生成AIを社内で活用する企業が増えています。ChatGPT、Claude、Gemini、Microsoft Copilotなどを使えば、文章作成、議事録の要約、メール文面の作成、企画の壁打ち、問い合わせ対応、資料作成など、多くの業務を効率化できます。
一方で、生成AIを社内ルールなしで使わせると、情報漏えい、顧客情報の入力、著作権トラブル、誤情報の利用といったリスクが発生します。特に中小企業では、すでに一部の社員が個人アカウントで生成AIを使っているケースも少なくありません。便利だからこそ、会社として「何をしてよいか」「何をしてはいけないか」を明確にする必要があります。
生成AIの社内ルールは、AI活用を禁止するためのものではありません。社員が安心して使い、会社として安全に業務効率化を進めるための土台です。本記事では、総務・情シス・管理部門・DX担当者向けに、中小企業が最低限決めるべき生成AIの社内ルールの作り方を解説します。入力してよい情報・入力してはいけない情報の線引き、部署別の利用ルール、社員教育、社内定着の進め方まで、実務で使える形で整理します。
なお、AI活用に関しては、経済産業省・総務省が「AI事業者ガイドライン」を公表しており、AIの安全安心な活用とリスク対策を両立する考え方が示されています。中小企業の社内ルールでも、こうした考え方を自社の業務に合わせて落とし込むことが重要です。

生成AIの社内ルールとは?
生成AIの社内ルールとは、社員が業務で生成AIを利用する際の利用範囲、禁止事項、確認方法、責任範囲、管理方法を定めた社内向けのルールです。たとえば、次のような内容を決めます。
| 決める項目 | 内容 |
|---|---|
| 利用できるAIツール | ChatGPT、Claude、Geminiなど、会社として許可するツール |
| 入力してよい情報 | 公開情報、匿名化した情報、一般的な文章作成依頼など |
| 入力してはいけない情報 | 顧客情報、個人情報、契約情報、認証情報、未公開情報など |
| 利用できる業務 | メール文面作成、議事録要約、FAQ作成、企画案作成など |
| 確認フロー | AIの回答を誰が確認し、どの段階で承認するか |
| トラブル時の対応 | 誤入力や情報漏えいの可能性がある場合の報告先 |
生成AIは、使い方によって大きな効果を出せる一方、使い方を誤ると会社の信用を損なう可能性もあります。そのため、会社として最低限のルールを整えたうえで、現場に活用してもらうことが大切です。
生成AI社内ルールの目的
生成AI社内ルールの目的は、社員を縛ることではありません。目的は、情報漏えいや法的リスクを防ぐこと、社員が安心して生成AIを使えるようにすること、生成AIを業務効率化や生産性向上につなげることの3つです。
ルールがない状態では、社員は「どこまで使ってよいかわからない」と不安になります。その結果、便利なツールなのに使われなかったり、逆に個人判断で危険な使い方をしてしまったりします。社内ルールを作ることで、会社として許可する使い方と禁止する使い方が明確になります。
利用規約・情報管理・業務ルールの違い
生成AIの社内ルールを作る際は、以下の3つを分けて考えると整理しやすくなります。
| 種類 | 内容 |
|---|---|
| AIツールの利用規約 | ChatGPT、Claude、Geminiなど各サービス側が定めるルール |
| 会社の情報管理ルール | 個人情報、顧客情報、社外秘資料などの取り扱い |
| 業務ごとの利用ルール | 営業、開発、管理部門などでの具体的な使い方 |
たとえば、AIツール側で商用利用が可能であっても、会社として顧客情報の入力を許可するかどうかは別問題です。また、法人向けプランでは管理機能やデータ利用設定が用意されている場合がありますが、それだけで社内ルールが不要になるわけではありません。ツールの機能と社内ルールを組み合わせて、安全に運用する必要があります。
中小企業こそ最低限のルールが必要な理由
大企業のように細かいAIガバナンス規程を作るのは、中小企業にとって負担が大きい場合があります。しかし、最低限のルールは必要です。中小企業では担当者が少なく、1人の社員が顧客対応、資料作成、営業、請求業務など複数の業務を兼任していることが多いからです。便利だからといって、顧客名や契約内容をそのまま生成AIに入力してしまうと、大きなトラブルにつながる可能性があります。
まずは、難しい規程を作るよりも、入力してはいけない情報、使ってよい業務、社外に出す前の確認方法、困ったときの相談先の4つを明確にすることから始めましょう。この4つだけでも、生成AI利用のリスクは大きく下げられます。
生成AI社内ルールを作らない場合のリスク
生成AIは非常に便利ですが、ルールなしで使うと複数のリスクがあります。特に中小企業が注意すべきなのは、情報漏えい、個人情報・顧客情報の入力、著作権、誤情報、個人アカウント利用の5つです。

