利用を止めたいわけではないが、何を書けば会社として許可したことになるのかが分からない。
AIガイドライン案を前に、情シスの担当者からこうした声が上がっていました。これは、生成AIの全社利用を検討する企業で、情シス・法務・コンプライアンス・DX推進・人事・セキュリティ担当が同じ会議に集まったときに起こりやすい場面です。 以前は、個人が公開AIツールを試す段階が中心で、注意喚起も「機密情報を入れないでください」程度で済んでいました。現在は、議事録、契約書の一次確認、社内規程の検索、研修コンテンツ作成など、業務の中に生成AIが入り始めています。Kanataにも、AIチャット、AI要約、eラーニング、プロジェクトごとのライブラリ管理など、業務利用を支える機能があります。 その一方で、誰がどの情報を入力できるのか、出力をどこまで信じてよいのか、ログをどう扱うのかは部門ごとに見方が異なります。この記事では、生成AIガイドラインに含めたい項目を、社内規程や運用ルールのたたき台として使える粒度で整理します。目指すのは、利用を萎縮させず、禁止事項だけでも終わらせず、現場が判断に迷ったときに戻れる共通ルールを持つことです。ただし、ガイドラインだけで安全な活用が完成するわけではありません。教育、ツール設定、定期的な見直しとあわせて、自社の運用に落とし込んでみてください。
生成AIガイドラインは、「禁止リスト」ではない
生成AIガイドラインを作るとき、最初に起こりやすいのが「何を禁止するか」から議論が始まることです。 もちろん、機密情報や個人情報の扱い、著作権、顧客情報、未公開情報の保護は重要です。日本でも、総務省・経済産業省が公表するAI事業者ガイドラインが更新されており、AIの開発・提供・利用に関わる事業者に対して、リスクベースでの対応やガバナンスの重要性が示されています。 ただし、禁止事項だけを並べたガイドラインは、現場から見ると使いにくいものになりがちです。 たとえば、営業、人事、法務などの各部門では、日常業務にAIを活用したいというニーズがあります。一方で、情シスやセキュリティ部門には、利用できるツールやデータの取り扱い範囲を定める役割が求められます。 つまり、生成AIガイドラインに必要なのは、単なる禁止リストではなく、現場が迷ったときに戻れる判断基準です。
ガイドラインに必要な役割
生成AIガイドラインには、大きく3つの役割があります。
- 会社としての基本姿勢を示すこと。生成AIを業務で活用するのか、どの領域から始めるのか、どのようなリスクを重視するのかを明確にします。
- 現場の利用判断をそろえること。同じ情報でも、公開情報なのか、社内限定情報なのか、顧客との契約に関わる情報なのかによって扱いは変わります。
- 問題が起きたときの初動を明確にすること。誤って入力してはいけない情報を入れた場合、誰に、いつ、何を報告するのかを決めておきます。
ガイドラインは、現場を縛るためだけのものではありません。安心して使える範囲を示し、活用を前に進めるための土台です。
まず決めるべき基本項目
生成AIガイドラインを作るときは、いきなり細かな禁止事項に入る前に、基本項目を定義します。 ここが曖昧なままだと、「誰に適用されるのか」「どのツールが対象なのか」「出力の責任は誰が持つのか」が後から問題になります。
目的
最初に書くべきなのは、ガイドラインの目的です。たとえば、以下のような目的を明記します。
- 生成AIを安全かつ適切に業務利用するため
- 業務効率化やナレッジ活用を進めるため
- 情報漏えい、著作権侵害、誤情報利用などのリスクを抑えるため
- 社員が判断に迷ったときの共通基準を示すため
ここで重要なのは、「生成AIに業務判断を丸ごと任せるものではない」と明記することです。 生成AIは、文章の下書き、要約、論点整理、アイデア出し、調査の起点づくりには活用できます。一方で、契約判断、採用判断、人事評価、財務判断、法的判断などの最終判断を代替するものではありません。 ガイドラインの冒頭で、生成AIの位置づけを「業務を補助するツール」として明確にしておくと、後続の項目も整理しやすくなります。
適用範囲
