経済産業省は2025年2月18日、「AIの利用・開発に関する契約チェックリスト」(以下、本チェックリスト)を公表しました。生成AIの普及を背景に、AI事業者と利用者(ユーザ企業)の間で「データの扱い・知的財産権・責任分界」をどう契約で線引きするかを、約44ページ・全66項目で具体化したものです。
本記事では、医療機関の情報システム部門・事務長・法務担当者が本チェックリストをどのように読み解き、ベンダー契約に落とし込むべきかを、ヘルスインタビューが日々向き合っている実務観点から解説します。
この記事のポイント
- 本チェックリストは「利用型契約」と「開発型契約」の2類型に整理されている
- インプット37項目・アウトプット29項目でデータ・知財・責任を明確化することが目的
- 医療機関では個人情報保護法・3省2ガイドラインとの整合が不可欠
- ベンダーが「学習データ利用しない」と言うだけでは不十分。契約条項としての明文化が要点
- ヘルスインタビューはダイナミックコンセント+ブロックチェーン履歴で本チェックリストの観点を満たす設計
1. 経産省AI契約チェックリストとは
公表の背景
経済産業省は2025年2月18日、生成AIの急速な普及で「ユーザ企業が契約条項を十分理解しないままAIサービスを導入し、データ流出・知財紛争のリスクを抱える」状況が増えていることを受け、本チェックリストを公表しました。(出典:経済産業省プレスリリース 2025年2月18日、取得日: 2026-04-26)
法務専門家ではない事業部門・情報システム部門の担当者でも使えるよう、チェックリスト形式で網羅性と実務性を両立させた点が特徴です。
対象とする契約類型
本チェックリストは、AI関連契約を以下の2つに大別しています。
| 契約類型 | 概要 | 医療機関での該当例 |
|---|---|---|
| 利用型契約(汎用的AIサービス利用型) | ベンダーが提供するAIサービスをユーザがそのまま利用 | ChatGPT API、汎用文書生成AI、汎用画像認識API |
| 開発型契約(カスタマイズ型・新規開発型) | ユーザのデータ・要件を踏まえてAIモデルを開発/カスタマイズ | 院内マニュアルRAG、独自診療補助AI、専用問診AIの構築 |
医療機関が生成AIを導入する場合、両方の契約類型が混在するケースが一般的です。たとえば「汎用LLM(利用型)+院内独自RAG(開発型)」の組み合わせがそれにあたります。
チェック項目の構成
| 区分 | 項目数 | 主な論点 |
|---|---|---|
| インプット(ユーザがベンダに提供するデータ) | 37項目 | サービス目的外利用の可否、ベンダの管理義務、知財権の帰属、第三者提供範囲 |
| アウトプット(AIが生成した成果物) | 29項目 | 完成義務の有無、ユーザの第三者提供権、知財権の帰属、品質保証 |
医療機関の場合、インプット側に患者情報が含まれるため、インプット項目の検討が圧倒的に重要になります。
2. 医療機関が特に注目すべき5つのチェック観点
医療機関の契約実務では、本チェックリスト全66項目のうち、以下の5観点が特に重要です。
観点1|インプットの目的外利用の禁止
チェック内容: 「ベンダはユーザから提供されたインプットを、サービス提供以外の目的(例: 自社のAIモデル学習)に利用できるか」
医療機関が患者データを生成AIに入力する場合、学習データへの転用は個人情報保護法上の第三者提供に該当する可能性があります。「学習に使わない」ことを契約条項として明文化し、口頭・約款の同意ではなく書面で残すことが必須です。
📖 関連記事:医療における生成AI活用の法的注意点と実務対応
観点2|ベンダのインプット管理義務
チェック内容: 「ベンダはインプットの管理義務を負うか(暗号化・アクセス制御・削除義務等)」
3省2ガイドラインの委託先監督義務と直結する観点です。ベンダ側のセキュリティ水準・ログ保全・監査対応を契約で具体化します。
📖 関連記事:3省2ガイドラインとは?医療データ管理の実務対応
観点3|知的財産権の帰属
チェック内容: 「インプットおよび学習中間生成物に関する知財権をベンダが取得するか」
医療機関固有の臨床知見・院内マニュアル・問診ノウハウはバックグラウンドIPにあたるため、ユーザ側保持を原則とすべきです。一方、開発成果物(フォアグラウンドIP)は用途別に帰属を分ける設計が現実的です。
観点4|アウトプットの品質保証と責任分界
