AI SaaS DPA・データ処理契約チェックリスト
AI SaaSを法人導入する前に、入力データの学習利用、保持、削除、第三者提供、監査、サブプロセッサをDPAで確認する。

結論
AI SaaSを法人で使う前に、DPA、利用規約、プライバシー文書を確認する。特に、入力データがモデル学習に使われるか、保存期間はどれくらいか、削除できるか、サブプロセッサが誰か、監査ログを取得できるかを確認する。機能比較よりも後回しにすると、導入直前で止まりやすい。
| チェック項目 | 確認すること |
|---|---|
| 学習利用 | 入力データ、出力、添付ファイルがモデル改善に使われるか |
| データ保持 | 保存期間、ログ保存、バックアップ保持期間 |
| 削除 | ユーザー削除、組織削除、契約終了時の削除方法 |
| サブプロセッサ | 外部委託先、クラウド基盤、国外移転 |
| 権限 | 管理者、利用者、部門別のアクセス制御 |
| 監査 | 操作ログ、プロンプトログ、出力履歴の取得可否 |
| インシデント | 通知期限、責任分界、連絡窓口 |
最初に確認する文書
DPAだけを読んでも全体は分からない。利用規約、プライバシーポリシー、セキュリティホワイトペーパー、サブプロセッサ一覧、管理者向けドキュメントを合わせて確認する。セキュリティの全体チェックは /saas/guides/ai-saas-security-checklist-2026 を参照する。
AI SaaSでは、一般的なSaaSよりも「入力した情報が将来の回答やモデル改善に使われるか」が重要になる。OpenAIは法人向けプライバシー説明で、ビジネスデータを標準ではモデル改善に使わない方針を説明している。MicrosoftやGoogle CloudもAI利用時のデータ保護、ガバナンス、責任あるAIに関する文書を公開している。契約前には、導入候補ごとの最新文書を確認する。
DPA質問リスト
| 質問 | 回答欄 |
|---|---|
| 入力データはモデル学習や品質改善に使われるか | |
| オプトアウトや管理者設定で制御できるか | |
| プロンプト、添付ファイル、出力は何日保存されるか | |
| 契約終了時の削除は自動か、依頼が必要か | |
| サブプロセッサ一覧は公開され、変更通知はあるか | |
| 国外移転がある場合、移転先と保護措置は何か | |
| 監査ログをエクスポートできるか | |
| インシデント通知の期限は何時間か |
このリストは、/saas/guides/ai-saas-demo-evaluation-sheet-2026 のデモ質問にも入れておく。
導入判断への反映
DPAで確認した内容は、法務だけのメモにせず、ベンダー採点表に反映する。入力データの学習利用を止められない、ログが取れない、権限境界が不明、削除条件が曖昧な場合は、PoCの対象データを匿名化するか、候補から外す。
ショートリストの採点表は /knowledge/articles/ai-saas-vendor-shortlist-scorecard-2026、PoCの成功基準は /saas/guides/ai-saas-poc-success-criteria-2026 を見る。
FAQ
Q. DPAは必ず必要ですか?
A. 個人利用では不要な場合もあるが、法人で個人情報、顧客情報、営業情報、社内文書を扱うなら確認した方がよい。
Q. 無料プランでも同じ条件ですか?
A. 異なる場合がある。管理機能、データ保持、サポート、学習利用の設定はプランごとに確認する。
Q. 法務がいない場合はどうすればよいですか?
A. 最低限、学習利用、保存期間、削除、サブプロセッサ、インシデント通知を確認し、必要に応じて外部専門家に相談する。
出典と確認日
- Google Cloud「Cloud Data Processing Addendum」: https://cloud.google.com/blog/ja/products/identity-security/cdpa-2-0 (確認日: 2026-07-06)
- Microsoft Trust Center「Privacy」: https://www.microsoft.com/en/trust-center/privacy (確認日: 2026-07-06)
- OpenAI「Enterprise privacy」: https://openai.com/enterprise-privacy/ (確認日: 2026-07-06)