次に、誰に対して、どの業務で、どのツールに適用するのかを定義します。 対象者としては、正社員だけでなく、契約社員、派遣社員、業務委託、役員、外部パートナーなども検討対象になります。業務データに触れる可能性がある人は、雇用形態に関係なくガイドラインの対象に含めるのが実務上は安全です。 対象業務は、文章作成、要約、翻訳、調査、議事録作成、問い合わせ対応、資料作成、コード生成などに分けて整理します。業務ごとに、許可する範囲やレビュー要件を変えることもできます。 対象ツールも明確にします。会社が契約・承認したツールだけを対象にするのか、個人が契約している生成AIサービスも含めるのか、ブラウザ拡張や外部連携ツールをどう扱うのかを決めておく必要があります。
用語定義
ガイドラインでは、用語の認識ずれを防ぐことも重要です。最低限、以下のような用語は定義しておくとよいでしょう。
たとえば、「入力情報」とは、チャット欄に直接入力する文章だけではありません。添付ファイル、画像、音声、URL、コピーした社内文書も含むと定義します。 Kanataのように、AIチャット、AI要約、eラーニング、学習データライブラリなど複数の機能を持つ業務支援プラットフォームでは、チャットへの入力だけでなく、プロジェクトライブラリに登録する資料も情報管理の対象になります。
入力してよい情報、入力してはいけない情報を分類する
生成AIガイドラインの中でも、特に重要なのが「何を入力してよいか」です。 生成AIのリスクは、出力だけでなく入力にもあります。入力した情報が外部サービスに保存されるのか、学習に利用されるのか、管理者が確認できるのか、契約上どのように扱われるのかによって、許容できる情報は変わります。 そのため、情報区分ごとに入力可否を整理する必要があります。
情報区分ごとの基本整理
以下のような表をガイドラインに入れておくと、現場が判断しやすくなります。
| 情報区分 | 例 | 入力可否の考え方 |
|---|---|---|
| 公開情報 | 公式サイト、プレスリリース、公開IR資料 | 原則として入力可 |
| 社内一般情報 | 社内マニュアル、公開済み社内FAQ、一般的な業務手順 | 会社指定ツールで利用可 |
| 部門限定情報 | 部門会議資料、内部方針、限定共有の業務資料 | アクセス権限と利用目的を確認 |
| 顧客情報 | 商談メモ、提案書、契約条件、問い合わせ内容 | 契約・NDA・社内ルールを確認 |
| 個人情報 | 氏名、住所、電話番号、メールアドレス、社員番号 | 原則入力不可。必要時はマスキングや承認を検討 |
| 機微情報 | 健康情報、信条、マイナンバー、口座情報など | 入力禁止 |
| 未公開重要情報 | 未公表決算、M&A、人事異動、経営戦略 | 入力禁止 |
この分類は、会社の既存の情報管理規程に合わせて調整してください。すでに「公開」「社外秘」「部外秘」「極秘」などの区分がある場合は、その区分と生成AI利用ルールを紐づけると運用しやすくなります。 個人情報の扱いについては、個人情報保護委員会が生成AIサービスの利用に関する注意喚起等についてを公表しています。個人情報を含む情報を生成AIに入力する場合は、個人情報保護法上の整理や、利用目的、第三者提供、委託関係などの確認が必要になる可能性があります。
個人情報は「必要最小限」と「マスキング」を原則にする
個人情報は、生成AI利用で特に慎重に扱うべき情報です。 氏名、住所、電話番号、メールアドレス、社員番号、顧客担当者名などは、業務上よく使われる情報です。しかし、文章の要約や下書きに必ずしも実名が必要とは限りません。 たとえば、商談メモを整理する場合は、以下のように置き換えられます。
- 田中太郎 → 顧客担当者A
- 株式会社〇〇 → 製造業A社
- 3,250万円 → 3,000万円台
- 2026年5月13日 → 2026年5月中旬
- 東京都港区〇〇 → 東京都内
ただし、単に名前を消せばよいわけではありません。複数の情報を組み合わせれば本人や企業を特定できる場合は、十分なマスキングとはいえません。 ガイドラインには、「個人情報は原則入力しない」「業務上必要な場合は、目的、範囲、承認者、利用ツールを明確にする」と書いておくとよいでしょう。
「迷ったら入力しない」を明文化する
現場では、グレーゾーンが必ず発生します。
- 社内会議の議事録は入れてよいのか
- 顧客名を伏せれば商談メモは使ってよいのか
