生成AIを業務で安全に活用するには、社内ルールが必要です。
ただし、社内ルールの目的は、生成AIの利用を禁止することではありません。社員が業務の中で、「どこまでなら安全に使えるのか」「どのケースは相談が必要か」「何をしてはいけないか」を自分で判断できるようにすることが目的です。
ルールがないまま利用を認めると、機密情報や個人情報の入力、誤った回答の利用、著作権侵害などの問題が起こる可能性があります。一方で、すべての生成AIを禁止すると、社員が個人アカウントを使って無断利用する、業務効率化の機会を失うといった別の問題が生じます。
そのため、中小企業では「全面禁止」か「自由利用」かの二択ではなく、次の3つに分けることが重要です。
- 社員の自己判断で利用できる
- 上司や担当窓口への相談が必要
- 原則として利用してはいけない

経済産業省の公式ページでは、2026年4月1日に「AI事業者ガイドライン第1.2版」が最新版として案内され、本編、別添、チェックリスト、ワークシートなどが公開されています。ガイドラインでは、AIの利用による便益を活かしながら、利用形態に応じたリスクを管理する考え方が示されています。
この記事では、同ガイドラインや個人情報保護委員会、文化庁の資料を参考に、中小企業が生成AIの社内ルールで最低限決めたい内容を12項目に整理します。なお、ここで紹介する12項目は、法律や公的ガイドラインで一律に義務付けられた「公式の12項目」ではありません。中小企業が社内利用者向けの判断基準を作るための、実務上の整理です。記事後半には、そのままコピーして編集できる生成AI社内ルールのひな形も掲載しています。
この記事の位置づけ
本記事は一般的な情報提供を目的としています。個人情報保護法、著作権法、営業秘密、業界固有の規制、顧客との契約などについては、自社の状況に応じて法務担当者や専門家へ確認してください。
生成AIの社内ルールとは?目的は「禁止」ではなく判断基準を作ること
生成AIの社内ルールとは、社員が業務で生成AIを利用するときに守る行動基準です。具体的には、次のような疑問に答えられる状態を作ります。
- どの生成AIサービスを使ってよいのか
- 無料版や個人アカウントを使ってよいのか
- どの情報なら入力してよいのか
- 顧客情報や個人情報を扱えるのか
- AIの回答をどのように確認するのか
- 顧客へ提出する資料に使ってよいのか
- 誰が最終判断を行うのか
- 問題が起きたときに誰へ報告するのか
- ルール外の利用をしたい場合にどう申請するのか
社員が「どこまでなら安全か」を判断できる状態を目指す
社内ルールが曖昧だと、社員は生成AIを使うたびに上司や管理部門へ確認しなければなりません。しかし、日常的な文章の要約やアイデア出しまで、すべて管理部門の承認を必要とすると、確認業務が増え、生成AIを活用するメリットが小さくなります。そこで、次のように利用範囲を分けます。
| 区分 | 意味 | 利用例 |
|---|---|---|
| 利用可 | 社員がルールに沿って自己判断できる | 公開情報を使った文章案、一般的なアイデア出し |
| 要相談 | 上司や担当窓口の確認が必要 | 顧客提出物、個人情報を扱う業務、新しいAIサービス |
| 禁止 | 原則として利用しない | 認証情報の入力、未確認のAI出力をそのまま外部提出 |
この区分があれば、社員は何でも相談する必要がなくなり、管理部門もリスクの高い利用に集中できます。経済産業省が公開している「AI事業者ガイドライン活用の手引き(案)」でも、すべての利用事例を窓口に集めるのではなく、相談が必要な場合とセルフチェックでよい場合を分ける考え方が紹介されています。なお、同資料は「案」であり、今後見直される可能性があると明記されています。
「全面禁止」と「無条件で自由」のどちらも避ける
生成AIの社内ルールで避けたいのは、両極端な状態です。全面禁止の場合、社員が業務効率化のために生成AIを使いたいと考えていても会社へ相談できなくなり、個人のメールアドレスや無料アカウントを使った管理できない利用につながる可能性があります。無条件で自由にした場合、入力してよい情報や出力の確認方法が分からないまま利用が広がり、情報漏洩、誤情報の外部提供、著作権や契約上の問題につながる可能性があります。重要なのは、すべてを禁止することではなく、通常業務として安全に利用できる範囲、担当者の確認を受ければ利用できる範囲、対策を講じても利用を認めない範囲という境界線を示すことです。
AI事業者ガイドライン第1.2版との関係
AI事業者ガイドライン第1.2版は、事業活動においてAIを開発、提供、利用する事業者が参照できる、非拘束的な指針です。同ガイドラインのAI利用者向け部分では、提供者が想定した範囲での利用、適切なデータの入力、出力の精度やリスクの確認、個人情報や機密情報の不適切な入力防止などが挙げられています。また、人間の判断を介在させることの重要性も示されています。
一方で、ガイドラインに書かれている項目を、すべての企業がそのまま採用すればよいわけではありません。公開されている活用の手引きでは、ガイドラインは義務を課すものではなく、自社の事業規模や状況に合わせて対応することが重要だと説明されています。中小企業では、抽象的な原則だけで終わらせず、社員が日常業務で使える具体的なルールへ落とし込むことが重要です。
本記事で扱う範囲|社内ルール・運用体制・契約の違い
