ChatGPTをはじめとする生成AIは、文章作成、調査、議事録の整理、企画立案、プログラミングなど、さまざまな業務で活用できるようになりました。
一方で、社員がそれぞれの判断で生成AIを使うと、顧客情報や社内情報の入力、誤った回答の社外利用、著作権の確認漏れなどが起きる可能性があります。
情報漏洩を恐れて生成AIを全面的に禁止する方法もあります。しかし、禁止するだけでは、社員が個人アカウントで使う「見えない利用」が続くことがあります。また、本来得られるはずの業務効率化や生産性向上の機会も失われます。
企業に必要なのは、生成AIを一律に禁止することではありません。
重要なのは、会社として次の点を決めることです。
- どの生成AIを利用してよいか
- 誰が利用してよいか
- どの業務で利用してよいか
- 何を入力してはいけないか
- AIの出力を誰が確認するか
- 判断に迷った場合は誰へ相談するか
- 問題が起きた場合は誰へ報告するか
本記事では、企業向け生成AIガイドラインに入れるべき12項目を中心に、利用可・要相談・禁止の具体例、部署別に追加すべきルール、そのまま使えるひな形、作成後の運用方法まで解説します。
社員の生成AI利用を認めたいものの、何から決めればよいか分からない企業は、自社のルール作成にお役立てください。
企業向け生成AIガイドラインとは
企業向け生成AIガイドラインとは、社員が生成AIを業務で利用するときの判断基準をまとめた社内ルールです。
単に「個人情報を入力してはいけない」「回答を信用しすぎてはいけない」といった注意事項を並べるだけではありません。
企業として、利用できるサービス、アカウント、業務範囲、確認方法、責任者、相談先、事故時の対応などを決める必要があります。
生成AIを業務利用する際の共通判断基準
社員が生成AIを利用する場面は、部署や業務によって異なります。
たとえば、公開情報だけを使ったメール文面の作成と、顧客の契約情報を使った提案書の作成では、情報漏洩や誤回答による影響が大きく異なります。
そのため、すべての利用を同じ基準で扱うのではなく、業務の内容やリスクに応じて判断できる共通基準が必要です。
生成AIガイドラインでは、少なくとも次の観点を整理します。
- 入力する情報の機密性
- AIの回答が誤っていた場合の影響
- 社内利用か、社外提出か
- 人間による確認が可能か
- 自動送信や自動処理を行うか
- 顧客との契約上、AI利用が認められているか
これらを踏まえ、業務を「利用可」「事前相談」「利用禁止」に分類すると、社員が判断しやすくなります。
ガイドライン・社内規程・利用マニュアルの違い
生成AIに関する社内文書には、主に次の3種類があります。
| 文書 | 主な役割 |
|---|---|
| ガイドライン | 生成AI利用の基本方針、判断基準、利用範囲を示す |
| 社内規程 | 正式な社内ルールとして、責任や違反時の対応を定める |
| 利用マニュアル | アカウントの作成、申請、操作、報告などの手順を示す |
中小企業では、最初から細かな社内規程を作ることが難しい場合もあります。
その場合は、まず1〜2ページ程度の簡易ガイドラインを作り、運用しながら詳細なマニュアルや部署別ルールを追加していく方法も有効です。
ただし、簡易版であっても、管理責任者、相談先、事故報告先は明確にしておく必要があります。
対象はChatGPTだけではない
生成AIガイドラインの対象を「ChatGPTだけ」と定めると、実際の利用状況と合わなくなる可能性があります。
現在は、文章生成だけでなく、次のような機能に生成AIが組み込まれています。
- 検索・情報収集
- 文章の要約・翻訳
- 議事録作成
- 画像・動画生成
- プレゼンテーション作成
- プログラミング支援
- メール作成
- 顧客対応
- データ分析
- 業務の自動実行
また、社員が意識していなくても、普段使っているクラウドサービスや業務ソフトにAI機能が追加されている場合があります。
そのため、特定のサービス名だけではなく、「文章、画像、音声、動画、コードなどを生成・加工・分析するAI機能全般」を対象として定義することが重要です。
企業が生成AIガイドラインを作る目的
生成AIガイドラインの目的は、社員の利用を制限することだけではありません。
会社として安全な利用範囲を決め、業務効率化とリスク管理を両立させることが本来の目的です。
全面禁止ではなく安全な利用範囲を決める
生成AIによる情報漏洩や誤回答を防ぐため、社内利用を全面禁止する企業もあります。
しかし、全面禁止には次のような問題があります。
- 社員が個人アカウントで利用する可能性がある
- 会社が利用状況を把握できない
- 業務効率化の機会を失う
- 競合他社との生産性の差が広がる
- 社員が安全な使い方を学べない
禁止するだけでは、リスクがなくなるとは限りません。
会社が承認したサービスとアカウントを用意し、利用できる業務と禁止する利用を明確にした方が、実態を把握しやすくなります。
たとえば、次のように分類します。
| 区分 | 考え方 |
|---|---|
| 利用可 | 公開情報や一般的な内容を使い、人が確認できる業務 |
| 要相談 | 顧客情報、社内情報、契約、採用など影響が大きい業務 |