- 契約書の一部だけなら外部AIに入れてよいのか
このような判断を個人に任せると、担当者ごとにばらつきが出ます。 そのため、ガイドラインには「判断に迷う情報は入力しない」「判断に迷う場合は、上長、法務、情報セキュリティ担当に確認する」と明記します。 利用を止めるためではなく、迷ったときの逃げ道を作ることが重要です。
利用してよいツール、使ってはいけないツールを明確にする
生成AIガイドラインでは、情報だけでなくツールの扱いも定義する必要があります。 同じプロンプトでも、会社が契約しているツールに入力する場合と、個人が無料で使っているツールに入力する場合では、リスクが異なります。
承認済みツールの条件
会社として利用を認めるツールは、機能の便利さだけで選ぶべきではありません。少なくとも、以下の観点を確認します。
- 入力データが保存されるか
- 入力データがAIモデルの学習に使われるか
- 管理者が利用状況を確認できるか
- ログを取得できるか
- アクセス権限を管理できるか
- SSO、2要素認証、IP制限などに対応しているか
- 契約上、データの取り扱いが明確か
- 退職者や異動者の権限を削除できるか
Kanataの操作マニュアルでは、スペース、プロジェクト、アプリ、ライブラリという概念で、業務単位ごとに利用者・データ・アプリを整理する設計が示されています。こうした管理単位を持つツールでは、部署別、案件別、研修別など、情報の見せ方に応じた運用を設計しやすくなります。 ただし、ツールに管理機能があることと、自社で適切に運用できることは別です。承認済みツールであっても、アクセス権限や学習データの登録ルールを決めなければ、情報管理上のリスクは残ります。
個人契約ツールの扱い
多くの企業で悩みやすいのが、個人契約ツールや無料公開ツールの扱いです。 現実には、社員がすでに個人で生成AIを使っているケースがあります。そのため、単に「禁止」と書くだけでは、実態と乖離する可能性があります。 ガイドラインでは、たとえば以下のように整理できます。
- 個人契約ツールには、業務上の機密情報、顧客情報、個人情報を入力しない
- 公開情報の要約や一般的な文章の言い換えに限定する
- 会社資料、顧客資料、契約書、社内議事録は入力しない
- 業務データを扱う場合は、会社承認済みツールを利用する
このように、何が不可なのかだけでなく、どこまでなら許容されるのかを明確にすると、現場が判断しやすくなります。
AI出力は「下書き」として扱う
生成AIの出力は便利ですが、常に正しいとは限りません。 もっともらしい文章であっても、事実誤認、存在しない出典、古い情報、偏った表現、不適切な言い回しが含まれることがあります。そのため、ガイドラインでは、AI出力の扱いを明確にする必要があります。
最終責任は人が持つ
まず、AI出力の最終責任は利用者または承認者が持つと明記します。 「AIがそう書いたから」という説明は、社外向け資料や顧客回答の責任を免れる理由にはなりません。特に、以下のような用途では人による確認が必須です。
- 顧客への正式回答
- 契約書や規程に関する説明
- 採用、評価、異動、処分に関わる文書
- 決算、IR、経営方針に関わる資料
- 広告、プレスリリース、ホワイトペーパーなどの公開物
- 法令、規制、監査に関わる説明
生成AIは、文章の下書きや論点整理には使えます。しかし、最終的な判断や説明責任は人と組織に残ります。
レビュー観点をチェックリスト化する
AI出力を確認するときは、「ざっと読む」だけでは不十分です。レビュー観点をチェックリストにしておくと、部門をまたいでも品質をそろえやすくなります。 たとえば、以下のような確認項目が考えられます。
- 数字、日付、固有名詞は正しいか
- 引用元や出典は実在するか
- 事実と推測が混ざっていないか
- 顧客情報や個人情報が含まれていないか
- 誇張表現や断定表現がないか
- 著作権や商標に関わる問題がないか
- 社内ルールやブランドトーンに合っているか
- 専門部署の確認が必要な内容ではないか
Kanataの日常業務ベストプラクティスガイドでも、AIは下書き・要約・整形・調査の起点に使い、事実確認や最終判断は人が担うという原則が示されています。この考え方は、生成AIガイドラインの中心に置くべきです。
