企業のAI利用ガイドライン作り方とテンプレート

生成AIを使い始めた社員が顧客情報をChatGPTに貼り付けてしまった、という事故が日本国内の複数企業で報告されています。ガイドラインがなければ、社員は悪意がなくても禁止すべき操作を行います。

この記事では、企業が最初に整備すべきAI利用ガイドラインの6項目と、そのまま使えるテンプレート文言を掲載します。

---

ガイドラインを作る3つの目的

目的1：情報漏洩を防ぐ

ChatGPTをはじめとするクラウド型のAIサービスに入力した情報は、サービスの学習データに使われる可能性があります。企業が持つ顧客情報・未公開の財務情報・個人情報をAIに入力することは、情報漏洩に該当するリスクがあります。ガイドラインで入力禁止情報を明示するだけで、大半の事故は防げます。

目的2：ハルシネーション事故を防ぐ

AIは存在しない情報を事実のように出力することがあります。これをハルシネーションと言います。AIが生成した文書をそのまま顧客に送付したり、法的文書に使ったりすることで、事実誤認のリスクが生じます。「AIの出力は必ず人が確認してから使う」というルールをガイドラインに明記することで防げます。

目的3：著作権リスクを低減する

AIが生成した文章や画像は、既存の著作物に類似している場合があります。商用利用や社外公開に使う生成物については、事前確認のプロセスを設けることが必要です。

---

ガイドラインに必ず盛り込む6項目

以下の6項目がそろっていれば、最低限機能するガイドラインになります。テンプレートとして使えるよう、各項目にサンプル文言を添えます。

---

項目1：利用可能なAIツール

盛り込む内容: 会社として利用を認めるツールの一覧と、各ツールの利用条件。

サンプル文言

以下のAIツールを業務目的での利用を認める。それ以外のAIツールを業務に使用する場合は、情報システム部門への事前申請が必要です。

・Microsoft Copilot（M365ライセンス保有者）: 文書作成・メール下書き・要約 ・ChatGPT Enterprise（情報システム部門から付与されたアカウント）: 文章生成・翻訳・コード補助 ・Copilot Studio（IT部門が承認したプロジェクト）: 社内ボット作成

企業向けプランを契約すると、入力データをAIの学習に使用しないという契約条件が一般的に付きます。無料プランとの違いは各ツールの公式サイトで確認してほしいです。

---

項目2：入力禁止情報の定義

盛り込む内容: AIに入力してはいけない情報の具体的な種類。抽象的な「機密情報」だけでは社員が判断できません。

サンプル文言

以下の情報を、いかなるAIツールにも入力しないこと。

①個人情報: 顧客・取引先・従業員の氏名・住所・電話番号・メールアドレス・マイナンバー・口座情報 ②未公開情報: 未発表の決算数値・M&A・新製品・人事情報 ③取引先に関する情報: 取引金額・契約条件・守秘義務の対象となる情報 ④社内システムに関する情報: パスワード・アクセスキー・ネットワーク構成

上記に該当するかどうか判断が難しい場合は、入力せずに上長または情報システム部門に確認すること。

---

項目3：出力物の確認ルール

盛り込む内容: AIが生成した文章・数値・コードを使う前に必要な確認手順。

サンプル文言

AIが生成した出力物を使用する前に、以下の確認を行うこと。

①事実確認: 固有名詞・数値・日付・法律の内容は、一次情報源（公式サイト・法令など）と照合する ②著作権確認: 社外公開・商用利用に使う文章・画像は、類似する既存著作物がないか確認する ③最終責任の確認: AIが生成した文書を最終成果物として顧客・社外に出す際は、送付前に担当者が内容に責任を持てる状態にする

AIの出力をそのまま送付する行為は、内容の誤りが発生した場合の責任所在を曖昧にします。人が確認した記録を残すこと。

---

項目4：著作権・知的財産の扱い

盛り込む内容: AIを使った成果物の著作権に関する基本的な考え方と注意点。

サンプル文言

AIが生成した成果物の著作権については、以下の点を理解した上で利用すること。

①日本の著作権法では、AIが自律的に生成した成果物には著作権が発生しない可能性がある。ただし、人が創意工夫して指示を与えた場合は著作者として認められる場合がある（詳細は文化庁の公式ガイドラインを確認）。 ②AIの学習データに含まれる既存著作物と類似した出力がされる場合がある。社外公開物に使う際は、弁護士・法務部門に確認することを推奨する。 ③社内業務に限定した使用は現時点でリスクが低いが、競合他社に対して模倣品と捉えられる可能性がある表現には注意する。

