「ニュースで“AI規制”という言葉をよく聞くようになったが、 日本では結局どんなルールが決まっているのか、 自社が何を守ればいいのか分からない」「EUでは AI Act という厳しい法律ができたと聞くが、 日本の中小企業にも関係あるのか」「生成AIを業務で使い始めたものの、 法律やガイドラインに照らして問題ないのか、 誰に確認すればいいのか分からない」 — こうしたAIの法規制・ガイドラインに関する相談が、 ここ1年で AIBUILDERZ に急増しています。
本記事では、 日本国内のAI法規制・ガイドラインの全体像、 関連する主要な法律と各省庁が公表するガイドラインの位置づけ、 EU AI Act など海外規制との比較、 「ハードロー(法律)」 と「ソフトロー(指針)」 という日本特有のアプローチ、 AI事業者ガイドラインの読み解き方、 そして中堅・中小企業が今すぐ着手すべき具体的な対応・社内ルール・チェックリストまで、 実務目線で整理します。 読み終えた頃には、 「AI規制は怖いから様子見」 ではなく「今ある指針に沿って自社のAI活用を整える」 ための地図 が、 経営判断のレベルで手に入った状態になります。
本記事は 日本国内のAI法規制・ガイドラインと企業の対応に特化しています。 AI活用の社内ルールづくりや体制整備(AIガバナンス)の進め方は AIガバナンスの構築ガイド、 生成AI利用時の情報漏洩・セキュリティ対策は 生成AIの情報漏洩対策ガイド、 個人情報保護法とAIの関係に絞った詳細は AIと個人情報の取扱いガイド をご参照ください。 本記事は「個別の対策に入る前に、 まず日本の規制・ガイドラインの全体像をどう捉えるか」 という制度・ルールの俯瞰に絞って書いています。
日本のAI規制の特徴は、 EUのような「AIを直接縛る包括的な強制法(ハードロー)」 を一気に作るのではなく、 既存の法律(個人情報保護法・著作権法等)+各省庁のガイドライン(ソフトロー)で柔軟に対応する「イノベーションと活用の両立」 路線にある点です。 つまり中小企業がまず向き合うべきは「AI専用の罰則付き法律」 ではなく、 既存法の遵守と、 AI事業者ガイドライン等で示された“望ましい運用”への自主的な準拠 です。 ただし国内外の制度は急速に変化しており、 個別の法令名・施行時期・適用範囲は流動的なので、 重要な判断は必ず公式情報と専門家で最新を確認する前提で進めます。
日本のAI法規制・ガイドラインの全体像
日本のAI法規制・ガイドラインの全体像
「日本のAI規制」 と一口に言っても、 実態は一本の“AI法”があるわけではなく、 複数の既存法と複数のガイドラインが層になって構成されています。 最初にこの全体像を頭に入れておかないと、 「どこを見れば自社が守るべきことが分かるのか」 で迷子になります。 まずは構造を俯瞰しましょう。 結論を先取りすると、 日本のAI規制は「既存法(守る義務がある)」 と「ガイドライン(沿うことが望ましい)」 の二層構造で捉えるのが実務的です。
日本はこれまで、 AIを名指しで全面的に規制する強制力のある単独法を性急には作らず、 既存の法律でカバーできる部分は既存法で対応し、 足りない部分やAI特有の論点は各省庁のガイドラインで補うという方針を基本としてきました。 近年はAIの利活用推進と一定のルール整備を両立させる枠組み(いわゆるAI関連の法整備の議論)も進んでいますが、 その性格や具体的な適用範囲は流動的で、 最新の制定状況・施行時期は必ず公式情報で確認する必要があります。
「既存法」 と「ガイドライン」 の二層で考える
日本のAI規制を実務で扱うときは、 守らないと違法になる「既存法」 のレイヤーと、 守ることが望ましい「ガイドライン(指針)」 のレイヤーを分けて考えると整理しやすくなります。 前者は個人情報保護法・著作権法・各種業法など、 もともと存在する法律で、 AIを使う場面にも当然適用されます。 後者は各省庁が公表する“望ましい運用”を示した文書で、 多くは罰則を伴わない自主的な準拠が前提です。
- 既存法レイヤー: 個人情報保護法・著作権法・不正競争防止法・各業法など(守る義務がある)
- ガイドラインレイヤー: AI事業者ガイドライン等の各省庁指針(沿うことが望ましい)
- 業界・自主ルール: 業界団体や各社が定める利用基準・倫理原則
- 海外規制: EU AI Act など、 越境取引や海外展開で影響しうるもの
多くの中小企業がまず向き合うべきは「既存法レイヤー」 の遵守です。 AI専用の新しい罰則を心配する前に、 「AIに個人情報を入れて個人情報保護法に違反していないか」 「AIの出力で他者の著作権を侵害していないか」 といった、 既存法の遵守をAI利用の文脈で点検することが第一歩になります。
登場するプレイヤー|誰がルールを作っているか
AI規制・ガイドラインは複数の主体が関与しています。 全体像を掴むには、 「どの省庁・機関が何を担当しているか」 を大づかみに把握しておくと便利です。 細かな所管は変わりうるため、 ここでは大枠の役割分担をイメージとして示します。
- 政府全体・内閣府系: AI戦略や横断的な原則・ガイドラインの取りまとめ
- 経済産業省・総務省: 事業者向けのAI開発・利活用に関するガイドライン整備
- 個人情報保護委員会: 個人情報の取扱いに関する解釈・注意喚起
- 文化庁: 著作権とAI(学習・生成)に関する考え方の整理
- 各業所管官庁: 金融・医療など業界特有のAI利用に関する規律
重要なのは、 「一カ所を見れば全部分かる」 という単一の窓口は存在しないという点です。 自社のAI活用がどの領域に関わるか(個人情報を扱うのか、 著作物を生成するのか、 規制業種か)によって、 参照すべきガイドラインや所管が変わります。 だからこそ、 まず自社の利用実態を棚卸しし、 「どのレイヤー・どの所管に関わるか」 を特定することが、 規制対応の出発点になります。
第1章まとめ: 日本のAI規制は単独の“AI法”ではなく、 「守る義務がある既存法」 と「沿うことが望ましいガイドライン」 の二層構造。 中小企業がまず向き合うべきは既存法(個人情報保護法・著作権法等)の遵守をAI利用の文脈で点検すること。 ルールを作る主体は内閣府系・経産省・総務省・個人情報保護委員会・文化庁・各業所管と分散しており、 単一窓口はない。 自社の利用実態の棚卸しが出発点。
