「社員が勝手にChatGPTを使っているらしい」「どこまで使っていいのか誰も分かっていない」。この状態を放っておくと、情報漏洩のリスクと、業務品質のばらつきが静かに広がる。かといって「全面禁止」では、効率化のチャンスを丸ごと捨てることになる。
私は以前、社内ルールというと分厚い規定書を作らなければと身構えていた。でも実際に効くのは逆だった。「何がOKで、何がNGか」を5つの軸でシンプルに決める。それだけで、トラブルの大半は防げる。
⏩ 急いでいる方はこちら
- まず決めるべき5項目
- 情報の機密度分類と使用可否
- ルール文例テンプレ
<a id="checklist"></a>
まず決めるべき5項目
ルールが複雑になると、誰も読まない。最初はこの5つだけ。
| # | 項目 | 決めること |
|---|---|---|
| ① | 使用可能なツール | 会社が認めるAIサービスを列挙 |
| ② | 入力禁止情報 | 顧客情報・個人情報・未公開情報の禁止 |
| ③ | 出力の扱い | AI出力をそのまま外部送付してよいか |
| ④ | 利用目的の範囲 | 業務利用のみか、個人利用も許すか |
| ⑤ | 報告・記録義務 | 重要判断にAIを使った場合の記録 |
①使用可能なツール
「使っていいAI」を明示する。挙げていないものは原則NG、と書いておく。例えば、承認済み=ChatGPT(Team版)・Microsoft Copilot・社内導入ツール。個人アカウントのChatGPTやClaudeは情報管理ができないため不可、というように。会社のITポリシーと照らして決める。
②入力禁止情報
ここが一番大事だ。明示しないと、「便利だから」という理由で何でも貼り付けてしまう。次の章の機密度分類とセットで決めると、線引きがはっきりする。
<a id="kimitsu"></a>
情報の機密度分類と使用可否
情報を4段階に分けると、現場が迷わなくなる。
| 機密レベル | 例 | AI入力 |
|---|---|---|
| 公開情報 | プレスリリース・公式HP | OK |
| 社内一般 | 議事録・業務マニュアル | 要確認(ツール次第) |
| 機密 | 顧客情報・契約書・財務データ | 禁止 |
| 極秘 | 未発表の製品情報・M&A関連 | 完全禁止 |
現場向けには、もっと短く伝わる合言葉にしてしまうのが効く。「固有名詞か数字が入ったら、まず止まって考える」。顧客名の入ったメール、売上の入った表は、すべて機密以上として扱う。覚えることが多いルールは、結局守られない。
線引きで迷いやすいのが「社内一般情報」だ。例えば業務マニュアルを要約させるのは、承認済みの社内向けツールならOK、個人アカウントのChatGPTならNG、というように、ツール側の安全性とセットで判断する。「情報の機密度」と「使うツールの安全性」の掛け算で考えると、現場の判断がぶれにくい。
ありがちな事故を一つ。よかれと思って顧客リストをそのままChatGPTに貼り、「この一覧を見やすく整形して」と頼んだ社員がいた。本人に悪気はない。便利に使おうとしただけだ。でも、その時点で顧客の個人情報が外部サービスに送られている。「禁止と書いていなかったから」では済まない事故になりかねない。だから②は、最初に・はっきり決める。
③④⑤の決め方
出力の扱い(③)は、「AIが書いたものは下書き」とするのが現実的。外部に出す前に必ず人が確認する。これを「そのまま送ってOK」にすると、誤情報や個人情報を含んだ文章がそのまま社外に流れる危険がある。
利用目的の範囲(④)は、最初は「業務利用のみ」に絞るほうが管理が楽。慣れてきたら個人の学習用途まで広げればいい。最初から広げて収拾がつかなくなるより、狭く始めて広げるほうが失敗しにくい。
報告・記録義務(⑤)は、見積もりや契約書の草案など重要書類にAIを使ったときに記録を残す、という運用。トラブル時に「誰が・どのAIで・何を作ったか」を追えるようにしておく。ここは全業務に課すと重くなるので、「外部に出す重要書類だけ」に絞るのが現実的だ。
なお、最初から完璧な規定を作ろうとしないこと。私も以前、5項目すべてに細かい例外まで書き込もうとして、誰も読まないA4三枚の文書を作りかけた。骨格だけ決めて走り出し、現場で出た疑問を足していくほうが、結局はうまく回る。
<a id="template"></a>
ルール文例テンプレ
コピーして使える骨格。自社に合わせて削り、足してほしい。
【社内AI利用ガイドライン(骨格)】