---

項目5：問題発生時の報告フロー

盛り込む内容: 情報漏洩のおそれが生じた場合・誤情報で対外的に問題が起きた場合の報告先と手順。

サンプル文言

AI利用に関連した以下の事象が発生した場合は、発生後24時間以内に情報システム部門および直属の上長に報告すること。

①禁止情報をAIに入力したことに気づいた場合 ②AIの出力を元にした誤情報が社外に出た場合 ③AI利用に関連して取引先・顧客からクレームを受けた場合

報告先: 情報システム部門（メール: [担当部門のアドレス]）、直属の上長 報告内容: 発生日時・使用したツール名・入力・出力した内容の概要・発生した問題の詳細

---

項目6：違反時の対応

盛り込む内容: ガイドライン違反が発覚した場合の対応方針。ペナルティを明示することでガイドラインの重みを伝える。

サンプル文言

ガイドラインに違反した場合、以下の対応を行う。

①軽微な違反（誤って禁止情報を入力したが漏洩には至らなかった場合など）: 上長への報告・再教育の受講 ②重大な違反（情報漏洩が確認された場合・繰り返し違反した場合）: 就業規則に基づく懲戒の可能性

違反の疑いがある行為を発見した場合は、上長または内部通報窓口に報告すること。違反を報告した者が不利益な扱いを受けないよう会社が保証する。

---

部門別の追加ルール例

6項目の共通ルールに加え、部門ごとの特性に応じた追加ルールが有効です。

営業部門

顧客情報の入力を禁止することに加え、「AIが生成した提案文書は必ず内容を確認してから送付する」というルールを入れてください。顧客名・商品名・金額が正確かどうかが特に問われます。

人事部門

従業員の評価・採用選考にAIを使う場合、バイアスが生じるリスクがあります。「採用の最終判断はAIに依存せず人が行う」ことを明示してください。また、個人情報保護の観点から応募者の情報をAIに入力することは原則禁止とする方が安全です。

法務部門

契約書のレビューや法的文書の作成補助にAIを活用するケースが増えています。AIの出力はあくまで参考に留め、法的判断は必ず担当弁護士または法務担当者が行うことをルール化してください。

広報・マーケティング部門

AI生成の文章・画像を広告・プレスリリース・SNSに使う際の著作権確認フローを設けてください。また、ブランドトーンとの整合性チェックも社内で行う必要があります。

AIのセキュリティリスク全般については生成AIとセキュリティが参考になります。

---

従業員への周知と研修の進め方

ガイドラインを作っても読まれなければ意味がありません。効果的な周知には次の3ステップが有効です。

ステップ1: 経営層からのメッセージ発信

「会社としてAIを推進するが、リスクも管理する」という方針を経営層が伝えることで、ガイドラインの重みが変わります。全社メールや社内報での発信が効果的です。

ステップ2: 部門長を通じた具体的な伝達

全社一律の説明より、各部門長が自部門の業務に即して「うちの仕事ではこのルールがこう効く」と説明する方が理解されます。

ステップ3: 短時間の研修を実施する

30分程度のe-ラーニングや勉強会で、禁止事項・確認フロー・報告先を具体的なシナリオで説明します。「もしこういう状況になったらどうする？」という演習形式が理解を深めます。

---

定期的な見直しのタイミング

AI業界の変化は速く、半年前のガイドラインが実態に合わなくなることは珍しくありません。以下のタイミングで見直しを行ってください。

• 年2回の定期見直し: 4月と10月に設定する企業が多いです
• 新ツール導入時: 全社向けに新しいAIツールを展開するタイミング
• 法令・ガイドラインの改定時: 個人情報保護委員会・文化庁・厚生労働省などが新しいガイドラインを出したとき
• 事故・ヒヤリハット発生時: 社内外の事故事例が報道されたとき

AI導入を組織全体に浸透させる方法についてはAI導入の効果測定が参考になります。