生成AIを安全に導入するには、社内ルールだけでなく、運用体制やAIベンダーとの契約も整える必要があります。ただし、この3つは役割が異なります。
| テーマ | 主な対象者 | 答える内容 |
|---|---|---|
| 生成AIの社内ルール | 生成AIを利用する社員 | 何をしてよく、何をしてはいけないか |
| AI導入の運用体制 | 経営者、管理部門、責任者 | 誰が管理し、どの会議で判断・改善するか |
| AI導入の契約 | 経営者、法務、購買、責任者 | 自社とベンダーが何を約束するか |

本記事は「社内利用者が守る判断基準」を扱う
本記事で扱うのは、社員が生成AIを利用するときの判断基準です。会社が認めるサービス、入力してよい情報と禁止情報、出力を外部で利用する条件、人間による確認と最終判断、利用記録、問題発生時の報告、例外利用の申請方法などを対象にします。
「AI導入の運用体制」記事が扱うこと
運用体制の記事では、AI利用の責任者を誰にするか、新しいサービスの利用可否を誰が判断するか、どの会議でルールを見直すか、社員教育を誰が行うか、利用状況や問題を誰が監査するか、事故が発生したときに誰が対外対応するかといった内容を扱います。本記事では、社員から見える「相談先」「報告先」「承認者」までを定めます。管理組織の細かな設計は、運用体制の記事で整理するのが適切です。
「AI導入の契約」記事が扱うこと
契約の記事では、AIサービスを提供するベンダーとの約束を扱います。入力データがどのように利用されるか、データの保存場所や保存期間、学習への利用条件、秘密保持、セキュリティ対策、知的財産権、障害や事故が起きた場合の責任分担、サービス停止時の対応、契約終了後のデータ削除などです。社内ルールでは、社員に契約内容を判断させるのではなく、「会社が確認し、許可したサービスとプランだけを使う」という行動基準に落とし込みます。
12項目を決める前に「利用可・要相談・禁止」の3区分を作る
12項目を作り始める前に、自社の基本的な区分を決めます。
利用可|社員の自己判断で使えるケース
会社が許可した生成AIサービスを会社指定のアカウントで利用し、公開情報や一般的な知識だけを入力する、個人情報や機密情報を含まない、社内の下書きやアイデア出しに使う、出力を人間が確認できる、外部へ直接影響を与えない、といった利用は、一定の条件を満たせば社員の自己判断で認めやすいケースです。ただし、公開されている情報であっても、著作権や利用規約によって自由に複製・入力できるとは限りません。
要相談|上司や担当窓口の確認が必要なケース
個人情報や顧客情報を扱う、顧客向けの提案書や報告書に使う、採用・人事評価・契約・与信など重要な判断に使う、新しいAIサービスや新機能を使う、外部サービスとの連携機能を使う、社内ルールに明確な記載がない、大量のデータやファイルをアップロードする、生成物を販売・公開・広告利用する、といった利用は、上司や担当窓口への相談を必要とします。
禁止|原則として利用を認めないケース
ID・パスワード・秘密鍵などの認証情報を入力する、会社が許可していないサービスへ機密情報を入力する、顧客から秘密として預かった情報を無断で入力する、AIの回答を確認せずそのまま顧客へ提出する、AIだけで採用・評価・懲戒などの最終判断を行う、第三者の著作物を無断で再現する目的で利用する、他人になりすます・詐欺や不正行為に利用する、社内ルールや契約で禁止された用途に利用する、といった利用は原則として禁止します。
判断は「情報の機密性・外部への影響・人間の確認可否」で行う
社員が利用可否を判断するときは、入力する情報の機密性は高いか、出力が社外や個人へ与える影響は大きいか、人間が内容を確認し修正や撤回ができるか、という3つを確認します。
| 機密性 | 外部への影響 | 人間による確認 | 基本判断 |
|---|---|---|---|
| 低い | 小さい | できる | 利用可 |
| 中程度 | ある | できる | 要相談 |
| 高い | 大きい | 困難 | 禁止または個別審査 |

中小企業が生成AIの社内ルールで最低限決める12項目
ここからは、中小企業が生成AIの社内ルールで最低限決めたい12項目を解説します。各項目は「ルールに書くこと」「判断例」「避けたい曖昧表現」を意識して整理しています。
1. 利用を認めるAIサービス
最初に決めるのは、社員が利用できる生成AIサービスです。単にサービス名を列挙するだけでは不十分です。同じサービスでも、Web版、スマートフォンアプリ、API、ブラウザ拡張機能、外部システムとの連携機能では、入力情報の送信先や管理方法が異なる可能性があります。最低限、利用可能なサービス名・機能・アカウント、認める用途、入力可能な情報、禁止する機能や連携、利用条件の最終確認日を指定します。サービス名は変更や追加が発生しやすいため、社内ルール本文ではなく、別紙の「利用可能サービス一覧」で管理すると更新しやすくなります。
ルール記載例
従業者は、会社が別紙「利用可能AIサービス一覧」で指定したサービス、プラン、アカウントおよび機能のみを業務に利用するものとします。未掲載のサービス、拡張機能、外部連携を利用する場合は、事前に承認を受けなければなりません。
2. 無料版と法人版の扱い
