境界線が引き直される瞬間
OpenAIがビジネス/開発者向けの新しいServices Agreementを2026年1月1日に有効化します。これにより、企業利用の「責任分界点」が実務ベースで明確になります。社内ガバナンスや法務のチェックポイントも、従来より一段繊細になります。
本稿では、APIやChatGPT Business/Enterpriseを使う企業が押さえるべき契約上の“線引き”を、最新の公開情報と実務の観点から整理します。短く読みやすく、しかし要点は深く。移行のための実務手順までまとめました。
新Services Agreementの全体像と位置づけ
OpenAIは一般ユーザー向けのTerms of Useと、ビジネス/開発者向けの契約を切り分けてきました。今回の新Services Agreementは、そのビジネス領域に適用される包括契約です。APIやEnterpriseプランなど、業務利用の中核に直接効いてきます。
まずは基礎となる公開文書を確認します。OpenAIのService Termsは、個別契約やServices Agreementと相互に参照する関係にあります。
“These Service Terms govern your use of the Services.”
最新の利用規約群や方針は随時更新されます。社内の担当者は、Terms of Use、Usage Policies、そして今回の新Services Agreementをセットで読み、社内規程に反映させる運用が必要です。参考: OpenAI Terms & policies
適用範囲と更新通知、改定時の取り扱い
どのサービスに効くのか
新Services Agreementは、主に以下の法人/開発者向け利用に作用します。
- API利用(自社システムへの組み込みやアプリ提供)
- ChatGPT Business / Enterprise(組織アカウントでの業務利用)
個人向けのTerms of Useと混同しないように。社内ガイドでは、対象サービスごとに適用契約を明記し、チームが迷わない導線を用意しましょう。
更新通知と同意の扱い
OpenAIのポリシーは更新されることがあります。通知方法や効力発生日、継続利用による同意の扱いは、契約本文が基準です。メール通知/管理画面表示/ポリシーページ更新など、貴社が受ける通知経路を人と仕組みで二重化し、改定検知→影響評価→社内展開のフローを定例化してください。
特に重要なのは、新制限や定義変更が発生した際の即応です。アクセス制御やプロンプト制限、リージョン設定などはポリシー改定と連動して調整可能化しておくと安全です。
コンテンツとデータ:所有権、学習、保持期間
所有権と利用許諾
OpenAIはインプット/アウトプットに関するユーザーの権利を明示しています。原則として、ユーザーは入力の権利を保持し、出力の権利を取得します。
“As between you and OpenAI, and to the extent permitted by applicable law, you (a) retain your ownership rights in Input and (b) own the Output. We hereby assign to you all our right, title, and interest, if any, in and to Output.”
ただし、第三者権利の侵害リスクはユーザー側の責任として扱われるのが通例です。著作権・商標・営業秘密等のクリアランスは、社内ルールに沿って事前確認しましょう。
学習への利用と保持
業務データのモデル学習利用の可否は、契約種別と設定に依存します。Enterprise/BusinessやAPIでは、学習利用の扱いが一般利用と異なる場合があります。最新の契約条項と管理画面のデータコントロールを必ず確認し、オプトアウト/保持期間/ログ出力を合わせて設計してください。
運用観点では、入力禁止情報の定義、保持と削除のSLA、監査ログの保全を社内規程に明文化することが肝要です。
責任分界点:ベンダーと顧客の線引き
OpenAI側の責務が想定される領域
- サービス提供・可用性の枠組み(SLAがあればその範囲)
- セキュリティの基盤措置(データ保護、アクセス管理の枠組み)
- 契約・ポリシーに基づく遵守(輸出管理、制裁遵守など)
顧客側の責務が想定される領域
- 入力と出力の適法性(第三者権利侵害・個人情報・機密の取扱い)
- 利用者管理と内部統制(権限、ログ、審査、教育)
- 適用法対応(業法/越境移転/業界規制/社内規程の整合)
- 高リスク用途の管理(医療/金融/選挙等はポリシーや法令に適合させる)
利用上の“してはいけないこと”はUsage Policiesで示されます。
“We aim for our tools to be used safely and responsibly, while maximizing your control over how you use them.”
また、多くのSaaS同様、間接損害の除外や賠償上限など責任制限が規定されるのが一般的です。最終的な線引きは締結する当事者間の合意で決まるため、ドラフト本文と注文書/付属文書を一体で精査してください。
社内ガバナンス/法務チェックの実務ポイント
契約・法務
- 適用文書の特定(Services Agreement/Order Form/ポリシー/付属資料)
- 責任制限・補償(Indemnity)・保証の読み分け
- データ保護(DPAの有無、移転根拠、保持/削除、サブプロセッサ)
- 輸出管理/制裁(対象国・ユーザーの制御)
セキュリティ/IT
- アクセス制御(SSO、RBAC、監査ログ、キー管理)
- データ分類と入力禁止ルール(極秘/個人データ/保護分類の定義)
- 環境分離(検証/本番、PII有無、ネットワーク境界)
コンプライアンス/現場運用
- プロンプト/出力のレビュー基準(ファクトチェック、引用方針)
- 高リスクユースケースの承認フロー
- 教育と定着(年次研修、Eラーニング、クイックリファレンス)
実務での使い方:移行シナリオと手順
移行前にやること
- 現行契約棚卸し(API/Business/Enterpriseの契約と設定を可視化)
- 差分インパクト分析(責任制限、データ条項、ポリシー変更)
- ステークホルダー合意(法務、情報セキュリティ、現場部門、経営)
切替時の実装
- 設定反映(データ保持、学習オプト、ログ出力、地域設定)
- 制御の自動化(禁止語辞書、DLP、プロンプトガードレール)
- 監査対応(契約・設定スナップショット、変更履歴、担当者記録)
運用の磨き込み
- 改定監視(契約/ポリシーの更新検知とレビュー会議の定例化)
- KPI/インシデント振り返り(利用率、逸脱事例、是正策)
- 継続教育(ユースケース別ガイドのアップデート)
ケース別に見る“線引き”の考え方
APIで自社サービスを提供する場合
生成物の品質保証や第三者権利侵害への対応は、自社の利用規約と補償条項でユーザーに明示します。OpenAIとのServices Agreementでの責任制限に加え、貴社側のSLA/免責を整合させるのがポイントです。
Enterpriseで社内利用する場合
人事/法務/CSなど業務ラインごとに入力禁止情報とワークフローを定義します。アカウント権限、ログ、保持期間を部門ごとに合わせ、誤投入の発見→是正を迅速化します。
高規制業界
医療・金融・公共などでは、モデル出力の位置づけ(助言/参考/決定補助)を明記し、ヒューマンレビューを必須に。記録と説明可能性を確保し、監督当局のガイダンスに追随します。
まとめ:契約で“攻めと守り”を両立させる
新しいServices Agreementの狙いは、企業利用を前提に責任分界点を明瞭化することにあります。OpenAI側の提供責任と、顧客側の利用責任が重なり合う部分を最小化し、実装と運用でギャップを埋めるのが鍵です。
まずは、適用契約の特定、データ条項の確認、責任制限の読み分けから。続いて、設定反映、ガードレール実装、教育の3点セットで“守り”を固めましょう。アップデートのたびに、このサイクルを素早く回せる体制が、AI時代の最強のガバナンスになります。
注:本記事は一般的な情報提供であり、法的助言ではありません。最終判断は顧問弁護士等の専門家にご相談ください。
コメント