方の米国は、連邦レベルでは包括的な規制法を作らず、業界の自主規制や州ごとの法律で対応しています。
日本はそのどちらでもなく、「ソフトロー+自主ガバナンス」を選びました。法律で広く義務を課すのではなく、ガイドラインで方向性を示し、事業者が自分の業務に合わせて整える、という設計です。罰則がないのは「規制が緩い」という意味ではなく、「自分たちで考えて整えてください」というメッセージです。
これは、AI活用を萎縮させずに進めたい国の方針と、企業がそれぞれの業務に合わせた運用を作る余地を残したい、という思想の表れです。中小企業の経営者にとって、自由度が高い分、判断と整備の責任もこちらに乗ってくる、と言い換えてもいいかもしれません。
「罰則なし」でも放っておけない3つの理由
「罰則がないなら気にしなくていい」と思った方に、いったん立ち止まってほしい理由が3つあります。
1つ目: ガイドラインで経営者の責務が具体的に書かれている
後の章で詳しく見ますが、AI事業者ガイドラインは「経営者を含む事業執行責任者は、基本理念と指針を踏まえて、事業戦略と一体でAIを活用する際のリスク対策を検討・実践し、AIの安全安心な活用を推進することが重要」と書いています。罰則がない代わりに、経営者自身に判断と整備を求める設計です。
2つ目: 既存の法律はAI活用にも適用される
これが意外と見落とされがちです。AI推進法に罰則がないことと、AI利用が他の法律から自由であることは、別の話です。
具体的には、
- AIに顧客情報を入れて起きたデータ漏えいは、個人情報保護法の対象
- AIが生成した文章で他社の著作物を再生産すれば、著作権法の問題
- AIで競合の情報を不正に取得すれば、不正競争防止法にかかる可能性
- AIで作った製品が事故を起こせば、製造物責任法やその他の法律で責任を問われる
など、AI推進法とは独立して動いている法律が、AI活用の現場にもそのまま適用されます。AI推進法の罰則がないからといって、すべてのAI利用が法的に自由になるわけではありません。
3つ目: 取引先・株主・顧客への説明責任、海外取引でのEU AI Actの影響
日本国内で活動する中小企業でも、上場企業の取引先や、海外取引先がある会社は、相手先からAIガバナンスの整備状況を問われる場面が増えています。EU向けに製品・サービスを提供しているなら、EU AI Actの影響も直接受けます。「うちは小さいから関係ない」と言いきれる場面は、思っているより少ないです。
AI事業者ガイドライン1.2版 4主体と10の共通指針
ここからが本題に近い話です。総務省と経済産業省が共同で出している「AI事業者ガイドライン」は、2026年3月31日に 第1.2版 に改定されました(METI AI事業者ガイドライン)。AI推進法には書かれていない「具体的に何をすべきか」が、このガイドラインに書かれています。
ガイドラインは、主にAIに関わる事業者を「AI開発者」「AI提供者」「AI利用者」の3主体に分けて整理しています。加えて、個人として使う「業務外利用者」についても、関係主体として触れられています。
| 主体 | 役割 |
|---|---|
| AI開発者 | モデルや基盤を作る側 |
| AI提供者 | サービス・API・アプリとして提供する側 |
| AI利用者 | 業務に使う企業・組織 |
多くの中小企業は、「AI利用者」に該当します。
それぞれの主体に対して、共通の指針として10項目が示されています。「人間中心」「安全性」「公平性」「プライバシー保護」「セキュリティ確保」「透明性」「アカウンタビリティ」「教育・リテラシー」「公正競争確保」「イノベーション」。横文字が並んで頭痛がしてきそうですが、要するに、AIに任せる業務をどう設計し、人がどう関与し、データをどう守り、社員にどう周知し、結果に責任を持つか、を一通り考えてください、という話です。
そして1.2版で改めて強調されたのが、経営層の責務です。経営者を含む事業執行責任者は、ガイドラインの基本理念と指針を踏まえて、事業戦略と一体でリスク対策を検討・実践することが重要、と書かれています。AIガバナンスの責任は、IT部門や情シスだけに丸投げするものではなく、経営判断として扱う、という整理です。
デジタル庁 DS-920 行政のガイドラインだが民間にも参考
もう一つ、2026年6月12日に出た重要なガイドラインがあります。デジタル庁の「デジタル社会推進標準ガイドラインDS-920 行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」です。
タイトル通り、これは行政向けの調達・利活用ガイドラインです。中小企業が直接適用される話ではありません。ただ、ここに書かれている設計思想は、民間企業の運用にも参考になります。
具体的には、
- 調達: AIサービスを契約するときの確認事項(セキュリティ、データ取り扱い、契約条項)
- 利活用: 業務でAIを使うときのルール、入出力の検証、人間の関与
- リスク管理: 不正利用、誤情報、情報漏えいへの備え
- 人材育成: 担当者と利用者のリテラシー教育
中小企業のAIガバナンスをこれから整える経営者にとって、行政が「どこまで考えてやるのか」のチェックリストとして使えます。
中小企業の経営者がいま見ておく3つのこと
ガイドラインの全項目を一気に整備するのは、中小企業のリソースでは現実的ではありません。最初に手を付けるべき優先順位の3つを挙げます。
1. 社内のAI利用ルール
誰が、何の業務に、どのAIを、どう使ってよいか。これを1枚紙にまとめて社内共有するだけでも、現場の混乱はかなり減ります。私たちの実感としても、ルールがない会社では「個人のChatGPTアカウントに業務情報を貼っちゃう」「機密文書をAIに要約させた」というシャドーAIが、まず先に起きます。
2. データの扱い
顧客情報、契約書、社内人事情報、財務データ。これらを「どのAIには入れていい」「どのAIには絶対に入れない」を決めて、社員に説明できる状態にしておく。学習に使われない設定(オプトアウト)を選べるサービスは、その選択肢を取ること。これは個人情報保護法の文脈で、罰則の付く話です。
3. 説明できる体制
取引先・株主・顧客から「御社のAI活用ガバナンスはどうなっていますか」と聞かれたとき、口頭で説明できる人と、書面で示せる証跡があること。書面は、たとえば「AI利用ルール」「年に1回のリスク棚卸し記録」のような、簡単なもので十分です。整えていないと「整えていません」と言うしかなくなる。
この3つは、規模に関係なく今すぐ着手できる範囲です。10項目全部を完璧にやろうとせず、優先順位を絞って始めるのが現実解です。
さいごに 「自社のルール」「業界のガイドライン」「法律のルール」の3層
最後に整理しておくと、AIガバナンスは3層の構造で重なっています。
- 法律のルール: AI推進法、個人情報保護法、著作権法など(罰則や法的拘束力)
- 業界のガイドライン: AI事業者ガイドライン、デジタル庁DS-920など(指針・期待される行動)
- 自社のルール: 社内のAI利用規程、データ取り扱いルール(実務に落ちる運用)
罰則がついているのは1層目だけです。でも、2層目と3層目を整えていない会社は、何か起きたときに1層目の責任を取りに行く立場になります。罰則がないAI推進法を放っておけない理由は、ここにあります。
1本目のAIガイドライン中小企業向けでは、3層目の「自社のルール」をどう設計するかを書きました。今回はその下にある法律とガイドラインのレイヤーを整理した形になります。罰則がない今のうちに、自社のルールを一度棚卸ししておく。それが、後で慌てないための、いちばん安いコストの掛けかただと思います。