「無料版は危険」「法人版なら安全」と単純に決めるのではなく、利用条件を確認したうえで区分します。入力データが学習に利用されるか、入力データや履歴が保存されるか、管理者がアカウントを管理できるか、退職者のアカウントを停止できるか、利用状況を確認できるか、セキュリティに関する情報が提供されているか、契約上の責任やサポート範囲、データの削除方法などを確認します。無料版を全面禁止しない場合は、無料版では公開情報や一般的なアイデア出しだけを認め、社内文書や顧客情報を扱う業務では会社契約の環境を使う、といった決め方をします。個人情報保護委員会も、生成AIサービスの利用に当たって、利用規約やプライバシーポリシーなどを確認し、入力する情報を踏まえて利用可否を判断するよう注意を促しています。
ルール記載例
無料版または個人向けアカウントは、公開情報および一般的な情報を用いた試行に限り利用できます。社内情報、顧客情報、個人情報その他会社が管理する情報を扱う場合は、会社が指定した法人向けプランおよび会社管理アカウントを使用してください。
3. 入力してよい情報
社員が最も迷いやすいのが、生成AIへ入力してよい情報です。「機密情報以外は入力してよい」とするのではなく、具体例を示します。一般に公開されている制度や統計情報、自社が公開済みのWebサイトやパンフレットの情報、外部提供に制限がない自社作成情報、架空の会社名や人物名を用いたサンプル、個人や顧客を特定できないよう加工したデータ、一般的な業務手順や文章構成の相談、機密性のない定型文の下書きなどは、入力を認めやすい情報です。ただし、「公開情報だから自由に使える」とは限りません。他社の記事、画像、書籍、調査資料などを入力する場合は、著作権や利用規約も確認します。
ルール記載例
入力できる情報は、公開済み情報、会社が外部利用を認めた情報、架空または適切に加工したサンプルデータ、その他別紙で「入力可」と指定した情報に限ります。
4. 入力してはいけない情報
入力禁止情報は、できるだけ具体的に書きます。「機密情報を入力しない」とだけ書いても、社員によって機密情報の解釈が異なるためです。代表的な入力禁止情報は、ID・パスワード・秘密鍵・認証コード、未公表の売上・財務・資金調達情報、未公表の製品・技術・設計・開発情報、営業秘密やノウハウ、M&A・組織再編・取引交渉に関する情報、未公表の人事情報、顧客や取引先から秘密として預かった情報、秘密保持契約の対象となる資料、契約上外部サービスへの提供が禁止されている情報、入力する権限がない第三者の著作物、セキュリティ上の脆弱性や内部構成に関する詳細情報などです。入力禁止情報は、既存の情報管理規程(「公開」「社内限り」「社外秘」「極秘」など)と連動させると管理しやすくなります。
ルール記載例
認証情報、営業秘密、未公表情報、顧客または取引先から秘密として預かった情報、契約により外部提供が制限されている情報、その他別紙で「入力禁止」と指定した情報を、生成AIへ入力してはなりません。
5. 個人情報・顧客情報の処理
個人情報や顧客情報は、単に氏名を削除すれば安全になるとは限りません。会社名、所属、役職、住所、購入履歴、相談内容などを組み合わせることで、特定の個人や顧客が推測できる場合があるためです。中小企業では、個人情報や顧客情報は原則として入力禁止にする、利用目的上本当に必要か確認する、必要最小限の項目だけを使用する、氏名・住所・電話番号などを削除または置換する、会社が確認した環境だけを使用する、入力データが学習などに利用されない条件を確認する、顧客との契約やプライバシーポリシーを確認する、利用内容と承認記録を残す、高いリスクがある場合は専門家へ確認する、といった条件を決めます。個人情報保護委員会は、個人情報を含むプロンプトを入力する場合、利用目的の達成に必要な範囲かを確認することや、入力した個人データが回答生成以外の目的で扱われる場合には個人情報保護法上の問題が生じる可能性があることを注意喚起しています。
ルール記載例
個人情報および顧客情報は、原則として生成AIへ入力してはなりません。業務上の必要性があり、会社が指定した環境で取り扱う場合は、利用目的、入力項目、加工方法、サービス側のデータ取扱条件を確認し、事前承認を受けてください。

6. 出力内容の確認方法
生成AIは、自然で説得力のある文章を出力しても、内容が正しいとは限りません。社員に「AIの回答は確認すること」と伝えるだけでは、具体的に何を確認すればよいか分かりません。事実確認(会社名・人物名・製品名、日付・金額・割合・単位、法律名や制度名、古い情報でないか)、出典確認(AIが示した出典が実在するか、出典の内容と説明が一致しているか、一次情報や公式情報を確認したか、引用部分が原文と一致しているか)、内容確認(自社の方針と矛盾していないか、顧客の要望とずれていないか、差別的・不適切・攻撃的な表現がないか、偏りがないか、前提条件が抜けていないか)といった確認項目を明示します。
| 利用場面 | 確認方法の例 |
|---|---|
| 社内のアイデア出し | 利用者本人が確認 |
| 社内資料 | 作成者と上司が確認 |
| 顧客提出物 | 担当者と責任者が確認 |
| 法務・税務・安全関連 | 専門知識を持つ担当者が確認 |
| 重要な経営判断 | 経営者または正式な承認者が判断 |
ルール記載例
生成AIの出力は、そのまま正しい情報として扱ってはなりません。利用者は、事実、数値、固有名詞、日付、出典、権利関係および不適切な表現の有無を確認し、利用目的に応じて必要な修正と承認を受けてください。
7. 顧客提出物への利用条件