なぜ今AI規制が論点になっているのか
なぜ今AI規制が論点になっているのか
そもそも、 なぜここ数年で「AI規制」 が世界的・国内的に大きな論点になったのでしょうか。 背景を理解しておくと、 規制が「何を心配して作られているのか」 が分かり、 自社が何に注意すべきかの見当がつきます。 規制は天から降ってくるものではなく、 現実に起きた・起こりうるリスクへの社会の応答として形成されます。
生成AIの急速な普及がトリガーになった
最大のトリガーは、 生成AI(ChatGPT等)の爆発的な普及です。 従来のAIが一部の専門領域で使われていたのに対し、 生成AIは「誰もが・あらゆる業務で・手軽に使える」 状態を一気に作り出しました。 利用のハードルが下がったぶん、 情報漏洩・著作権侵害・誤情報の拡散・差別的な出力といったリスクも、 特定の専門家だけでなく社会全体の問題として顕在化しました。
普及のスピードに対して、 既存の法律やルールが必ずしも追いついていない領域があります。 「便利だが、 どう使えば安全で適法なのか」 という問いに社会が答えを求めた結果、 各国・各省庁がガイドラインや法整備の議論を加速させた、 という流れです。 規制の議論は「便利さを止めるため」 ではなく「安心して使い続けるため」 に進んでいる、 という構図を押さえておくと本質を見失いません。
主要なリスク類型|規制が守ろうとしているもの
AI規制・ガイドラインが共通して気にかけているリスクは、 おおむね次のような類型に整理できます。 自社のAI活用がこれらに触れていないかを点検する観点としても使えます。
- プライバシー侵害: 個人情報・プライバシーが不適切に収集・利用される
- 権利侵害: 著作権・肖像・商標など他者の権利を侵害する
- 誤情報・ハルシネーション: 誤った出力が意思決定や社会に悪影響を与える
- 差別・バイアス: 学習データの偏りで不公平・差別的な判断が生じる
- 安全性・悪用: なりすまし・偽情報・サイバー攻撃などへの悪用
- 説明責任の欠如: 判断の根拠が不透明で、 責任の所在が曖昧になる
これらは抽象的なリスク論に見えますが、 中小企業の日常業務でも普通に起こりうるものです。 たとえば「採用選考にAIを使ったらバイアスで不公平が生じた」 「生成した画像が他社の著作物に酷似していた」 など、 規制が想定するリスクは決して大企業や先端技術だけの話ではありません。 だからこそ、 規制の背景を知ることが自社の点検につながります。
第2章まとめ: AI規制が論点化した最大のトリガーは生成AIの爆発的普及で、 誰もが使える状態がリスクを社会全体の問題にした。 規制は「便利さを止めるため」 ではなく「安心して使い続けるため」 に進む。 守ろうとしている主要リスクはプライバシー・権利侵害・誤情報・差別バイアス・悪用・説明責任の欠如の6類型で、 いずれも中小企業の日常業務でも起こりうる。 背景を知ることが自社点検の観点になる。
日本の基本スタンス|ハードローとソフトローの使い分け
日本の基本スタンス|ハードローとソフトローの使い分け
日本のAI規制を理解する上で欠かせないのが、 「ハードロー」 と「ソフトロー」 という2つのルールの性格です。 この区別を知ると、 「日本はなぜEUのような厳しい単独法をすぐ作らないのか」 「ガイドラインは守らなくてもいいのか」 という疑問が一気に解けます。 日本は伝統的にイノベーションを止めない柔軟なアプローチを重視してきました。
| 区分 | 意味 | 強制力 | 日本のAI領域での例(イメージ) |
|---|---|---|---|
| ハードロー | 法律・条例など、 国家が定める強制力のあるルール | あり(違反に罰則・行政処分) | 個人情報保護法・著作権法など既存法 |
| ソフトロー | ガイドライン・原則・自主規制など | 原則なし(自主的準拠) | AI事業者ガイドライン等の各省庁指針 |
日本は「ソフトロー中心」 から出発した
日本のAIに対する基本姿勢は、 これまで「ソフトロー(ガイドライン)を中心に、 イノベーションと活用を両立させる」 方向で進んできました。 AIを名指しで一律に縛る強制法を急いで作るのではなく、 各省庁が“望ましい運用”を示し、 企業の自主的な取り組みを促す。 既存法で対応できる部分は既存法に委ねる。 こうした柔軟なアプローチは、 技術の進化が速い領域で過度に硬直的な規制を避けるという考え方に基づいています。
近年は、 利活用の推進と最低限のルール整備を組み合わせる方向での法整備の議論も進んでいます。 ただし、 その枠組みが「EU型の厳格な義務・罰則」 とは性格が異なる可能性が高く、 具体的な内容・適用範囲・施行時期は流動的です。 「日本でもAIを直接縛る厳しい法律ができた/できる」 と早合点せず、 最新の制定状況は必ず公式情報で確認するのが安全です。
「罰則がない=無視してよい」 ではない
ソフトロー(ガイドライン)には原則として罰則がありません。 しかし、 これを「守らなくてよい」 と解釈するのは危険です。 ガイドラインは、 トラブルが起きたときに「その企業が社会的に妥当な注意を払っていたか」 を測る基準(いわば“望ましい運用の物差し”)として機能します。 ガイドラインを無視していた事実は、 裁判・取引先からの評価・レピュテーション(評判)の場面で不利に働きうるのです。
さらに、 大企業や官公庁との取引では、 ガイドライン準拠を取引条件として求められるケースも増えています。 「法律ではないから関係ない」 ではなく、 「取引・信頼・有事の備えのために沿っておくべきもの」 と捉えるのが実務的です。 つまり日本のAI規制対応は、 既存法を守りつつ、 ガイドラインに自主的に沿うという二段構えで進めるのが基本になります。
第3章まとめ: 日本のAI規制理解の鍵は「ハードロー(強制力ある法律)」 と「ソフトロー(罰則なきガイドライン)」 の区別。 日本はソフトロー中心でイノベーションと活用を両立させる柔軟路線から出発し、 既存法で対応できる部分は既存法に委ねてきた。 近年の法整備議論もEU型の厳格な義務・罰則とは性格が異なる可能性が高く内容は流動的。 ガイドラインは罰則がなくても、 有事・取引・評判の場面で“望ましい運用の物差し”として機能するため無視は危険。