情報漏えいリスク
生成AIに社外秘情報や顧客情報を入力すると、その情報が外部サービスに送信されることになります。たとえば、顧客名が入った提案書、契約書の全文、見積書、社内会議資料、未公開の新商品情報、採用候補者の情報、社員の評価情報、取引先との交渉内容などをそのまま入力するのは危険です。AIツールによってデータの取り扱い方は異なりますが、会社として管理していない状態で機密情報を入力することは避けるべきです。社内ルールでは、「何が機密情報にあたるのか」を具体的に示すことが重要です。
個人情報・顧客情報の入力リスク
個人情報保護委員会は、生成AIサービスの利用に関して、個人情報の適正な取り扱いとイノベーション促進のバランスに留意しながら注意喚起を行っています。企業が生成AIを業務利用する場合、氏名、住所、電話番号、メールアドレス、顧客番号、契約内容、問い合わせ履歴、購入履歴、クレーム内容、社員の給与・評価情報などを不用意に入力しないルールを設けることが大切です。
たとえば、カスタマーサポート部門が問い合わせ内容をAIに要約させたい場合でも、顧客名やメールアドレスをそのまま入力するのは避けるべきです。使う場合は、次のように匿名化します。
| 区分 | 入力例 |
|---|---|
| 悪い例 | 「株式会社〇〇の田中様から、2026年7月1日に契約したAプランについて解約希望の問い合わせがありました。返信文を作ってください。」 |
| よい例 | 「ある法人顧客から、契約中サービスの解約希望に関する問い合わせがありました。丁寧で引き止めすぎない返信文を作ってください。」 |
このように、個人や会社が特定できる情報を削除してから使うことが基本です。
著作権・商用利用のリスク
生成AIが作成した文章、画像、コードをそのまま使う場合、著作権や商用利用の観点にも注意が必要です。文化庁は「AIと著作権に関する考え方について」を公表しており、生成AIと著作権の関係について整理しています。ただし、この考え方自体が個別事案について確定的な法的評価を行うものではなく、今後の判例や技術動向によって見直しの可能性がある点にも留意が必要です。
社内ルールでは、少なくともAIが作った文章をそのまま公開しない、他社記事や書籍を丸ごと入力しない、AI生成画像を商用利用する前に利用規約を確認する、既存キャラクターや実在企業ロゴに似せた画像を作らない、コードを利用する場合はライセンスや安全性を確認する、といった点を決めておくとよいでしょう。生成AIは便利ですが、「AIが作ったから自由に使える」と考えるのは危険です。
誤情報を業務に使うリスク
生成AIは、もっともらしい文章を作るのが得意です。しかし、回答が常に正しいとは限りません。古い情報、存在しない制度、間違った法律解釈、誤った料金情報を含むことがあります。特に法律・税務・補助金に関する説明、医療・健康に関する情報、契約書や規約の確認、料金プランやサービス仕様の説明、顧客への正式回答、Web記事や広告文の公開などの業務では、人間による確認が必須です。生成AIの回答は「下書き」や「たたき台」として使い、最終判断は必ず人間が行うルールにしましょう。
社員が個人判断でAIを使うリスク
社内ルールがないと、社員が個人アカウントや無料版AIを使って業務を進めることがあります。この場合、会社は誰がどのAIツールを使っているか、どの情報を入力しているか、業務データがどこに送信されているか、退職後も個人アカウントに情報が残っていないか、出力内容を誰が確認しているかを把握できません。生成AIを業務で使うなら、会社として許可するツール、利用範囲、管理方法を決める必要があります。
中小企業が最低限決めるべき生成AI社内ルール
生成AIの社内ルールは、最初から完璧に作る必要はありません。中小企業では、まず最低限の項目を決めて、運用しながら改善していく方法が現実的です。最低限決めるべき項目は、以下の6つです。
| 項目 | 決める内容 |
|---|---|
| 利用できるAIツール | 会社として許可するAIツール |
| アカウント管理 | 会社アカウントか個人アカウントか |
| 入力禁止情報 | 顧客情報、個人情報、機密情報など |
| 利用できる業務 | 文章作成、要約、企画、FAQ作成など |
| 確認フロー | AIの出力を誰が確認するか |
| トラブル時の報告 | 誤入力や漏えい懸念がある場合の報告先 |
利用できるAIツールを決める
まず、会社として利用を認める生成AIツールを決めます。例としては、ChatGPT、Claude、Gemini、Microsoft Copilot、Perplexity、Notion AI、Cursor、Gensparkなどがあります。ただし、すべてを自由に使わせる必要はありません。最初は、会社として管理しやすいツールを1〜2個に絞るのがおすすめです。たとえば、全社員向けにはChatGPTやGemini、文章作成が多い部署にはClaude、開発部門にはCursorなど、利用目的に応じて使い分ける方法があります。
