← ブログ一覧に戻る

フリーランスエンジニアの「AI生成コード」と契約リスク――準委任/請負別の責任範囲と契約書に盛り込むべき5つの防衛条項【2026年版】

·20 min read
フリーランスAI活用契約書法務リスク業務委託

フリーランスエンジニアの「AI生成コード」と契約リスク――準委任/請負別の責任範囲と契約書に盛り込むべき5つの防衛条項【2026年版】

GitHub CopilotやClaude、Cursor等のAIツールでコードを書くのが当たり前になった2026年。生産性は上がったが、「AIが生成したコードにバグがあった場合、誰が責任を取るのか」という問いに即答できるフリーランスエンジニアはどれほどいるだろうか。実際、内閣官房のフリーランス実態調査では約4割が何らかの契約トラブルを経験しており、AI活用が広がるなかで損害賠償請求に発展するケースも報告され始めている。本記事では、準委任契約と請負契約それぞれにおけるAI利用時の責任範囲を整理し、トラブルを未然に防ぐために契約書へ盛り込むべき5つの防衛条項をテンプレート付きで解説する。

なぜ今「AI生成コード×契約」が問題になっているのか

AI活用率の急伸と契約書の未整備というギャップ

Stack Overflow Developer Survey 2024では、回答者の約76%がAIツールを使用中または使用予定と回答した。GitHubも2024年のUniverse基調講演でCopilot有料ユーザーが190万人を超えたと発表している。2025年以降はClaude CodeやCursorなどエージェント型ツールの普及も加わり、AIがコードベースの相当部分を生成するプロジェクトは珍しくなくなった。

一方で、契約書にAI利用に関する条項を設けているフリーランスはごく少数にとどまる。多くの業務委託契約書は「成果物の権利帰属」や「秘密保持」を定めてはいても、「AIツールで生成したコードの品質責任」や「プロンプトへの機密情報入力の可否」については白紙のままだ。このギャップこそが、契約トラブルの温床になっている。

2026年に顕在化した3つのリスク類型

AI生成コードに起因する契約リスクは、大きく以下の3類型に整理できる。

1. 品質不具合(セキュリティホールの混入) Stanford大学の研究(Perry et al., 2022)は、AIアシスタントを利用した開発者がセキュリティ的に脆弱なコードを書く傾向が高く、しかも自分のコードの安全性を過信する傾向があることを示した。SQLインジェクションやXSSといった典型的脆弱性がAI生成コードに紛れ込むリスクは、2026年現在でも解消されていない。

2. 著作権侵害(学習データ由来のコード混入) AIモデルが学習したオープンソースコードの断片がそのまま出力されるケースがある。ライセンス条件に違反するコードが納品物に混入すれば、発注者・受注者双方が法的リスクを負う。

3. 情報漏洩(プロンプトへの機密情報入力) クラウド型AIツールに発注者の営業秘密や個人情報を入力してしまうケースだ。NDA違反だけでなく、個人情報保護法違反にも発展しうる。

なお、2024年11月1日に施行されたフリーランス新法(特定受託事業者に係る取引の適正化等に関する法律)により、業務内容・報酬額等の書面交付義務が強化されている。契約条件の明確化が法的にも求められる環境下で、AI利用に関する取り決めを曖昧にしておくリスクはこれまで以上に大きい。

準委任契約 vs 請負契約――AI利用時の責任範囲はこう変わる

準委任契約:善管注意義務の範囲にAIレビューは含まれるか

準委任契約(民法656条・644条)では、受注者は「善良な管理者の注意」をもって事務を処理する義務を負う。仕事の完成義務はなく、プロセスの適切さが問われる契約形態だ。

AIツールを使うこと自体は善管注意義務に反しない。しかし、AI出力をレビューせずそのまま納品した場合は話が変わる。「AIが生成したから自分の責任ではない」という主張は通らず、AI出力に対して専門家として合理的な検証を行ったかどうかが義務の履行基準となる。

請負契約:契約不適合責任とAI生成物の「瑕疵」の線引き

請負契約(民法632条)では、受注者は仕事を完成させる義務を負い、成果物に契約不適合(旧・瑕疵)があれば修補・損害賠償・解除の対象となる。AI生成コードであるか人間が書いたコードであるかは問われない。成果物が契約で定めた品質基準を満たさなければ、受注者が責任を負う。