| 禁止 | パスワード、機密情報、未匿名化の個人情報などを扱う利用 |
このように、安全な利用範囲を示すことがガイドラインの基本です。
社員ごとの判断のばらつきを減らす
社内ルールがない場合、同じ情報や業務であっても、社員によって判断が異なります。
ある社員は顧客情報を入力してはいけないと判断し、別の社員は氏名を削除すれば入力してよいと考えるかもしれません。
また、AIが作成した文章をそのまま顧客へ送る社員もいれば、必ず上司に確認する社員もいます。
このような判断のばらつきは、事故の原因になります。
生成AIガイドラインでは、最低限次の点を共通化します。
- 入力してはいけない情報
- 利用可能な業務
- 上司や管理者への相談が必要な業務
- AI出力の確認項目
- 社外へ提出する前の承認方法
- 問題が起きた場合の報告先
すべての社員が同じ基準で判断できる状態を作ることが重要です。
問題発生時の責任と報告先を明確にする
生成AIによる問題が起きた際、利用した社員だけに責任を負わせる運用では、事故の報告が遅れる可能性があります。
社員が「怒られるかもしれない」「評価が下がるかもしれない」と考えると、誤入力や誤送信を隠してしまうことがあるからです。
ガイドラインでは、次の役割を明確にします。
- ガイドラインの管理責任者
- 例外利用の承認者
- AI出力の確認者
- 情報漏洩や誤送信の報告先
- 顧客対応の責任者
- 再発防止を担当する部署
問題が発生した場合は、個人を責めるよりも、速やかに報告して被害を抑えることを優先します。
報告しやすい体制を作ることも、生成AIガイドラインの重要な役割です。
生成AIの業務活用を組織として進める
社員が個別に生成AIを使うだけでは、活用方法が個人の知識や経験に依存します。
ある社員が効率的な使い方を見つけても、部署内や全社に共有されなければ、会社全体の生産性向上にはつながりません。
ガイドラインを整備すると、次のような取り組みを進めやすくなります。
- 安全な活用事例の共有
- 部署ごとの利用方法の標準化
- 社員研修の実施
- 法人向け生成AIサービスの導入
- 利用状況や費用の管理
- 業務改善効果の測定
- 新しいAI機能の社内検証
生成AIを個人の便利な道具で終わらせず、組織の業務改善へつなげるためにも、ガイドラインが必要です。

生成AIガイドラインを作る前に会社が決めること
ひな形へ会社名を入れるだけでは、実際に運用できるガイドラインにはなりません。
文書を作成する前に、会社としての方針と責任体制を決める必要があります。
ガイドラインの管理責任者
最初に、生成AIガイドラインを管理する責任者を決めます。
管理責任者の主な役割は次のとおりです。
- 利用可能な生成AIの承認
- ガイドラインの作成・改定
- 社員からの問い合わせ対応
- 例外申請の確認
- 事故発生時の対応
- 利用状況の確認
- 社員教育の企画
大企業では、情報システム、法務、総務、DX推進部門などが共同で担当することがあります。
一方、中小企業では専任部署がない場合もあります。その場合は、経営者と実務担当者の2名体制にすると運用しやすくなります。
たとえば、最終判断は経営者、日常の問い合わせ対応は総務担当者やIT担当者が行う方法です。
重要なのは、「誰が担当するか分からない状態」を作らないことです。
利用を認める生成AIとアカウント
次に、会社が利用を認める生成AIサービスとアカウントを決めます。
確認する項目は次のとおりです。
- 会社が正式に契約するサービス
- 無料版の業務利用を認めるか
- 個人契約の有料版を利用してよいか
- 会社メールアドレスで登録するか
- 管理者がアカウントを停止できるか
- 利用履歴を管理できるか
- 入力データの取り扱いを確認できるか
- 退職時にデータを引き継げるか
個人アカウントで業務を行うと、退職後も本人のアカウント内に業務情報が残る可能性があります。
また、複数人で1つのアカウントを共有すると、誰が何を入力したか分からなくなり、パスワード管理の問題も生じます。
原則として、会社が管理できるアカウントを一人ずつ発行する方法が望ましいでしょう。
サービスの料金、機能、管理方法、データ利用条件は変更される可能性があります。導入時には、最新情報を各サービスの公式サイトや利用規約で確認してください。
利用を認める業務範囲
生成AIを利用できる業務も事前に決めます。
比較的利用を認めやすい業務には、次のようなものがあります。
- メール文面の下書き
- 文章構成案の作成
- アイデア出し
- 公開情報の要約
- 一般的な用語の説明
- 社内研修資料のたたき台
- 表計算関数や簡単なコードの相談
一方で、次のような業務は影響が大きいため、上司や管理者への相談が必要です。
- 顧客へ提出する資料の作成
- 契約書や規程の作成
- 採用・人事評価に関する業務
- 会計・税務・法務に関する判断
- 顧客情報を使った分析
- 社内システムとの連携
- AIによるメール送信や処理の自動実行
重要なのは、「生成AIを使ってよいか」だけではなく、「何を入力し、何を作り、誰が確認するか」まで決めることです。
最終確認を誰が行うか
生成AIは、文章や回答を作成する支援手段です。最終的な判断者ではありません。