ルール例
業務で生成AIを利用する場合は、会社が指定または許可したAIツールを使用する。新たなAIツールを業務利用したい場合は、事前に管理部門または情シス担当者へ相談する。
会社アカウントと個人アカウントの使い分けを決める
次に、会社アカウントと個人アカウントの扱いを決めます。業務利用では、原則として会社が管理するアカウントを使うのが望ましいです。個人アカウントで業務情報を扱うと、退職時の管理や情報の所在が不明確になるためです。
ルール例
業務に関する生成AI利用は、原則として会社が指定するアカウントで行う。個人アカウントで業務上の顧客情報、社内資料、契約情報、機密情報を入力してはならない。
ただし、中小企業では、最初から法人プランを導入できない場合もあります。その場合でも、最低限「個人情報・顧客情報・機密情報は入力禁止」と明確にしておく必要があります。
入力してよい情報・入力してはいけない情報を決める
生成AI社内ルールで最も重要なのが、入力してよい情報と入力してはいけない情報の線引きです。社員に「機密情報は入れないでください」と伝えるだけでは不十分です。何が機密情報なのか、現場では判断できないことが多いからです。そのため、具体例を表にして社内共有することが重要です。詳しくは次の章で解説します。
AIの回答をそのまま使わないルールを決める
生成AIの回答は、必ず人間が確認してから使うルールにします。特に顧客へのメール、契約書や規約、Web記事、広告文、SNS投稿、提案書、見積書、補助金・助成金に関する説明、法律・税務・医療に関する説明などの用途では、AIの出力をそのまま使わないようにしましょう。
ルール例
生成AIの出力内容は、業務上の下書きとして利用する。社外に公開または送信する場合は、内容の正確性、表現、権利関係を担当者または上長が確認する。
社外公開前の確認フローを決める
AIで作った文章や資料を社外に出す前に、誰が確認するかを決めます。担当者がAIで下書きを作成し、事実確認・表現確認を行い、必要に応じて上長または専門担当者が確認してから社外へ送信・公開する、という流れです。すべての文章に厳格な承認を求めると運用が重くなります。そのため、契約・料金・納期に関する回答、クレーム対応、法律・税務・補助金に関する説明、広告・LP・Web記事、採用・人事に関する文書、顧客への正式提案書など、リスクの高いものだけ承認対象にするのが現実的です。
トラブル時の報告ルールを決める
生成AIに誤って顧客情報や機密情報を入力してしまった場合、社員がすぐに報告できる体制を作ることも重要です。報告しづらい雰囲気だと、問題が隠れてしまいます。
ルール例
生成AIに個人情報、顧客情報、機密情報を誤って入力した可能性がある場合は、速やかに上長または管理部門へ報告する。報告したこと自体を過度に責めず、再発防止を優先する。
入力してよい情報・入力してはいけない情報の線引き
生成AIの社内ルールでは、入力可否を「OK」「条件付きOK」「NG」に分けると、社員が判断しやすくなります。以下は、中小企業向けの基本例です。

| 区分 | 入力可否 | 具体例 | 社内ルール例 |
|---|---|---|---|
| 一般公開情報 | OK | 自社Webサイトに掲載済みの情報、公開済みの商品説明、公開済みニュース | 入力可能。ただし最新情報か確認する |
| 一般的な相談 | OK | メール文面の改善、文章の要約、企画の壁打ち、表現の言い換え | 業務情報を含めずに利用する |
| 架空データ | OK | 架空の顧客名、サンプルの売上データ、練習用の問い合わせ例 | 実在情報と混同しないよう注意する |
| 匿名化した業務情報 | 条件付きOK | 氏名・会社名・連絡先を削除した問い合わせ内容 | 個人や企業が特定できない状態にする |
| 社内資料 | 条件付きOK | 業務マニュアル、会議メモ、社内FAQ | 機密情報を含む場合は入力禁止。必要時は上長承認 |
| 売上・経営データ | 原則NG | 月次売上、利益率、未公開の事業計画 | 原則入力禁止。必要な場合は数値を加工する |
| 顧客情報 | NG | 顧客名、会社名、メールアドレス、契約内容、問い合わせ履歴 | 入力禁止。使う場合は匿名化する |
| 個人情報 | NG | 氏名、住所、電話番号、給与、評価、健康情報 | 入力禁止 |
| 認証情報 | NG | ID、パスワード、APIキー、管理画面URL | 入力禁止 |
| 未公開情報 | NG | 新商品情報、未公開決算、提携交渉、採用予定 | 入力禁止 |
| 他社の著作物 | 注意 | 他社記事、書籍、画像、ソースコード | 丸ごと入力・再利用は避け、権利関係を確認する |
入力してよい情報の例