提案書、報告書、メール、記事、広告、設計資料など、顧客へ提出する成果物に生成AIを利用する場合は、社内利用よりも厳しい条件を設定します。会社が許可した生成AIを使う、顧客情報の入力条件を守る、AI出力をそのまま提出しない、担当者が内容を確認し必要な修正を行う、責任者の承認を受ける、顧客との契約や指定ルールを確認する、AI利用の説明が必要な場合は事前に対応する、著作権・引用・出典を確認する、重要な成果物では利用記録を残す、といった条件を設けます。生成AIを使ったことをすべての顧客へ必ず表示しなければならないとは限りませんが、顧客との契約、委託条件、業界ルール、成果物の性質によって説明が必要になる場合があります。
ルール記載例
顧客、取引先または一般利用者へ提供する成果物に生成AIを使用する場合は、担当者が内容を確認・修正し、所定の承認を受けてください。顧客との契約、仕様書、利用条件等にAI利用に関する定めがある場合は、その条件を優先します。
8. 著作権・引用・出典確認
生成AIでは、入力時と出力利用時の両方で著作権に注意する必要があります。入力時には、自社が作成した資料か、著作権者から利用許可を得ているか、契約上外部サービスへ送信してよいか、有料記事や書籍を無断で入力していないか、第三者の画像や文章を再現する目的ではないかを確認します。出力利用時には、既存の記事や作品に酷似していないか、有名なキャラクターやロゴを再現していないか、AIが示した引用元が実在するか、引用の必要条件を満たしているか、他者の文章を自社作成物のように扱っていないか、商用利用や外部公開に問題がないかを確認します。文化庁のチェックリストでは、生成AIの仕組み上、利用者が既存の著作物を認識していなくても類似する生成物が生じる場合があることや、利用規約・学習済みモデルに関する情報などを確認することが望ましいとされています。著作権侵害に当たるかどうかは個別の事情によって判断されます。AIが生成したから自由に使える、AIが出典を示したから正しい、と決めつけないことが重要です。
ルール記載例
第三者の著作物を生成AIへ入力する場合は、入力および利用に必要な権限があることを確認してください。生成物を外部利用する場合は、既存の著作物との類似、引用方法、出典の実在性および利用条件を確認しなければなりません。
9. 人間が最終判断する業務
生成AIは、情報整理や下書きには有効ですが、重要な判断を任せきりにすべきではありません。特に、採用・不採用、人事評価・配置・昇進、懲戒・解雇、融資・与信、契約締結・契約解除、重要な価格決定、法務・税務・会計上の判断、医療・健康・安全に関する判断、顧客への正式回答、事故やクレームへの対応、対外公表、経営上の重要判断では、人間が根拠を確認し最終判断を行うことを明記します。AIに判断材料を整理させることはできますが、承認者はAIの回答だけを根拠にするのではなく、元資料や社内基準を確認しなければなりません。
ルール記載例
人事、契約、与信、法務、税務、安全、顧客への正式回答その他個人または事業へ重大な影響を与える業務については、生成AIのみで最終判断を行ってはなりません。所定の責任者が根拠を確認し、自らの責任で判断してください。

10. 利用ログと記録
すべてのプロンプトを一律に保存すると、管理負担が大きくなります。また、ログに機密情報を重複して残してしまう可能性もあります。そのため、利用目的やリスクに応じて、記録する範囲を決めます。記録項目の例は、利用日、利用者、部門、利用したサービスとプラン、利用目的、入力情報の区分、出力の利用先、顧客提出の有無、確認者・承認者、例外承認番号、問題の有無などです。
| 利用場面 | 記録例 |
|---|---|
| 一般的なアイデア出し | 詳細記録を求めない |
| 社内文書の作成 | 利用サービスと用途を記録 |
| 顧客提出物 | 用途、確認者、承認者を記録 |
| 例外利用 | 申請内容と承認条件を記録 |
| 重要判断の補助 | 入出力の概要、根拠資料、判断者を記録 |
ルール記載例
顧客提出物、重要な意思決定、個人情報を扱う承認済み利用、例外利用その他会社が指定する利用については、利用サービス、目的、情報区分、確認者、承認者および利用結果を所定の方法で記録してください。
11. 問題発生時の報告先
問題が起きたときに、社員が隠さず、速やかに報告できる状態を作ります。報告対象は、機密情報を誤って入力した、個人情報や顧客情報を誤って入力した、誤った内容を顧客へ提出した、著作権侵害の指摘を受けた、AIが不適切な回答を出した、許可されていないサービスを使用した、アカウントが不正利用された可能性がある、AIを利用した成果物について顧客から説明を求められた、といったケースです。社員が行う初動として、追加の利用や外部送信を止める、発生時刻・サービス・入力内容の概要を記録する、画面やメールなどの証拠を保存する、指定された窓口へ速やかに報告する、自分の判断だけで削除・顧客連絡・公表を行わない、を決めます。問題報告を遅らせないためには、「報告したこと」ではなく「故意に隠したこと」を問題にする運用が重要です。経済産業省の活用の手引き(案)でも、インシデント発生時に速やかに報告できる窓口を設定し、応急措置や社内外への説明・報告フローを事前に検討することが紹介されています。
ルール記載例
情報の誤入力、誤った成果物の提供、権利侵害の疑い、不正利用その他の問題を認識した場合は、直ちに利用を中止し、【報告先】へ報告してください。利用者は、会社の指示を受ける前に、独自の判断で顧客への説明、情報削除または対外公表を行ってはなりません。