著作権、引用、第三者情報の扱いを明記する
生成AI活用では、著作権や引用の扱いも避けて通れません。 文章、画像、音声、動画、コードなど、生成AIが扱う対象は広がっています。入力する情報にも、出力される情報にも、第三者の権利が関わる可能性があります。 文化庁はAIと著作権についてのページで、生成AIと著作権に関する考え方やチェックリスト・ガイダンスを公表しています。著作権に関する判断は個別事情に左右されるため、社外公開物や商用利用では、必要に応じて法務や専門家の確認を受ける前提にしておくと安全です。
著作物を入力する場合
外部の有料レポート、書籍、記事、顧客から受領した資料、契約書、研修資料などを生成AIに入力する場合は、利用許諾や契約条件を確認する必要があります。 特に、以下のような資料は注意が必要です。
- 有料記事や有料レポートの全文
- 書籍や教材の本文
- 顧客からNDAのもとで受領した資料
- 外部講師や制作会社が作成した研修資料
- 取引先から共有された提案書や仕様書
「要約するだけだから問題ない」とは限りません。ガイドラインでは、第三者著作物を入力する場合の承認ルールを決めておくべきです。
AI出力を利用する場合
AIが生成した文章や画像が、既存の著作物に似ている可能性もあります。 特に、キャッチコピー、広告文、画像、ロゴ、スローガン、コードなどは、既存表現との類似性に注意が必要です。 ガイドラインには、以下を明記しておくとよいでしょう。
- 社外公開物に使う場合は、人が類似性を確認する
- AIが提示した引用や出典は、必ず実在確認する
- 出典が必要な情報は、一次情報にあたる
- 他社の商標、ロゴ、キャラクター、著名人の表現に注意する
- 生成物をそのまま公開せず、社内レビューを通す
生成AIは、出典を正確に扱えないことがあります。引用や根拠が必要な場面では、AIの出力ではなく、原典を確認する運用を徹底します。
ログ、監査、アクセス管理を設計する
生成AIガイドラインでは、利用ルールだけでなく、運用を確認する仕組みも必要です。 「入力してはいけない」と書いても、実際にどのように使われているかが見えなければ、改善も教育もできません。
取得すべきログ
ログとして確認したい項目は、ツールや契約内容によって異なりますが、基本的には以下を検討します。
- 利用者
- 利用日時
- 利用ツール
- 利用した機能
- 入力内容の概要
- 添付ファイルの有無
- 出力内容の概要
- 共有やエクスポートの履歴
- 管理者設定の変更履歴
ただし、ログを取得する場合は、プライバシーや労務管理の観点も考慮が必要です。社員の監視が目的ではなく、情報保護、インシデント調査、利用改善のために取得することを明記します。
ログの利用目的
ログは、問題が起きたときだけでなく、運用改善にも使えます。 たとえば、問い合わせが多いテーマ、入力禁止情報に関する迷い、特定部門での利用急増、使われていない機能などを把握できます。 ログをもとに、FAQを更新したり、研修テーマを追加したり、承認フローを見直したりすることで、ガイドラインは実態に合ったものになります。
アクセス管理
生成AIツールを業務で使う場合、アクセス権限の管理も重要です。 特に、プロジェクト単位で情報を分ける運用では、誰がどのプロジェクトに参加しているか、どの学習データにアクセスできるかを定期的に確認する必要があります。 Kanataのマニュアルでは、スペースやプロジェクトごとにメンバーや権限を管理する考え方が示されています。このような構造を利用する場合でも、退職者や異動者の権限削除、管理者権限の棚卸し、共有アカウントの禁止などは、自社の運用ルールとして明文化しておくべきです。
禁止事項と要承認事項を分ける
生成AIガイドラインでは、「禁止」と「要承認」を分けることが大切です。 すべてを禁止にすると活用が進みません。一方で、すべてを現場判断にするとリスクが高まります。その中間として、一定の条件を満たせば利用できる「要承認事項」を設けます。
禁止事項の例
禁止事項には、明確に許容できない行為を記載します。たとえば、以下のような内容です。
- 機微情報を生成AIに入力する
- 個人情報を無断で入力する
- 顧客の機密情報を承認なく入力する
- 未公開の財務情報、人事情報、M&A情報を入力する
