コラムCOLUMN
生成AIの社内ルールの作り方 中小企業が安全に活用を始める実装ステップ
生成AIの社内ルールは、禁止事項を並べるだけでは現場に定着しません。最初に決めるべきなのは、社員が「どの業務で使ってよいか」「何を入力してはいけないか」「出力を誰が確認するか」を迷わない状態にすることです。
中小企業なら、いきなり分厚い規程を作るより、初版ルールを小さく作り、実際の利用場面に合わせて更新する方が現実的です。ポイントは7つ。利用目的、許可するAIサービス、入力禁止情報、出力確認、責任者、教育、見直し頻度です。
生成AIの社内ルールは「禁止」ではなく「迷わない運用」を作るもの
生成AIを業務で使い始めると、現場ではすぐに迷いが出ます。
議事録を要約してよいのか。顧客名が入ったメール文面を入れてよいのか。求人票の下書きはAIで作ってよいのか。AIが作った文章を、そのまま社外に送ってよいのか。
この迷いを個人判断に任せると、慎重な人はまったく使わず、慣れた人は勝手に使う状態になりがちです。いわゆる「使わない不安」と「勝手に使う不安」が同時に起きます。
ここで必要なのは、生成AIを全面禁止する文書ではありません。社員が安全に試せる範囲を示すことです。
生成AIの社内ルールは、社員が業務でAIを使うときの利用範囲、入力情報、出力確認、責任者を決める社内の運用ルールです。目的は、AI活用を止めることではなく、迷いとリスクを減らすことにあります。
IPAが公開した2024年の調査でも、生成AI利用時のセキュリティに関連した規則や体制が整備されている企業は20%未満とされています。数字だけを見て焦る必要はありません。ただ、ルール整備が後回しになりやすいテーマであることは押さえておきたいところです。
まず決めるべき7項目
社内ルールの初版では、次の7項目を決めると始めやすくなります。
| 項目 | 決めること | 例 |
|---|---|---|
| 利用目的 | 何のために使うか | 文書下書き、要約、FAQ案、観点出し |
| 許可するAIサービス | どの環境なら使ってよいか | 会社が承認した法人向けアカウントなど |
| 入力禁止情報 | 入れてはいけない情報 | 個人情報、未公開の顧客情報、契約条件、認証情報 |
| 出力確認 | AIの出力を誰が確認するか | 作成者、上長、専門部署、法務など |
| 責任者と相談窓口 | 迷ったとき誰に聞くか | DX担当、情シス、管理部門 |
| 教育とテンプレート | どう使い方を伝えるか | 研修、FAQ、プロンプト例 |
| 見直し頻度 | いつ更新するか | 月1回、四半期ごと、重大インシデント時 |
完璧なルールを最初から作る必要はありません。むしろ、初版は薄くて構いません。使ってよい業務、避ける情報、確認する人。この3つが決まるだけでも、現場の判断はかなり揃います。
業務を「許可・条件付き・禁止」に分ける
生成AIルールで一番実務に効くのは、業務ごとの分類です。
「生成AIを使ってよい」「使ってはいけない」だけでは粗すぎます。実際には、条件付きで使える業務が多いからです。
| 区分 | 業務例 | 運用の考え方 |
|---|---|---|
| 許可 | 社内通知文の下書き、議事録要約、研修案内文、FAQ案 | 個人情報や機密情報を入れず、人が確認して使う |
| 条件付き | 顧客向けメール、提案書の構成案、採用文面、社内規程の要約 | 会社が承認した環境を使い、上長や担当部署が確認する |
| 禁止または要個別承認 | 契約判断、法務判断、採用可否の最終判断、個人情報を含む分析、認証情報の入力 | AIに最終判断を任せず、専門家や責任者の確認を必須にする |
ここで大事なのは、AIの性能を細かく論じることではありません。自社の業務で、どこに責任が発生するかを見ることです。
たとえば、社内イベントの案内文ならAIの下書きで十分な場面があります。顧客への正式な契約条件の説明なら、AIが作った文章をそのまま送るのは危険です。社員の評価や採用判断も同じ。出力が自然に見えるほど、人が確認する前提を外してはいけません。
