生成AIの社内ガイドラインには、最低限「利用してよい業務と禁止する業務」「入力してはいけない情報」「生成物を人が確認するルール」「使ってよいツールと承認の手順」「教育と相談窓口」「見直しの周期」を盛り込みます。難しい規程をゼロから作る必要はなく、国が示すAI事業者ガイドラインや、無償で公開されているひな型をたたき台にして、自社の業務に合わせて1枚から始めるのが現実的です。
ChatGPTなどの生成AIは、社員が個人の判断で使い始めやすいツールです。だからこそ、ルールがないまま広がると、機密情報の入力や誤った出力の利用といったトラブルにつながりかねません。本記事では、生成AIの社内ガイドラインに何を盛り込み、どう運用するかを、総務省・経済産業省や個人情報保護委員会が公表している指針をふまえて整理します。栃木県・宇都宮の中小企業が「難しすぎない実務ルール」として整える視点も交えて解説します。
AI社内ガイドラインが必要な理由
生成AIの社内ルール整備は、多くの日本企業で追いついていないのが実情です。総務省の「令和7年版情報通信白書」は、日本で生成AIを「積極的に活用している」「実用段階で活用している」と回答した企業の割合が2024年度で49.7%(2023年度は42.7%)へ高まる一方、「ルールやガイドラインが明確に定められていない」との回答が過半数を占め、他国と比べて課題が顕著だと指摘しています。使う人は増えているのに、土台となるルールが追いついていない状態だといえます。
ルールがないことの怖さを示す事例もあります。2023年、韓国のサムスン電子では、社員が不具合解消のためにソースコードを、会議の効率化のために議事録を生成AIに入力してしまい、短期間で複数の情報漏えいが報じられました。同社は最終的に社内での生成AI利用を制限する対応を取ったと伝えられています。「便利だから」と現場任せにすると、悪意がなくても情報が外部に渡ってしまう——これが、ガイドラインを先に整える最大の理由です。
ガイドラインの役割は、利用を禁止することではありません。むしろ「ここまでは安心して使ってよい」という線を引くことで、社員が萎縮せずに生成AIを活用できるようにすることが目的です。守るべき範囲を明確にするほど、現場は積極的に使えるようになります。
利用を許可する業務と禁止する業務
最初に決めたいのは、生成AIを「どの業務に・どこまで使ってよいか」の範囲です。すべてを一度に許可・禁止するのではなく、リスクの低い業務から認めていくと運用しやすくなります。
許可しやすい業務(低リスク)
- メール・案内文・社内文書のたたき台作成
- 長い議事録・資料の要約や論点整理
- 企画書・提案書の構成案づくり
- 調べものの「あたり」をつける下調べ(最終確認は一次情報で行う)
- 文章の校正・言い換え・表現の調整
慎重に扱う・原則禁止とする業務(高リスク)
- 顧客の個人情報や案件の固有情報をそのまま外部AIに入力する処理
- 未公開の財務情報・取引条件・技術情報など機密情報の入力
- 最終的な意思決定や、正確性・適法性の最終確認をAIに委ねること
- 生成物を確認なしにそのまま公開・送付・契約に使うこと
この線引きの考え方は、国の指針とも整合します。総務省・経済産業省が公表する「AI事業者ガイドライン」(最新は第1.2版・令和8年3月31日)は、法的拘束力のない自主的な指針(ソフトロー)として、AIを開発する側・提供する側・利用する側それぞれに求められる基本的な考え方を示しています。利用する事業者には、人間が適切に関与してリスクに対応すること、プライバシーや安全性に配慮することなどが期待されており、社内ルールはこの方向性に沿って整えると無理がありません。
入力してはいけない情報の定義
ガイドラインの中で最も重要なのが、「何を入力してはいけないか」を具体的に定めることです。社員が迷わないよう、抽象的な表現ではなく、自社の言葉で例示しておきましょう。
入力を禁止・制限する情報の例
- 個人情報: 顧客・取引先・従業員の氏名、連絡先、マイナンバーなど
- 自社の機密情報: 未公開の財務数値、原価、経営計画、ノウハウ
- 取引先の秘密情報: 秘密保持義務を負って受け取った情報
- 第三者の著作物: 権利処理が済んでいない文章・画像・コードなど
個人情報の扱いについては、個人情報保護委員会が2023年6月に公表した「生成AIサービスの利用に関する注意喚起」が参考になります。同委員会は、事業者が個人情報を含むプロンプトを入力する場合、特定した利用目的を達成するために必要な範囲内であることを十分に確認するよう求めています。さらに、本人の同意なく個人データを含むプロンプトを入力し、その個人データが応答結果の出力以外の目的(例えば学習)で取り扱われる場合には、個人情報保護法に違反する可能性があるとしています。そのうえで、こうした入力を行う際は「当該生成AIサービスを提供する事業者が、当該個人データを機械学習に利用しないこと等を十分に確認すること」と明記しています。