入力してよい情報は、基本的に「公開されても問題がない情報」です。たとえば、自社サイトに掲載済みの文章をわかりやすく言い換える、一般的な営業メールの文面を作る、社内研修の構成案を作る、架空の顧客対応例を作る、公開済みの商品説明を要約する、一般的な業務改善アイデアを出す、誤字脱字をチェックするといった使い方は比較的リスクが低いです。ただし、公開情報であっても、古い情報や誤った情報をもとにAIが文章を作る可能性があるため、最終確認は必要です。
入力に注意が必要な情報の例
入力に注意が必要なのは、社内情報ではあるものの、加工すれば使える可能性がある情報です。たとえば、問い合わせ対応をAIに手伝わせたい場合、顧客名や契約内容を削除すれば使える場合があります。加工の例は次のとおりです。
| 加工前 | 加工後 |
|---|---|
| 株式会社Aの佐藤様から、Bサービスの月額契約について解約相談がありました | ある法人顧客から、契約中サービスについて解約相談がありました |
| 山田太郎さんの給与が来月から変更になります | ある社員の労務手続きに関する案内文を作成してください |
| 取引先C社との未公開提携について社内説明文を作りたい | 新しい業務提携を社内に説明する一般的な文面を作りたい |
ポイントは、個人や企業が特定できない状態にすることです。
入力してはいけない情報の例
顧客名、顧客の連絡先、契約書、見積書、請求書、個人情報、社員の評価情報、給与情報、採用候補者情報、未公開の売上情報、未公開の事業計画、ID・パスワード、APIキー、管理画面URL、秘密保持契約の対象情報、他社から秘密として受領した資料などは、原則として生成AIに入力しないルールにしましょう。迷った場合は、「公開されても問題ないか」で判断するとわかりやすくなります。公開されて困る情報は、原則として入力しない。これを社内の共通ルールにしましょう。
部署別に決める生成AIの利用ルール
生成AIの社内ルールは、全社共通ルールだけでは不十分です。部署によって扱う情報や業務内容が異なるからです。営業部門、開発部門、管理部門、カスタマーサポート部門では、生成AIに任せられる業務も、注意すべき情報も違います。

営業部門の利用ルール
| 使える業務 | 注意点 |
|---|---|
| 営業メールの下書き | 顧客名や具体的な商談内容は入力しない |
| 提案書の構成案 | 顧客の機密情報は入力しない |
| 商談トークの整理 | 実際の顧客情報は匿名化する |
| お礼メール・フォローメール作成 | 送信前に担当者が確認する |
営業部門のルール例
営業部門では、メール文面、提案書の構成、商談準備のたたき台作成に生成AIを利用できる。ただし、顧客名、契約金額、見積条件、商談内容、未公開情報を入力してはならない。
開発・制作部門の利用ルール
| 使える業務 | 注意点 |
|---|---|
| コードの書き方の相談 | 顧客環境の情報や秘密情報は入力しない |
| エラー原因の調査 | ログに個人情報や認証情報が含まれていないか確認 |
| 仕様書の整理 | 未公開仕様や顧客固有情報に注意 |
| テストケースの作成 | 実データではなく架空データを使う |
開発・制作部門のルール例
開発・制作部門では、一般的なコード作成支援、エラー調査、仕様整理に生成AIを利用できる。ただし、APIキー、パスワード、顧客環境情報、非公開ソースコード、個人情報を含むログを入力してはならない。
管理部門・総務・経理の利用ルール
| 使える業務 | 注意点 |
|---|---|
| 社内案内文の作成 | 社員個人の情報は入力しない |
| マニュアル作成 | 社内機密を含む場合は注意 |
| 議事録の要約 | 機密情報や個人情報を含む会議は入力しない |
| FAQ作成 | 制度・規程の内容は担当者が確認 |
管理部門のルール例
管理部門では、社内文書、マニュアル、案内文、FAQの作成に生成AIを利用できる。ただし、社員の給与、評価、健康情報、採用候補者情報、未公開の財務情報を入力してはならない。
カスタマーサポート部門の利用ルール
| 使える業務 | 注意点 |
|---|---|
| 問い合わせ返信文の作成 | 顧客情報は匿名化する |
| FAQの作成 | 正確性を確認する |
| クレーム対応文の下書き | 上長確認を必須にする |
| 問い合わせ分類 | 個人情報を削除する |
カスタマーサポート部門のルール例
カスタマーサポート部門では、FAQ作成、返信文の下書き、問い合わせ分類に生成AIを利用できる。ただし、顧客名、連絡先、契約内容、問い合わせ履歴をそのまま入力してはならない。クレーム対応や返金対応に関する文章は、送信前に上長確認を行う。
マーケティング部門の利用ルール
| 使える業務 | 注意点 |
|---|---|
| SNS投稿案 | 誇大表現に注意 |
| ブログ記事構成 | 事実確認を行う |
| 広告文作成 | 景品表示法・薬機法などに注意 |
| メルマガ作成 | 顧客情報を入力しない |