2020年民法改正で「瑕疵担保責任」から「契約不適合責任」に移行したことで、「契約で合意した内容に適合しているか」が判断基準となった。逆に言えば、契約書でAI生成コードに関する検収基準や免責範囲を明確にしておけば、リスクをコントロールできる余地がある。

【比較表】契約形態別・AI利用リスクの責任所在マトリクス

| リスク類型 | 準委任契約 | 請負契約 | |---|---|---| | AI生成コードのバグ | レビュープロセスの適切さで判断。合理的検証を経ていれば義務違反にならない可能性あり | 成果物の不具合として受注者が契約不適合責任を負う | | 著作権侵害コード混入 | 善管注意義務としてライセンスチェックが求められる | 受注者の責任。ただし発注者がAI利用を承諾していた場合は交渉の余地あり | | 機密情報のAI入力 | NDA・善管注意義務違反 | NDA違反。加えて成果物に秘密情報が残存していれば契約不適合にもなりうる | | 損害賠償の範囲 | 報酬額と比較して限定的になる傾向 | 制限条項がなければ損害全額のリスク |

フリーランスにとっては、請負契約で無制限に責任を負うリスクが最も深刻だ。だからこそ、次章で解説する防衛条項が重要になる。

契約書に盛り込むべき5つの防衛条項【テンプレート付き】

条項1:AI利用の許諾範囲と事前通知義務

AI利用の可否・範囲を曖昧にしたまま業務を進めると、後から「AIの使用は認めていなかった」と主張されるリスクがある。

【条文テンプレート】 第○条(AIツールの利用)

  1. 受注者は、本業務の遂行にあたり、別紙に定めるAIツール(以下「許諾ツール」という)を利用することができる。
  2. 受注者は、許諾ツール以外のAIツールを利用しようとする場合、事前に発注者の書面による承諾を得なければならない。
  3. 受注者は、成果物におけるAI生成コードの概算割合を発注者に報告するものとする。

ポイントは、利用するツールを「別紙」で明示することだ。GitHub Copilot、Claude、ChatGPT等、ツールごとにデータの取り扱いポリシーが異なるため、発注者のセキュリティポリシーとの整合性を確保できる。

条項2:成果物の検収基準(AI生成部分のレビュー要件)

AI生成コードは人間が書いたコードと同じ品質基準で検収されるべきだが、追加のチェック項目を設けておくとトラブルを防ぎやすい。

【条文テンプレート】 第○条(検収)

  1. 受注者は、成果物の納品にあたり、以下の検証を実施し、その結果を発注者に報告する。 (1) 静的解析ツールによるセキュリティスキャン (2) オープンソースライセンス違反チェック (3) AI生成コードに対する受注者自身のコードレビュー
  2. 発注者は、納品日から○営業日以内に検収を完了し、合否を書面で通知する。

条項3:契約不適合責任の免責・制限条件

特に請負契約では、AI由来の不具合に対する無制限の責任を負わないよう、免責の範囲を明確にしておくことが重要だ。

【条文テンプレート】 第○条(契約不適合責任の制限)

  1. 受注者が第○条に定める検証を合理的に実施したにもかかわらず、AIツールに起因する不具合が事後に発見された場合、受注者は当該不具合の修補義務を負うが、損害賠償責任は次条に定める上限に従う。
  2. 発注者が検収完了の通知を行った後に発見された契約不適合については、通知日から○ヶ月以内に発注者が通知したものに限り、受注者は対応義務を負う。

筆者の所感だが、実務ではこの条項が最も交渉が難航しやすい。発注者側は「不具合はすべて受注者の責任」としたがるため、前述の検収プロセスを丁寧に実施した記録を残すことが交渉カードになる。

条項4:秘密情報のAI入力制限

NDA(秘密保持契約)とは別に、AI利用に特化した条項を設けるのが望ましい。

【条文テンプレート】 第○条(秘密情報のAIツールへの入力制限)

  1. 受注者は、発注者の秘密情報(個人情報を含む)をクラウド型AIツールに入力してはならない。
  2. ローカル環境で完結するAIツールについては、発注者の事前承諾を得た場合に限り、秘密情報を含むデータの処理に利用することができる。

クラウド型とローカル型を明確に区別する点がポイントだ。企業独自のオンプレミスLLMやローカル実行のCopilot等と、クラウドAPIでは情報漏洩リスクが大きく異なる。

