こんにちは!株式会社雲海設計の技術部です。2026年4月に入り、弊社への法務・情シス絡みの相談で急増しているのが「生成AIのハルシネーションで顧客に損害が出たら、誰がどこまで損害賠償を負うのか?」という質問です。2025年はPoC段階で「誤情報が出るよね」という技術的な話で済んでいましたが、2026年は本番業務で顧客にAI出力を提示する運用が一般化し、実害ベースの争点に変わりました。
本記事では、ハルシネーション 損害賠償の論点を、契約条項・免責設計・運用体制の3観点で整理します。法務・経営・情シスが稟議と顧客説明の両方に使える粒度でまとめました。
- ハルシネーションの損害賠償リスクは技術問題ではなく契約・運用の設計問題として扱う
- 企業が問われ得る責任は債務不履行・不法行為・製造物責任類似・表示責任の4系統
- 免責条項は「書けば守られる」ではなく、消費者契約法10条・独禁法の優越的地位濫用で無効化されるケースがある
- 実務の生命線は人間レビュー(Human-in-the-Loop)とログ保全、この2つで過失認定の水準が変わる
- 2026年はEU AI Actの本格運用年、説明責任と記録義務が監査対象に入り始めた
なぜ今「ハルシネーション 損害賠償」が争点化したのか?
結論から言うと、AI出力が顧客の意思決定や業務判断に直接使われるフェーズに入り、誤情報が実害に直結するようになったからです。2025年までは「社内で使う補助ツール」が中心でしたが、2026年はチャットボットが顧客に直接回答し、エージェントが自律的に発注・契約書作成まで行う段階です。誤れば即損害賠償請求の俎上に載ります。
国際的に参照される3つの事件・規制動向
まず、2024年カナダのAir Canada事件では、航空会社のチャットボットが存在しないバーゲン運賃規則を回答し、裁判所は「AIの回答も自社の表示として責任を負う」と判断しました。次に米国の複数の訴訟で、ChatGPTが生成した虚偽の判例を弁護士が裁判所に提出して制裁を受けた事例が相次ぎ、実務家の善管注意義務が問われています。そして2026年、EU AI Actの高リスクAI規制が本格適用され、記録義務・人的監督義務の不履行そのものが損害賠償算定の加重要素になり始めました。
「AIによる意思決定の結果責任は、システムを運用する事業者が最終的に引き受ける。ブラックボックスであることは免責事由にならない。」— Gartner「AI TRiSM Framework 2026」要旨
つまり、「AIが勝手に言ったことです」は通用しないというのが2026年の国際的な共通認識です。関連するセキュリティ観点はAIセキュリティリスク完全整理で7分類に整理していますので、併せてご覧ください。
企業が問われる4つの法的責任の型は?
結論として、ハルシネーションで想定される日本法上の責任は大きく4系統に分かれます。どの型で請求されるかで、立証責任も賠償範囲も変わります。
| 責任の型 | 根拠 | 典型シーン | 主な争点 |
|---|---|---|---|
| 債務不履行責任 | 民法415条 | 受託したAI回答業務で誤情報を提供 | 善管注意義務の水準 |
| 不法行為責任 | 民法709条 | AIチャットが第三者の名誉毀損・虚偽事実 | 過失と因果関係 |
| 表示責任(景表法類似) | 景品表示法・特商法 | AIが虚偽の価格・仕様を顧客に提示 | 表示主体性 |
| 説明義務違反 | 金商法・医療法等業法 | 規制業種でのAI誤助言 | 監督責任 |
最も警戒すべきは「善管注意義務」の水準引き上げ
2026年時点で実務的に最も効いてくるのが、債務不履行における善管注意義務の水準です。2025年までは「AIの限界」として許容されていた誤差も、2026年は「ハルシネーション対策のベストプラクティスを導入していたか」が裁判所の判断材料になり始めました。具体的にはRAGによる根拠提示・出力ログの保全・人間レビュー工程の設計が「業界標準」として意識されます。
この点、技術的な防御策はハルシネーションを防ぐプロンプト設計10選で実装レベルに落として解説しています。法務が契約を設計する際も、この技術水準を前提に免責範囲を詰めるのが2026年の作法です。
契約条項はどう設計すべきか?