12. 例外利用の承認方法
ルールを作っても、通常の基準では判断できないケースが発生します。例外をすべて禁止すると、現場がルールを回避する可能性があります。安全策を確認したうえで、期限や範囲を限定して承認できる仕組みを用意します。例外申請では、利用目的、通常ルールでは対応できない理由、利用するサービスとプラン、利用する機能、入力する情報、出力の利用先、想定されるリスク、リスクを軽減する方法、利用する社員、利用期間、顧客への影響、確認者・承認者を確認します。例外承認は、サービス全体を恒久的に許可するものではなく、特定の案件や期間に限定する方法が適しています。
ルール記載例
本ルールに定めのない利用または通常禁止される利用を行う必要がある場合は、利用目的、サービス、入力情報、利用期間、想定リスクおよび対策を記載し、【承認者】の事前承認を受けてください。承認は、指定された案件、担当者、期間および条件に限り有効です。

コピペで使える生成AI社内ルールのひな形

以下は、中小企業向けの一般的なひな形です。【 】部分を自社の情報へ置き換えてください。自社の業務内容、情報管理規程、顧客との契約、利用するサービスの条件などに合わせた調整が必要です。
生成AI社内利用ルール 制定日:【年月日】 施行日:【年月日】 管理部門:【部門名】 相談窓口:【メールアドレス・連絡先】 事故報告先:【メールアドレス・電話番号】 第1条(目的) 本ルールは、【会社名】における生成AIの業務利用について必要な事項を定め、情報漏洩、誤情報、権利侵害その他のリスクを抑えながら、生成AIを安全かつ有効に活用することを目的とします。本ルールの目的は生成AIの利用を一律に禁止することではなく、従業者が「利用できる場合」「事前相談が必要な場合」「利用してはならない場合」を適切に判断できる状態を作ることです。 第2条(適用範囲) 本ルールは、【会社名】の役員、従業員、派遣社員、業務委託者その他会社の業務に従事する者に適用します。業務用端末、私用端末、会社アカウント、個人アカウントを問わず、会社の業務に関連して生成AIを利用する場合は、本ルールを適用します。 第3条(用語の定義) 本ルールにおける生成AIとは、文章、画像、音声、動画、プログラムコード、分析結果その他のコンテンツを生成するAIシステムまたはAIサービスをいいます。 第4条(利用可能なAIサービス) 1. 業務で利用できる生成AIは、別紙1「利用可能AIサービス一覧」に掲載されたサービス、プラン、アカウントおよび機能に限ります。 2. 未掲載のサービス、ブラウザ拡張機能、外部連携、API等を利用する場合は、事前に【相談窓口】へ申請してください。 3. 会社が利用停止を通知したサービスは、直ちに利用を中止してください。 第5条(無料版・個人向けアカウントの扱い) 1. 無料版または個人向けアカウントは、公開情報および一般的な情報を用いた試行に限り利用できます。 2. 社内情報、顧客情報、個人情報その他会社が管理する情報を扱う場合は、会社指定のプランおよび会社管理アカウントを使用してください。 3. 会社の許可なく、個人アカウントへ業務用ファイルをアップロードしてはなりません。 第6条(入力してよい情報) 生成AIへ入力できる情報は、次のいずれかに該当するものとします。 (1) 一般に公開されている情報 (2) 会社が公開済みの情報 (3) 外部利用に制限がない自社作成情報 (4) 架空または適切に加工されたサンプルデータ (5) 別紙2「入力情報区分表」で入力可とされた情報 (6) その他、会社が個別に入力を認めた情報 第7条(入力してはいけない情報) 次の情報を、生成AIへ入力してはなりません。 (1) ID、パスワード、秘密鍵、認証コードその他の認証情報 (2) 営業秘密、社外秘情報、未公表の財務・人事・技術・製品情報 (3) 顧客または取引先から秘密として預かった情報 (4) 秘密保持契約その他の契約により外部提供が制限された情報 (5) 入力する権限を有しない第三者の著作物またはデータ (6) 別紙2「入力情報区分表」で入力禁止とされた情報 (7) その他、会社が入力を禁止した情報 第8条(個人情報・顧客情報) 1. 個人情報および顧客情報は、原則として生成AIへ入力してはなりません。 2. 業務上の必要性がある場合は、利用目的、入力項目、加工方法、利用するサービスおよびデータ取扱条件を確認し、事前承認を受けてください。 3. 承認を受けた場合も、入力する情報は必要最小限とし、氏名、住所、電話番号、メールアドレスその他の識別情報を可能な範囲で削除または置換してください。 4. 顧客との契約、プライバシーポリシー、業界ルール等に別の定めがある場合は、その条件を優先します。 第9条(出力内容の確認) 1. 生成AIの出力を、そのまま正しい情報として扱ってはなりません。 2. 利用者は、事実、数値、日付、固有名詞、出典、引用、権利関係、不適切な表現および偏りの有無を確認してください。 3. AIが示した出典は、実在性および記載内容を原資料で確認してください。 4. 法務、税務、会計、医療、安全その他の専門的判断に利用する場合は、必要な知識を持つ担当者または専門家の確認を受けてください。 第10条(顧客提出物・外部公開物) 1. 顧客、取引先または一般利用者へ提供する成果物に生成AIを利用する場合は、担当者が内容を確認・修正し、【承認者】の承認を受けてください。 