AIが生成した内容には、次のような問題が含まれる可能性があります。
- 事実と異なる説明
- 存在しない法律や制度
- 誤った数値や計算
- 古い情報
- 存在しない出典
- 他者の著作物に似た表現
- 自社方針と異なる内容
そのため、成果物の種類ごとに確認者を決めます。
| 成果物 | 確認者の例 |
|---|---|
| 社内メール | 作成した本人 |
| 顧客向けメール | 担当者または上司 |
| 提案書 | 営業責任者 |
| 契約書の下書き | 法務担当者または専門家 |
| 採用・評価資料 | 人事責任者 |
| 公開記事・広告 | マーケティング責任者 |
| プログラムコード | 開発担当者またはレビュー担当者 |
AIの回答を使う場合でも、最終責任は人間と会社にあることを明確にします。
企業向け生成AIガイドラインに入れる12項目
ここからは、企業向け生成AIガイドラインに最低限入れておきたい12項目を解説します。
1.利用を認める生成AIサービス
会社が利用を認める生成AIサービスを明記します。
社員が自由にサービスを選べる状態では、利用規約やデータの取り扱いを会社が確認できません。
ガイドラインでは、次のような形で定めます。
- 会社が承認したサービスのみ利用できる
- 新しいサービスを使う場合は事前申請する
- 無料サービスの業務利用は原則禁止または利用範囲を限定する
- 既存ツールへ追加されたAI機能も確認対象とする
サービス名を一覧化する場合は、「承認済み生成AIサービス一覧」を別紙にすると更新しやすくなります。
2.利用できるアカウント
生成AIを利用するアカウントの条件を決めます。
主なルール例は次のとおりです。
- 会社が発行したアカウントを使用する
- 業務情報を個人アカウントへ入力しない
- アカウントを他の社員と共有しない
- パスワードを使い回さない
- 多要素認証が利用できる場合は設定する
- 退職・異動時は速やかに権限を変更する
無料版と有料版で、データの取り扱いや管理機能が異なる場合があります。
「有料版だから安全」「法人版なら何を入力してもよい」と判断せず、契約内容と会社のルールに基づいて利用します。
3.入力してはいけない情報
生成AIへ入力してはいけない情報を定めます。
代表的なものは次のとおりです。
- ID・パスワード
- APIキー
- 個人情報
- 顧客情報
- 従業員情報
- 未公開の経営情報
- 契約上秘密とされている情報
- 営業秘密
- 口座・決済情報
- 第三者から預かった機密情報
ただし、「個人情報は禁止」と書くだけでは、社員が具体的に判断できません。
氏名、メールアドレス、電話番号、顧客との会話、契約書、議事録など、日常業務で扱う情報を具体例として示す必要があります。
入力禁止情報の詳しい分類は、別記事「生成AIに入力してはいけない情報10種類|企業向けチェックリスト」で確認できるように内部リンクを設けます。
4.利用可能な業務
生成AIを利用できる業務を明記します。
業務は次の3区分に分けると運用しやすくなります。
- 利用可
- 事前相談
- 利用禁止
たとえば、公開情報を使った文章構成案の作成は利用可、顧客向け提案書は事前相談、採用可否をAIだけで決めることは禁止とします。
判断基準には、次の点を使います。
- 入力情報の機密性
- 誤りが発生した場合の影響
- 社外へ提出するか
- 人が確認できるか
- 自動処理を行うか
5.出力内容の確認
生成AIの出力をそのまま利用しないことを明記します。
最低限、次の項目を確認します。
- 事実関係
- 数値
- 固有名詞
- 日付
- 法律・制度
- 出典
- 引用
- 自社の方針との整合性
- 差別的・不適切な表現
- 顧客に誤解を与える表現
特に、顧客へ提出する文章、公開するコンテンツ、契約や金銭に関わる資料は、作成者以外の確認を入れる方法が有効です。
6.著作権・引用・出典の確認
生成AIの出力が、第三者の文章、画像、コードなどに似ている可能性があります。
そのため、次のルールを設けます。
- 出典が示された場合は実在するか確認する
- 長い文章をそのまま転載しない
- 画像を商用利用する場合は利用条件を確認する
- AIが生成したコードはライセンスや安全性を確認する
- 顧客へ納品する制作物は、担当者が権利関係を確認する
AIが「著作権上問題ない」と回答しても、それだけで安全と判断してはいけません。
必要に応じて専門家へ確認してください。
7.顧客への説明
業務によっては、生成AIを利用することについて、顧客への説明や承認が必要です。
たとえば、次のような場合です。
- 顧客から預かった資料をAIで処理する
- 顧客対応をAIで自動化する
- AIで作成した成果物を納品する
- 顧客との契約で外部サービス利用が制限されている
- 個人情報や秘密情報を外部サービスで処理する
すべての生成AI利用を顧客へ報告する必要があるとは限りません。
しかし、契約内容や業務の性質に応じて、事前説明が必要な範囲を決めておくことが重要です。
8.例外申請
通常のルールでは対応できない業務が発生することがあります。
そのため、例外申請の仕組みを用意します。
例外申請では、次の内容を記録します。
- 利用目的
- 利用する生成AI
- 入力する情報
- 作成する成果物