AIに関係する既存の主要法律
AIに関係する既存の主要法律
日本では、 AI専用の包括法を待つまでもなく、 すでにある法律がAI利用の場面に適用されます。 中小企業がまず守るべきは、 この既存法レイヤーです。 ここでは、 AI活用で関わりやすい主要な法律を、 「どんな場面で関係するか」 とセットで整理します。 なお、 各法の具体的な解釈・適用は事案ごとに異なり改正もあるため、 重要な判断は最新の条文と専門家の見解で確認してください。
| 法律 | AIで関係する主な場面 | 中小企業が注意すべき点 |
|---|---|---|
| 個人情報保護法 | 個人情報をAIに入力・学習・分析させる | 利用目的・第三者提供・委託先監督 |
| 著作権法 | AIの学習データ・生成物の著作権 | 他者著作物の侵害・生成物の権利 |
| 不正競争防止法 | 営業秘密の入力・なりすまし等 | 営業秘密の流出・限定提供データ |
| 各種業法 | 金融・医療・士業などのAI利用 | 業界固有の規律・有資格者の関与 |
| 民法・契約一般 | AI出力に起因する損害・責任 | 責任の所在・利用規約・委託契約 |
個人情報保護法|AI利用で最も関わる法律
中小企業のAI活用で最も頻繁に関わるのが個人情報保護法です。 顧客リストや問い合わせ履歴をAIに入力して分析・要約させる、 採用選考で応募者情報をAIに処理させる、 といった場面はすべてこの法律の射程に入ります。 個人データを外部のAIサービスに渡す行為は、 利用目的の範囲・第三者提供・委託先の監督といった観点で慎重な検討が必要です。
実務上の要点は、 (1) 取得時に告げた利用目的の範囲内でAIに使っているか、 (2) 外部AIサービスへの入力が「委託」 や「第三者提供」 に当たらないか、 (3) 委託に当たる場合に委託先(AI提供者)を適切に監督しているか、 です。 この領域は論点が多く改正も続くため、 詳細は AIと個人情報の取扱いガイド で個別に整理しています。 個人情報を扱うAI活用では、 この法律の遵守が最優先事項になります。
著作権法|学習と生成の両面で論点になる
生成AIの普及で関心が高まっているのが著作権法です。 論点は大きく2つあります。 1つは「AIに学習させるデータが他者の著作物である場合の扱い」、 もう1つは「AIが生成した成果物が他者の著作物を侵害していないか・生成物に権利が生じるか」 です。 とくに後者は、 生成画像や生成文章が既存の作品に酷似していた場合の侵害リスクとして、 実務で注意が必要になります。
中小企業の実務では、 「生成AIで作った画像・ロゴ・文章をそのまま商用利用してよいか」 という形で問題が表面化します。 安全側の運用は、 (1) 特定の作品・作風を狙って模倣させない、 (2) 生成物が既存著作物に酷似していないか目視で確認する、 (3) 重要な商用利用物は権利関係を専門家に確認する、 です。 AIと著作権の解釈は議論が進行中で変わりうるため、 断定的な自己判断を避け、 最新の考え方を確認する姿勢が安全です。
業法・契約|業種特有の規律と責任の所在
金融・医療・士業など規制業種では、 業界固有の法律(業法)がAI利用に影響します。 たとえば有資格者の判断が必要な業務をAIだけで完結させてよいか、 といった論点です。 規制業種でAIを使う場合は、 一般的なガイドラインだけでなく業所管官庁の規律や業界団体のルールも併せて確認する必要があります。
また、 AIの出力に起因して損害が生じた場合の責任の所在も、 契約・利用規約のレベルで整理しておくべき論点です。 「AIが間違えたから責任がない」 とは限らず、 AIを使う事業者・出力を検証する人間の責任が問われる場面があります。 業務にAIを組み込む際は、 出力の検証義務・責任分担・委託契約の条項を事前に設計しておくことが、 トラブル時の備えになります。
第4章まとめ: AI専用法を待たずとも既存法がAI利用に適用される。 最も関わるのは個人情報保護法(利用目的・第三者提供・委託先監督)、 次いで著作権法(学習データと生成物の両面)、 不正競争防止法(営業秘密)、 各業法(規制業種)、 民法・契約(責任の所在)。 中小企業がまず守るべきはこの既存法レイヤー。 解釈・適用は事案ごとに異なり改正もあるため、 重要な判断は最新条文と専門家で確認する。
各省庁の主要ガイドラインと位置づけ
各省庁の主要ガイドラインと位置づけ
既存法に続いて押さえるべきがソフトロー、 すなわち各省庁が公表するガイドライン(指針)です。 これらは罰則こそ伴いませんが、 「日本でAIを使う事業者として、 どう振る舞うのが望ましいか」 の基準を示しています。 ここでは代表的なガイドラインの系統と位置づけを、 大づかみに整理します。 なおガイドラインは統合・改訂が進むため、 個別の名称・版・所管は公式で最新を確認してください。
事業者向けの横断ガイドライン
最も中心的なのが、 AIを開発・提供・利用する事業者に向けた横断的なガイドラインの系統です。 経済産業省・総務省などが関わり、 過去に分かれていた複数の指針(開発者向け・利用者向け等)を統合・整理する流れで、 「AI事業者ガイドライン」 と総称される横断的な指針が事業者の拠り所として参照されています。 開発する立場・サービスとして提供する立場・業務で利用する立場、 それぞれが意識すべき原則をカバーするのが特徴です。
中堅・中小企業の多くは「AIを業務で利用する立場」 に該当します。 自社がAIを“作る”のか“提供する”のか“使う”のかで、 ガイドラインのどの部分を重点的に読むべきかが変わります。 まずは「利用者(業務でAIを使う事業者)」 としての推奨事項を押さえるのが実務的な出発点です。 このガイドラインの読み解き方は次章で詳しく扱います。
テーマ別・領域別のガイドライン
横断ガイドラインに加えて、 特定テーマに絞った指針・考え方も存在します。 個人情報を扱うAIに関する個人情報保護委員会の注意喚起、 著作権とAIに関する文化庁の考え方の整理、 規制業種における業所管官庁の指針などです。 自社のAI活用が触れる領域に応じて、 該当するテーマ別ガイドラインを参照します。
- 個人情報×AI: 個人データをAIに扱わせる際の注意点・解釈