チェック内容: 「ベンダがアウトプットの完成義務を負うか/ハルシネーション(誤情報生成)の責任は誰が負うか」
医療現場では最終的な医療判断は医師の責任が大原則ですが、AIベンダー側の過失起因の誤生成については損害賠償の対象になり得ます。免責条項と責任上限額の設定が論点です。
観点5|国外への第三者提供
チェック内容: 「インプットが国外サーバ・国外法人に提供されるか/同意取得は十分か」
多くの汎用AIサービスは米国等のサーバを経由します。改正個人情報保護法第28条の越境移転規制と、3省2ガイドラインの委託先監督が二重に効いてくるため、データの物理的所在地・データ管理者の国籍を契約で確認する必要があります。
3. 利用型 vs 開発型|契約条項の重点が変わる
| 観点 | 利用型契約で重点 | 開発型契約で重点 |
|---|---|---|
| インプット目的外利用 | ◎(学習禁止条項) | ○(開発目的内に限定) |
| 管理義務・SLA | ◎(既製サービスの設定確認) | ◎(個別SLAの設計) |
| 知財権帰属 | △(標準約款の確認) | ◎(フォアグラウンド/バックグラウンド整理) |
| アウトプット品質 | ○(免責条項の確認) | ◎(受入検査・瑕疵担保) |
| 監査・ログ | ○(既存ログの開示請求権) | ◎(監査条項・第三者検証) |
医療機関で生成AIを活用する際、院内RAGや問診AIのカスタマイズは開発型、LLM API直叩きは利用型にあたります。両者の契約構造の違いを理解せずに同じテンプレートを使い回すと、リスク移転に穴が空きます。
4. 医療機関の契約実務|5ステップ
ステップ1|既存AI関連契約の棚卸し(2週間)
院内で利用中・PoC中の生成AI/AIツールを一覧化し、契約書を全件再点検します。クラウドサービス約款は更新されているケースもあるため、最新版で確認します。
ステップ2|本チェックリストでの契約レビュー(2〜4週間)
経産省チェックリストの項目を使い、穴のある条項を洗い出します。法務部門が薄い医療機関は、外部弁護士・コンサルとの共同レビューを推奨します。
ステップ3|ベンダ交渉・条項追記(4〜8週間)
学習禁止・国外移転・監査権・ログ保全等で不足がある条項について、覚書・追記契約でベンダと合意します。
ステップ4|院内規程・運用フローへの反映(並行)
患者同意取得フロー・委託先管理台帳・インシデント対応手順を更新します。ダイナミックコンセントの導入は同意取得の運用負荷を大幅に下げる手段として有効です。
📖 関連記事:ダイナミックコンセントとは?AI時代の医療データ同意取得
ステップ5|定期監査・更新
AI事業者の規約・モデル更新は頻繁に発生します。年1〜2回の定期点検を義務付けることで、契約条項と実態の乖離を防ぎます。
5. ヘルスインタビューでの対応設計
ヘルスインタビューは、本チェックリストの主要観点をプロダクト設計レベルで満たすよう設計されています。
| チェックリスト観点 | ヘルスインタビューの対応 |
|---|---|
| インプット目的外利用の禁止 | 学習データ利用を技術・契約の両面で遮断する設計 |
| ベンダ管理義務 | 国内データセンタ/3省2ガイドライン準拠運用 |
| 知財権の帰属 | 院内ナレッジ(マニュアル・テンプレート)はユーザ側保持を契約で明文化 |
| 同意取得 | ダイナミックコンセントでAI利用ごとに患者同意を都度取得 |
| 監査ログ・履歴保全 | 独自特許のブロックチェーン技術で改ざん不能な履歴を保全 |
| 責任分界 | 医療判断責任は医師、技術起因の不具合はベンダ責任を契約書で定義 |
医療機関側の契約担当者が経産省チェックリストの66項目を逐一審査せずとも、ヘルスインタビューを採用すれば主要観点が標準でクリアできる設計を提供しています。
6. AIBTRUSTの関連プロダクト
本記事で解説したAI契約チェックリストの実務対応は、**プロダクト選定の段階から「契約観点を満たすベンダーかどうか」**を見ることで大幅に簡素化できます。
AIBTRUSTの ヘルスインタビュー は、医療機関向けの問診・情報返却・生成AI基盤として、本チェックリストの主要観点(学習データ利用禁止・国内運用・ダイナミックコンセント・改ざん不能ログ)を標準機能で備えています。契約レビュー工数の削減と、医療AI活用の合法的な内製化を同時に実現します。
詳細は ヘルスインタビュー製品ページ をご覧ください。
よくあるご質問
Q1. 経産省チェックリストには法的拘束力がありますか?