- 利用期間
- 想定されるリスク
- 確認方法
- 承認者
口頭で「今回だけ使ってよい」と認めるのではなく、メールや申請フォームなどで記録を残します。
また、一度の承認をすべての業務へ適用せず、対象業務や期間を限定します。
9.ログ・履歴の管理
生成AIの利用履歴をどの程度管理するかを決めます。
すべての入力内容を細かく保存すると、管理負担が大きくなります。
そのため、リスクが高い利用を中心に記録する方法が現実的です。
記録項目の例は次のとおりです。
- 利用者
- 利用日
- 利用サービス
- 利用目的
- 対象業務
- 入力した情報の種類
- 作成した成果物
- 確認者
- 例外承認の有無
ログの保存期間や閲覧できる担当者も決めておきます。
なお、ログ自体に顧客情報や機密情報が含まれる可能性があります。保存方法と閲覧権限にも注意が必要です。
10.事故・問題発生時の報告
次のような問題が起きた場合の報告ルールを決めます。
- 個人情報を誤って入力した
- 機密情報を入力した
- AIの誤回答を顧客へ送った
- 存在しない情報を公開した
- 著作権侵害の疑いがある
- 未承認サービスを業務で使った
- アカウントが不正利用された
- AIが意図しない処理を実行した
報告先には、管理責任者、上司、情報セキュリティ担当者などを指定します。
事故が起きた社員が、自分で履歴を削除して終わらせることがないようにします。
報告後は、サービス提供会社への連絡、顧客への説明、パスワード変更、利用停止など、必要な初動対応を行います。
11.退職・異動時の処理
社員が退職・異動する際のアカウントとデータの扱いも定めます。
必要な対応は次のとおりです。
- アカウント停止
- 権限変更
- パスワード変更
- プロンプトや履歴の引き継ぎ
- 生成物の保存
- 外部連携の解除
- APIキーの無効化
- 個人端末からの業務データ削除
個人アカウントで業務をしている場合、会社が履歴や生成物を回収できないことがあります。
そのため、平常時から会社管理のアカウントを利用することが重要です。
12.定期的なルール更新
生成AIのサービスや機能は短期間で変化します。
ガイドラインを一度作っただけでは、実態に合わなくなる可能性があります。
見直しのきっかけには、次のようなものがあります。
- 新しい生成AIを導入した
- AIエージェント機能を利用する
- 外部サービスとの連携を開始した
- 利用規約が変更された
- 新しい部署で利用を開始した
- 事故やヒヤリハットが発生した
- 法令や公的な指針が変更された
最低でも半年または年1回を目安に見直します。
ガイドラインには、制定日、最終更新日、次回見直し予定日を記載すると管理しやすくなります。

生成AIの利用可・要相談・禁止の具体例
生成AIガイドラインでは、抽象的な表現だけではなく、具体例を示すことが重要です。
社員が日常業務で判断しやすいように、利用可、要相談、禁止の例を整理します。
利用可にしやすい業務
次のような業務は、一般的に利用を認めやすい業務です。
- 公開情報を使った文章構成案の作成
- 一般的なメール文面の下書き
- 会議の議題案
- アイデア出し
- キャッチコピーの案出し
- 社内研修資料のたたき台
- 一般的な用語の説明
- 個人や顧客を特定できないデータの整理
- 表計算関数の相談
- 簡単なプログラムコードの例示
- 公開済み資料の要約
利用可とした業務でも、人間による確認は必要です。
AIが作成した内容をそのまま社外へ出してよいという意味ではありません。
事前相談が必要な業務
次のような業務は、上司や管理責任者への相談を必要とする方法が適しています。
- 顧客へ提出する提案書
- 顧客向けの回答文
- 契約書の下書き
- 就業規則や社内規程の作成
- 採用候補者に関する資料
- 従業員評価に関する資料
- 売上、利益、原価などの社内数値を使う業務
- 顧客から預かった資料の要約
- 社内システムと生成AIの連携
- メールやチャットの自動送信
- AIによるデータの自動更新
- 顧客対応の自動化
- 社外公開する画像や動画の生成
要相談業務では、入力する情報、利用するサービス、確認者、成果物の利用範囲を確認します。
禁止すべき利用
次の利用は、原則として禁止すべきです。
- IDやパスワードの入力
- APIキーや秘密鍵の入力
- 未匿名化の個人情報の入力
- 顧客名や連絡先を含む情報の無断入力
- 未公開の経営情報の入力
- 機密契約書の入力
- 顧客から秘密として預かった情報の入力
- AIの回答だけを根拠に採用や人事評価を決める
- AIの回答だけを根拠に融資や取引可否を決める
- 確認せずに顧客へ回答する
- 偽の口コミや実績を作成する
- 他人になりすます文章や画像を作成する
- 著作権侵害が疑われる生成物を利用する
- 未承認のAIへ業務情報を入力する
禁止項目は、会社の業務内容に合わせて具体化してください。
判断に迷ったときの簡易チェック
生成AIを使ってよいか迷った場合は、次の5項目を確認します。
- この情報が外部へ出ても問題ないか
- 個人、顧客、取引先を特定できないか
- AIの回答が誤っていた場合に損害が出ないか
- 人間が内容を確認できるか
- 顧客や契約上、AI利用が制限されていないか