実務上の対応はシンプルです。第一に、入力した情報が学習に使われない設定・プランのサービスを選ぶこと。第二に、個人情報や機密情報はそのまま入力せず、ダミーや空欄で作成して後から差し込むこと。この2点を社内の基本ルールとして共有しておくと、現場の判断が安定します。
承認フロー・ログ管理・教育の設計
「何を使ってよいか」を決めたら、次は運用の仕組みです。ここを整えておくと、ルールが形だけにならず、現場で回るようになります。
使うツールと承認のフロー
まず、会社として利用を認める生成AIツールを明示します。社員が思い思いのサービスを無断で使う状態(いわゆるシャドーAI)を避けるためです。新しいツールを業務に使いたい場合は、誰に申請し、誰が可否を判断するか——たとえば「情報システム担当または管理部門が利用規約とデータの取り扱いを確認して承認する」といった手順を1行で決めておきます。少人数の会社であれば、承認者は経営者や総務担当者が兼ねても構いません。大切なのは、判断する人と基準が決まっていることです。
生成物の確認とログの管理
生成AIは、もっともらしい文章で誤った内容を出力すること(ハルシネーション)があります。そのため「AIの出力は必ず人が確認してから使う」というルールは必須です。事実関係・固有名詞・金額・期限・法令の根拠などは、一次情報で裏取りすることを明記しましょう。あわせて、有料の業務向けプランでは利用状況の管理機能や監査ログが使える場合があります。問題が起きたときに経緯を追えるよう、どのツールでどんな管理ができるかも確認しておくと安心です。
教育と相談窓口
ルールは配って終わりではなく、社員が理解して初めて機能します。短時間でよいので、入力してはいけない情報の具体例、生成物を確認する理由、困ったときの相談先を共有する場を設けましょう。「禁止」を並べるだけでなく、効果的な使い方の例も一緒に伝えると、現場の納得感が高まります。相談窓口を1つ決めておくと、判断に迷ったときに勝手な自己流で進むことを防げます。
国内外のAIガバナンス事例
社内ルールを考えるうえで、国内外の動きを知っておくと判断の助けになります。
海外:規制と運用の両面が進む
2023年3月、イタリアのデータ保護当局は、個人データの取り扱いをめぐる懸念からChatGPTの利用を一時的に停止する命令を出しました(その後、対応を経て再開)。同当局は2024年12月、GDPR(EUの一般データ保護規則)違反などを理由に、OpenAIに対し1,500万ユーロの制裁金を科したと公表しています。一方で、海外の大手企業では業務利用も広がっており、規制を意識しつつ、人の最終確認を前提に活用を進めるという二つの流れが同時に進んでいます。
国内:公的な指針とひな型が整いつつある
日本では、前述のAI事業者ガイドラインや個人情報保護委員会の注意喚起に加え、企業が使えるひな型も公開されています。一般社団法人日本ディープラーニング協会(JDLA)は「生成AIの利用ガイドライン」を無償で公開しており(最新は第1.1版・2023年10月)、各組織が自社の利用目的に合わせて追加・修正して使うことを想定した参考ひな型として提供しています。ゼロから作るのが難しい場合は、こうした公的・中立的なひな型をたたき台にするのが近道です。
栃木県企業向けの簡易ガイドライン構成
少人数で管理部門を兼務することが多い地域企業では、分厚い規程よりも「A4で1〜2枚」の実用ルールから始めるのが現実的です。帝国データバンクの2025年4月の調査では、栃木県内企業で正社員の人手不足を感じている割合は53.2%と全国平均(51.4%)を上回りました。限られた人手だからこそ、ルールを軽く整えて生成AIを安全に使い、生み出した時間を本来の仕事に回す意味は大きいといえます。
まずは、次の項目を1枚にまとめることをおすすめします。これがそのまま社内ガイドラインのたたき台になります。
- 目的と対象: 何のためのルールか、誰に適用するか
- 使ってよいツール: 会社が認める生成AIサービスと、追加したいときの申請先
- 使ってよい業務: たたき台作成・要約・下調べなど、まず認める範囲
- 入力してはいけない情報: 個人情報・機密情報・取引先の秘密情報・未処理の著作物
- 確認のルール: 出力は必ず人がチェックし、根拠は一次情報で裏取りする
- 相談先: 迷ったときに聞く担当者・窓口
- 見直し: いつ・誰が更新するか
完璧を目指す必要はありません。まず1枚を配り、運用しながら具体例を足していく進め方で十分です。