2. AIの出力を未確認のまま外部へ提出、送信または公開してはなりません。 3. 顧客との契約、仕様書または指定ルールにAI利用の定めがある場合は、その条件に従ってください。 4. AI利用の説明または表示が必要な場合は、提出または公開前に対応してください。 第11条(著作権・引用・出典) 1. 第三者の文章、画像、音声、動画、プログラムコードその他の著作物を入力する場合は、必要な権限があることを確認してください。 2. 特定の著作物、キャラクター、ロゴ、作家またはクリエイターの表現を無断で再現する目的で生成AIを利用してはなりません。 3. 生成物を外部利用する場合は、既存の著作物との類似、引用方法、出典の実在性および利用条件を確認してください。 4. 必要に応じて、利用したプロンプト、修正内容および確認結果を記録してください。 第12条(人間による最終判断) 1. 採用、人事評価、懲戒、契約、与信、価格決定、法務、税務、安全、顧客への正式回答その他個人または事業へ重大な影響を与える事項について、生成AIのみで最終判断を行ってはなりません。 2. 所定の責任者が元資料、社内基準および判断根拠を確認し、自らの責任で最終判断を行ってください。 第13条(利用記録) 次の利用については、利用日、利用者、サービス、目的、入力情報の区分、出力の利用先、確認者、承認者および例外承認番号等を所定の方法で記録してください。 (1) 顧客提出物または外部公開物への利用 (2) 重要な意思決定の補助 (3) 個人情報または顧客情報を扱う承認済み利用 (4) 例外利用 (5) その他会社が記録を求める利用 記録の保存期間は【保存期間】とします。 第14条(問題発生時の報告) 1. 情報の誤入力、誤情報の外部提供、権利侵害の疑い、不正利用その他の問題を認識した場合は、直ちに追加利用および外部送信を中止してください。 2. 発生日時、利用サービス、入力情報の概要、出力の利用先、現在の影響および実施した初動を記録し、【事故報告先】へ速やかに報告してください。 3. 会社の指示を受ける前に、独自の判断で顧客への説明、対外公表、記録の削除等を行ってはなりません。 第15条(例外利用) 1. 本ルールに定めのない利用または通常禁止される利用を行う必要がある場合は、別紙3「例外利用申請書」を提出し、【承認者】の事前承認を受けてください。 2. 申請には、利用目的、通常ルールでは対応できない理由、サービス、入力情報、利用期間、想定リスク、リスク軽減策および出力の利用先を記載してください。 3. 例外承認は、指定された案件、担当者、期間および条件に限り有効です。 4. サービスの規約変更、利用目的の変更または新たなリスクが判明した場合は、再申請してください。 第16条(相談・教育) 1. 利用可否を判断できない場合は、生成AIへ情報を入力する前に【相談窓口】へ相談してください。 2. 従業者は、会社が実施する生成AI、情報管理、個人情報、著作権およびセキュリティに関する教育を受講してください。 第17条(改定) 本ルールは、利用サービスの変更、法令・公的ガイドラインの変更、利用規約の変更、事故の発生、顧客要件の変更その他必要が生じた場合に見直します。 附則 本ルールは【年月日】から施行します。
別紙1|利用を認めるAIサービス一覧
| 項目 | 記入内容 |
|---|---|
| サービス名 | 【サービス名】 |
| 利用可能プラン | 【プラン名・契約名】 |
| 利用可能アカウント | 【会社管理アカウントのみ等】 |
| 利用可能機能 | 【チャット、ファイル添付、画像生成等】 |
| 認める用途 | 【文章案、要約、議事録整理等】 |
| 入力可能な情報 | 【公開情報、社内一般情報等】 |
| 禁止する用途 | 【顧客情報の入力、外部連携等】 |
| ログ記録 | 【必要・不要・条件付き】 |
| 管理責任者 | 【部署・担当者】 |
| 最終確認日/次回見直し日 | 【年月日】 |
別紙2|入力情報の区分表
| 情報例 | 基本区分 | 条件 |
|---|---|---|
| 自社Webサイトの公開情報 | 利用可 | 著作権や利用目的を確認 |
| 一般的な文章案 | 利用可 | 個人情報を含めない |
| 社内会議の概要 | 要相談 | 機密情報を削除する |
| 顧客向け提案書 | 要相談 | 顧客名等を削除し承認を受ける |
| 個人情報 | 原則禁止 | 承認環境・必要最小限・事前承認 |
| 顧客から預かったデータ | 原則禁止 | 契約と顧客許可を確認 |
| 営業秘密 | 禁止 | 例外利用も慎重に判断 |
| ID・パスワード | 禁止 | 入力不可 |
| 未公表の人事・財務情報 | 禁止 | 入力不可 |
別紙3|例外利用申請書/別紙4|問題発生時の報告書
【別紙3】生成AI例外利用申請書 申請日/申請者/所属部門/案件名 1. 利用目的 2. 通常ルールでは対応できない理由 3. 利用するAIサービス・プラン・機能 4. 利用するアカウント 5. 入力する情報の内容と区分 6. 個人情報・顧客情報の有無 7. 出力の利用先 8. 顧客・取引先への影響 9. 想定されるリスク 10. リスクを軽減する方法 11. 利用開始日・終了日 12. 利用する担当者 13. 利用記録の保存方法 確認者/承認者/承認条件/承認期限 【別紙4】生成AI利用に関する問題報告書 報告日時/報告者/所属部門/発生日時 1. 利用したAIサービス・プラン 2. 利用したアカウント 3. 発生した問題 4. 入力した情報の概要 5. 個人情報・顧客情報・機密情報の有無 6. AI出力の利用先 7. 外部送信・外部公開の有無 8. 影響を受ける可能性がある顧客・関係者 9. 現在までに実施した対応 10. 保存している証拠・記録 11. 緊急性が高いと考える理由 12. その他の補足