一つでも判断できない項目があれば、自己判断で利用せず、管理責任者へ相談します。

部署別に追加すべき生成AI利用ルール
全社共通のガイドラインだけでは、部署ごとのリスクを十分にカバーできないことがあります。
営業、人事、経理、開発、マーケティングなど、扱う情報や成果物に合わせて追加ルールを作ります。
営業部門
営業部門では、顧客情報や商談情報を扱う機会が多いため、入力内容に注意が必要です。
追加ルールの例は次のとおりです。
- 顧客名、担当者名、連絡先を入力しない
- 顧客固有の課題は匿名化・抽象化する
- 商談議事録を入力する場合は事前承認を得る
- 見積金額や契約条件を入力しない
- AIが作成した提案内容は営業責任者が確認する
- AIが作成したメールを確認せず送信しない
- CRMと生成AIを連携する場合は管理者の承認を得る
提案書作成に生成AIを使う場合は、事実確認と顧客ごとの条件確認が欠かせません。
総務・人事部門
総務・人事部門では、従業員や応募者の個人情報を多く扱います。
追加ルールの例は次のとおりです。
- 従業員名簿を入力しない
- 履歴書や職務経歴書を無断で入力しない
- 面談記録や評価情報を入力しない
- 健康情報や家庭事情を入力しない
- 採用可否や評価をAIだけで決定しない
- 就業規則の回答は専門家や責任者が確認する
- 社員向け通知は人事担当者が最終確認する
応募者の選考や従業員評価に生成AIを使う場合は、公平性や説明責任にも配慮する必要があります。
経理・財務部門
経理・財務部門では、金銭や税務に関する誤りが大きな影響につながります。
追加ルールの例は次のとおりです。
- 口座番号やカード情報を入力しない
- 給与データを入力しない
- 取引先名と請求金額をそのまま入力しない
- 仕訳や税務判断をAIだけで確定しない
- 存在しない法令や通達に注意する
- AIが作成した計算式や集計結果を再確認する
- 支払い処理を自動実行する場合は複数人で承認する
生成AIは経理業務の補助に利用できますが、最終的な会計・税務判断は担当者や専門家が行います。
開発・情報システム部門
開発部門では、ソースコードやシステム情報の入力に注意が必要です。
追加ルールの例は次のとおりです。
- APIキーや環境変数を入力しない
- 本番環境の接続情報を入力しない
- 顧客固有のソースコードを無断で入力しない
- AI生成コードはレビューを行う
- セキュリティ上の問題がないか確認する
- 利用ライブラリのライセンスを確認する
- AIが作成したコードを本番へ直接反映しない
- 自動実行エージェントの権限を最小限にする
生成AIが作成したコードは、動作していても安全とは限りません。脆弱性、処理速度、保守性なども確認します。
マーケティング・広報部門
マーケティング・広報部門では、文章や画像を外部公開するため、事実確認と権利確認が重要です。
追加ルールの例は次のとおりです。
- 存在しない実績や事例を作らない
- 架空の口コミを作らない
- 数値や調査結果の出典を確認する
- AI生成画像の利用条件を確認する
- 顧客事例を無断で入力・公開しない
- 誇大表現や誤解を招く表現を確認する
- 公開前に担当者または責任者が確認する
- AI生成物であることの表示が必要か判断する
生成AIはコンテンツ作成を効率化できますが、最終的な品質と説明責任は企業が負います。

企業向け生成AIガイドラインの作り方
ここでは、生成AIガイドラインを作成し、社内で運用を始めるまでの手順を説明します。
手順1.社内の生成AI利用状況を把握する
まず、現在の利用状況を確認します。
社員へアンケートやヒアリングを行い、次の情報を集めます。
- 利用している生成AI
- 無料版・有料版の別
- 会社アカウント・個人アカウントの別
- 利用している部署
- 利用している業務
- 入力している情報
- 作成している成果物
- 顧客向け業務での利用
- 外部サービスとの連携
- 自動処理の有無
最初から利用者を処分する目的で調査すると、正確な状況を把握できないことがあります。
まずは実態を確認し、安全な運用へ切り替えることを目的として説明します。
手順2.利用目的と対象業務を整理する
次に、会社として生成AIを何に使うかを決めます。
主な利用目的には次のようなものがあります。
- 文書作成時間の短縮
- 情報収集の効率化
- 会議・議事録業務の削減
- 営業資料の作成支援
- 顧客対応の効率化
- 社内問い合わせ対応
- プログラミング支援
- マーケティングコンテンツの作成
- データ整理・分析
目的が曖昧なままツールだけを導入すると、利用が定着しなかったり、不必要な業務で使われたりします。
利用目的と対象業務を明確にしたうえで、必要なサービスとルールを決めます。
手順3.利用可・要相談・禁止に分類する
業務を利用可、要相談、禁止の3つに分類します。
判断には、次の基準を使います。
- 情報の機密性
- 個人情報の有無
- 顧客への影響
- 金銭的影響
- 法的影響
- 社外公開の有無
- 自動処理の有無
- 人間による確認の可否
分類結果は、社員が確認しやすい一覧表にします。
具体例を入れることで、実務で使いやすくなります。
手順4.責任者と承認フローを決める