制定:[年月日] / 版:1.0
■ 目的:AIを業務効率化に活用しつつ、情報漏洩・誤用を防ぐ。
■ 対象:全社員(正社員・契約社員・業務委託)
■ 承認ツール:[ツール名]。未承認ツールへの業務情報の入力は禁止。
■ 入力禁止情報:個人情報/未公開の財務・製品・M&A情報/契約書・機密文書の全文または重要箇所。
■ 出力の取り扱い:AI出力は必ず人が確認してから使用・送付。社外文書への無確認転用は原則禁止。
■ 違反時の対応:情報セキュリティ担当に報告。重大な場合は就業規則に基づき対処。
総務省「AIに関するガイドライン」など公的資料も参照すると、抜けに気づきやすい。出典:総務省 https://www.soumu.go.jp/main_sosiki/kenkyu/ai_network/ (2026年確認)。
テンプレを配るときのひと工夫
文書を配っただけでは、まず読まれない。テンプレと一緒に「具体例」を一行つけると伝わり方が変わる。「入力禁止情報」の項目に、「例:顧客一覧をそのまま貼って整形させるのはNG」と実例を添える。抽象的な禁止事項は、現場では他人事になりやすい。自分の業務で起こりうる場面に落として見せることで、初めて「自分のこと」になる。
もう一つ。ルールは「読ませる」より「行動を変える」のが目的だ。だから、禁止リストだけでなく「困ったらここに聞く」という相談先を必ず一行入れておく。判断に迷ったとき、相談先がないと、人はたいてい自己判断で突っ走る。それが事故の入り口になる。
ルール導入後のよくあるつまずき
守っているか分からない問題
作っただけで確認の仕組みがないと、ルールは形骸化する。ある会社では立派な規定を作ったのに、半年後に聞いたら誰一人内容を覚えていなかった。最低でも四半期に一度、「ルールを知っているか」の簡単な確認(アンケートで十分)を入れる。
現場が不便で使わなくなる問題
禁止が多すぎると、結局みんな使わなくなり、効率化の話が立ち消える。「禁止」を並べるより「承認済みツールで試そう」と前向きに振るほうが、安全と効率が両立しやすい。
技術が速すぎてルールが追いつかない問題
固定のルールを作り込むより、「年2回見直す」と決めておくほうが現実的。ChatGPT・Claude・Geminiの機能は半年で大きく変わる。去年のルールが今年は的外れ、はふつうに起きる。
よくある質問
Q. ルールを作る前に何をすべき?
A. 現状把握が先。今、社員がどのAIを何に使っているかを知らずに作ると、現実と乖離したルールになる。
Q. 中小企業でも必要?
A. 必要。顧客情報の漏洩リスクは規模に関係ない。むしろIT管理が手薄な分、リスクが高い場合もある。
Q. ChatGPTをチームプランにすれば安全?
A. Team/Enterpriseは「学習に使わない」設定が適用される。ただしサーバーにデータが送られること自体は変わらない。「絶対安全」ではなく「リスクが下がる」と理解するのが正確。
Q. Microsoft Copilotは社内利用に安全?
A. Microsoft 365のCopilotは、契約によっては社内データが学習に使われない設定が可能。IT部門に確認の上で方針を決める。
Q. 違反した社員への対処は?
A. 初回は教育・再確認が基本。意図的な漏洩や繰り返しは就業規則の情報管理違反として扱う。文書に「違反時の対応」を明記しておくと抑止になる。
Q. 無料ツールは全面禁止にすべき?
A. 一律禁止より、用途を絞って許す方が現実的。公開情報の整形など低リスクな作業は無料ツールでもOK、機密が絡む作業は承認済みツールに限定、と分けると、効率と安全のバランスが取れる。
Q. ルールは誰が作るのが正しい?
A. IT・セキュリティ担当が骨格を作り、各部署の現場が「実際こう使っている」を持ち寄って調整するのが理想。現場の実態を知らない人だけで作ると、守れないルールになりやすい。
まとめ
✅ 今すぐできること(1分)
上の「ルール文例テンプレ」を自社向けにコピーして、まずIT担当か上長に共有する。正式版でなくていい。たたき台が一枚あるだけで、社内の議論は驚くほど動き出す。
分厚い規定はいらない。5つの軸を決めて、年2回見直す。それだけで、禁止と放置のどちらにも倒れない運用ができる。完璧を目指して動けないより、骨格一枚で走り出すほうがずっといい。
社内ルールづくりの相談や、利用状況を見える化する小さなツール作りに興味があれば /contact からどうぞ。「うちの業種だとどこを締めるべき?」という具体的な相談も歓迎です。
執筆:S