- 会社未承認ツールに業務上の機密情報を入力する
- AI出力を確認せずに社外へ送付する
- AI出力だけを根拠に採用、評価、懲戒などの判断を行う
- セキュリティ制限やアクセス制御を回避する
- 他者になりすましてAIツールを利用する
禁止事項は、できるだけ具体的な表現にします。「不適切な利用は禁止」と書くだけでは、現場が判断できません。
要承認事項の例
要承認事項には、リスクはあるものの、条件を満たせば業務上必要になる行為を記載します。たとえば、以下のようなものです。
- 新しい生成AIツールの導入
- API連携
- 外部サービスとの連携
- 顧客データの投入
- 部門横断での学習データ登録
- 社外向けコンテンツのAI生成
- 契約書、規程、評価文書など専門性の高い文書への利用
- 大量データのアップロード
要承認事項には、申請先、必要な情報、承認者、記録方法をセットで書きます。
例外申請フロー
現場では、ガイドラインに書かれていない利用ケースが出てきます。そのため、例外申請のフローも用意しておくと安心です。 申請時には、以下を記入してもらうと判断しやすくなります。
- 利用目的
- 利用者
- 利用するツール
- 入力する情報の種類
- 出力の利用先
- 利用期間
- 想定されるリスク
- リスク低減策
- 承認者
「例外を一切認めない」ではなく、「必要な例外を適切に管理する」考え方が実務的です。
インシデント・違反時の初動を決める
生成AIガイドラインには、問題が起きたときの対応も必ず入れるべきです。 誤って機密情報を入力した、個人情報を含むファイルをアップロードした、AI出力を確認せずに顧客へ送ってしまった。このようなケースは、どれだけ注意していても起こり得ます。 重要なのは、起きた後に早く報告され、影響範囲を確認できる状態にしておくことです。
初動フロー
インシデント発生時の初動は、次のように整理できます。
- すぐに利用を止める
- 当該チャット、入力内容、添付ファイル、出力内容を確認する
- 画面キャプチャやログなど、必要な証跡を保存する
- 上長、情シス、情報セキュリティ担当へ報告する
- 入力した情報の種類、日時、利用ツール、共有範囲を整理する
- 必要に応じて、法務、コンプライアンス、顧客対応部門と連携する
- 再発防止策を検討し、ガイドラインや教育に反映する
ここで注意したいのは、「すぐ削除すればよい」とは限らないことです。削除前に証跡が必要な場合もあります。自社のインシデント対応方針に合わせて、証跡保存と削除の順番を決めておきます。
報告テンプレート
報告テンプレートも用意しておくと、現場が迷いません。以下の項目を含めるとよいでしょう。
- 発生日時
- 発見日時
- 利用者
- 利用したツール
- 入力した情報の種類
- 添付ファイルの有無
- 出力内容の概要
- 社外共有の有無
- 現時点で実施した対応
- 追加で必要な確認
- 再発防止に必要な対応
報告は、責任追及のためではなく、被害拡大を防ぐためのものです。
責めない文化を明記する
ガイドラインには、「違反したら処分する」だけでなく、「速やかな報告を促す」姿勢も入れるべきです。 インシデントを起こした人を過度に責める文化があると、報告が遅れます。報告が遅れるほど、影響範囲の確認や是正が難しくなります。 もちろん、悪質な違反や意図的な持ち出しには厳正な対応が必要です。しかし、通常のミスについては、早期報告と再発防止を重視する姿勢を明記しておくことが、結果的に組織を守ります。
教育・周知・問い合わせ体制を用意する
ガイドラインは、作っただけでは機能しません。 社員が読んで理解し、日常業務で使える状態にする必要があります。そのためには、教育、周知、問い合わせ体制が欠かせません。
初回教育で伝えること
生成AI利用の初回教育では、ツールの操作方法だけでなく、判断基準を伝えることが重要です。 最低限、以下を扱うとよいでしょう。
- 生成AIでできること、できないこと
- 会社としての利用方針
- 入力してよい情報、いけない情報
- 個人情報、顧客情報、機密情報の扱い
- AI出力の確認方法
- 著作権と引用の注意点
- インシデント時の報告方法
- よくあるNG例
