令和6年末時点で、生成AIの利用に関するガイドラインを「未策定」の自治体は1,004団体にのぼります（総務省「自治体におけるAIの利用に関するワーキンググループ報告書」2025年）。一方、デジタル庁は2025年5月27日のデジタル社会推進会議幹事会で「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」（以下「DS-920」）を決定し、即日運用を開始しました。国の制度が先行する中、自治体では「どこから手をつければいいか」が課題となっています。

この記事では、DS-920の構造・リスク管理体制・調達ルールを自治体の現場に引き寄せて解説します。担当者が「今日から使えるチェックリスト」として活用できる形を目指しました。

デジタル庁の生成AIガイドライン（DS-920）とは何か

DS-920は、デジタル社会推進標準ガイドライン群の一つとして位置付けられた「Normative（遵守）」ドキュメントです。経済産業省・総務省との協力のもとで策定され、政府が生成AIを調達・利活用する際に守るべきルールをまとめています。

ガイドラインの3本柱

DS-920は大きく次の3層で構成されています。

1. 利活用方針の明示: 政府における生成AIの利活用方針と、高リスクな生成AI利活用の考え方
2. ガバナンス体制の構築: AI統括責任者（CAIO）の設置と先進的AI利活用アドバイザリーボードの運用
3. 調達・利活用ルール: 企画者・提供者・利用者別の役割分担と調達チェックシート・契約チェックシートの整備

flowchart TD
    A["デジタル庁\nDS-920ガイドライン"] --> B["利活用方針\n（高リスクAI分類）"]
    A --> C["ガバナンス体制\n（CAIO設置）"]
    A --> D["調達・利活用ルール\n（チェックシート）"]
    C --> E["先進的AI利活用\nアドバイザリーボード"]
    D --> F["自治体参照\n（準用推奨）"]

対象範囲と適用時期

DS-920が対象とするのは「テキスト生成AIを構成要素とするシステム」です。ただし、特定秘密や安全保障など機微情報を扱うシステムは適用外とされています。運用開始は令和7年（2025年）5月で、すでに稼働中です。

重要な点として、DS-920は国の各府省庁向けに策定されたガイドラインです。自治体に対しては法的な義務はありませんが、総務省ワーキンググループ報告書（2025年）は「自治体においても、AI利活用・リスク管理の責任者を明確にする必要がある」と明記しており、DS-920を参照することが強く推奨されています。

なぜ自治体でも参照が必要なのか——3つの理由

理由1: 自治体の生成AI導入実態は「過半数超」だが管理ルールが追いついていない

総務省ワーキンググループ報告書（2025年）によると、令和6年末時点で生成AIを「導入済み」「実証実験中」「導入検討中（導入予定あり）」の自治体は過半数を超えています。一方で同報告書は、AIガイドラインを未策定の団体が1,004団体にのぼることを明示しています。導入は先行しているにもかかわらず、運用ルールの整備が後手に回っているのが現状です。

理由2: 国のリスク管理体制が参照モデルとなっている

DS-920はCAIO（AI統括責任者）を各府省庁に新設する体制を定めました。総務省報告書は自治体においても同様の体制構築を推奨しており、「CIOとCAIOが兼務となることが多いと考えられる」との方向性も示されています（総務省「自治体におけるAIの利用に関するワーキンググループ報告書」2025年）。

理由3: デジタル庁の調達チェックシートが実務の基準点になる

DS-920には「調達チェックシート」と「契約チェックシート」が付属しています。自治体がベンダーから生成AIシステムを調達する際の仕様書作成や契約条件の確認にそのまま活用できる内容です。これを参照することで、見落としやすいリスクを構造的に回避できます。