生成AIに入力してはいけない情報
個人情報保護委員会は、生成AIサービスに個人情報を含むプロンプトを入力する場合、利用目的の範囲やサービス側の取扱いを確認する必要がある旨を注意喚起しています。
社内ルールでは、少なくとも次の情報は入力禁止、または個別承認が必要な情報として扱うのが安全です。
- 顧客名、担当者名、住所、電話番号、メールアドレスなどの個人情報
- 社員の評価、給与、健康情報、面談メモなどの人事情報
- 未公開の売上、利益、原価、資金繰り、契約条件
- 取引先との秘密保持契約に関わる情報
- パスワード、APIキー、認証トークン、社内システムの接続情報
- 公開前の製品情報、キャンペーン情報、買収・提携情報
- 画像、文章、資料など権利関係を確認していない素材
生成AIに入力してはいけない情報は、個人や取引先を特定できる情報、営業秘密、契約条件、認証情報、公開前情報、権利確認が済んでいない素材です。迷う情報は、入力前に匿名化するか、社内で承認された環境と確認者を通す必要があります。
匿名化すれば常に安全、とは言い切れません。少ない情報でも、他の情報と組み合わさると個人や案件が推測できる場合があります。社内ルールでは「匿名化したら何でも入力可」ではなく、「匿名化しても迷うものは相談」と書く方が現実的です。
社内ルールの線引きで迷っている場合
どの業務を許可し、どの情報を入力禁止にするかは、会社ごとに変わります。自社の業務フローを見ながら、初版ルールと確認責任を整理するところから相談できます。
初回は、現状の利用場面と不安点の整理から対応します。
現場で使われるルールにする5ステップ
ルールは作るだけでは使われません。現場が日常業務の中で参照できる形に落とす必要があります。
1. 生成AIを使いたい業務を棚卸しする
最初に、部署ごとに「使ってみたい業務」を出します。営業なら提案書の構成案、総務なら社内FAQ、人事なら研修案内、経理なら説明文の下書き。ここでは大きな業務名ではなく、作業単位で書き出します。
2. 入力情報のリスクを分ける
それぞれの作業でAIに入力しそうな情報を書き出します。社外秘なのか。個人情報なのか。公開済み情報なのか。社内規程なのか。ここを曖昧にしたままルールを作ると、現場は結局迷います。
3. 出力の使い道を決める
AIの出力を「下書き」に使うのか、「社内共有」に使うのか、「社外提出物」に使うのかで確認レベルは変わります。社外提出物なら上長や担当部署の確認が必要です。
4. 1枚の早見表にする
規程本文だけでは読まれにくいものです。現場向けには、次のような早見表を作ると使いやすくなります。
| 使いたい場面 | 利用可否 | 入力してよい情報 | 確認者 |
|---|---|---|---|
| 社内通知文の下書き | 可 | 公開済み情報、一般情報 | 作成者 |
| 顧客向けメール案 | 条件付き | 顧客名を伏せた要件 | 上長 |
| 契約書の条文判断 | 不可または個別承認 | 入力しない | 法務・専門家 |
| 採用候補者の評価判断 | 不可 | 入力しない | 人事責任者 |
5. 研修と見直しをセットにする
初版ルールを配布しただけで終わらせないことです。短い研修で、実際の業務例を使って説明します。社員から出た質問はFAQに追記します。想定外の使い方が出たら、禁止するだけでなく、なぜ迷いが生まれたのかを見ます。
社内ルールを現場に定着させるには、規程本文より先に、業務別の早見表、よくある質問、プロンプト例、確認フローを用意することが重要です。社員が迷ったときに見る場所と、相談できる人を決めておくと、個人判断に戻りにくくなります。
Before/After:テンプレートコピーから運用設計へ
よくあるBeforeは、ネットで見つけたテンプレートをコピーして、社内に配布する形です。文書としては整って見えます。ただ、現場では「自分の部署ではどの業務に使ってよいのか」「顧客名を伏せれば入力してよいのか」「迷ったとき誰に聞けばよいのか」が残ります。