- 著作権×AI: 学習・生成における著作権の考え方の整理
- 業種別: 金融・医療など規制業種でのAI利用に関する規律
- 公共調達・行政: 行政機関でのAI利用に関する指針
これらは「全部を読破する」 必要はなく、 自社の利用実態に関係するものだけをピンポイントで確認すれば十分です。 たとえば個人情報を一切扱わずAIで社内文書の要約だけをしている企業が、 規制業種向けの細かい指針まで読み込む必要はありません。 自社の棚卸し(第1章)の結果に基づいて、 参照範囲を絞ることが効率的です。
国際的な原則との整合
日本のガイドラインは、 国際的に合意されたAIの原則とも整合する形で設計される傾向があります。 「人間中心」 「公平性」 「透明性」 「説明責任」 「安全性」 といった、 国際機関や主要国の枠組みで共有されている価値観です。 これらは抽象的に見えますが、 グローバルに事業展開する企業にとっては「どの国でも通用する共通言語」として機能します。
中小企業であっても、 海外の取引先や海外向けサービスを持つ場合は、 こうした国際原則との整合を意識しておくと、 後述するEU AI Actなど海外規制への対応もスムーズになります。 国内ガイドラインに沿っておくことが、 結果的に国際的な信頼の土台にもなる、 という相互補完の関係を理解しておくとよいでしょう。
第5章まとめ: ソフトローの中心は事業者向けの横断ガイドライン(開発者・提供者・利用者の立場をカバー、 統合・整理が進む「AI事業者ガイドライン」 と総称される系統)。 加えて個人情報×AI・著作権×AI・業種別などテーマ別の指針がある。 全部を読む必要はなく自社の利用実態に関係するものだけをピンポイントで確認すればよい。 日本のガイドラインは人間中心・公平性・透明性等の国際原則とも整合し、 沿うことが海外規制対応の土台にもなる。 名称・版は流動的なので公式で最新確認。
AI事業者ガイドラインの読み解き方
AI事業者ガイドラインの読み解き方
事業者向け横断ガイドラインは、 中小企業がAI規制対応を考えるときの最も実務的な参照点です。 ただし、 原則が抽象的に書かれているため「結局、 自社は何をすればいいのか」 が掴みにくいという声をよく聞きます。 ここでは、 ガイドラインを「立場」 と「原則」 の2軸で読み解く方法を示します。 これにより、 膨大な文書から自社に必要な部分だけを抽出できます。
まず「自社の立場」 を特定する
ガイドラインを読む前に、 自社がAIに対してどの立場にあるかを特定します。 同じガイドラインでも、 立場によって意識すべき事項が変わるためです。 多くの中小企業は「利用者」 に該当しますが、 自社サービスにAIを組み込んで顧客に提供している場合は「提供者」 の側面も持ちます。
- 開発者: AIモデルやシステムを自ら開発する立場
- 提供者: AIを組み込んだ製品・サービスを顧客に提供する立場
- 利用者: 業務でAIサービスを使う立場(多くの中小企業はここ)
立場を特定したら、 その立場に向けて書かれた推奨事項を重点的に読むのが効率的です。 たとえば「業務でChatGPTを使うだけ」 の企業が、 AIモデルの開発者向けの細かい技術要件まで読み込む必要はありません。 自社の立場に対応する箇所に集中することで、 読む量を現実的なサイズに絞れます。
「共通原則」 を自社の行動に翻訳する
ガイドラインには、 立場を問わず共有される共通の原則が示されています。 これらを「抽象的な理念」 で終わらせず、 自社の具体的な行動に翻訳することが重要です。 主要な原則と、 中小企業の実務への翻訳例を整理します。
- 人間中心: AIの判断を鵜呑みにせず人間が最終確認する運用を作る
- 公平性: 採用・与信などで差別的な出力が出ないか点検する
- 透明性: AIを使っていることや出力の限界を関係者に説明する
- 安全性: 誤情報・悪用・漏洩を防ぐ運用とチェックを設ける
- 説明責任: 問題時に誰が責任を負い対応するかを明確にする
このように、 各原則を「自社では具体的に何をするか」 に落とし込むと、 ガイドラインが実務の指針として機能し始めます。 原則を眺めるだけでは何も変わりませんが、 「人間中心=AI出力は必ず人が確認」 のように行動レベルに翻訳すれば、 社内ルールや業務フローに組み込めます。 この翻訳作業こそが、 規制対応の中核です。
ガイドラインを「社内ルール」 に変換する
最後のステップは、 翻訳した行動を社内ルール(利用規程・運用手順)として明文化することです。 ガイドラインは外部の文書ですが、 それを自社の言葉で社内ルールに落とし込まなければ、 現場は動けません。 「ガイドラインに沿っている」 と言える状態とは、 原則が自社の規程・チェック・運用に具体的に組み込まれている状態を指します。
この「ガイドライン → 行動への翻訳 → 社内ルール化」 の流れは、 体制づくり全般(AIガバナンス)の一部でもあります。 社内ルールの作り方や推進体制の整え方は AIガバナンスの構築ガイド で詳しく扱っています。 ガイドラインを読むこと自体が目的ではなく、 自社の運用に組み込んで初めて意味があるという点を忘れないでください。
第6章まとめ: 事業者向け横断ガイドラインは「立場」 と「原則」 の2軸で読み解く。 まず自社が開発者・提供者・利用者のどれか(多くの中小企業は利用者)を特定し、 その立場向けの推奨を重点的に読む。 次に人間中心・公平性・透明性・安全性・説明責任の共通原則を「自社で具体的に何をするか」 に翻訳する。 最後に翻訳した行動を社内ルール(規程・運用手順)に明文化する。 読むこと自体でなく運用に組み込むことが目的。
海外との比較|EU AI Act・米国・中国
海外との比較|EU AI Act・米国・中国
日本のスタンスを正しく理解するには、 海外の規制アプローチと比較するのが近道です。 主要国・地域はそれぞれ異なる思想でAI規制に臨んでおり、 日本の「ソフトロー中心・既存法活用」 路線がどんな位置づけなのかが、 比較で鮮明になります。 ここでは代表的な3つの地域を取り上げます。 各国の制度も改正・運用が進行中のため、 詳細は最新の公式情報で確認してください。
| 地域 | 基本アプローチ | 特徴 | 日本企業への関わり |
|---|---|---|---|
