百ページのガイドラインを、一人で全部読んだ話

AI事業者ガイドライン第1.2版を、全部読んだ。AIに関する情報収集をしていた過程で、このガイドラインの存在を知った。総務省と経済産業省の連名で公開されている。PDFを開いた最初の感想は、長い、だった。次の感想は、わかりづらい、だった。主語が三行先の述語にようやくたどり着く文体。文の途中に差し挟まれる括弧付きの定義。同じ概念が章によって微妙に異なる表現で登場する。一度読んだだけでは、今どの論点の中にいるのかを見失う。正直に言えば、通読するのは骨が折れた。

だが読み進めるうちに、不思議な感覚が生まれた。書いてあることに覚えがある。個人情報保護法に振り回された記憶。内部統制の文書を三百ページ書いた日々。SEO記事を量産していた現場。着メロを手で打ち込んでいた頃の、著作権など一秒も考えなかった無邪気さ。SaaSに引っ越して二度と戻れなくなったクライアント。理由のわからない校則に形だけ従っていた記憶。ゴーストライターの発覚で崩れた信頼。この七回のコラムで書いてきた経験のすべてが、原則、指針、留意事項という言葉に姿を変えて、ガイドラインの中に収まっていた。

百ページの文書の中身は、七回分の経験と重なっていた。逆に言えば、ガイドラインを端から端まで読む代わりに、このシリーズを七回分読んでもらえれば、要点は掴める。少なくとも、そうなるように書いてきた。この最終回では、ガイドラインの全体像を俯瞰する。七回分の風景を、一枚の地図の上に並べてみたい。

十の原則を、三行で言えるか

ガイドラインは十の原則を掲げている。人間中心、安全性、公平性、プライバシー保護、セキュリティ確保、透明性、アカウンタビリティ、教育・リテラシー、公正競争確保、イノベーション。第一回のコラムでこの十原則に初めて触れたとき、私は「煎じ詰めれば、言っていることはひとつだ。考えて使え」と書いた。乱暴な要約だったが、八回分のコラムを書き終えた今も、その感覚は変わっていない。

だが「考えて使え」だけでは、何を考えればいいのかがわからない。十の原則は、その「何を」の中身だ。問題は、十個がすべて同じ重さで横並びに見えることだ。ガイドラインの中では一から十まで通し番号が振られ、形式上は対等に並んでいる。だが読み込んでいくと、そこには階層がある。

頂点にあるのは「人間中心」だ。AIはあくまで道具であり、最終的な判断と責任は人間が持つ。この原則が他の九つすべてを貫いている。AIが出力した提案書をそのまま顧客に出すか、自分の目で検証して手を加えるか。AIが生成した画像をそのまま広告に使うか、権利関係を確認してから使うか。判断するのは人間だ。当たり前のことだが、便利さに流されると、この「当たり前」が見えなくなる。ガイドラインが冒頭に「人間中心」を置いているのは、その当たり前を忘れるな、という釘だ。

「人間中心」の下に、守るべきものが四つ並ぶ。安全性——AIの出力が人間に危害を加えないこと。公平性——特定の属性を持つ人々に対して差別的な結果を生まないこと。プライバシー保護——個人情報が不適切に収集・利用されないこと。セキュリティ確保——データやシステムが外部からの攻撃や内部からの漏洩に対して守られること。これらは「何を守るか」の原則だ。AIを使うことで守るべきものが増えるわけではない。安全も公平もプライバシーもセキュリティも、AI以前から企業が守ってきたものだ。新しい道具が加わったことで、守り方を見直す必要がある——ガイドラインが言っているのはそういうことだ。

次に、行動規範が三つ。透明性——AIを使っていることを、必要な場面で開示すること。アカウンタビリティ——AIの利用について、問われたときに説明できる状態を維持すること。教育・リテラシー——AIを使う人間が、仕組みとリスクを理解していること。これらは「どう振る舞うか」の原則だ。

最後に、社会全体の方向性を示す原則が二つ。公正競争確保——AIを使って不当な競争優位を築かないこと。イノベーション——リスクを恐れてAIの活用を止めるのではなく、適切に管理しながら前に進むこと。ガイドラインは「使うな」とは一言も言っていない。「使え、ただし考えて」と言っている。