結論、ユーザー向け契約・ベンダー間契約・エンドユーザー規約の3層で、AI出力に関する条項を書き分ける必要があります。一枚のひな形に全部書くと、どこかが必ず無効化されます。
3層の契約で書くべき要点
- ベンダー間契約 (AI提供者との契約): モデル提供者の責任範囲、学習データの権利関係、ログ提供義務、SLA(精度ではなく可用性・応答)、インシデント時の協力義務。
- 対顧客契約 (自社→顧客): AI利用の明示、出力が参考情報である旨、重要事項は人間確認を経る旨、ログ保存期間、紛争時の準拠法。
- エンドユーザー規約 (チャットUIの利用規約): AI生成コンテンツの表示、ユーザー側の利用制限、禁止用途、プロンプトの権利帰属。
免責条項の「書けば安心」という誤解
よく「AI出力に関する一切の責任を負いません」という包括免責を入れるケースがありますが、消費者契約法10条や8条で無効となる可能性が高いです。特にBtoCでは、重大な過失・故意の免責は無効が原則です。BtoBでも独禁法の優越的地位の濫用に抵触するリスクがあります。
実務で効くのは、「免責の範囲を具体的な用途・金額・状況で限定する」書き方です。例えば「医療・法律・投資判断に関する助言には用いないこと」「賠償額は過去12ヶ月の利用料相当額を上限とする」「人間による最終確認を経ずに実行された場合は免責」という具合に、利用条件と連動した条件付免責に組み替えます。
【推奨する免責条項の骨格】
1. 本サービスのAI出力は参考情報であり、正確性を保証しない旨
2. 重要な意思決定には利用者の最終確認を要する旨
3. 禁止用途(医療・法律・投資判断等)の明示
4. 賠償上限額の設定(利用料ベース)
5. 故意・重過失の場合は免責対象外とする旨
6. ログ保存期間と開示条件運用体制で損害賠償リスクをどう下げるか?
結論、契約で守れるのは半分、残り半分は運用体制で決まるです。裁判実務では「過失の有無」を運用の記録から逆算するため、運用ログが貧弱だと契約が良くても負けます。
ハルシネーション対策の運用4レイヤー
| レイヤー | 施策 | 賠償リスク低減効果 |
|---|---|---|
| 入力制御 | プロンプト標準化・禁止用途フィルタ | 中 |
| 生成制御 | RAG・根拠提示・信頼度スコア | 高 |
| 出力検証 | Human-in-the-Loop・2段階承認 | 最高 |
| 事後記録 | 入出力ログ・レビュー履歴保全 | 高(立証面) |
Human-in-the-Loopをどこに入れるか
全件人間確認は現実的でないため、リスクの濃淡で差をつけます。顧客対外・金銭・法令関連の出力は必ず人間確認、社内の検索・要約は抜き取り監査、というメリハリです。この設計は業務プロセス全体の再設計と不可分なので、AIセキュリティ対策実装ガイド2026の権限設計と併せて検討すると整合します。
graph LR
A[ユーザー入力] --> B{用途分類}
B -->|高リスク| C[RAG+根拠提示]
B -->|低リスク| D[通常生成]
C --> E[人間レビュー必須]
D --> F[抜き取り監査]
E --> G[出力+ログ保全]
F --> Gログ保全は「何を何年残すか」を先に決める
損害賠償請求の時効は民法上、債務不履行で原則10年、不法行為で損害および加害者を知った時から3年です。最低でも5年、規制業種なら7〜10年のログ保全設計を推奨します。保存すべきは、プロンプト・出力・モデルバージョン・レビュー者・承認時刻の5点セットです。
業種別のリスク温度感は?