| EU | 包括的な強制法(AI Act) | リスクベースで義務・罰則を設定 | EU市場と関わる場合に影響しうる |
| 米国 | 分野別・州ごとに多様 | 連邦の包括法より個別対応が中心 | 取引先・進出先の州法に留意 |
| 中国 | 分野ごとに比較的早期に規律 | 生成AI等で個別の規制を整備 | 中国市場での提供時に留意 |
| 日本 | ソフトロー中心+既存法活用 | イノベーションと活用の両立重視 | 国内活用の基本軸 |
包括的・規制先行アプローチ
- 形式AIを直接縛る包括的な強制法
- 手法リスクの高さで義務の重さを段階分け
- 強制力違反に高額な制裁の枠組み
- 狙い権利保護・安全性を法で担保
- 留意適合のための対応負荷が大きい
- 影響域外の企業にも及びうる
ソフトロー中心・活用両立アプローチ
- 形式既存法+ガイドラインの組み合わせ
- 手法望ましい運用を示し自主準拠を促す
- 強制力ガイドラインは原則罰則なし
- 狙いイノベーションと活用を止めない
- 留意“沿うべき範囲”を自社で判断する
- 影響国内活用のハードルは比較的低い
EUは「リスクベースの包括規制」
EUの AI Act は、 AIを直接対象とする包括的な強制法として世界的に注目されています。 特徴は「リスクベース・アプローチ」 で、 AIの用途をリスクの高さで分類し、 高リスクほど厳しい義務を課す設計です。 許容できないリスクのある用途は禁止し、 高リスク用途には適合性評価などの重い義務を設ける、 という考え方です。 違反には大きな制裁の枠組みが用意されているとされます。
この包括・規制先行アプローチは、 権利保護や安全性を法で担保する強さがある一方、 適合のための対応負荷が大きいという側面もあります。 日本の「まず活用を進め、 ガイドラインで望ましい運用を促す」 路線とは思想が対照的です。 どちらが優れているという話ではなく、 守るべきものと活用のバランスをどこで取るかの違いとして理解するのが適切です。
米国・中国はそれぞれ異なる道
米国は、 連邦レベルの包括法というよりも分野別・州ごとの規律が中心とされ、 イノベーションを重視しつつ個別領域で対応する傾向があります。 州によって規律が異なるため、 米国で事業を行う・米国の取引先と関わる場合は、 関係する州の動向に留意が必要です。 中国は、 生成AIなど特定分野で比較的早期に個別の規律を整備してきたとされ、 中国市場でサービスを提供する際には固有の規制への対応が求められます。
こうして並べると、 「世界共通のAI規制」 は存在せず、 地域ごとに思想と手法が異なることが分かります。 日本企業が国内で活用する分には日本のアプローチが基本軸ですが、 海外と関わる事業を持つ場合は、 関係する地域の規制を個別に確認する姿勢が欠かせません。 グローバル展開の有無で、 見るべき範囲が大きく変わります。
第7章まとめ: 世界共通のAI規制は存在せず、 地域ごとに思想が異なる。 EUはリスクベースの包括的強制法(AI Act)で権利保護を法担保するが対応負荷が大きい。 米国は分野別・州ごと、 中国は分野ごとに早期の個別規律という道。 日本はソフトロー中心+既存法活用でイノベーションと活用を両立させる路線。 国内活用は日本のアプローチが基本軸だが、 海外と関わる事業は関係地域の規制を個別確認する。 各国制度も流動的で公式確認が前提。
EU AI Actは日本企業にどう影響するか
EU AI Actは日本企業にどう影響するか
「EUの法律なら日本の中小企業には関係ない」 と考えるのは早計です。 EU AI Act は、 一定の条件下でEU域外の企業にも影響が及びうる設計を含むとされ、 「自社はEUと無関係」 と断じる前に確認すべき点があります。 ここでは、 どんな日本企業が・どの程度気にすべきかを実務目線で整理します。 なお適用範囲の詳細は流動的なため、 EUと取引がある場合は専門家・公式情報での確認が必須です。
「域外適用」 がありうるという前提
EUのデジタル関連規制は、 一般にEU域内の人・市場に影響を与える事業者には、 所在地が域外でも適用されうるという考え方を取ることがあります。 AI Act についても、 EU市場向けにAIシステムを提供する、 EU域内の人に対してAIの出力を用いる、 といった関わり方をする企業は、 日本に所在していても無関係とは言い切れない可能性があります。
逆に言えば、 純粋に国内のみで完結し、 EUとの接点が一切ない事業であれば、 直接の適用を過度に心配する必要は低いと考えられます。 ポイントは「EUとの接点があるか」 を冷静に棚卸しすることです。 「海外は怖いから何もしない」 でも「自社は関係ないと決めつける」 でもなく、 自社の事業がEU市場・EU域内の人とどう関わるかを確認する、 という現実的な姿勢が必要です。
どんな日本企業が確認すべきか
EU AI Act への影響を確認すべき日本企業の典型例を整理します。 これらに当てはまる場合は、 専門家を交えて適用の有無・対応の要否を検討する価値があります。
- EU向けにAI搭載製品・サービスを提供している、 または計画している
- EUの顧客・ユーザーのデータをAIで処理している
- EU企業のサプライチェーンに組み込まれ、 AI関連の要件を求められる
- 越境ECや海外向けサービスでEU域内の人を対象にしている
一方、 国内顧客のみを対象に、 社内業務でAIを使っているだけの中小企業であれば、 EU AI Act の直接適用を過度に恐れる必要は低いと考えられます。 まずは「自社はどちらに近いか」 を見極め、 接点がある場合のみ深掘りする、 というメリハリが現実的です。 接点の有無の判断自体に迷う場合は、 早めに専門家へ相談するのが安全です。
国内ガイドライン準拠が海外対応の土台になる
重要な視点として、 日本国内のガイドラインに沿った運用を整えておくことが、 海外規制への対応の土台になります。 第5章で触れたとおり、 国内ガイドラインは人間中心・透明性・説明責任などの国際原則と整合する傾向があり、 これらを社内に実装していれば、 EU等の規制が求める基本的な考え方とも重なる部分が多いからです。