マーケティング部門のルール例
マーケティング部門では、記事構成、SNS投稿、広告文、メルマガ案の作成に生成AIを利用できる。ただし、事実確認、権利確認、表現チェックを行い、誇大表現や根拠のない表現をそのまま使用してはならない。
経営者・管理職の利用ルール
経営者や管理職も、生成AIを壁打ち相手として活用できます。たとえば、経営方針の整理、会議資料の構成案、社内メッセージの作成、事業アイデアの壁打ち、競合分析の観点整理、社員向け説明文の作成などです。ただし、経営層は未公開情報を多く扱います。
経営者・管理職のルール例
経営者・管理職は、経営方針の整理や資料作成の壁打ちに生成AIを利用できる。ただし、未公開の財務情報、人事情報、提携交渉、M&A、資金調達、重要な意思決定に関する機密情報を入力してはならない。
生成AIは判断材料の整理には役立ちますが、最終判断をAIに任せるものではありません。
生成AI利用時に必ず入れたい確認フロー
生成AI社内ルールでは、「入力前」「出力後」「社外公開前」の確認フローを入れておくことが重要です。

入力する前の確認
AIに入力する前に、個人情報が含まれていないか(氏名、住所、電話番号、メールアドレスなど)、顧客情報が含まれていないか(顧客名、契約内容、問い合わせ履歴など)、社外秘情報が含まれていないか(未公開資料、提携情報、売上情報など)、認証情報が含まれていないか(ID、パスワード、APIキーなど)、他社著作物を丸ごと入力していないか(記事、書籍、画像、コードなど)を確認します。迷った場合は、入力しない。これを基本ルールにしましょう。
出力結果を使う前の確認
AIの出力結果を使う前には、内容は正しいか、古い情報ではないか、根拠のない断定がないか、著作権上問題がないか、顧客に誤解を与えないか、会社の方針と合っているか、業界ルールに違反していないかを確認します。生成AIは、自然な文章を作るのが得意です。そのため、間違っていても正しく見えることがあります。特に外部公開する文章は、必ず人間が確認する必要があります。
社外に公開する前の確認
社外公開前の確認が必要なのは、顧客へのメール、提案書、契約書に関する文面、Web記事、LP、広告文、SNS投稿、プレスリリース、採用ページ、FAQ、マニュアルなどです。社外に出る情報は、会社の信用に直結します。AIで作った文章であっても、会社として発信する以上、責任は会社にあります。
判断に迷ったときの相談先
社内ルールでは、判断に迷ったときの相談先を決めておきましょう。入力してよい情報か迷う場合は情シス・管理部門、顧客対応文で迷う場合は上長・営業責任者、著作権が気になる場合は管理部門・外部専門家、個人情報が含まれる場合は個人情報管理責任者・総務、ツール利用で迷う場合はDX担当者・情シス、というように設定できます。相談先が決まっていないと、社員は自己判断で進めてしまいます。
生成AI社内ルールの作り方|5つの手順
ここからは、実際に生成AI社内ルールを作る手順を解説します。中小企業では、次の5ステップで進めると実務に落とし込みやすくなります。

手順1|現在のAI利用状況を確認する
まず、社内で生成AIがどのように使われているかを確認します。誰が使っているか、どのAIツールを使っているか、個人アカウントか会社アカウントか、どの業務で使っているか、どのような情報を入力しているか、出力結果をどこで使っているかを確認します。ここで重要なのは、社員を責めるために調査するのではないということです。すでに便利に使っている社員がいるなら、その使い方は社内展開のヒントになります。一方で、危険な使い方があれば、ルールで止める必要があります。
手順2|利用目的と対象業務を決める
次に、生成AIを何のために使うのかを決めます。文章作成の効率化、メール作成時間の短縮、議事録作成の効率化、問い合わせ対応の品質向上、マニュアル作成、社内FAQ作成、営業資料のたたき台作成、企画案の壁打ち、コード作成支援などが、よくある利用目的です。最初から全業務に広げる必要はありません。まずは、社内向け文章の作成、公開情報をもとにした記事構成、一般的なメール文面、会議メモの整理、マニュアルのたたき台作成、FAQの下書きなど、リスクが低く効果が出やすい業務から始めるのがおすすめです。
手順3|入力禁止情報を決める
次に、入力してはいけない情報を明確にします。最低限、個人情報、顧客情報、契約情報、請求情報、社員の給与・評価情報、採用候補者情報、認証情報、APIキー、未公開の経営情報、秘密保持契約の対象情報、他社から秘密として受け取った資料は入力禁止にしましょう。この部分は、あいまいにしないことが重要です。「重要な情報は入力しないでください」ではなく、「顧客名、メールアドレス、契約内容、ID・パスワードは入力禁止」と具体的に書きます。
手順4|部署別ルールを作る