次の役割を決めます。
- ガイドライン管理責任者
- サービス導入の承認者
- 例外申請の承認者
- 部署ごとの確認責任者
- 事故報告先
- 顧客対応責任者
- ガイドライン改定担当者
中小企業では、一人が複数の役割を兼ねても構いません。
ただし、最終判断者と日常の問い合わせ対応者を分けると、運用しやすくなります。
手順5.ひな形を自社向けに修正する
ひな形を使う場合も、次の項目は必ず自社用に修正します。
- 会社名
- 適用対象者
- 対象となる生成AI
- 利用可能なアカウント
- 利用可能な業務
- 入力禁止情報
- 相談窓口
- 例外申請方法
- 事故報告先
- 管理責任者
- 更新頻度
- 施行日
自社の業務や情報に合わない内容をそのまま使うと、社員が判断できないルールになります。
手順6.経営・関係部署で承認する
ガイドライン案ができたら、関係者で確認します。
確認者の例は次のとおりです。
- 経営者
- 総務・人事
- 情報システム担当者
- 法務担当者
- 個人情報保護担当者
- 各部署の責任者
- 外部の弁護士、社会保険労務士、IT専門家
特に、顧客情報、個人情報、契約、採用、評価などを扱う場合は、必要に応じて専門家へ確認してください。
手順7.社員へ周知し、運用を開始する
ガイドラインを社内ポータルやメールで配布するだけでは、定着しないことがあります。
運用開始時には、次の取り組みを行います。
- 社員説明会
- 生成AIの基本研修
- 利用可・要相談・禁止の事例説明
- 確認テスト
- FAQの配布
- 相談窓口の案内
- 事故報告方法の説明
- 部署別研修
実際の業務に近い事例を使い、社員が自分で判断できる状態を目指します。

そのまま使える企業向け生成AIガイドラインのひな形
以下は、企業向け生成AIガイドラインのひな形です。
そのまま配布するのではなく、自社の業務、利用サービス、情報管理方針に合わせて修正してください。

ひな形を使う前の注意点
- 自社の業務内容に合わせて修正してください
- 承認済みサービス名を明記してください
- 相談先と事故報告先を実在する担当者・部署に変更してください
- 顧客との契約内容も確認してください
- 必要に応じて法律や情報セキュリティの専門家へ相談してください
- サービスの最新の利用規約を確認してください
企業向け生成AI利用ガイドラインひな形
第1条 目的
本ガイドラインは、当社の役員、従業員、契約社員、派遣社員その他当社の業務に従事する者が、生成AIを安全かつ適切に利用するための基本ルールを定めるものです。
生成AIによる業務効率化を推進するとともに、情報漏洩、誤情報、権利侵害その他のリスクを防止することを目的とします。
第2条 適用対象者
本ガイドラインは、当社の業務において生成AIを利用するすべての者に適用します。
委託先その他の外部関係者に生成AIを利用させる場合は、必要に応じて本ガイドラインと同等の管理を求めます。
第3条 対象となる生成AI
本ガイドラインの対象は、文章、画像、音声、動画、プログラムコードその他の情報を生成、要約、翻訳、分析または加工するAIサービスおよびAI機能とします。
業務で利用できる生成AIは、会社が承認したサービスに限ります。
新たな生成AIを利用する場合は、事前に管理責任者の承認を得なければなりません。
第4条 利用可能なアカウント
業務で生成AIを利用する場合は、原則として会社が発行または承認したアカウントを使用します。
個人アカウントへ会社、顧客、取引先、従業員その他の業務情報を入力してはいけません。
アカウントを他者と共有してはいけません。
第5条 利用可能な業務
生成AIは、会社が認めた業務に限り利用できます。
利用可能な業務の例は、文章の下書き、構成案の作成、公開情報の要約、アイデア出し、一般的な情報の整理などです。
顧客向け資料、契約書、人事評価、会計・税務判断、外部送信、自動処理その他影響の大きい業務で利用する場合は、事前に上司または管理責任者へ相談してください。
第6条 入力を禁止する情報
次の情報を生成AIへ入力してはいけません。
- ID、パスワード、APIキーその他の認証情報
- 個人情報
- 顧客および取引先の秘密情報
- 従業員および応募者に関する非公開情報
- 未公開の経営情報、財務情報、営業情報
- 契約上秘密として取り扱う情報
- 第三者から預かった機密情報
- その他、外部へ開示してはならない情報
入力の可否を判断できない場合は、入力前に管理責任者へ相談してください。
第7条 出力内容の確認
生成AIの出力には、誤り、古い情報、不適切な表現、存在しない出典等が含まれる可能性があります。
利用者は、事実、数値、固有名詞、日付、法律、制度、引用元その他必要な事項を確認しなければなりません。
生成AIの出力を確認せずに顧客、取引先その他の第三者へ提出または送信してはいけません。
第8条 著作権・引用・出典
生成AIで作成した文章、画像、動画、コードその他の成果物を利用する場合は、第三者の著作権、商標権、肖像権その他の権利を侵害していないか確認してください。
引用や出典が示された場合は、実在する情報であることを確認してください。
第9条 顧客・取引先に関する利用
顧客または取引先から預かった情報を生成AIで処理する場合は、契約内容、秘密保持義務および会社の方針を確認してください。