つまり、 海外規制への身構えとして特別なことを一から始める必要は必ずしもなく、 まず国内ガイドラインに沿った体制を整え、 そのうえで海外との接点に応じて上乗せ対応するのが効率的です。 国内対応と海外対応を分断して考えるのではなく、 共通の土台の上に積み上げる発想が、 中小企業のリソースでも現実的に回せる進め方になります。
第8章まとめ: EU AI Act はEU域外の企業にも影響が及びうる設計を含むとされ「自社は無関係」 と断じる前に確認が必要。 確認すべきはEU向けAI製品提供・EU顧客データ処理・EU企業サプライチェーン・越境ECなど「EUとの接点がある」 企業。 国内顧客のみで社内業務にAIを使うだけなら直接適用を過度に恐れる必要は低い。 国内ガイドライン準拠は国際原則と整合し海外対応の土台になるため、 共通の土台に上乗せする発想が効率的。 適用範囲は流動的で公式・専門家確認が必須。
規制が中堅・中小企業に与える実務インパクト
規制が中堅・中小企業に与える実務インパクト
ここまで制度の全体像を見てきました。 では実際のところ、 AI規制・ガイドラインは中堅・中小企業の日常業務にどんな影響を与えるのでしょうか。 「大企業の話で、 うちには関係ない」 と感じる方も多いですが、 中小企業だからこそ効いてくる実務インパクトがあります。 ここでは現実的な4つの影響を整理します。
取引条件としての“規制対応”が増える
最も直接的な影響が、 取引先からAI利用の適切性を問われるケースの増加です。 大企業や官公庁との取引では、 委託先のセキュリティやコンプライアンス体制が審査されますが、 そこに「AIをどう適切に使っているか」 が項目として加わる流れが進んでいます。 「ガイドラインに沿った運用をしているか」 を取引の前提として確認される場面が、 今後さらに増えると見られます。
これは中小企業にとって、 規制対応が「コスト」 ではなく「取引を獲得・維持するための条件」 に変わることを意味します。 逆に言えば、 早めに体制を整えておけば、 「AIを適切に扱える会社」 として選ばれる差別化要因にもなります。 規制対応を守りだけでなく攻めの観点でも捉えられる企業が、 これからの取引で優位に立ちます。
レピュテーションリスクの管理
2つ目はレピュテーション(評判)リスクです。 AIの不適切な利用でトラブルが起きれば、 罰則の有無に関わらず、 顧客・取引先・社会からの信頼を失います。 「個人情報をAIに不用意に入れて漏洩した」 「生成物が他社の権利を侵害した」 といった事態は、 中小企業ほど一度の信頼失墜が事業に直撃します。 体力のある大企業以上に、 評判リスクの管理が重要になるのです。
ガイドラインに沿った運用を整えておくことは、 こうした評判リスクへの予防策であると同時に、 万一トラブルが起きたときに「適切な注意を払っていた」 と示せる備えでもあります。 「ルールがあって守っていた」 と「無策だった」 では、 有事の対外的な説明力がまったく異なります。
過剰反応による“活用機会の損失”
見落とされがちな3つ目の影響が、 規制を恐れるあまりAI活用が止まる「機会損失」です。 「規制が怖いから全面禁止」 という過剰反応は、 競合がAIで効率化・高度化を進める中で、 自社だけが生産性向上の波に乗り遅れる結果を招きます。 規制対応の本来の目的は「使わないこと」 ではなく「安全に使い続けること」 です。
規制・ガイドラインを正しく理解すれば、 「どこまでなら安全に活用できるか」 の境界線が引けます。 その境界線の内側で積極的に活用することが、 規制対応の正しいゴールです。 AIによる業務効率化の全体像は 業務効率化×AIの導入ガイド で整理しているとおり、 適切なルールの上での活用こそが競争力になります。 過剰な萎縮は、 規制以上に事業を蝕みます。
対応リソースの制約という現実
4つ目は、 中小企業特有のリソース制約です。 大企業のように専任の法務・コンプライアンス部門やAI専門チームを持てないため、 「ガイドラインを読み込んで社内ルールに落とす」 作業自体が負担になりがちです。 これが「分かってはいるが手が回らない」 という中小企業の規制対応が進まない最大の理由です。
この制約への現実解は、 (1) 完璧を目指さず最小限から始める、 (2) 自社の利用実態に関係する範囲だけに絞る、 (3) 必要に応じて外部の知見を活用する、 の3点です。 すべてを自前で抱え込もうとせず、 「まず動く最小限の体制」 を作って育てる発想が、 限られたリソースで規制対応を前に進める鍵になります。
第9章まとめ: 規制の実務インパクトは中小企業にこそ効く。 (1)取引条件としてAI利用の適切性を問われる場面が増え、 早期対応は差別化にもなる。 (2)トラブル時のレピュテーションリスクは中小企業ほど直撃するため、 ガイドライン準拠が予防と備えになる。 (3)規制を恐れた過剰禁止は活用機会の損失を招く—目的は「安全に使い続けること」。 (4)リソース制約が対応を阻むため、 最小限から・範囲を絞り・外部知見を活用する現実解で進める。
企業が今すぐ着手すべき対応5ステップ
企業が今すぐ着手すべき対応5ステップ
制度の理解を、 具体的な行動に変えましょう。 中堅・中小企業が規制・ガイドラインに沿ったAI活用を始めるための現実的な5ステップを示します。 完璧な体制を一気に作る必要はありません。 「まず動く最小限」 を作り、 運用しながら育てるのが、 リソースの限られた企業にとって最も確実な進め方です。
AI利用実態の棚卸し
まず社内で「誰が・どの業務で・どのAIを・どんなデータで」 使っているかを洗い出します。 個人情報を扱っているか、 著作物を生成しているか、 海外と接点があるか、 という観点で分類すると、 後続の対応で参照すべき法令・ガイドライン・地域が見えてきます。 シャドーAI(無許可利用)の把握もここで行います。
守るべき既存法の特定とリスク評価
棚卸し結果をもとに、 自社に関係する既存法(個人情報保護法・著作権法等)を特定し、 現状の利用が抵触していないかを点検します。 とくに個人情報をAIに入力している箇所は最優先で確認します。 リスクの高い利用から順に、 対応の優先順位をつけます。
参照すべきガイドラインの絞り込みと翻訳
自社の立場(多くは利用者)と利用領域に応じて、 参照すべきガイドラインを絞り込みます。 そして人間中心・透明性・説明責任などの原則を「自社では具体的に何をするか」 という行動に翻訳します。 全部を読むのではなく、 関係する部分だけを実務に落とします。