十の原則を三行で言えるか。言える。何を守り（安全・公平・プライバシー・セキュリティ）、どう振る舞い（透明・説明・教育）、どこへ向かうか（公正・革新）。すべての根底に「人間が判断する」がある。百ページのガイドラインを煮詰めれば、この三行になる。

開発者・提供者・利用者——あなたはどこにいるか

ガイドラインは、AI事業者を三つに分けている。AIを作る「開発者」。AIを組み込んだサービスとして世に出す「提供者」。AIサービスを業務に使う「利用者」。

開発者とは、AIの基盤モデルそのものを研究・開発する事業者だ。OpenAI、Google、Anthropic。日本であれば、大規模言語モデルの独自開発に取り組んでいる企業や研究機関がここに入る。提供者とは、開発されたAIモデルをAPIやサービスとして組み込み、ユーザーに届ける事業者だ。ChatGPTのAPIを使って自社の顧客対応チャットボットを構築し、クライアント企業に提供している会社は提供者にあたる。そして利用者——ChatGPTで議事録を要約している会社、画像生成AIでSNSの投稿素材を作っている会社、生成AIで営業メールの下書きを書いている会社。このコラムを読んでいる大半の人は、ここだろう。

「自分はAIを作っていない。使っているだけだ」——そう思いたい気持ちはわかる。だがガイドラインは利用者にも明確に責任を課している。入力するデータの管理。出力の正確性を検証する体制。必要な場面でのAI利用の開示。問題が起きた場合の対応。使っているだけであっても、当事者だ。車を作っていなくても、運転している以上は交通ルールに従う義務がある。第一回の免許の比喩は、ここにもそのまま当てはまる。

三つの類型は、同じガイドラインに対してまったく異なる読み方を要求する。開発者向けの記述は技術の深部に踏み込む。学習データの品質管理、モデルの安全性テスト、バイアスの検出と是正。提供者向けは、サービス設計における利用者保護と、利用規約の整備が中心だ。利用者向けは、もっと地に足がついている。何を入力してよいか。出力をどう確認するか。誰にどこまで開示するか。自社のAI利用方針をどう定め、どう周知するか。

厄介なのは、境界が曖昧な企業があることだ。自社でAIを活用した業務支援ツールを開発し、それを顧客に提供している企業は、利用者であると同時に提供者でもある。二つの類型にまたがる場合、それぞれに応じた責任を負うことになる。自社がどの立場にいるのかを見定めることが、ガイドラインを読む最初の一歩になる。

七回分の地図

このシリーズでは、ガイドラインの条文を逐一解説することを避けてきた。原則の背後にある「なぜ」を、私自身の経験を通じて描いてきた。七回分のタイトルを並べてみる。第一回「国がAIのルールブックを出した。でも、個人情報保護法のときも同じこと言ってたよね」。第二回「AIのリスクは、AIの中にはない」。第三回「禁止しても止まらなかった——P2Pの教訓」。第四回「キング・クリムゾンを着メロにした罪」。第五回「SaaSに引っ越した会社は、二度と戻れなかった」。第六回「ルールを作る側に回ったら、現場が見えなくなった」。第七回「SEO記事工場で働いていた」。ガイドラインの解説だとは思えないタイトルが並んでいる。だがこれらはすべて、ガイドラインの原則を別の角度から語ったものだ。七回分すべてに触れると長くなるので、四つに絞って振り返る。

第一回で持ち出したのは、運転免許の比喩だった。道路交通法を知らなくてもアクセルは踏める。だが知らないまま走り続ければ、いつか事故は起きる。AIの世界には免許がない。誰でもアカウントを作ればChatGPTにアクセスでき、取引先の機密情報をプロンプトに貼り付けることも、著作権で保護された文章を丸ごと投入することも、ボタンひとつでできてしまう。ガイドラインは、免許制度のない道路に設置された交通標識だ。法律ではない。罰則もない。だが知っているかどうかで、事故が起きたときの風景はまったく変わる。個人情報保護法のとき、条文を読んでいた会社と読んでいなかった会社の差が静かに、しかし確実に開いていったように。