必要な場合は、事前に顧客、取引先または管理責任者の承認を得てください。
第10条 例外申請
本ガイドラインで認められていない利用を行う必要がある場合は、利用目的、対象業務、利用サービス、入力する情報、利用期間、確認方法を記載し、事前に管理責任者へ申請してください。
例外承認は、承認された業務および期間に限り有効とします。
第11条 利用履歴の管理
会社が指定する業務で生成AIを利用した場合は、利用者、利用日、利用目的、利用サービス、成果物、確認者その他会社が指定する事項を記録してください。
記録の保存期間および管理方法は、会社が別途定めます。
第12条 事故・問題発生時の報告
誤って禁止情報を入力した場合、誤った出力を利用した場合、権利侵害の疑いがある場合、アカウントが不正利用された場合その他の問題が発生した場合は、直ちに管理責任者および上司へ報告してください。
利用者の判断だけで履歴の削除、顧客対応その他の処理を行ってはいけません。
第13条 退職・異動時の処理
退職、異動または業務変更があった場合は、会社の指示に従い、アカウント、権限、履歴、生成物、外部連携その他の業務情報を適切に引き継いでください。
個人アカウントまたは個人端末へ業務情報を残してはいけません。
第14条 教育・研修
生成AIを業務で利用する者は、会社が指定する研修または説明を受けなければなりません。
会社は、必要に応じて追加研修、確認テストその他の教育を実施します。
第15条 違反時の対応
本ガイドラインへの違反が確認された場合、会社は利用停止、再教育、権限変更その他必要な対応を行います。
重大な違反については、就業規則その他の社内規程に基づき対応する場合があります。
第16条 ガイドラインの改定
本ガイドラインは、生成AIサービス、利用規約、法令、会社の業務内容、事故発生状況等を踏まえ、定期的に見直します。
必要がある場合は、定期見直しの時期にかかわらず改定します。
第17条 施行日・管理責任者
制定日:〇年〇月〇日
施行日:〇年〇月〇日
最終更新日:〇年〇月〇日
次回見直し予定日:〇年〇月〇日
管理責任者:〇〇部・〇〇
相談窓口:〇〇
事故報告先:〇〇
自社向けに必ず変更する項目
ひな形を使用する場合は、少なくとも次の項目を変更してください。
- 承認済み生成AIサービス
- 無料版と個人アカウントの扱い
- 利用対象者
- 利用可能な業務
- 入力禁止情報
- 例外申請方法
- 管理責任者
- 相談窓口
- 事故報告先
- ログの保存方法
- 見直し頻度
- 違反時の対応
- 施行日
簡易版と詳細版の使い分け
すべてのルールを一つの文書へ入れると、社員が読みづらくなることがあります。
次のように分ける方法も有効です。
| 文書 | 内容 |
|---|---|
| 社員向け簡易版 | 利用可・要相談・禁止、入力禁止情報、相談先 |
| 管理者向け詳細版 | 承認方法、ログ管理、事故対応、例外判断 |
| 部署別ルール | 営業、人事、経理、開発などの固有ルール |
| FAQ | 日常業務で迷いやすい事例 |
| チェックリスト | 利用前・提出前に確認する項目 |
社員向けの簡易版は、1〜2ページ程度にまとめると確認しやすくなります。
ガイドラインを作っただけで終わらせない運用方法
生成AIガイドラインは、作成して配布するだけでは十分ではありません。
社員教育、相談対応、利用状況の確認、定期的な改定を行う必要があります。
管理責任者を決める
ガイドラインの責任部署と管理責任者を明記します。
管理責任者は、少なくとも次の業務を担当します。
- 社員からの相談対応
- 利用サービスの追加・停止
- 例外申請の判断
- 事故発生時の初動対応
- 研修の実施
- ガイドラインの見直し
- 経営者への報告
担当者が退職・異動した場合に備え、副担当者も決めておくと安心です。
例外判断の基準と承認者を決める
例外利用をすべて禁止すると、業務上必要な検証や新しい活用が進まなくなります。
一方で、例外を簡単に認めると、ガイドラインが形骸化します。
例外申請では、次の点を確認します。
- 業務上の必要性
- 他の方法で代替できないか
- 入力する情報
- 利用サービスの安全性
- 利用期間
- 人間による確認方法
- 問題発生時の対応
承認は対象業務と期間を限定し、終了後に結果を確認します。
定期的に利用状況を確認する
半年または年1回を目安に、次の項目を確認します。
- 現在利用している生成AI
- 利用中のアカウント数
- 無料版・個人アカウントの利用
- 部署ごとの利用業務
- 相談件数
- 例外申請件数
- 事故・ヒヤリハット
- 利用されていないアカウント
- 業務改善の効果
- 新たに必要となったルール
利用を制限するだけではなく、どの業務で効果が出ているかも確認します。
安全で効果の高い利用方法は、社内事例として共有すると活用が広がります。
社員教育を行う
生成AIのリスクは、ガイドラインを読んだだけでは理解しにくいことがあります。
社員研修では、次の内容を扱います。
- 生成AIの基本的な仕組み
- AIの回答が誤る理由
- 入力してはいけない情報
- 利用可・要相談・禁止の具体例
- 著作権と出典確認
- 顧客向け成果物の確認方法
