「ガイドラインなし」のままAI案件を発注すると詰む
生成AIの受託開発を発注したとき、検証フェーズや納品時に「で、これって御社の情報セキュリティルール的に大丈夫なんですか?」と法務・情シス部門から止められる事故が頻繁に起きています。発注検討者として、AI案件をスムーズに進めるためには 社内ガイドラインの整備が前提条件になります。
「生成AIを社内で使いたいが、ルールが何もない」状態の解消
2024年以降、多くの企業で「ChatGPTを業務で使う社員」が急増しました。しかし、それに合わせた 社内ルール(生成AIガイドライン)が整備されていない企業が大多数です。
ガイドラインがないまま放置すると、次のような事故が起きやすくなります。
- 機密情報を外部AIサービスに貼り付けて漏洩
- 生成AIが書いた誤った情報を、社外向け資料に転載
- 著作権や肖像権に抵触する画像生成・利用
- AIが書いたコードを検証せずに本番リリース
- AIで作成した契約書・法律文書の誤用
本記事では、中堅企業(社員数100〜2,000名規模)が生成AIガイドラインを作成するときに 押さえるべき項目・テンプレート・運用体制を、情シス・法務・経営の視点で整理します。
ガイドラインに含めるべき7つの項目
1. 利用を許可するサービスのリスト
「生成AI全般を使ってよい」では危険なので、会社として契約・許可した特定サービスだけを利用許可します。
- 許可サービスの例: 法人契約のChatGPT Enterprise、Claude Enterprise、Microsoft Copilot、自社が選定したAIサービス
- 禁止: 個人のフリープランChatGPT、不審なAIサービス、モデル学習に入力データが使われる契約
2. 入力してよいデータ・してはいけないデータ
機密度に応じて、AIへの入力可否を明確に分類します。
機密度 | 例 | AI入力可否 |
|---|---|---|
公開情報 | 製品カタログ、プレスリリース | ○ 制限なし |
社内一般 | 社内マニュアル、議事録 | ○ 法人契約サービスのみ |
個人情報 | 顧客名・連絡先・購入履歴 | △ 匿名化処理が前提 |
社外秘 | 未発表の戦略、財務データ、人事評価 | × 原則禁止 |
機密情報 | 契約書原本、特許未出願技術、内部告発情報 | × 完全禁止 |
3. 出力結果の取り扱いルール
AIが生成したものをどう扱うかのルールも必要です。
- 社外向け資料に使う場合: 必ず人間レビュー必須、事実確認を実施
- 専門領域(医療・法律・財務)の判断: AIの出力を最終回答にしない、必ず専門家のレビュー
- 画像生成: 著作権・肖像権・商標権の確認義務
- コード生成: セキュリティチェック、ライセンス確認、テスト実施
4. 利用ログの取り扱い
誰が何をAIに入力し、何を出力したかの記録について、保管期間と参照権限を明記します。
- 法人契約サービスでは管理者が利用ログを確認可能(監査目的)
- 業務外利用が発覚した場合の対応フロー
- 退職者のアクセス権の即時取り消し
5. インシデント発生時の対応フロー
機密情報を誤って入力した、AIの誤情報を社外公開してしまった、などの事故が発生したときの初動を明文化します。
- 発覚したら誰に報告するか(情シス、法務、上長)
- 影響範囲の調査手順
- 対外公表が必要な場合の判断基準
6. 教育・周知の体制
ガイドラインを作っても、社員が知らなければ意味がありません。
- 新入社員研修への組み込み
- 年1回の全社員リフレッシャー研修
- 新サービス追加時の周知方法
- 社内FAQの整備
7. ガイドラインの見直しサイクル
生成AIの状況は半年単位で大きく変わります。ガイドラインも 定期的な見直しを前提にします。
- 四半期に1回: 利用状況・新サービスの確認
- 年1回: ガイドライン全体の見直し・改訂
- 重大インシデント発生時: 即時改訂
ガイドライン作成の進め方(推奨ステップ)
- 関係部署の合意形成(2〜4週間): 情シス・法務・人事・各業務部門のキーパーソンを集めてキックオフ
- 現状把握(並行): 既に社内で生成AIを使っている人の利用実態を調査(アンケート・ヒアリング)