結論、規制業種・BtoC顧客対応・金銭判断を伴う業務は高リスク帯です。業種ごとに、賠償額の算定レンジと求められる監督水準が大きく異なります。
- 金融・保険: 金商法の適合性原則・説明義務と衝突。AI助言は「参考情報」に徹底するか、登録業として再設計。
- 医療・ヘルスケア: 医師法・薬機法と抵触しやすく、診断的出力は高リスク。必ず有資格者の確認工程が必要。
- 法務: 弁護士法72条と生成物の信頼性の両面で注意。判例引用は必ず1次ソース照合。
- EC・小売: 景表法の有利誤認・優良誤認に直結。価格・在庫・仕様の自動回答は要注意。
- 教育・採用: 差別的出力が均等法・個人情報保護法の争点に。
雲海設計が相談を受けた実例(簡略版)
2026年1〜3月に弊社で伴走したある中堅SaaS企業では、カスタマーサポート用のAIチャットが解約条件を実際より緩い内容で回答し、顧客から契約解除と返金を請求される事案が発生しました。幸いログが完全に残っており、AI出力である旨の画面表示もあったため、最終的に和解で着地しました。この案件で効いたのは、(1)UIでのAI表示、(2)完全なログ、(3)人間レビュー導線の有無を明文化した利用規約の3点でした。契約・UI・運用の三位一体で守る、という原則が実務でも生きた例です。
明日から着手すべき実務チェックリスト
結論、まず1週間で契約と免責の棚卸し、次の1ヶ月で運用ログとHuman-in-the-Loopの設計という順序を推奨します。
| 期間 | タスク | 担当 |
|---|---|---|
| 1週間以内 | AI利用サービスの契約条項レビュー | 法務 |
| 1週間以内 | ユーザー向け免責条項の再設計 | 法務+事業 |
| 2〜4週間 | 入出力ログの保全方針策定 | 情シス+法務 |
| 1ヶ月 | Human-in-the-Loopの業務設計 | 事業+情シス |
| 1〜2ヶ月 | 業種別リスク評価とAIガバナンス規程 | 経営+法務 |
| 四半期ごと | インシデント振り返りと規程改定 | 横断 |
なお、AIガバナンス規程の骨格づくりや契約ひな形の整備は、IT コンサルティングやDX ソリューションの一環でご支援しています。技術・法務・運用の3点を横串で設計するのが弊社の得意領域です。
よくある質問
Q. AIベンダーの約款で「出力の正確性は保証しない」とあれば自社は免責されますか?
A. されません。ベンダー約款はベンダーと貴社の関係を規律するもので、貴社と顧客の関係には直接及びません。顧客に対しては、貴社自身の契約・表示・運用で別途免責の設計が必要です。Air Canada事件もこの構造で敗訴しています。
Q. ログは全部残すと個人情報保護法に抵触しませんか?
A. 目的・期間・アクセス制御を明示すれば両立可能です。利用目的に「品質改善および紛争対応」を加え、プライバシーポリシーで明示、最小権限でのアクセス統制を組めば、個人情報保護法とログ保全義務は共存します。
Q. 社内利用のAIでもハルシネーション対策は必要ですか?
A. 必要です。社内でも誤情報に基づく意思決定で取引先や株主に損害が生じれば、役員の善管注意義務違反(会社法423条)が問われ得ます。対外利用より軽い水準で良いですが、ゼロにはなりません。
Q. 保険で賠償リスクはカバーできますか?
A. 2026年時点で「AI賠償責任保険」の商品化が国内でも進み始めています。ただし、適切な運用体制(ログ・人間レビュー等)が付保条件になるケースが多く、運用整備が先、保険は後が鉄則です。
Q. 小規模事業者でもここまでやる必要がありますか?
A. 規模ではなく用途で判断してください。顧客対応・金銭判断・規制業種に触れる用途は規模に関係なく高リスクです。逆に社内検索のみならライトな整備で十分です。
まとめ|ハルシネーション賠償リスクは「契約・免責・運用」の三位一体で下げる
2026年のハルシネーション 損害賠償リスクは、技術で完全には消せず、契約と運用で許容範囲に収めるのが現実解です。包括免責で逃げる時代は終わり、条件付免責・Human-in-the-Loop・ログ保全の3点セットを整えた企業だけが、AI活用のメリットを享受しながらリーガルリスクを制御できます。
雲海設計では、AIガバナンス規程の整備、契約ひな形のレビュー、RAG・権限設計を含む運用基盤の実装まで、法務と技術を横断する伴走支援を行っています。「どこから手をつけるべきか」「現在の契約で守れるのか」といった段階のご相談も歓迎です。お気軽にお問い合わせください。