社員が業務で AI チャットを使い始めるとき、何のルールもないままだと、社外秘がうっかりクラウドに流れる事故が起きます。実際、2023年以降、大手企業で「設計図がChatGPTに貼られていた」「人事評価データを要約させていた」といった内部事故の報告が散発的に出ています。
一方で、禁止一辺倒にすると現場の生産性が下がります。大手の動向を見ても、最近は「全面禁止」から「条件付き許可」に方針転換する会社が増えています。この記事では、最低限おさえる5項目と、現場が動きやすいルールの組み立て方を整理します。
⏩ 急ぎで方針だけ知りたい方へ
最初に決めるべき骨格は、次のとおりです。
必ず決めておく5項目
ルール作成のたたき台として、次の5項目は必須です。1つでも抜けると、現場で判断に迷う場面が出てきます。
| 項目 | 何を決めるか |
|---|---|
| 1. 利用許可ツール | 使ってよいAIサービスのリスト |
| 2. 入力NG情報 | 個人情報・契約金額・顧客情報など |
| 3. 出力の確認義務 | 事実確認・社内承認の必要範囲 |
| 4. 著作権・商標 | 生成物の利用範囲 |
| 5. ログと申告 | 重大な利用は記録を残すか |
「使ってよいリスト」を先に決めるのが、運用コスト面で効きます。許可リスト方式(=リストにあるものだけ使える)にすると、現場が迷ったときに判断しやすい。逆に「禁止リスト方式」にすると、新しいサービスが出るたびにルール側を更新する必要があり、現場が「グレー」のまま使い始めるリスクが上がります。
文書化のひな型
A4で1枚に収まるイメージで、最低限の条文は次のような形になります。
ひな型をゼロから書く必要はありません。経済産業省「AI事業者ガイドライン」(https://www.meti.go.jp/policy/mono_info_service/ ・経済産業省、2024年版)や個人情報保護委員会の生成AI関連注意喚起(https://www.ppc.go.jp/ ・2026年確認)といった公的資料を参考にすると、抜けが少ないルールになります。とくに個人情報を扱う業種では、後者の確認は必須です。
入力NG情報は具体名で書く
ルール作成で一番つまずくのが、第3条の入力禁止情報の粒度です。「個人情報など」とだけ書いても、現場は「など」の範囲で迷います。最低でも次のレベルまで具体化してください。
| カテゴリ | 具体例 |
|---|---|
| 個人を特定する情報 | 氏名+所属、社員番号、メールアドレス、住所 |
| 顧客固有の情報 | 取引先名、契約金額、進行中の案件名 |
| 社内の機微情報 | 人事評価、給与、未公表の人事異動 |
| 財務情報 | 未公表の決算数値、業績見通し、内部資料 |
| 知的財産 | 開発中のコード、未公開の仕様書、設計図 |
これだけ列挙しても、現場では「自分の業務で出る情報がどれに当たるか」が分かりにくいことがあります。新しい業務で迷ったら情報システム部門に確認、というエスカレーションパスを明文化しておくと、判断の負荷が下がります。
運用でつまずきやすいこと
ルールを作っても、社員に伝わらないまま終わるケースが本当に多い。研修と社内Wikiが基本の伝え方で、ここに新入社員教育が乗ると定着が一段安定します。どれか一つ欠けると、決めたはずのルールが現場で死文化していきます。
研修で意外と効くのは、「やってはいけない例」だけでなく「これなら大丈夫」という許可されている使い方を具体的に見せることです。「議事録の要約に Gemini for Workspace を使う」「メール下書きを Claude for Work で作る」など、業務で実際に効果が出ている使い方を3〜5例見せる。「禁止」だけ伝えると、現場は「結局使うな、ってことか」と受け取り、シャドー利用(個人スマホで勝手に使う)が増えます。
もう一つ、ルールを定期的に見直す体制も重要です。AI まわりは半年で景色が変わります。半年に1回、利用ツールリストと禁止情報リストを見直す機会を設けるだけで、ルールが死文化しません。