DS-920の高リスクAI分類と自治体への示唆

DS-920は「高リスクな生成AI利活用」について考え方を明示しています。自治体業務に引き寄せると、次のような場面がリスク評価の対象になります。

利活用シーン	リスクレベルの目安	留意事項
文書・案文作成支援（職員内部利用）	比較的低リスク	出力結果の人による確認ルール設定が必要
住民向け窓口チャットボット	中〜高リスク	誤情報提供のリスク、免責事項の明示が必要
住民個人情報を含む業務システム	高リスク	入力データのフィルタリング、データ保持ルールの確認が必要
政策立案支援・意思決定補助	高リスク	AI出力をそのまま根拠としない運用ルールが必要
特定秘密・機微情報を扱う業務	適用外（利用禁止推奨）	DS-920の適用対象外に該当、導入は別途検討が必要

DS-920が採用するリスク分類の考え方を自治体が取り込む際の重要なポイントは、「高リスクだから使わない」ではなく「高リスクでも適切な管理をすれば進められる」という姿勢です。デジタル庁は先進的AI利活用アドバイザリーボードを通じた各府省庁への助言でこの考え方を実践しています。

CAIO（AI統括責任者）体制を自治体に落とし込む方法

国の各府省庁では新たにCAIOを設置することが義務付けられました。自治体でCAIOを設置する場合、総務省報告書の示す方向性は「CIOとCAIOが兼務」です。現状を確認すると、令和6年4月1日時点でCIOを任命している自治体は都道府県41団体・市区町村1,083団体です。この既存体制を起点にAI管理の役割を明確化する方法が現実的です。

自治体でのCAIO体制構築ステップ

flowchart TD
    A["CIO（副知事・副市区町村長等）"] --> B["CAIO兼務の検討"]
    B --> C["AI利活用ルールの策定\n（職員向け利用規則）"]
    C --> D["調達チェックシートの整備\n（DS-920別紙参照）"]
    D --> E["リスクケース報告ルートの確立"]
    E --> F["定期的な利活用状況レビュー"]

Step 1: 既存CIOへのAI管理役割の付与 CAIO専任ポストを新設することは人員上の制約から難しい自治体も多いはずです。まずは既存のCIOにAI管理の役割を明示的に付与し、条例・規則ベースで権限を明確化することから始められます。

Step 2: 職員向け生成AI利用ルールの策定 DS-920が国の各府省庁に求める最初のアクションは「CAIOが職員向けに生成AIの利用ルールを策定すること」です。自治体でも同様に、利用可能なAIツールの範囲・入力してはいけない情報の種別・出力結果の確認プロセスを明文化した内部ルールを整備することが優先課題です。

Step 3: 調達チェックシートの活用 ベンダーに生成AIシステムの開発・提供を委託する際は、DS-920の調達チェックシートを仕様書に組み込むことが推奨されます。これにより、サプライチェーンリスク（外部ベンダーのデータ取り扱い）や契約終了後のデータ削除条件なども網羅的に確認できます。

自治体が今日から実践できる5つのチェック項目

DS-920と総務省報告書の内容を踏まえ、自治体のAI担当者がすぐに確認できる実務チェックリストを整理しました。

1. 生成AIの利用ルール（内規）は整備されているか 「生成AIを使ってよい業務・使ってはいけない業務」「入力禁止情報の種別」「出力結果の人による確認義務」——この3点が内規に明文化されていることが最低限の出発点です。

2. AI管理の責任者が明確か CAIO（またはCIO兼務）として生成AIの利活用とリスク管理を総括する担当役職が明示されていることを確認します。担当部署・担当者レベルだけでなく、首長・副首長まで含む責任ラインの整理が必要です。

3. 住民向け生成AIシステムの免責事項・公開ルールが整備されているか チャットボットや相談システムで生成AIを使用している場合、「AI生成の出力である旨の明示」と「最終判断は職員が行う」旨の表示が整備されているかを確認します。

4. ベンダー契約にデータ保持・削除条件が明記されているか 既存のベンダー契約を見直し、「職員が入力したデータをベンダーがAI学習に使用しない旨」「契約終了後のデータ削除」が契約書に明記されているかを確認します。