EUのAI Actでも、AIシステムの提供者・利用者に対して、関係者がAIリテラシーを十分に持つための措置を講じることが求められています。日本企業にそのまま適用されるとは限りませんが、教育をガイドライン運用の一部として位置づけるうえで参考になります。 Kanataのベストプラクティスガイドでも、プロンプト送信前に、役割・目的・対象読者・形式・制約、機密情報のマスキング、1チャット1テーマなどを確認する考え方が示されています。こうした実務的なチェック項目は、社内教育にも活用しやすい要素です。
部門別に補足する
共通ガイドラインだけでは、部門ごとの具体的な判断に届かないことがあります。 たとえば、営業部門では商談メモ、提案書、顧客情報が中心になります。人事部門では評価、採用、個人情報が中心になります。法務部門では契約書や規程の扱いが重要になります。マーケティング部門では著作権、引用、公開コンテンツの表現確認が課題になります。 そのため、共通ガイドラインを土台にしつつ、部門別の補足ルールやFAQを作ると運用しやすくなります。
問い合わせ窓口を決める
生成AIの利用では、現場から多くの質問が出ます。
- この情報は入力してよいのか
- このツールは使ってよいのか
- AIが作った文章を顧客に送ってよいのか
- このケースは例外申請が必要か
こうした質問に答える窓口を決めておかないと、現場は自己判断をするか、利用をやめてしまいます。 問い合わせ窓口は、情シスだけでなく、法務、コンプライアンス、セキュリティ、DX推進などと連携できる体制にしておくとよいでしょう。
見直し頻度と改訂ルールを決める
生成AIの利用環境は変化が速いため、ガイドラインは一度作って終わりではありません。 新しいツールが出る。既存ツールの仕様が変わる。社内の利用ケースが増える。法令や業界ルールが変わる。こうした変化に合わせて、ガイドラインも更新する必要があります。
見直し頻度の目安
初版公開後は、まず1か月後に見直すことをおすすめします。 初版の時点では、現場からどのような質問が出るか、どの項目が分かりにくいか、どの業務で利用が進むかが見えにくいためです。 その後は、四半期ごと、または半期ごとに定期見直しを行います。加えて、以下のような場合は臨時で見直します。
- 新しい生成AIツールを導入したとき
- 既存ツールの仕様が変わったとき
- インシデントやヒヤリハットが発生したとき
- 法令、規制、業界ガイドラインが変わったとき
- 部門横断の新しい利用ケースが始まったとき
見直し頻度は、業種、扱う情報の機密性、利用者数、利用するツールの種類によって変わります。金融、医療、公共、インフラ、教育など、規制や社会的影響が大きい領域では、より短い周期での確認が必要になる場合があります。
見直しで確認する項目
見直し時には、以下を確認します。
- 現場からの問い合わせ内容
- 判断に迷ったケース
- 禁止事項や要承認事項の不足
- 利用ログから見えた傾向
- インシデントやヒヤリハット
- 使われていないルール
- 部門別ルールとの整合性
- 教育資料やFAQとの整合性
使われないガイドラインは、現場の実態とずれている可能性があります。問い合わせやログをもとに、文章を短くしたり、表を追加したり、FAQ化したりすることが大切です。
改訂履歴を残す
ガイドラインを更新する場合は、改訂履歴を残します。最低限、以下を記録します。
- 改訂日
- 改訂者
- 改訂箇所
- 改訂理由
- 適用開始日
- 周知方法
特に、禁止事項や承認フローを変更した場合は、社員に確実に周知する必要があります。
そのまま使える生成AIガイドライン項目チェックリスト
最後に、生成AIガイドラインに入れるべき項目をチェックリストとして整理します。 自社の規程や業務内容に合わせて、必要な項目を追加・削除してください。
基本方針
- ガイドラインの目的
- 生成AIの位置づけ
- 適用対象者
- 対象業務
- 対象ツール
- 用語定義
- 利用者の責任
- 管理者の責任
- 最終判断は人が行うこと
情報管理
- 入力してよい情報
- 入力してはいけない情報
- 情報区分ごとの入力可否
- 個人情報の扱い
- 顧客情報の扱い
- 機密情報の扱い
- 機微情報の禁止
- 未公開重要情報の禁止
- マスキング方法
- 判断に迷った場合の確認先
ツール管理
- 承認済みツール一覧
- 禁止ツールの扱い