全社共通ルールを作ったら、部署別ルールを作ります。部署別ルールでは、使ってよい業務、入力してはいけない情報、上長確認が必要な場面、社外利用時の確認方法、具体的な活用例を決めます。たとえば、営業部門では提案書のたたき台作成を許可しつつ、顧客名や見積金額の入力は禁止します。カスタマーサポート部門では、FAQ作成を許可しつつ、実際の問い合わせ履歴を入力する場合は匿名化を必須にします。このように、部署ごとの実務に合わせてルールを作ると、現場で使いやすくなります。
手順5|社員教育と定期見直しを行う
社内ルールは、作っただけでは定着しません。社員に説明し、実際の業務で使える形にする必要があります。最初は、30分程度の説明会でも十分です。説明会では、なぜ生成AI社内ルールが必要なのか、入力してはいけない情報、部署別の使い方、AIの回答をそのまま使わない理由、困ったときの相談先、実際に使えるプロンプト例を伝えます。また、AIツールや利用規約、社会的なルールは変わる可能性があります。半年に1回、少なくとも年1回は見直すのがおすすめです。
社員への教育方法と社内定着のさせ方
生成AIの社内ルールは、社員に守ってもらわなければ意味がありません。しかし、ルールをメールで送るだけでは、多くの場合読まれません。社内定着には、教育と活用支援が必要です。

最初は30分の説明会で十分
中小企業では、最初から大規模な研修を行う必要はありません。まずは30分程度の説明会で、生成AIを会社として活用する方針、入力してはいけない情報、部署別の利用例、AIの回答を確認する必要性、判断に迷ったときの相談先を共有します。重要なのは、難しい法律や技術の話に偏りすぎないことです。社員が知りたいのは、「結局、何に使ってよいのか」「何を入力してはいけないのか」です。
入力してはいけない情報を具体例で教える
社員教育では、禁止情報を具体例で伝えます。たとえば、次のような形式です。
| NG例 | 理由 | 改善例 |
|---|---|---|
| 顧客名入りの問い合わせ内容を入力する | 顧客情報が含まれる | 顧客名を削除して一般化する |
| 契約書全文を貼り付ける | 契約情報・機密情報が含まれる | 条項の意味を一般論として質問する |
| 社員の評価コメントを入力する | 個人情報・人事情報が含まれる | 評価文作成の一般的な表現例を聞く |
| APIキーを含むコードを貼る | 認証情報が漏れる | APIキーを削除して質問する |
具体例があると、社員は判断しやすくなります。
部署別の使い方サンプルを配布する
生成AIを定着させるには、禁止事項だけでなく、使い方のサンプルも必要です。たとえば、営業向けには「新規商談後のお礼メールを、丁寧で押し売り感のない文面にしてください。」、管理部門向けには「社内向けに、勤怠ルール変更のお知らせ文をわかりやすく作成してください。」、カスタマーサポート向けには「商品の使い方に関する問い合わせへの返信文を、丁寧で簡潔に作成してください。顧客名は入れません。」、マーケティング向けには「中小企業向けに、生成AI活用セミナーの告知文を3パターン作成してください。」といったサンプルを配布します。具体的なプロンプト例があると、社員はすぐに試せます。
禁止ルールだけでなく成功事例を共有する
AI活用が定着しない会社では、ルールが「禁止事項リスト」になっていることがあります。もちろん禁止事項は必要です。しかし、それだけでは社員は使いたくなりません。定着させるには、成功事例の共有が効果的です。たとえば、営業メール作成時間が30分から10分になった、議事録作成の負担が減った、FAQ作成がスムーズになった、社内マニュアルのたたき台を短時間で作れた、SNS投稿案を複数出せるようになった、といった事例です。小さな成功事例を共有すると、他の社員も使い方をイメージしやすくなります。
AI活用リーダーを各部署に置く
総務や情シスだけで全社のAI活用を支えるのは大変です。可能であれば、各部署にAI活用リーダーを置くとよいでしょう。AI活用リーダーの役割は、部署内の使い方を整理する、よく使うプロンプトを共有する、ルール違反が起きないよう確認する、成功事例を集める、困りごとを管理部門に共有することです。各部署に1人でも推進役がいると、社内定着が進みやすくなります。
生成AI社内ルールのテンプレートに入れるべき項目
生成AI社内ルールを作る際は、以下の項目を入れると実務で使いやすくなります。
目的
例文
本ルールは、生成AIを安全かつ適切に業務利用し、情報漏えい、著作権侵害、誤情報の利用などのリスクを防ぎながら、業務効率化と生産性向上を図ることを目的とする。
対象者
例文
本ルールは、当社の役員、社員、契約社員、パート・アルバイト、業務委託者のうち、当社業務において生成AIを利用する者に適用する。
業務委託者にもAI利用を認める場合は、契約書や秘密保持契約との整合性も確認しましょう。
利用可能なAIツール
例文
業務で利用できる生成AIツールは、会社が指定または承認したツールに限る。新たな生成AIツールを業務利用する場合は、事前に管理部門の承認を得るものとする。