5. 生成AIのリスクケース発生時の報告ルートが定まっているか 誤情報の提供・個人情報の漏洩疑い・不適切な出力——これらのインシデントが発生した際にどの担当者・部門に報告し、どのような対応を取るかのフローを事前に定めておくことが必要です。

総務省によるガイドブック更新と今後の動向

総務省ワーキンググループ報告書（2025年）は、「AIガイドラインを未策定の自治体が1,004団体にのぼる」ことを受け、「自治体AIガイドブック」を更新し、自治体がガイドラインを作成する際のひな形として提示する方向性を示しています。また、先進的AI利活用アドバイザリーボードで得られたベストプラクティスを総務省が自治体向けに情報提供することも検討されています。

2026年に入ってからも、DS-920は継続的に改定される予定です。デジタル社会推進会議幹事会での決定事項として位置付けられており、AIの技術進展や新たなリスクケースの発現に応じて内容が更新される見込みです。

自治体のAI担当者は、デジタル庁のガイドライン関連ページをブックマークし、改定動向を継続的にフォローすることが実務上の重要な作業となります。

FAQ: 上司・議会への説明に使える想定問答

Q1: 国のガイドライン（DS-920）は自治体に義務として適用されますか？

A: DS-920は国の各府省庁向けに策定されたガイドラインであり、自治体への法的な適用義務はありません。ただし、総務省ワーキンググループ報告書（2025年）は「自治体においてもAI利活用・リスク管理の責任者を明確にする必要がある」と明示し、DS-920を参考にした体制整備を推奨しています。条例・規則の整備が求められるわけではありませんが、内部ルールとしての整備は現実的な必要対応です。

Q2: 生成AIのガイドラインを整備しないまま導入している場合、どんなリスクがありますか？

A: 主なリスクは3点です。(1)職員が個人情報や秘密文書をAIに入力してしまう情報漏洩リスク、(2)AI生成の誤情報をそのまま住民に提供してしまう信頼失墜リスク、(3)ベンダー契約でデータ学習・保持条件が曖昧なままになるサプライチェーンリスクです。令和6年末時点で1,004団体がガイドライン未策定という状況は、これらのリスクに対して無防備な状態が続いていることを意味します。

Q3: 小規模自治体でもCAIOを設置する必要がありますか？

A: 専任のCAIO設置は必須ではありません。総務省報告書は「CIOとCAIOが兼務になることが多いと考えられる」との方向性を示しています。副市区町村長や総務部長がCAIOを兼務し、AI利活用の利用ルール策定と定期的な状況確認を担う体制が現実的な出発点となります。

Q4: 調達チェックシートはどこから入手できますか？

A: デジタル庁が公表したDS-920本体に「別紙」として調達チェックシートと契約チェックシートが収録されています。デジタル庁のDS-920公開ページからZIPファイルをダウンロードして入手できます。

Q5: 自治体向けのAIガイドブックはいつ更新される予定ですか？

A: 総務省ワーキンググループ報告書（2025年）で「自治体AIガイドブック」を更新し生成AI利用の記述を追加する方向性が示されています。具体的な更新時期は総務省から公表されていませんが、2025〜2026年中の対応が見込まれます。総務省の地方情報化施策ページで最新情報を確認することを推奨します。

次のアクション

gcinsight.jp では、自治体のガバメントクラウド移行状況・標準化対応状況を自治体別に確認できます。AI利活用の内部ルール整備と並行して、標準化システム移行の進捗状況も定期的に確認することをお勧めします。

• 都道府県別の移行進捗を確認する
• リスク・遅延情報を確認する
• パッケージ・ベンダー一覧を参照する

デジタル庁DS-920の全文はデジタル庁公式ページから入手できます。自治体の生成AIガイドライン策定の参考資料として、まず「概要資料（PDF）」から確認することをお勧めします。

---

参考資料・出典

• 「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」策定（デジタル庁、2025年5月27日）
• 自治体におけるAIの利用に関するワーキンググループ報告書（総務省、2025年）
• デジタル社会推進標準ガイドラインDS-920 本文（デジタル庁、2025年5月27日）