- 個人契約ツールの扱い
- 無料公開ツールの扱い
- 外部連携の承認ルール
- API利用の承認ルール
- アカウント管理
- 退職者・異動者の権限削除
- 共有アカウントの禁止
出力管理
- AI出力は下書きとして扱うこと
- 社外利用時のレビュー
- 数字、固有名詞、日付の確認
- 出典確認
- 著作権確認
- 引用ルール
- 専門部署による確認
- 不適切表現の確認
- 誇張表現の禁止
ログ・監査
- 取得するログ
- ログの利用目的
- ログの保存期間
- 閲覧できる管理者
- インシデント調査時の利用
- 利用状況の定期確認
- 権限棚卸し
禁止事項・要承認事項
- 入力禁止情報
- 禁止行為
- 要承認の利用ケース
- 例外申請フロー
- 承認者
- 承認記録の保存先
インシデント対応
- 報告基準
- 初動フロー
- 報告先
- 証跡保存
- 影響範囲確認
- 顧客・関係者への連絡判断
- 再発防止
- 教育への反映
教育・運用改善
- 初回教育
- 部門別教育
- FAQ
- 問い合わせ窓口
- 定期見直し
- 改訂履歴
- 周知方法
まとめ:生成AIガイドラインは「止めるため」ではなく「迷わず使うため」
生成AIガイドラインは、単なる禁止事項の一覧ではありません。 本来の目的は、現場が安全に、迷わず、業務に生成AIを取り入れるための判断基準を作ることです。何を入力してよいのか。どのツールを使ってよいのか。AI出力をどこまで使ってよいのか。問題が起きたら誰に報告するのか。こうした基本がそろっていれば、現場は過度に萎縮せず、必要な場面で生成AIを使いやすくなります。 一方で、ガイドラインを作るだけでは十分ではありません。教育、問い合わせ窓口、ツール設定、ログ確認、定期的な見直しと組み合わせて初めて、実務に根づいたルールになります。 Kanataのような業務支援プラットフォームでは、AIチャット、AI要約、eラーニング、プロジェクトライブラリなどを組み合わせて、部門や業務単位でAI活用を設計できます。ただし、どのツールを使う場合でも、自社の情報管理区分、承認フロー、教育体制、見直しルールは欠かせません。 生成AIガイドラインは、完成版を一度で作るものではなく、利用実態に合わせて育てるものです。まずは共通ルールを整え、現場から出てくる質問や利用ログをもとに改善していくことが、現実的な進め方です。
Q&A
生成AIガイドラインは、社内規程として作るべきですか?最初から正式な規程として固めるよりも、まずはガイドラインや運用ルールとして始める方法が現実的です。生成AIの利用環境は変化が速いため、初版では基本方針、入力禁止情報、承認済みツール、レビュー責任、違反時対応を中心に整理し、運用後に規程化する範囲を検討すると進めやすくなります。
生成AIに入力してはいけない情報は何ですか?代表的には、個人情報、機微情報、顧客の機密情報、未公開の財務情報、人事情報、M&A情報、契約上外部提供が制限されている資料などです。ただし、実際の可否は会社の情報管理規程、契約条件、利用するAIツールのデータ取り扱いによって変わります。迷う場合は、入力しないことを原則にしてください。
AIの出力は、そのまま社外に出してもよいですか?原則として、そのまま社外に出すべきではありません。AI出力には、事実誤認、存在しない出典、古い情報、著作権上の懸念、不適切な表現が含まれる可能性があります。社外向けに使う場合は、数字、固有名詞、日付、引用元、表現の妥当性を人が確認し、必要に応じて法務や専門部署のレビューを受ける運用にしてください。
会社指定ツールなら、機密情報を入力しても問題ありませんか?会社指定ツールであっても、何でも入力してよいわけではありません。ツールの契約条件、データ保存、学習利用の有無、アクセス権限、ログ管理、社内の情報区分に従う必要があります。特に、顧客情報、個人情報、未公開重要情報を扱う場合は、承認フローやマスキングの要否を確認してください。
ガイドラインはどのくらいの頻度で見直すべきですか?初版公開後は、1か月後を目安に見直すとよいでしょう。その後は、四半期または半期ごとに確認します。新しいツールの導入、既存ツールの仕様変更、法令や業界ルールの変更、インシデント発生時には、定期見直しを待たずに改訂を検討してください。
