生成AI稟議が法務で止まる本当の理由

また法務で止まった。

Claude導入を全社展開しようとしたとき、最初にぶつかったのが情シスと法務の壁だった。正直、「なんでこんなに時間かかるんだ」と思っていた。でも最近ようやく、彼らが何を怖がっているのかが少しわかってきた。

AINOWの記事を読んで整理できたのが、法務が見ているリスクの全体像だ。著作権侵害、個人情報保護法への抵触、営業秘密の漏洩、ハルシネーションによる責任問題——これだけのポイントが一度の稟議に乗っかってくる。法務が「慎重にやりたい」と言うのは、実は当然だった。

法務が怖いのは「責任の所在」だ

うちみたいな8人のスタートアップで一番怖いのは、誰かが業務でChatGPTに顧客データを入れてしまうケースだ。個人情報保護法に抵触するリスクが一気に跳ね上がる。法務担当がいない分、CEOの自分が全部かぶる。

もうひとつ知らなかったのが、弁護士法72条との関係だ。AIが法的アドバイスに踏み込んだ回答を出した場合、それを社外に使ってしまうと弁護士法違反になり得る。たとえば契約書レビューをAIにやらせて、その結果を相手先に送るのは危うい。これ、普通に社内でやりかねない。

稟議を通すには「言語」を合わせることが先

法務と話が噛み合わないのは、自分がビジネス言語で話して、向こうがリスク言語で話しているからだと思った。「競合が使い始めた」は自分にとって強い理由だけど、法務には全く刺さらない。

記事にあった4ステップのチェック手順が実用的だった。要約するとこうなる。

• ユースケースと入力データの種類を整理する
• ツールの利用規約とセキュリティ仕様を確認する
• 社内ガイドラインと運用ルールを決める
• モニタリング体制と改定サイクルを設計する

これ、法務と最初の打ち合わせをするときの議題そのままだ。「うちの会社はどこまで進んでいるか」を確認するチェックリストになる。

自分が今できていていないのはステップ3と4だ。使っていいツールの一覧と、禁止する入力データの種類を、文書化できていない。口頭ルールで走っている。8人だから回っているだけで、採用が進んだ瞬間に崩れる構造だ。

Microsoft Copilotは法人向けにデータを学習に使わない設定があるけど、無料版のChatGPTはそうじゃない。この違いをチームに説明できているか、自信がない。ツールごとの仕様の差を整理したドキュメントを作るところから始めるべきだと思った。

投資家への説明でも「AIガバナンスどうなってますか」と聞かれる頻度が上がってきた。シリーズAを見据えたとき、このあたりが整備されていないと確実に突っ込まれる。法務対応は守りじゃなく、資金調達の準備でもある。

来週、社内ガイドラインのたたき台を1枚だけ作ってみるつもりだ。完璧なものじゃなくていい。「禁止事項」と「確認が必要な場合の連絡先」だけ書いた1枚から始める。