社員向け1ページチェックリスト
利用前:会社が認めたサービス・プラン・アカウントか/入力する情報は「入力可」に分類されているか/個人情報・顧客情報・機密情報が含まれていないか/第三者の著作物を入力する権限があるか。
出力確認時:事実・数字・日付・固有名詞を確認したか/AIが示した出典を実際に確認したか/不適切な表現や偏りがないか/既存の著作物に酷似していないか。
外部提出前:AI出力をそのまま使っていないか/担当者が修正したか/必要な責任者の承認を受けたか/顧客との契約や指定ルールを確認したか/AI利用の説明が必要ではないか。
迷った場合・問題が起きた場合:入力前に相談窓口へ確認したか/例外申請が必要ではないか/(問題時は)追加の利用や送信を止めたか/証拠や記録を保存したか/指定された報告先へ連絡したか。
ひな形を自社向けに調整する5つの手順
ステップ1|現在使われているAIサービスと用途を把握する
最初に、正式に契約しているサービスだけでなく、社員が実際に利用しているサービスを確認します。サービス名、利用部門、利用者、利用目的、アカウントの種類、入力している情報、出力の利用先、顧客提出物への利用有無、外部サービスとの連携有無などを確認します。匿名アンケートや部門ヒアリングを行うと、個人アカウントを含めた実態を把握しやすくなります。経済産業省の活用の手引き(案)でも、どの部門がどのような目的でどのAIを使い、どのようなデータを用いているかを継続的に把握する考え方が紹介されています。
ステップ2|自社の情報を3段階に分類する
次に、自社が扱う情報を入力可・要相談・入力禁止の3段階へ分類します。既存の情報管理規程がある場合は、生成AI専用の新しい区分を作るのではなく、既存区分と連動させる方法が適しています。例えば、「社外秘」に分類される情報は原則入力禁止、「社内限り」は会社指定環境で要相談、といった決め方です。
ステップ3|実際の業務を12項目に当てはめる
抽象的なルールだけでは、社員が判断できません。顧客へのメール作成、会議の議事録要約、営業提案書の構成、求人票の作成、応募書類の整理、契約書の要約、顧客アンケートの分析、Web記事の作成、広告画像の生成、プログラムコードの作成といった実際の業務を使ってテストします。それぞれの業務について、入力情報、利用サービス、確認方法、外部への影響を確認し、「利用可・要相談・禁止」に分けます。
ステップ4|ルール本文と具体例をセットで周知する
正式な社内規程だけを配布しても、現場で活用されない可能性があります。正式な社内ルール、利用可能サービス一覧、入力情報区分表、OK例・要相談例・NG例、社員向け1ページチェックリスト、例外申請書、問題報告書、相談窓口の連絡先をセットで用意します。経済産業省の活用の手引き(案)でも、ルールを明文化して共通認識を形成し、社内教育などによって浸透させることが紹介されています。
ステップ5|迷ったケースを集めてルールを更新する
最初から完璧なルールを作る必要はありません。実際に運用し、社員から寄せられた質問や例外申請をもとに改善します。新しいAIサービスの導入、新機能や外部連携の追加、利用規約やプライバシーポリシーの変更、顧客からの新しい条件、問題や事故、法令や公的ガイドラインの更新、社内の利用目的の変化、利用部門の増加などが見直しのきっかけになります。サービス一覧や具体例は別紙で管理し、正式なルール本文を頻繁に変更しなくても更新できる構成にすると運用しやすくなります。
生成AIの社内ルールでよくある失敗
すべての生成AIを一律禁止する
一律禁止にすると、会社が社員の利用状況を把握できなくなる可能性があります。禁止する場合も、なぜ禁止するのか、代わりにどのサービスを使えるのか、申請すれば利用できるケースがあるのかを示すことが重要です。
「機密情報を入力しない」だけで終わる
何が機密情報なのか分からなければ、社員ごとに判断が異なります。「顧客名」「未公表の売上」「契約書」「認証情報」など、実際の情報例を示してください。
サービス名だけを指定する
同じサービスでも、プラン、アカウント、機能、外部連携によって条件が異なる可能性があります。「サービス名」だけでなく、「どのプランを、どのアカウントで、どの用途に使うか」まで指定します。
AI出力の確認責任が決まっていない
「AIが間違えた」では、顧客への説明になりません。利用者、確認者、承認者を分け、誰が最終的に成果物へ責任を持つのかを明確にします。
例外申請の方法がない/ひな形をそのまま配布して終わる
ルール外の利用が必要になったときに相談や申請の方法がなければ、社員が無断で利用する可能性があります。例外申請では、利用目的、期間、情報、リスク対策を確認し、条件付きで承認できる仕組みを用意します。また、ひな形は自社の業務に合わせて調整しなければ機能しません。自社で実際に行われている営業、採用、経理、マーケティング、制作などの業務例を使って、社員が判断できるか確認してください。
生成AIの社内ルールに関するよくある質問
生成AIの社内ルールは法律上必ず作る必要がありますか?