第四回では、図書館のコピー機を引き合いに出した。図書館でコピーできるのは一冊の半分まで。目的は調査研究に限る。一人一部まで。ほとんどの人はこのルールを知らない。だがルールは最初からそこにあった。着メロを手で打ち込んでいた頃、著作権を一秒も考えなかったのと同じだ。AIで他人の文章をリライトする行為は、引用なのか複製なのか。図書館のコピー機の横に貼ってある注意書き程度の知識があれば、直感で判断がつく。ガイドラインは新しいルールを発明しているのではない。既にあるルールが新しい技術にも適用されることを、改めて告げている。知らなかったでは通らない。これまでは、知らなくても罰されなかっただけだ。

第六回の校則の比喩は、ルールが機能するための条件を問うていた。「廊下を走るな」は理由がわかるから守られる。「ポニーテール禁止」は理由がわからないから形骸化する。AI利用規程にも同じことが起きている。「顧客情報を入力するな」は理由が明快だ。情報漏洩のリスクを一度説明すれば、大半の社員は納得する。だが「AIの利用は事前に上長の承認を得ること」はどうか。メールの下書きを作るたびに上長の承認を取る社員はいない。ガイドラインの十原則の中に「教育・リテラシー」がある。ルールを作るだけでなく、ルールの理由を組織の中で共有しろ、という原則だ。理由のないルールは守られない。J-SOXの内部統制文書を三百ページ書いても、現場がその理由を理解していなければ、監査のときだけ引っ張り出される文書になる。読まれないAI利用規程は、同じ棚に同じように眠るだけだ。

第七回で引いたのは、佐村河内守のゴーストライター事件だった。楽曲の質は発覚の前も後も変わっていなかった。音符は一つも変わっていなかった。だが「誰が作ったか」について嘘をついたことが、信頼を根底から崩した。ガイドラインが「透明性」と「アカウンタビリティ」を原則に掲げているのは、この構造を理解しているからだ。AIを使うことが問題なのではない。使ったことを、必要な場面で伝えなかったことが問題になる。後から知られたときに信頼が壊れるなら、先に伝えておく。WELQがそうだった。SEO記事工場がそうだった。透明性とは、嘘をつかないことではなく、聞かれる前に言っておくことだ。

四つの比喩は、ガイドラインの四つの面を照らしている。免許は「なぜ読むべきか」を。図書館は「既にあるルール」を。校則は「ルールが機能する条件」を。ゴーストライターは「透明性の本質」を。百ページのガイドラインを通読する気力がなくても、この四つの風景を覚えておけば、判断の軸はぶれない。

このコラムはAIの力を借りて書いている。前回明かした通りだ。だが八回分のコラムに登場する経験はすべて筆者自身のものだ。名刺の束を管理台帳に載せたのも、着メロを手で打ち込んだのも、内部統制の文書を三百ページ書いたのも、SEO記事を量産していたのも、SaaSの導入と撤退を見てきたのも、私だ。AIは文章を整える道具であり、経験と判断は人間の側にある。ガイドラインが「人間中心」を頂点に置いているのは、まさにそういうことだ。

さて、八回もガイドラインの話に付き合わせておいて何だが、最後に宣伝をさせてほしい。ガイドラインの解説は、正直に言ってPVが稼げるジャンルではない。バズらない。映えない。だが必要な話だった。そしてこのコラムで扱ったテーマ——個人情報管理、著作権、内部統制、情報セキュリティ、SaaS選定、社内ルール設計、顧客への説明責任——は、どれもAIが登場する前から企業が向き合ってきた実務の話だ。AIが加わって論点は増えたが、根っこの構造は変わっていない。数値管理の仕組みを作る。組織のルールを設計する。外部サービスの選定と契約を整える。情報の扱いを定める。私たちスポルアップは、その実務を一緒にやる会社だ。構想をスライドにまとめて終わりにするコンサルではなく、手を動かして体制を作る実装屋だ。八回分のコラムのどこかで「うちも同じだ」と思った場面があったなら、一度話をしたい。