A. 法的拘束力はありません。あくまでベンダ・ユーザ間の契約交渉を支援するガイドラインです。ただし、医療機関の場合は3省2ガイドライン・個人情報保護法等の強制法規と重なる項目が多いため、実質的にはチェックリストの主要項目を満たさないと法令違反のリスクが高まります。
Q2. 既存のクラウド利用約款だけで対応できないのですか?
A. 多くの汎用AIサービスの約款はベンダ有利の標準条項であり、医療機関側の責任が過大になっているケースがあります。医療データを扱う場合は、**追加覚書・SLA合意・データ処理契約(DPA)**を別途締結することを推奨します。
Q3. 医療AIの契約レビューで最も見落とされやすい条項は何ですか?
A. **「サブプロセッサー(再委託先)の通知義務」**です。生成AI事業者が裏側で別のクラウド・ファインチューニング会社に委託しているケースは多く、再委託先までの委託先監督義務を契約で明示する必要があります。
Q4. 開発型契約での知財権はどう整理すればよいですか?
A. **フォアグラウンドIP(開発で生まれた成果物)とバックグラウンドIP(既存知見)**を区別し、前者は用途別の共有・後者は各当事者保持を原則とする設計が一般的です。医療機関側の臨床知見はバックグラウンドIPとして保護してください。
Q5. ヘルスインタビュー導入後も契約レビューは必要ですか?
A. はい。ヘルスインタビュー本体の契約は本チェックリストに準拠していますが、他のAIサービスとの併用がある場合は、それぞれ別途レビューが必要です。AIBTRUSTでは契約レビューの観点出しもご支援しています。
まとめ
経済産業省の「AIの利用・開発に関する契約チェックリスト」(2025年2月公表)は、生成AI時代のベンダ契約におけるデータ・知財・責任の論点を66項目で網羅した実務的指針です。
本記事の要点
- 契約類型は利用型/開発型で重点が異なる
- 医療機関ではインプット側の検討が決定的に重要(学習禁止・国外移転・監査)
- 3省2ガイドライン・個人情報保護法との整合が前提条件
- ベンダ任せにせず、覚書・SLA・DPAで追記交渉が必要
- ヘルスインタビューは主要観点を標準で満たすプロダクト設計で導入工数を削減
医療機関のAI活用は「導入前のベンダ選定段階で、契約観点に強いプロダクトを選ぶ」ことが結果的に最も低コストです。貴院の現状診断・契約観点出しは、まずは資料(無料)でご確認ください。
出典・参考資料
- 経済産業省「『AIの利用・開発に関する契約チェックリスト』を取りまとめました」2025年2月18日(取得日: 2026-04-26)
https://www.meti.go.jp/press/2024/02/20250218003/20250218003.html - 経済産業省「AIの利用・開発に関する契約チェックリスト 令和7年2月」(PDF)
https://www.meti.go.jp/policy/mono_info_service/connected_industries/sharing_and_utilization/20250218003-ar.pdf