すべての企業に対して、同じ形式の生成AI社内ルールを作ることが一律に義務付けられているわけではありません。AI事業者ガイドラインも、事業者が自主的に対策を検討するための非拘束的な指針です。ただし、生成AIを利用する場合も、個人情報保護法、著作権法、秘密保持契約、就業規則、顧客との契約などは守る必要があります。既存の義務を社員が守れるようにする手段として、社内ルールを整備することが重要です。
無料版の生成AIはすべて禁止した方がよいですか?
無料版を一律に禁止する必要があるとは限りません。公開情報だけを使ったアイデア出しなど、利用範囲を限定して認める方法もあります。一方で、社内情報、個人情報、顧客情報を扱う場合は、入力データの取扱条件、管理機能、保存、学習への利用などを確認したうえで、会社指定の環境へ限定するのが適切です。「無料版か法人版か」だけでなく、プラン、アカウント、機能、入力情報、利用目的を組み合わせて判断してください。
氏名を削除すれば顧客情報を生成AIへ入力できますか?
氏名を削除しただけでは、必ずしも安全とは限りません。会社名、役職、住所、購入履歴、相談内容など、他の情報を組み合わせて個人や顧客を特定できる場合があります。また、顧客との契約で外部サービスへのデータ送信が制限されていることもあります。利用目的、必要最小限の範囲、データの加工方法、サービス側のデータ取扱条件、顧客との契約を確認し、原則として事前承認の対象にしてください。
顧客向け資料に生成AIを使った場合は伝える必要がありますか?
すべての場合に必ず説明が必要とは限りません。顧客との契約、仕様書、委託条件、業界ルール、成果物の性質、AIの関与の程度によって判断します。顧客からAI利用を禁止されている場合や、成果物の作成過程が重要な契約では、事前説明や承認が必要になる可能性があります。社内ルールでは、「顧客条件を確認する」「必要な場合は説明する」「AI出力をそのまま提出しない」という条件を設けておくとよいでしょう。
生成AIの社内ルールはどのくらいの頻度で見直すべきですか?
半年または1年に一度など、定期的な見直し日を決める方法があります。ただし、定期見直しだけでは不十分です。新しいAIサービスを導入した、サービスの利用規約が変更された、外部連携や新機能を使い始めた、問題や事故が発生した、顧客の契約条件が変わった、法令や公的ガイドラインが更新された、といった変化があった場合は、予定日を待たずに見直します。更新頻度が高いサービス名や具体例は、ルール本文ではなく別紙で管理すると改定しやすくなります。
まとめ|生成AIの社内ルールは「安全に使える範囲」を示すもの
生成AIの社内ルールの目的は、AI利用を禁止することではありません。社員が、自分の判断で利用できる/上司や担当窓口への相談が必要/原則として利用してはいけない、の3つを判断できるようにすることが目的です。中小企業が最低限決めたい項目は、次の12項目です。
- 利用を認めるAIサービス
- 無料版と法人版の扱い
- 入力してよい情報
- 入力してはいけない情報
- 個人情報・顧客情報の処理
- 出力内容の確認方法
- 顧客提出物への利用条件
- 著作権・引用・出典確認
- 人間が最終判断する業務
- 利用ログと記録
- 問題発生時の報告先
- 例外利用の承認方法
ルール本文だけでなく、利用可能サービス一覧、入力情報区分表、社員向けチェックリスト、例外申請書、問題報告書も用意すると、現場で運用しやすくなります。誰がルールを管理・改善するかは「AI導入の運用体制」で、AIベンダーとどのような条件を約束するかは「AI導入の契約」で整理します。制度、法律、ガイドライン、AIサービスの利用条件は更新される可能性があります。最新情報は公式資料や各サービスの利用規約を確認し、自社の状況に応じて専門家へ相談してください(本記事は2026年4月1日時点の公開情報を参考に作成しています)。
ひな形を自社の業務に合わせて調整したい方へ
生成AIの社内ルールは、ひな形をそのまま配布するだけでは十分ではありません。自社が扱う情報、利用するAIサービス、顧客との契約、社員の業務内容に合わせて、「利用可・要相談・禁止」の境界を決めることが重要です。「禁止しすぎず、曖昧すぎないルールを作りたい」「無料版と法人版の扱いを整理したい」「個人情報や顧客情報の判断基準を決めたい」「例外申請や事故報告の仕組みまで用意したい」といった場合は、現在の利用状況と12項目の過不足を整理したうえで、専門家へ相談すると進めやすくなります。まずは現在利用している生成AIサービス、主な利用部門と用途、AIへ入力する可能性がある情報、顧客提出物への利用有無、現在の相談・報告窓口、既存の情報管理規程を整理して、お気軽にご相談ください。