運用後の見直しタイミング
生成AIのサービス仕様や料金プラン、国の指針は更新が続く分野です。たとえばAI事業者ガイドラインは「リビングドキュメント(随時更新する文書)」として位置づけられ、版を重ねています。社内ガイドラインも、一度作って終わりにせず、定期的に見直す前提で運用しましょう。
- 定例の見直し: 半年〜1年に一度、内容が実態に合っているかを点検する
- きっかけが生じたとき: 利用するツールの仕様変更、新しいサービスの導入、関連する指針・法令の更新があったとき
- 現場の声を反映: 「ここが分かりにくい」「この業務も使いたい」という要望を取り入れて具体化する
見直しの担当と周期を最初に決めておくと、ルールが古いまま放置されるのを防げます。
まとめ
生成AIの社内ガイドラインは、利用を縛るためではなく、社員が安心して使えるようにするための土台です。盛り込む中心は、利用してよい業務と禁止する業務、入力してはいけない情報、生成物を人が確認するルール、使ってよいツールと承認の手順、教育と相談窓口、そして見直しの周期です。
進め方の要点は3つです。第一に、AI事業者ガイドラインや個人情報保護委員会の指針など、公的な考え方に沿って線を引くこと。第二に、JDLAなどの無償ひな型をたたき台に、自社の業務へ合わせて1枚から始めること。第三に、サービスや制度の更新に合わせて定期的に見直すことです。小さく始めて運用しながら育てていけば、難しい規程がなくても、生成AIを安全に活かす仕組みは十分につくれます。
エンジェルホールディングスは、栃木県・宇都宮を拠点に、生成AIやDXの導入から定着までを伴走しています。自社の飲食事業エンジェルコーヒーでバックオフィス業務の省力化を実証してきた経験をもとに、社内ガイドラインの整備や運用ルールづくりも、企業の規模や業務に合わせてご一緒に考えます。AI活用の進め方でお悩みの際は、お問い合わせや無料AI診断をご活用ください。
よくある質問
生成AIの社内ガイドラインには何を入れるべきですか?
最低限、利用してよい業務と禁止する業務、入力してはいけない情報の定義、生成物を人が確認するルール、使ってよいツールと承認の手順、教育と相談窓口、見直しの周期を盛り込みます。難しい規程をゼロから作る必要はなく、総務省・経済産業省のAI事業者ガイドラインや、無償公開のひな型をたたき台に、自社の業務へ合わせて1枚から始めるのが現実的です。
生成AIに入力してはいけない情報は何ですか?
顧客・従業員の個人情報、未公開の財務やノウハウなど自社の機密情報、秘密保持義務を負って受け取った取引先の情報、権利処理が済んでいない第三者の著作物などです。個人情報保護委員会は、個人情報を含むプロンプトの入力は利用目的の範囲内かを確認し、本人同意なく入力した個人データが学習などに使われる場合は法違反の可能性があるとして、提供事業者が機械学習に利用しないこと等を十分に確認するよう求めています。学習に使われない設定のサービスを選び、機密はダミーや空欄で扱うのが基本です。
参考にできる公的なガイドラインやひな型はありますか?
あります。総務省・経済産業省の「AI事業者ガイドライン」(最新は第1.2版・令和8年3月31日)は、AIを利用する事業者に求められる考え方を示すソフトローです。個人情報の扱いは個人情報保護委員会の「生成AIサービスの利用に関する注意喚起」(2023年6月)が参考になります。社内ルールのひな型としては、日本ディープラーニング協会(JDLA)が「生成AIの利用ガイドライン」を無償で公開しており、各組織が改変して使うことを想定しています。
少人数の中小企業でもガイドラインは必要ですか?
必要です。むしろ社員が個人の判断で使い始めやすい少人数の会社ほど、最低限のルールがないと機密情報の入力などのリスクが高まります。総務省の令和7年版情報通信白書でも、日本企業はルールやガイドラインが明確に定められていないとの回答が過半数を占めると指摘されています。分厚い規程は不要で、A4で1〜2枚の実用ルールから始め、運用しながら具体例を足していく形で十分です。
ガイドラインはどのくらいの頻度で見直すべきですか?
半年〜1年に一度の定例見直しに加え、利用するツールの仕様変更や新サービスの導入、関連する指針・法令の更新があったときに見直すのが目安です。生成AIのサービスや国の指針は更新が続く分野で、AI事業者ガイドラインも随時更新される文書として位置づけられています。見直しの担当者と周期を最初に決めておくと、内容が古いまま放置されるのを防げます。
AI活用の第一歩は、現状の整理から。
エンジェルホールディングスは、栃木県の企業のAI・DX導入を、実装から定着まで伴走支援します。約5分の無料AI診断で、御社に合う進め方を整理できます。