禁止事項
例文
次の情報を生成AIに入力してはならない。個人情報、顧客情報、契約情報、社外秘情報、未公開の経営情報、ID・パスワード・APIキー、社員の給与・評価情報、秘密保持契約の対象情報、その他、会社が機密情報と判断する情報。
利用可能な業務
例文
生成AIは、文章の下書き、メール文面の作成、議事録の要約、アイデア出し、マニュアル作成、FAQ作成、一般的な調査の観点整理、社内資料の構成案作成などの業務に利用できる。ただし、出力結果は必ず担当者が確認するものとする。
確認・承認フロー
例文
生成AIで作成した文章や資料を社外に送信・公開する場合は、担当者が内容の正確性、権利関係、表現の適切性を確認する。契約、料金、法務、クレーム対応、広告表現に関する内容は、必要に応じて上長または担当責任者の確認を受ける。
違反時・トラブル時の対応
例文
生成AIに禁止情報を入力した可能性がある場合、または情報漏えい、誤情報の利用、著作権侵害などの懸念が生じた場合は、速やかに上長または管理部門へ報告する。報告を受けた管理部門は、影響範囲を確認し、必要に応じて再発防止策を講じる。
生成AI社内ルールを作るときの注意点
生成AI社内ルールを作る際は、単に禁止事項を並べるだけでは不十分です。現場で使われるルールにするためには、以下の点に注意しましょう。
禁止事項だけを並べない
ルールが禁止事項ばかりだと、社員は「AIを使ってはいけない」と受け取ってしまいます。生成AIを活用したいなら、禁止事項と同時に、使ってよい業務も示すことが大切です。たとえば、次のように整理します。
| 禁止すること | 推奨する使い方 |
|---|---|
| 顧客情報をそのまま入力する | 顧客情報を匿名化して返信文の下書きを作る |
| 契約書を丸ごと入力する | 一般的な契約条項の意味を質問する |
| AIの回答をそのまま送る | 下書きとして使い、人間が確認する |
| 未公開情報を入力する | 公開情報や架空データで壁打ちする |
「何をしてはいけないか」と同時に「どう使えばよいか」を伝えることで、社員が前向きに活用しやすくなります。
難しい法律用語だけで作らない
社内ルールは、現場社員が読んで理解できる必要があります。「個人情報保護法上の適切な措置を講じること」とだけ書いても、現場では何をすればよいかわかりません。それよりも、「氏名、住所、電話番号、メールアドレス、顧客番号、問い合わせ履歴など、個人や顧客を特定できる情報は生成AIに入力しないこと」のように具体的に書く方が実務的です。社内ルールは、専門家向けの文書ではなく、社員が日常業務で判断するための文書です。
無料版AIと法人向けAIを同じ扱いにしない
無料版AI、個人向け有料プラン、法人向けプランでは、管理機能やデータの取り扱いが異なる場合があります。そのため、すべてを同じルールで扱うのではなく、会社として入力データが学習に使われる可能性、管理者機能の有無、ユーザー管理のしやすさ、ログ管理の有無、セキュリティ設定、法人契約の有無、退職者アカウントの管理方法を確認しましょう。業務利用が広がる場合は、個人利用から会社管理の環境へ移行することも検討しましょう。
一度作って終わりにしない
生成AIのサービス内容、料金、利用規約、セキュリティ機能は変わることがあります。また、社内での使い方も変化します。そのため、社内ルールは一度作って終わりではなく、定期的に見直すことが重要です。新しいAIツールを導入するとき、法人プランへ切り替えるとき、部署をまたいで利用を広げるとき、情報漏えいや誤入力の懸念があったとき、AIツールの利用規約が変更されたとき、そして半年または1年ごとの定期見直しのタイミングで見直しましょう。ルールは、現場に合わせて育てていくものです。
生成AI社内ルールとあわせて検討したい法人向けAI導入
生成AI社内ルールを作るタイミングでは、法人向けAI導入もあわせて検討すると効果的です。なぜなら、ルールだけ作っても、利用環境が個人アカウント任せのままだと管理が難しいからです。
個人利用から会社管理へ移行する
最初は、社員が個人でChatGPTやClaudeを使い始めることがあります。しかし、業務利用が広がる場合は、会社としてアカウントを管理する方向へ移行した方が安全です。会社管理にすると、利用者を把握しやすい、退職者アカウントを管理しやすい、利用ツールを統一しやすい、社内ルールを適用しやすい、セキュリティ設定を確認しやすい、社員教育とセットで運用しやすい、といったメリットがあります。AIツールを比較するときは、機能や料金だけでなく、会社として管理しやすいかも確認しましょう。
法人向けプランで確認したい項目
| 確認項目 | 内容 |
|---|---|
| 管理者機能 | ユーザー追加・削除ができるか |
| データ利用設定 | 入力データの扱いを管理できるか |
| セキュリティ | 認証、権限管理、ログ管理など |