- 初版ドラフト作成(1〜2か月): 上記7項目をベースに初版を作成、関係部署でレビュー
- 経営層承認: 役員レベルでの承認を取得
- 全社周知・教育(1か月): 全社員説明会、e-learning、FAQ整備
- 運用開始 → 継続見直し: 四半期レビュー、年次改訂
テンプレート: ガイドラインの章構成例
実際のガイドラインドキュメントの章構成例です。
- 目的と適用範囲
- 利用を許可する生成AIサービス(許可リスト・禁止リスト)
- 入力してよいデータの分類と判断基準
- 出力の取り扱いルール(人間レビュー、事実確認、著作権)
- 利用ログと監査
- 禁止事項と違反時の対応
- インシデント発生時の対応フロー
- 教育・周知
- ガイドラインの改訂サイクルと連絡先
- 付録: FAQ・用語集・関連規程
よくある質問への回答方針
Q1. 個人で契約しているChatGPT Plusを業務で使ってよいか
原則NG。理由は次の通り。
- 会社が利用規約・データ取り扱いをコントロールできない
- 業務情報を個人アカウントに残すこと自体が情報管理上の問題
- 退職時にアクセス権を取り消せない
会社として法人契約サービスを用意し、個人契約の業務利用を禁止するのが標準対応です。
Q2. お客様の名前を入れて議事録を要約してもよいか
個人情報の取り扱いになります。次の条件すべてを満たせば許可、それ以外は禁止が一般的。
- 法人契約サービスである
- 入力データがモデル学習に使われない契約
- プライバシーポリシーで顧客に開示している範囲内の利用目的である
Q3. AIが書いた文章をそのまま社外向け資料に使ってよいか
必ず人間レビュー必須。AIは「もっともらしい嘘」を含むため、特に 事実関係・数値・固有名詞は必ず人間が確認します。
Q4. 画像生成AIで作った画像を会社のWebサイトに使ってよいか
使うサービスのライセンス条項と、生成画像の著作権・肖像権・商標権の侵害リスクを確認した上で、法務承認を経てから使用。手軽に使うのは避けるべきです。
Q5. AIが書いたコードを業務システムに採用してよいか
必ず人間のコードレビュー、セキュリティチェック、テストを経てから採用します。「動いた = 採用OK」ではない。詳細は 生成AI駆動開発(AIファースト開発)とは を参照。
業界別の追加考慮事項
金融
- 個人情報保護法 + 業界規制(金融庁ガイドライン)への準拠
- 顧客情報の海外サーバー転送の可否
- 監査・記録保管の追加要件
医療
- 個人情報保護法 + 医療情報の特別な取り扱い
- 診療情報の外部AI入力は原則禁止
- 厚労省・関連学会のガイドライン参照
製造業
- 未公開技術情報・特許情報の管理
- サプライチェーン情報の取り扱い
BtoCサービス
- 顧客対応へのAI活用の開示と同意取得
- AI生成コンテンツの表示ポリシー
参考にすべき外部ガイドライン
自社ガイドラインを作る際に参照する公的・業界ガイドラインです。
- 総務省「AI事業者ガイドライン」
- 経済産業省「AI原則実践のためのガバナンス・ガイドライン」
- 文部科学省(教育機関向け)
- 各業界団体のガイドライン(金融・医療・製造等)
これらをベースにしつつ、自社業務に合わせた実用版にカスタマイズするのが効率的です。
まとめ
生成AIガイドラインは 「禁止だらけのドキュメント」ではなく「安全に使うための運用ルール」として作るのが成功の鍵です。完璧を目指すと作成だけで半年以上かかるので、まず最低限の初版(許可サービス・データ分類・違反時対応)を1〜2か月で作って運用開始し、四半期見直しで磨いていく方が現実的です。
ガイドラインができたら、その先の 業務適用・PoC・本番運用のフェーズに進めます。具体的な検証設計は 検証で終わる生成AIプロジェクトの共通点と本番化の条件 を参照してください。
Beekleにご相談ください
Beekleでは、生成AI/CDP/業務システムの企画・要件定義・開発・運用までワンストップで支援しています。「何を作れば成功か」の整理、検証フェーズの設計、本番化判断まで、発注側の判断材料が揃うように伴走します。費用感の概算だけでも歓迎です。