広島AIプロセスから AI 推進法へ
- 年10月の G7 広島首脳会合で採択された「広島AIプロセス国際行動規範」は、日本が主導した数少ない国際規範の一つであり、2024〜2025年にかけて OECD 加盟49カ国+6機関が支持する「Friends Group」へと拡大した。2026年4月時点で、規範署名企業は全世界で156社、国内では NTT、ソフトバンク、富士通、NEC、日立、楽天、SAKANA AI、PFN、Elyza、リコー等が名を連ねる。
広島プロセスは「ソフトロー」として出発したが、2026年に入り、その内容を国内法に落とし込む動きが加速している。3月に内閣府 AI 戦略会議が取りまとめた「AI 推進基本法案」(通称 AI 推進法)は、現在国会で審議中であり、5月末の会期末までに可決が見込まれている。
AI 推進法は、EU AI Act のようなハードロー型規制ではなく、基本理念法の色彩が強い。主要骨子は以下である。
第一に、「イノベーション促進」と「リスク対応」のバランスを国の責務として規定。第二に、高リスク AI の特定と当該分野における所管省庁ガイドラインの整備義務。第三に、重大インシデント発生時の政府への情報提供努力義務(罰則なし)。第四に、AI 開発・利用事業者向けの国際整合的ガイドライン策定。第五に、独立行政機関としての「AI セーフティ・インスティテュート」(AISI)の法定化。
注目すべきは、EU 型の事前規制・罰則主義を意図的に避け、産業界との協調路線を維持していることだ。経団連は法案を概ね支持、日弁連は「被害救済の実効性が不十分」と批判する構図になっている。
METI ガイドラインと PPC の LLM 特化指針
経済産業省は、2024年4月に「AI 事業者ガイドライン」第1.0版を公表し、以後ほぼ半年ごとに改訂を重ねている。2026年3月公表の第1.4版は、生成AI特有の論点として以下を追加した。
エージェント型 AI の監督責任の所在、マルチモーダル生成物の真正性表示(C2PA 等)、モデル蒸留による知財漏洩対策、合成データ生成時のバイアス管理、そしてプロンプト・インジェクション耐性の設計要件である。これらは広島プロセス国際行動規範と逐条対応する形で整理されている。
個人情報保護委員会(PPC)は、2026年2月に「生成AIに係る個人情報取扱ガイドライン」を単独で公表した。主眼は以下の3点。
1. 訓練データへの個人情報混入時の取扱い。公開情報であっても本人同意の推定は原則否定され、特定個人を識別可能な形で出力する LLM は「個人情報データベース」に該当し得るとの整理を明示。これは OpenAI に対するイタリア Garante の過去判断と整合的である。
2. プロンプトに含まれる個人情報の取扱い。事業者が従業員プロンプトを通じて顧客個人情報を LLM に投入する場合、第三者提供に該当する可能性があり、当該 LLM 提供者との契約で「利用目的限定」「学習利用の不実施」を明記すべきとした。
3. 「訂正・削除請求」への対応。生成AIモデルからの個別情報削除は技術的に困難であるが、出力抑制フィルタの実装により対応とみなす「機能的削除」概念を導入。これは EU GDPR 下でハンブルグ DPA が2024年に先行的に示した解釈と類似する。
著作権法第30条の4の解釈の現在地
日本の AI 訓練と著作権の関係において、最大の論点は著作権法第30条の4(情報解析の権利制限)の射程である。2018年改正で導入された同条は「著作物の表現された思想又は感情を自ら享受し又は他人に享受させることを目的としない場合」の利用を原則自由としており、AI 訓練を念頭に置いた世界で最も広い権利制限規定とされてきた。
しかし、2024年3月に文化庁が公表した「AIと著作権に関する考え方について」は、第30条の4の例外(「ただし書」)の該当範囲を明確化し、以下の場合は権利制限が及ばないと整理した。
海賊版サイトから意図的にデータを収集した場合、特定作家のスタイルを再現する目的で当該作家の作品のみを集中的に学習させた場合(過学習)、有償のデータベースから明示的ライセンスを回避して取得した場合、そして作品の表現そのものが出力される蓋然性が高いモデル設計である場合。
- 年3月には文化審議会著作権分科会が「生成AI小委員会」の中間報告を公表し、特に三点の変更方針を示した。第一に、RAG(検索拡張生成)における原文保持は第30条の4の射程外とし、第47条の5(軽微利用)または個別契約で対応すべきとした。第二に、ファインチューニング用データセット作成者にも「出所明示努力義務」を課す検討。第三に、Opt-Out メカニズムの法的位置付け整理(現行法は Opt-Out 意思を原則尊重しないが、明確な意思表示がある場合の扱いを明文化)。
これらは EU DSM 指令 Art.4(text and data mining)の Opt-Out 要件と一部接近しており、日本が独走していた「AI 訓練自由」モデルの微調整が始まっている。
アジア近隣諸国との比較
シンガポールは、2025年5月に「AI Verify」フレームワークを正式制度化し、企業による自主的適合性確認を推奨する立場を維持。規制ではなく「信頼マーク」型アプローチで、日本 AI 推進法と方向性が近い。ただし MAS(金融庁)単独では金融分野に限って厳格化の方向。
韓国は、2025年1月に「AI 基本法」が国会通過し、2026年1月から施行された。高影響 AI(High-Impact AI)概念を導入し、EU AI Act 高リスクに近い区分を設定。違反時の課徴金も最大3,000万ウォンと実効性を持たせた点で、アジア初の本格的ハードロー規制と評価される。
インドは、2025年8月に Digital India Act の一部として AI 関連条項を施行。SNS プラットフォームにおける deepfake 表示義務を世界最速で法制化した。一方で、生成AI事業者に対する事前許可制は撤回され、事後規制型に落ち着いた。
日本は、韓国のハードロー型とシンガポールのソフトロー型の中間、かつ産業界との協調を強調する点で独自ポジションを形成している。AI 推進法可決後は、広島プロセスを共有する OECD 諸国へのパッケージ輸出が外務省主導で進められる見通しだ。
日本 IT 企業への実務示唆
日本国内で AI サービスを展開する事業者は、2026年度中に以下の準備を完了させるべきである。まず、METI AI 事業者ガイドライン第1.4版への自社サービス適合性レビュー。次に、PPC 生成AI指針に基づく個人情報取扱いプロセスの再設計、特に「プロンプト経由の第三者提供」論点への対応。そして AI 推進法可決後を見据えた所管省庁ガイドライン群の整備状況モニタリング(金融庁、総務省、厚労省、国交省、警察庁が各分野を所管)。
越境で展開する場合は、韓国 AI 基本法の高影響 AI 該当性確認、シンガポール AI Verify の自主取得、EU AI Act との整合性確保を並行して進める必要がある。