- 事故発生時の報告方法
- 部署別の注意点
特に、「これは入力してよいか」「この資料に使ってよいか」といった事例演習が有効です。
禁止事項の暗記ではなく、自分で判断できる力を身につけてもらうことが重要です。
相談しやすい環境を作る
社員が相談しにくい環境では、自己判断による利用が増えます。
相談した社員を責めるのではなく、「判断に迷ったら相談することが正しい行動」と伝えます。
よくある相談は、社内FAQへ追加します。
たとえば、次のような質問です。
- 顧客名を削除すれば議事録を入力してよいか
- 無料版をメール作成だけに使ってよいか
- AIで作った画像を広告に使ってよいか
- 契約書の要約に使ってよいか
- AI生成コードを納品してよいか
相談内容を蓄積すると、自社の実態に合ったガイドラインへ改善できます。
半年または年1回を目安に見直す
生成AIガイドラインは、最低でも半年または年1回を目安に見直します。
次のような場合は、定期見直しを待たずに改定します。
- 新しい生成AIを導入した
- AIエージェントを利用し始めた
- 顧客情報を扱う業務へ拡大した
- 外部サービスとの連携を開始した
- 利用規約が変更された
- 事故やヒヤリハットが発生した
- 新しい法令や公的指針が示された
改定した場合は、変更点を社員へ説明し、必要に応じて再研修を行います。

生成AIガイドライン運用でよくある失敗
禁止事項だけを並べる
「個人情報は禁止」「機密情報は禁止」とだけ書いても、社員は何に使ってよいか判断できません。
禁止事項とあわせて、利用できる業務と要相談業務を示してください。
無料版と法人版を区別していない
無料版、個人向け有料版、法人向けプランでは、アカウント管理やデータの取り扱いが異なる場合があります。
ただし、法人向けプランであっても、すべての情報を入力してよいわけではありません。
最新の契約条件を確認し、会社のルールを優先します。
ガイドラインの管理者がいない
管理者がいないと、社員からの質問、例外申請、サービス追加、事故対応が止まります。
文書の末尾に管理責任者と相談窓口を明記してください。
全部署に同じルールだけを適用する
営業、人事、経理、開発では、扱う情報とリスクが異なります。
全社共通ルールに加え、部署別の具体例を用意します。
社員へ配布するだけで研修しない
ガイドラインをメールで送っただけでは、読まれない可能性があります。
説明会、事例演習、確認テストを組み合わせて運用します。
一度作ったルールを更新しない
生成AIの機能や利用方法は変化します。
作成日だけではなく、最終更新日と次回見直し日も記載してください。
企業向け生成AIガイドラインに関するよくある質問
生成AIの利用を全面禁止した方が安全ですか?
全面禁止は分かりやすい方法ですが、社員が個人アカウントで利用するなど、会社が把握できない利用につながる可能性があります。
公開情報を使った文案作成などは利用可、顧客情報を扱う業務は要相談、パスワードや機密情報の入力は禁止とするなど、リスクに応じて分類する方法が現実的です。
小規模な会社でもガイドラインは必要ですか?
必要性は社員数だけでは決まりません。
少人数の会社でも、顧客情報、契約書、従業員情報、請求情報などを扱っている場合は、最低限のルールが必要です。
まずは1〜2ページの簡易ガイドラインから始めても構いません。
無料版の生成AIを業務で使ってもよいですか?
一律に判断することはできません。
サービスの利用規約、データの取り扱い、管理機能、入力する情報、会社の方針を確認する必要があります。
少なくとも、個人情報、顧客情報、機密情報を個人アカウントや未承認サービスへ入力することは避けるべきです。
生成AIの出力に誤りがあった場合、誰の責任になりますか?
生成AI自身へ責任を負わせることはできません。
会社として、利用者、確認者、承認者の役割を決める必要があります。
顧客へ提出する資料や重要な判断に利用する場合は、作成者以外の確認を入れる方法が有効です。
ガイドラインはどのくらいの頻度で更新すべきですか?
半年または年1回を基本とし、新しいサービスの導入、外部連携の開始、事故発生、利用規約の変更などがあった場合は、臨時で見直します。
ガイドラインに次回見直し予定日を記載しておくと、更新忘れを防ぎやすくなります。
まとめ|生成AIガイドラインは「禁止」ではなく安全に使うための共通基準
企業向け生成AIガイドラインの目的は、社員の利用を一律に禁止することではありません。
会社として安全に利用できる範囲を示し、社員ごとの判断のばらつきを減らすことが重要です。
ガイドラインには、少なくとも次の12項目を入れます。
- 利用を認める生成AI
- 利用できるアカウント
- 入力してはいけない情報
- 利用可能な業務
- 出力内容の確認
- 著作権・引用・出典確認
- 顧客への説明
- 例外申請
- ログ・履歴管理
- 事故報告
- 退職・異動時の処理
- 定期的なルール更新
あわせて、利用可・要相談・禁止の具体例、部署別の追加ルール、管理責任者、相談先、事故報告先を決めます。
ガイドラインは、作成して配布するだけでは定着しません。
社員研修、相談対応、利用状況の確認、定期的な改定を行い、生成AIを安全に活用できる体制を整えましょう。
