「社員がChatGPTを使い始めているが、ルールを何も決めていない」——こうした状況の会社が増えています。個人がAIを使うこと自体は問題ありませんが、会社として使う場合は最低限のルールが必要です。

ルールがない状態で全社的にAIが使われると、情報漏洩・アウトプットの品質ばらつき・責任の所在の曖昧さといった問題が起きやすくなります。この記事では、難しく考えすぎず、最低限決めておくべき5つのポイントを解説します。

なぜルールが必要か

AIツールの多くは、入力したテキストをサービス改善や学習に使う可能性があります。個人利用であれば影響は限定的ですが、会社の業務で使う場合は話が変わります。

顧客情報・売上データ・未発表のプロジェクト情報——こうした機密情報が社員の不注意でAIに入力され、外部に漏洩するリスクがあります。実際に国内外でAIへの機密情報入力による情報漏洩事案が発生しており、対岸の火事ではありません。

またルールがない状態では、AIのアウトプットをそのまま使うことによるミス・品質低下も起きやすくなります。「AIが言っていたから」という責任の丸投げも防ぐ必要があります。

ルールは完璧である必要はありません。まず最低限を決めて、運用しながら改善していく姿勢で十分です。

ルール① 入力してはいけない情報を明確にする

最も重要なルールです。AIツールに入力してはいけない情報を、具体的にリスト化して全社員に共有します。

入力禁止の対象として最低限含めるべき情報はこちらです。

顧客・取引先の情報:会社名・担当者名・連絡先・取引内容・契約金額など。 社内の財務情報:売上・利益・コスト・予算など具体的な数値。 個人情報:社員・顧客の氏名・住所・連絡先・生年月日など。 未発表の情報:新製品・新サービス・M&A・採用計画など、外部に出ていない情報。 セキュリティ情報:パスワード・APIキー・社内システムのアクセス情報など。

固有名詞を使いたい場合の対処法として、「A社」「B氏」「〇〇業の中小企業」のように仮称に置き換えてからAIに入力するルールを合わせて周知します。

ルール② 使用を認めるツールを指定する

「AIツール」と一口に言っても、セキュリティポリシーはツールによって大きく異なります。無料プランと有料プランでも、データの取り扱いが変わるものがあります。

会社として認めるツールと、それぞれの利用条件を明記します。

例として、ChatGPT Teamプラン以上:学習利用オプトアウト済みのため業務利用を認める。ChatGPT無料プラン・個人向けPlusプラン:入力内容が学習に使われる可能性があるため、機密性のない業務のみ認める。Microsoft Copilot(法人契約):Microsoft 365の法人向けポリシーの範囲内で業務利用を認める、といった形です。

野良ツールの使用制限も合わせて決めておくと、情報の取り扱いが把握できないツールへの入力を防げます。

ルール③ アウトプットの確認・責任者を決める

AIが生成したアウトプットをそのまま使うことを禁止し、必ず人間が確認するルールを設けます。

特に以下のアウトプットは、確認を必須にすることをすすめます。

社外に出る文書:顧客へのメール・提案書・報告書・プレゼン資料。事実の誤りや不適切な表現が混入するリスクがあります。 数値を含む文書:AIは計算を誤ることがあります。数値が入った文書は必ず元データと照合します。 法的・契約関連の文書:契約書・規約・法的な内容を含む文書は、AIの生成内容をそのまま使わず、専門家による確認を必須にします。

「AIが作ったから正確なはず」という思い込みを防ぐため、「AIのアウトプットには誤りが含まれることがある」という前提を全社員が理解していることが重要です。アウトプットの最終責任は使用した本人にあることを明確にします。

ルール④ 利用目的・用途を定める

どんな業務にAIを使っていいかを明確にします。制限しすぎると活用が進まないため、最初は「使ってよい用途」を広く設定し、問題が起きた場合に絞る方向で運用するのが現実的です。

使用を認める用途の例として、文章の作成・下書き・校正、アイデア出し・ブレインストーミング、社内向けドキュメントの作成、コードの生成・レビュー、会議メモ・議事録の整理などが挙げられます。

一方、判断が必要な場面での無断使用は制限します。顧客への重要な提案内容の生成、採用評価への使用、法的判断が必要な内容の生成などは、管理職の確認を必須にするか、使用自体を制限する判断が必要です。

ルール⑤ 違反時の対応と報告フローを決める

ルールを作っても、違反が起きた場合の対応が決まっていないと形骸化します。万が一、機密情報をAIに入力してしまった場合の報告フローを決めておきます。

報告フローの例として、気づいた時点で即座に上長または情シスに報告する、報告を受けた側は使用したツールのサポートに問い合わせ、データの取り扱いを確認する、再発防止策を検討し、必要に応じてルールを更新する、という流れが標準的です。

「バレたら怒られる」という雰囲気があると、問題が隠蔽されやすくなります。報告した場合のペナルティを設けず、報告しやすい文化を作ることが、早期発見・早期対応につながります。

そのまま使えるルールテンプレート

以下をベースに、自社の状況に合わせて編集してください。

【社内AI活用ガイドライン(簡易版)】

制定日:〇〇年〇〇月〇〇日

  1. 入力禁止情報 以下の情報はいかなるAIツールにも入力しないこと。 ・顧客・取引先の固有情報(社名・担当者名・契約内容・金額) ・社内財務情報(売上・利益・予算の具体的数値) ・個人情報(氏名・住所・連絡先) ・未発表の社内情報(新製品・採用計画など) ・パスワード・認証情報
  2. 使用を認めるツール ・ChatGPT Teamプラン以上:業務利用可 ・Microsoft Copilot(法人契約):業務利用可 ・上記以外のツール:情シス承認後に利用可
  3. アウトプットの取り扱い ・AIのアウトプットは必ず人間が確認してから使用すること ・社外向け文書・数値を含む文書は特に注意して確認すること ・アウトプットの最終責任は使用者本人が負う
  4. 利用目的 ・文章作成・校正・アイデア出し・コード生成・議事録整理などの業務補助に使用可 ・採用評価・法的判断・重要な意思決定への単独使用は禁止
  5. 違反・インシデントの報告 ・機密情報を誤って入力した場合は、即座に上長または情シスに報告すること ・報告した場合のペナルティは設けない

まとめ:ルールは薄くていい、まず存在することが大事

完璧なルールを作ろうとすると、策定に時間がかかりすぎて現場のAI活用がどんどん先行してしまいます。最初は今回紹介した5つのポイントをカバーする薄いルールで十分です。運用しながら問題が起きたタイミングで更新していく姿勢が、現実的かつ長続きするルール作りです。

「自社のAIルールを一緒に作りたい」「どこまで制限すべきか判断に迷っている」という場合は、30分の無料相談でご状況を聞かせてください。業種・規模・使っているツールに合わせたルール設計を一緒に考えます。