AI利用ガイドライン
AI利用ガイドラインとは、従業員が生成AIを安全に業務利用するための社内ルールです。禁止事項だけでなく、使ってよいAI環境、入力してよい情報、人間の確認、著作権、インシデント報告、更新方法まで決めておくことが重要です。
この記事でわかること
- AI利用ガイドラインの役割
- 最低限入れておきたい項目
- ひな形を自社向けに直すポイント
- 作った後に形骸化させない運用方法
AI利用ガイドラインとは、従業員が生成AIを業務で使うときの社内ルールです。目的は、AI利用を禁止することではありません。使ってよい範囲、入力してよい情報、確認すべきこと、問題が起きたときの相談先を明確にし、現場が迷わず安全に使える状態を作ることです。
生成AIは、文章作成、要約、調査、コード生成、画像生成など幅広い業務で使われます。その一方で、情報漏洩、著作権、ハルシネーション、プロンプト・インジェクション、バイアスなどのリスクがあります。ガイドラインは、これらを現場の判断に落とし込むための道具です。
1. ガイドラインは「禁止リスト」ではなく判断基準
AI利用ガイドラインを、NG事項だけの文書にしてしまうと、現場は「結局、何なら使ってよいのか」がわからなくなります。結果として、個人アカウントでこっそりAIを使うシャドーITやBYOAIにつながります。
よいガイドラインには、禁止だけでなく、許可と手順が書かれています。
| 書くべきこと | 例 |
|---|---|
| 使ってよいAI環境 | 会社指定のAIチャット、承認済みAPI、法人契約ツール |
| 入力してよい情報 | 公開情報、社内共有可能な一般文書、匿名化したデータ |
| 入力してはいけない情報 | 個人情報、営業秘密、未公開情報、認証情報 |
| 人間の確認 | 顧客提出前、法務・医療・人事判断前のレビュー |
| 相談先 | 情シス、法務、上長、AI推進担当、CSIRT |
現場が欲しいのは、抽象的な「適切に利用すること」ではなく、「この資料は入れてよいのか」「この出力はそのまま使ってよいのか」を判断するための具体例です。
2. 最低限入れておきたい項目
AI利用ガイドラインには、少なくとも次の項目を入れておくと実務で使いやすくなります。
| 項目 | 決めること |
|---|---|
| 対象範囲 | 従業員、委託先、派遣社員、利用対象ツール |
| 利用可能ツール | 会社指定AI、承認済みサービス、禁止サービス |
| データ入力 | 個人情報、機密情報、顧客情報、コードの扱い |
| 出力利用 | ファクトチェック、著作権確認、顧客提出前レビュー |
| アカウント管理 | SSO、MFA、個人アカウント利用禁止 |
| 外部連携 | プラグイン、アプリ連携、社内データ接続の承認 |
| ログと監査 | 利用ログの取得範囲、監査、保存期間 |
| 事故時対応 | 誤入力、漏洩疑い、誤回答公開時の報告先 |
| 更新方法 | 改訂頻度、責任部署、例外申請の手順 |
特に、機密情報と個人情報の扱い、ファクトチェックの義務、インシデント報告のルートは、最初の版から入れておきたい項目です。
3. ひな形は使ってよいが、そのまま配らない
AI利用ガイドラインをゼロから作る必要はありません。JDLAは、組織が生成AIを導入しやすいように「生成AIの利用ガイドライン」のひな形を公開しています。こうしたひな形を使うと、著作権、秘密情報、個人情報、生成物の確認など、一般的に押さえるべき論点を漏らしにくくなります。
ただし、ひな形をそのまま社内に配るだけでは不十分です。会社ごとに、使うAIツール、扱うデータ、業界規制、顧客契約、情報システムの構成が違うためです。
自社向けに直すときは、次のように具体化します。
| ひな形の表現 | 自社向けに直す例 |
|---|---|
| 機密情報を入力しない | 新製品資料、未公開売上、顧客リスト、契約書原本を入力しない |
| 会社が認めたAIを使う | 使ってよいAIサービス名とURLを明記する |
| 人間が確認する | 顧客提出資料は担当者と上長が確認する |
| 問題があれば報告する | 30分以内に上長と情シス窓口へ連絡する |
ガイドラインは、法律文書として完璧にするより、現場が読んで動ける具体性が大切です。
4. 国や外部ガイドラインは、社内ルールの土台になる
経済産業省のAI事業者ガイドラインは、AIを開発・提供・利用する事業者が、AIガバナンス、透明性、安全性、公平性、プライバシー、セキュリティなどを検討するための参考になります。NIST AI 600-1も、生成AI特有のリスクとして、誤情報、データプライバシー、有害バイアス、情報セキュリティ、知的財産などを整理しています。
これらの外部資料は、そのまま社内規程に貼り付けるものではありません。自社の利用目的に合わせて、「何を禁止するか」「何を許可するか」「どの部署が判断するか」「どのリスクは専門部署に相談するか」に翻訳して使います。
たとえば、経産省やNISTの資料を参考にしながら、社内では次のような判断基準に落とします。
- 顧客データをAIに入れる場合は、契約と個人情報の観点で確認する
- AIの出力を採用、人事評価、与信判断に使う場合は、アルゴリズムバイアスを確認する
- 社内文書検索AIを作る場合は、権限管理と認証基盤を確認する
- 外部文書を読み込ませるAIエージェントでは、プロンプト・インジェクション対策を入れる
5. 作って終わりにしない
AI利用ガイドラインは、一度作って社内ポータルに置けば終わりではありません。AIサービスの機能、契約条件、法制度、業務での使われ方は変わります。更新されないガイドラインは、現場から見て「古い文書」になり、読まれなくなります。技術や規制の変化に合わせて柔軟にルールを見直す姿勢が欠かせません。
運用では、次の仕組みを用意します。
- 四半期または半期ごとに見直す
- 新しいAIツールの申請ルートを決める
- よくある質問を蓄積して追記する
- 誤入力や事故の事例を匿名化して共有する
- ルール変更時は短い要約で現場に知らせる
- 例外申請と承認履歴を残す
現場からの質問は、ガイドラインが足りていない場所を教えてくれる材料です。質問を責めるのではなく、次の改訂に反映すると、ルールが使われる文書になります。
6. まず「使ってよいAI」と「入力してよい情報」を決める
AI利用ガイドラインを作るとき、最初から完璧な文書を目指す必要はありません。まずは、会社として使ってよいAI環境、入力してよい情報、入力してはいけない情報、出力を確認する場面、困ったときの連絡先を決めましょう。
この5つが明確になるだけでも、現場は安心してAIを使いやすくなります。ガイドラインはAI活用を止めるための文書ではなく、組織として説明できる形でAIを使い続けるための土台です。
この記事の監修者
石崎 一之進
中小企業診断士
年間50回以上のセミナー・研修に登壇する「Web・ITが得意な中小企業診断士」。単なるツール導入ではなく、経営視点から現場の「業務効率化」と「売れる仕組み」づくりを両輪で伴走支援し、企業の自走を促すDX人材育成に力を入れています。「人材開発支援助成金(事業展開等リスキリング支援コース)」活用で最大75%還元されるAI研修も行っています。詳細はAI研修をご覧ください。
参考文献
- 日本ディープラーニング協会(JDLA)「生成AIの利用ガイドライン」 https://www.jdla.org/document/
- 経済産業省「AI事業者ガイドライン」 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_report.html
- NIST AI 600-1 "Artificial Intelligence Risk Management Framework: Generative Artificial Intelligence Profile" https://nvlpubs.nist.gov/nistpubs/ai/NIST.AI.600-1.pdf