条項5:損害賠償上限の設定

フリーランスにとって最も重要な防衛条項といっても過言ではない。

【条文テンプレート】 第○条(損害賠償の上限)

  1. 本契約に基づく受注者の損害賠償責任は、故意または重過失の場合を除き、発注者から受領済みの報酬総額を上限とする。
  2. 受注者が第○条に定めるAI利用の条件を遵守していた場合において、AIツールの出力に起因する損害については、受注者の賠償責任は報酬総額の○%を上限とする。

報酬額の100%を上限とするのが一般的だが、AI起因の不具合に限定してさらに低い上限を設定する二段構えが、2026年の実務ではベストプラクティスになりつつある。フリーランス新法でも「不当な給付内容の変更」や「不当な経済上の利益の提供要請」が禁止行為とされており、発注者がフリーランスに一方的に無制限賠償を課すことは同法の趣旨にも反する。

実務で使える交渉シナリオ:発注側・受注側それぞれの視点

フリーランス側:条項追加を切り出すタイミングと交渉フレーズ

最も自然なタイミングは契約締結前の条件交渉時、または既存契約の更新時だ。以下のようなフレーズが切り出しやすい。

  • 「最近AIツールを活用する場面が増えているので、お互いのリスクを明確にするために、AI利用に関する条項を追加しませんか」
  • 「他のクライアント様でもAI利用条項の整備が進んでいまして、御社との契約にも盛り込めると安心です」

ポイントは「自分を守るため」ではなく「お互いのリスクを明確にするため」というフレーミングだ。

発注企業側:AI利用ガイドラインと契約書の連動設計

発注企業は、まず社内のAI利用ガイドラインを策定し、その内容を業務委託契約の別紙として添付する方法が効率的だ。ガイドラインを更新すれば、契約本体を改定せずに別紙の差し替えで対応できる。

既存契約の途中でAI条項を追加する場合は、以下のような覚書(変更合意書)で対応可能だ。

【覚書テンプレート】 ○年○月○日付業務委託契約書(以下「原契約」)について、甲および乙は以下のとおり変更に合意する。

  1. 原契約に第○条(AIツールの利用)として別紙の条項を追加する。
  2. その他の条項は原契約のとおりとする。

2026年以降の展望:AI生成物に関する法整備の動向

政府・業界団体の動きとフリーランスへの影響

国内では、総務省・経済産業省が2024年4月に公表した「AI事業者ガイドライン(第1.0版)」が、AI開発者・提供者・利用者それぞれの責任を整理する枠組みとして機能し始めている。今後の改定では、AIを活用した業務委託における責任分界がより具体化される可能性がある。

国際的には、EU AI規制法(AI Act)が2026年8月に高リスクAIシステムに関する主要規定の完全適用を迎える。海外クライアントとの案件を受けるフリーランスは、EU域外適用の影響にも注意が必要だ。

契約書をアップデートすべきタイミングの目安としては、(1) AI事業者ガイドラインの改定時、(2) EU AI Act各段階の施行時、(3) 利用するAIツールの利用規約変更時、の3つを意識しておくとよい。

まとめ

AI活用はフリーランスエンジニアの競争力を高める強力な武器だが、契約書の整備なしに使えば諸刃の剣になりかねない。本記事で紹介した5つの防衛条項は、発注者・受注者双方のリスクを可視化し、信頼関係を守るための共通言語だ。

まずは次の契約更新時に、AI利用の許諾範囲(条項1)と損害賠償上限(条項5)の2つだけでも追加することから始めてほしい。契約書を整えることは、AIを安心して使い続けるための最良の投資である。

出典・参考資料

  • Perry, N. et al. "Do Users Write More Insecure Code with AI Assistants?" Stanford University, 2022 (arXiv:2211.03622)
  • Stack Overflow Developer Survey 2024
  • GitHub Universe 2024 基調講演
  • 特定受託事業者に係る取引の適正化等に関する法律(令和5年法律第25号、2024年11月1日施行)
  • 民法第632条(請負)、第656条・第644条(準委任・善管注意義務)
  • 総務省・経済産業省「AI事業者ガイドライン(第1.0版)」(2024年4月)
  • EU AI Act(Regulation (EU) 2024/1689)
← ブログ一覧に戻る