社内ルール(利用規程)の整備と周知
翻訳した行動を、 AI利用規程・入力可否ルール・出力検証の手順として明文化します。 「何を入れてよいか/いけないか」 「出力は誰が確認するか」 「困ったら誰に相談するか」 を具体化し、 説明会やテストで現場に腹落ちさせます。 配って終わりにしないことが重要です。
運用・点検・アップデートの仕組み化
ルールを運用に乗せ、 定期的に点検します。 規制・ガイドラインは更新されるため、 半年〜1年に一度は最新状況を確認し、 ルールを見直すサイクルを組み込みます。 トラブル時の報告窓口と対応フローも平時に用意し、 「作って終わり」 ではなく「育て続ける」 体制にします。
最初の一歩は「棚卸し」 で十分
5ステップを見て「大変そう」 と感じたかもしれませんが、 最初の一歩はステップ1の「棚卸し」 だけで十分です。 自社で誰がどうAIを使っているかを把握するだけでも、 多くの企業は「思った以上に無管理だった」 ことに気づきます。 現状を可視化することが、 すべての対応の起点になります。 ここを飛ばして規程だけ作っても、 実態に合わない絵に描いた餅になりがちです。
棚卸しの結果、 「個人情報をAIに入れている」 「生成物を商用利用している」 といったリスクの高い利用が見つかれば、 そこから優先的に対応すればよいのです。 全部を同時に完璧にする必要はありません。 リスクの高い順に、 動く最小限から。 これが中小企業の規制対応を現実的に前進させる原則です。
第10章まとめ: 規制対応の現実的な5ステップは (1)AI利用実態の棚卸し (2)守るべき既存法の特定とリスク評価 (3)参照ガイドラインの絞り込みと行動への翻訳 (4)社内ルールの整備と周知 (5)運用・点検・アップデートの仕組み化。 完璧を一気に目指さず「動く最小限」 から育てる。 最初の一歩はステップ1の棚卸しだけで十分で、 現状可視化がすべての起点。 立ち上げ負荷の高い部分は外部知見を活用し運用は内製化するハイブリッドが現実的。
AI規制対応セルフチェックリスト
AI規制対応セルフチェックリスト
自社のAI規制対応がどの程度進んでいるかを、 簡単に自己点検できるチェックリストを用意しました。 「はい」 と即答できない項目があれば、 そこが着手すべきポイントです。 完璧である必要はなく、 どこが弱いかを把握して優先順位をつけるために使ってください。 まずは現状を直視することから始まります。
| 領域 | チェック項目 | 弱い場合に見る章 |
|---|---|---|
| 棚卸し | 社内で誰がどのAIをどう使っているか把握しているか | 第10章 ステップ1 |
| 個人情報 | 個人情報をAIに入れる際のルールがあるか | 第4章・関連記事 |
| 著作権 | 生成物の商用利用時に権利侵害を確認しているか | 第4章 |
| 社内ルール | AI利用規程・入力可否ルールが明文化されているか | 第6章・第10章 |
| 出力検証 | AIの出力を人が確認する運用があるか | 第6章(人間中心) |
| 海外接点 | EU等との接点の有無を確認しているか | 第8章 |
| 体制・窓口 | 困ったとき・トラブル時の相談先が決まっているか | 第9章・第10章 |
| 更新 | 規制・ガイドラインの最新確認の仕組みがあるか | 第10章 ステップ5 |
「はい」 が3つ以下なら、 まず棚卸しから
チェック項目に「はい」 と答えられたのが3つ以下であれば、 自社のAI規制対応はまだ始まったばかりの段階です。 焦る必要はありませんが、 競合や取引先の動きを考えると、 着手の優先度は高いと言えます。 まずは第10章のステップ1「棚卸し」 から始め、 現状を可視化して弱点を特定することが、 最も費用対効果の高い第一歩です。
「はい」 が4〜6つであれば、 基本的な対応は進んでいる状態です。 弱い領域(とくに社内ルール化や更新の仕組み)を補強しましょう。 「はい」 が7つ以上であれば、 中小企業として十分な水準に達しています。 あとは運用を形骸化させず、 定期点検と更新を続けることに注力してください。
点検は「完璧」 でなく「継続」 が目的
このチェックリストの目的は、 一度で満点を取ることではありません。 定期的に同じ点検を繰り返し、 状態の変化を追うことです。 規制・ガイドラインは更新され、 自社のAI利用も拡大します。 半年に一度このリストで点検すれば、 「いつの間にか実態とルールがズレていた」 という事態を防げます。
完璧を目指して身構えるより、 定期的に・気軽に・継続して点検する仕組みのほうが、 実際の規制対応の質を高めます。 チェックリストを社内の定例(四半期レビュー等)に組み込んでおくと、 対応が自然に回り続けます。 「やりっぱなし」 にしないことが、 規制対応を生きたものにする最大のコツです。
第11章まとめ: セルフチェックは棚卸し・個人情報・著作権・社内ルール・出力検証・海外接点・体制窓口・更新の8領域。 「はい」 が3つ以下ならまず棚卸しから着手、 4〜6つなら弱い領域(社内ルール化・更新)を補強、 7つ以上なら運用の形骸化防止に注力。 目的は一度で満点でなく定期的な継続点検で実態とルールのズレを防ぐこと。 四半期レビュー等の定例に組み込むと自然に回り続ける。
規制対応でやりがちな失敗7選と回避策
規制対応でやりがちな失敗7選と回避策
最後に、 中堅・中小企業がAI規制対応で陥りがちな失敗パターンを、 回避策とセットで整理します。 これらは「知っていれば避けられる」 落とし穴です。 自社が同じ轍を踏んでいないか、 点検の材料にしてください。 失敗の多くは「両極端」 と「やりっぱなし」 に集約されます。
| 失敗パターン | 何が起きるか | 回避策 |
|---|---|---|
| 1. 過剰な全面禁止 | 活用機会を失い、 シャドーAIを誘発 | 安全な範囲を定めて使わせる設計 |
| 2. 無策のまま放任 | 誤入力・権利侵害・漏洩が野放しに | 最小限のルールを早期に整備 |
| 3. 「AI法待ち」 で何もしない | 既存法違反を見落とし続ける | 既存法の遵守は今すぐ点検 |