| サポート | 法人向けサポートがあるか |
| 料金体系 | 月額、年額、人数単位、利用量制限 |
| 利用規約 | 商用利用やデータ利用条件 |
| 部署別利用 | 全社利用向けか、一部部署向けか |
AIツール比較記事を読んだ後は、「どのAIがよいか」だけでなく、「自社のルールで安全に運用できるか」を確認することが重要です。
社内ルールとツール選定はセットで考える
生成AI導入でよくある失敗は、先にツールを契約してから、後でルールを考えることです。この場合、社員が何に使えばよいかわからない、情報入力のルールがない、部署ごとの活用方法が決まっていない、管理者が利用状況を把握できない、導入したのに使われない、といった問題が起こります。そのため、生成AIを導入する際は、ツール選定、社内ルール、社員教育をセットで考える必要があります。
補助金を活用できる可能性も確認する
生成AIツールの導入や社内研修、業務効率化の仕組みづくりを検討する場合、制度によっては補助金を活用できる可能性があります。ただし、補助金は制度内容、公募要領、対象経費、審査、事務局判断によって取り扱いが変わります。必ず採択されるものではなく、すべてのAIツールや研修が対象になるとは限りません。補助金を検討する場合は、最新の公募要領や事務局の案内を確認し、自社の業務内容、導入目的、対象経費を整理したうえで進めることが大切です。
よくある質問
生成AIの社内ルールは必ず必要ですか?
生成AIを業務で使う場合は、最低限の社内ルールを作ることをおすすめします。法律で一律に「生成AI社内ルールの作成」が義務化されているわけではありませんが、顧客情報、個人情報、社外秘情報を扱う企業では、入力禁止情報や確認フローを決めておかないと、情報漏えいや誤情報利用のリスクが高まります。
顧客情報を匿名化すればAIに入力してもよいですか?
顧客名、会社名、メールアドレス、契約内容などを削除し、個人や企業が特定できない状態に加工すれば、利用できる場合があります。ただし、匿名化が不十分だと特定につながる可能性があります。社内ルールでは、どの情報を削除すべきかを具体的に決めておくことが重要です。
AIが作った文章をそのまま使っても大丈夫ですか?
AIが作った文章は、必ず人間が確認してから使うべきです。生成AIの回答には、誤情報、古い情報、不適切な表現、著作権上の問題が含まれる可能性があります。特に顧客向けメール、Web記事、広告文、提案書、契約に関する文面は、担当者または上長が確認してから使用しましょう。
社員が無料版ChatGPTを使うのは禁止すべきですか?
一律に禁止するかどうかは、会社の方針や業務内容によります。ただし、無料版や個人アカウントで業務上の個人情報、顧客情報、機密情報を入力することは避けるべきです。業務利用が広がる場合は、会社が許可するツールや法人向けプランの導入も検討しましょう。
社内ルールを作った後、何をすればよいですか?
社内ルールを作った後は、社員向け説明会を行い、入力禁止情報、部署別の使い方、確認フローを共有しましょう。また、実際に使えるプロンプト例や成功事例を共有すると、社内定着が進みやすくなります。半年または1年ごとに、ルールの見直しも行うことをおすすめします。
まとめ
生成AIの社内ルールは、AI活用を止めるためのものではありません。社員が安心して生成AIを使い、会社として情報漏えい・著作権・誤情報・顧客情報入力のリスクを抑えながら、業務効率化を進めるための土台です。中小企業が最初に決めるべきルールは、入力してはいけない情報を決める、使ってよい業務を決める、部署別の利用ルールを決める、社外公開前の確認フローを決める、の4つです。
特に重要なのは、入力してよい情報と入力してはいけない情報の線引きです。顧客情報、個人情報、契約情報、認証情報、未公開情報は、原則として生成AIに入力しないルールにしましょう。一方で、公開情報、匿名化した情報、架空データ、一般的な文章作成依頼などは、ルールを守れば業務効率化に役立ちます。また、社内ルールは作って終わりではありません。社員説明会、部署別の活用例、成功事例の共有、定期的な見直しを行うことで、生成AIの活用は社内に定着しやすくなります。生成AIを安全に活用するには、ツール選定、社内ルール、社員教育をセットで進めることが重要です。
生成AIを社内で活用するには、ツールを導入するだけでなく、入力してよい情報・禁止する情報・部署別の使い方・確認フローをあらかじめ決めておくことが大切です。「自社の場合、どのAIツールを選べばよいかわからない」「社員に使わせる前に、最低限の社内ルールを整えたい」「補助金を使ってAIツールや研修を導入できるか確認したい」。このような場合は、現在の業務内容や利用予定の部署を整理したうえで、専門家に相談するとスムーズです。まずは、自社でどの業務に生成AIを使えるか、どの情報を入力禁止にすべきかを確認するところから始めましょう。