違反した場合の取り扱いをどう書くか
ルールには罰則を含めるかどうか、という論点が必ず出てきます。「違反したら懲戒」と書くと、現場が萎縮してシャドー利用に走る。「努力義務」と書くと、ルールの意味がなくなる。バランスは難しい。
実用的な落としどころは、3段階に分けることです。
| 違反の重さ | 対応 |
|---|---|
| 軽微(許可外ツールを業務以外で使った等) | 注意・記録のみ |
| 中(業務情報を入力したが影響軽微) | 上長と情報システムへの報告義務 |
| 重大(個人情報・契約情報を入力) | 既存の就業規則の懲戒手続きに従う |
新しいルールに新しい懲戒制度を作るのではなく、「重大なケースは既存の就業規則の対象になる」と接続させるのが現実的です。これなら法務との整合も取りやすい。
既に事故が起きてしまった場合
もし「うちの社員がChatGPTに顧客情報を貼っていた」と判明したら、慌てて全面禁止にする前に、次の順序で対応します。
まず、どのデータが、どのサービスに、どの期間入っていたかを特定する。次に、そのサービスの企業向けプランで「学習に使われない契約」になっているかを確認する。最後に、影響範囲(顧客への通知が必要か)を判断する。
過去の経験で言えば、「全面禁止」で蓋をするより、「許可リストを整備して、使い方を教える」ほうが、結果的に事故率が下がります。事故を恐れて使わせない、は短期的には安全に見えても、シャドー利用を増やす分だけリスクが膨らみます。
中小企業向けの簡略版
「うちの規模で、5項目フルセットのルールはやりすぎ」という会社もあります。10〜30人規模の会社なら、まずA4半分の簡易版から始めるのが現実的です。
簡易版に必須なのは2項目だけ。「使ってよいAIサービスのリスト」と「貼ってはいけない情報のリスト」です。これだけでもシャドー利用は大きく減ります。社員数が増えて、業務が複雑になってきたタイミングで、出力確認・著作権・記録の項目を順次足していけば良い。
最初から完璧なルールを作ろうとして1年かけるより、A4半分のルールを1週間で作って配るほうが、現場の事故率は下がります。完璧主義で動けないのが、実はいちばん危ない状態です。
✅ 今すぐできること(1分)
自分の会社で「すでに何か使っている人がいるAI」を1つ思い浮かべてください。それが許可リストの一行目になります。リストはゼロから作るより、現状追認から始めるほうが現実的です。
そのうえで、「その AI に貼ってはいけない情報」を1つだけメモしてください。たとえば「顧客名」「契約金額」「人事評価」のどれか1つで構いません。これがルール作成の起点になります。
ルール作成が止まってしまった場合
「現場と法務の意見が割れて進まない」というのが、ルール作成で頻発する停滞パターンです。こういうときは、いきなり全社共通のルールを作ろうとせず、まず1部門だけパイロット運用する形にするとほぐれます。3か月運用してみて、出てきた現場の声を反映してから全社展開、という順序のほうが現実に即したルールになります。
社内AIガイドライン作成サポート、利用ログの可視化、社内研修資料作成などのご相談はお気軽に。お問い合わせは /contact から。
執筆:S
よくある質問
Q. 社内のAI利用ルールは、どのくらいの頻度で見直すべきですか?
A. AIツールのアップデートが速いため、最低でも半年に1回の見直しが目安です。大きな機能追加やセキュリティ事故が起きたタイミングでも都度確認しましょう。
Q. AIツールへの入力を禁止すべき情報の具体例を教えてください。
A. 顧客の個人情報・契約内容・未公開の財務情報・社員の評価情報・マイナンバーなどが該当します。「社外秘」と書かれた資料は原則として入力しないルールが実用的です。
Q. AI利用ルールを作っても、社員が守らない場合の対処法はありますか?
A. 禁止より「使い方の型」を提供するほうが効果的です。安全な利用事例を社内で共有し、困ったときに相談できる窓口を設けることで、ルール回避より相談を選ぶ文化が育ちます。