| 4. ガイドラインを軽視 | 取引・有事で不利な立場に | 罰則なしでも“望ましい運用”に沿う |
| 5. 完璧主義で着手できない | 議論ばかりで実装が進まない | 動く最小限から始め育てる |
| 6. 規程を作って放置 | 更新されず実態とズレ形骸化 | 半年〜1年で定期点検・更新 |
| 7. 海外接点を見落とす | EU等の規制対応に気づかない | EU市場との接点を棚卸しで確認 |
最も多い失敗|「禁止」 と「放任」 の両極端
7つのうち最も多いのが、 「過剰な全面禁止」(パターン1)と「無策のまま放任」(パターン2)の両極端です。 禁止しすぎてシャドーAIと機会損失を生むか、 放任しすぎて誤入力や権利侵害を生むか。 正解は両極端の中間にある「安全な範囲を定めて、 明確なルールで使わせる」 という設計です。 これは情報漏洩対策やガバナンスの考え方とも共通する、 AI活用全般の鉄則です。
「規制が怖い → だから禁止」 でも「面倒だ → だから放任」 でもなく、 「規制・ガイドラインを理解して、 安全な活用の境界線を引く」 こと。 この中間設計こそが、 本記事全体を貫く主張です。 禁止か放任かの二択をやめるだけで、 規制対応の失敗の大半は回避できます。
「AI法待ち」 と「完璧主義」 という先延ばし
もう一つの隠れた失敗が、 「包括的なAI法ができてから対応すればいい」(パターン3)と「完璧な体制ができるまで動けない」(パターン5) という先延ばしです。 前者は、 既存法(個人情報保護法等)の遵守がすでに求められている事実を見落とします。 後者は、 議論ばかりで一向に実装が進まず、 結局リスクを放置し続けます。 どちらも「今できることを今やる」 を妨げる思考です。
AI規制対応に「完成」 はありません。 制度は変わり続け、 自社の利用も拡大し続けるからです。 だからこそ、 完璧を待たず、 今ある既存法とガイドラインに沿って動く最小限から始めるのが正解です。 「いつか」 ではなく「今日、 棚卸しから」。 この一歩の差が、 リスクの蓄積と取引機会の差になって表れます。
第12章まとめ: 規制対応の失敗7選は (1)過剰な全面禁止 (2)無策の放任 (3)「AI法待ち」 で何もしない (4)ガイドライン軽視 (5)完璧主義で着手できない (6)規程を作って放置 (7)海外接点の見落とし。 最多は「禁止」 と「放任」 の両極端で、 正解は中間の「安全な範囲+明確なルール」。 「AI法待ち」 と「完璧主義」 という先延ばしも危険。 既存法遵守は今すぐ、 完璧を待たず動く最小限から始めるのが鉄則。
AIBUILDERZが選ばれる理由|規制と活用の両立支援
AIBUILDERZが選ばれる理由|規制と活用の両立支援
AI規制・ガイドラインの解説はできても、 「規制を守りながら、 実際にAIで成果を出す」 ところまで一気通貫で支援できる会社は限られます。 法務だけ・技術だけでは、 「守ること」 と「活用すること」 が分断されてしまうからです。 AIBUILDERZ は自社で実際にAIを活用しながら、 既存法・ガイドラインに沿った運用を組んできた知見をそのまま提供します。 選ばれている理由を整理します。
- 2「禁止でも放任でもない」 中間設計が得意:規制を理由に活用を止めるのでも、 無策で放任するのでもなく、 「安全に使える境界線」 を引く設計を支援。 棚卸し→既存法点検→ガイドライン翻訳→社内ルール化までを一気通貫で伴走します。
- 3立ち上げの負荷を肩代わり、 運用は内製化:ガイドラインの読み解きや規程雛形づくりなど、 専任部門のない中小企業に負担の大きい部分を支援し、 運用は自社で回せる形に設計。 リソース制約のある企業でも続けられる体制を作ります。
- 4代表が直接担当・意思決定が速い:営業・コンサル・実装が分断されず、 規制対応の方針からAI活用の設計まで代表が一貫担当。 中堅・中小企業のスピード感に合わせて伴走します。
- 5月20〜80万円帯で中堅・中小に対応:大手ファームの大規模案件中心ではなく、 年商10〜100億規模の予算に合わせた価格設計。 過剰スペックなしで、 規制対応とAI活用に必要十分な支援を提供します。
よくある質問(FAQ)
よくある質問(FAQ)
Q1. 日本には「AIを規制する法律」 は存在するのですか?
Q2. ガイドラインは罰則がないなら、 守らなくてもよいのですか?
Q3. うちは中小企業ですが、 それでもAI規制への対応は必要ですか?
Q4. EUのAI Actは、 日本国内だけで事業をしている会社にも関係しますか?
Q5. 生成AIで作った画像や文章を、 そのまま商用利用してよいですか?
Q6. AIに個人情報を入力するのは、 法律的に問題ありますか?
Q7. AI事業者ガイドラインは、 どこから読めばよいですか?
Q8. 規制が今後さらに厳しくなる可能性はありますか? どう備えればよいですか?
Q9. AI規制への対応を、 何から始めればよいか分かりません。
第14章まとめ: FAQの総括。 「日本はAI専用の強制法ではなく既存法+ガイドラインで対応(最新は公式確認)」 「ガイドラインは罰則なしでも有事・取引で物差しになり無視は危険」 「中小企業にこそ実務インパクトがある」 「EU AI Actは接点があれば確認」 「生成物の商用利用と個人情報入力は要注意」 「ガイドラインは立場を特定して読む」 「最初の一歩は棚卸し」 が主要回答。 個別の法的判断は専門家へ。
まとめ
まとめ
日本のAI法規制・ガイドラインへの対応は、 「AI専用の厳しい法律に怯えること」 でも「規制を理由に活用を止めること」 でもなく「既存法を守り、 ガイドラインに沿って、 安全にAIを活用すること」に尽きます。 日本は既存法(守る義務)+ガイドライン(沿うことが望ましい)の二層構造で、 イノベーションと活用の両立を重視する柔軟なアプローチを取ってきました。 本記事の要点を最後に整理します。
AI規制・ガイドラインへの対応でお悩みですか?
30分の無料相談で道筋を整理します。
規制を理由に止まるのでも、 無策で放任するのでもなく「安全に活用する」 設計を、 貴社のAI利用状況・業種・既存ルールに合わせてご提案します。守るべき既存法・沿うべきガイドライン・海外接点の有無・社内ルール化まで、 着手すべき対応の優先順位を整理します。