Afterは違います。テンプレートを土台にしながら、自社の業務例を入れます。営業、総務、人事、経理、開発、広報など、部署ごとの利用場面を分ける。入力情報と確認者をセットで決める。研修では、実際の文章や資料を使って「これはOK」「これは相談」「これは入力しない」と練習する。
ルールは、文書ではなく仕事の中で使われて初めて意味があります。
自社で確認するチェックリスト
- 生成AIを使う目的を明文化している
- 利用してよいAIサービスを決めている
- 個人情報、営業秘密、認証情報の入力禁止を明記している
- 業務を「許可・条件付き・禁止」に分けている
- AI出力を社外提出する前の確認者を決めている
- 誤情報が含まれる可能性を前提に、根拠確認の手順を置いている
- 著作権や権利確認が必要な素材の扱いを決めている
- 迷ったときの相談窓口を決めている
- 社内研修または説明会を用意している
- ルールの見直し頻度を決めている
文化庁は、AIと著作権に関する考え方やチェックリストを公開しています。著作権はケースによって判断が分かれるため、社外公開物や広告素材にAI出力を使う場合は、類似性、権利関係、利用規約を確認する運用にしておく方が安全です。
専門家に相談すべきタイミング
社内だけで初版を作れる会社もあります。一方で、次の状態なら外部の支援を入れた方が早い場合があります。
- 部署ごとに使いたい業務が違い、整理が進まない
- 情シス、法務、現場、経営の合意形成が止まっている
- 生成AI研修は実施したが、実務で使われていない
- 入力禁止情報や社外提出物の確認ルールを決めきれない
- 社内ルール、研修、プロンプト例、業務フローを一体で整えたい
ここで相談すべきなのは、単に「AIツールを入れる方法」だけではありません。業務棚卸し、リスク分類、現場向け早見表、研修、見直しの仕組みまで含めた設計です。
生成AIの社内ルールを初版から整えたい方へ
利用場面の棚卸し、入力禁止情報、確認責任、社内研修まで一緒に整理すると、ルールは現場で使いやすくなります。まずは「どこで社員が迷うか」を洗い出すところから始められます。
FAQ
生成AIの社内ルールはテンプレートを使えば十分ですか?
テンプレートは出発点として使えますが、そのままでは不十分な場合があります。自社の業務、入力する情報、確認者、許可するAIサービスを反映しないと、現場の判断には使いにくいからです。
個人情報を匿名化すれば生成AIに入力してよいですか?
匿名化すれば常に安全とは限りません。少ない情報でも、他の情報と組み合わせると個人や案件が推測できる場合があります。迷う場合は入力せず、社内で承認された環境や相談窓口を使う方が安全です。
無料の生成AIサービスを業務で使ってもよいですか?
会社として許可していないサービスを業務に使うのは避けるべきです。利用規約、入力データの扱い、学習利用の有無、管理者設定、ログ管理などを確認したうえで、会社として許可する環境を決める必要があります。
ルールを作った後、社内研修は必要ですか?
必要です。社内ルールは読んだだけでは使い方が分かりにくいものです。部署ごとの実例を使い、何がOKで、何が相談で、何が禁止かを短い演習で確認すると運用に移しやすくなります。
社内ルールはどのくらいの頻度で見直すべきですか?
少なくとも定期的な見直しのタイミングを決めておくべきです。月1回または四半期ごとに、利用状況、現場からの質問、サービス仕様の変更、トラブルの有無を確認し、必要に応じて更新します。
次の行動
生成AIの社内ルールは、完璧な規程を一度で作るものではありません。
まずは、自社で実際に使いたい業務を10個ほど書き出してください。その横に、入力する情報、出力の使い道、確認者を書きます。そこまで見えると、初版ルールに必要な項目が具体的になります。
もし、業務棚卸し、入力禁止情報、確認フロー、社内研修まで一緒に整理したい場合は、現在の業務と利用予定のAIサービスをもとに、初版ルールの設計から相談できます。売り込みではなく、まずは「どこで社員が迷うか」を見つけるところからです。