ガイドラインは誰が作るべきですか

推進担当が下書きを作り、情報システム部門や法務と一緒に固めるのが現実的です。とくにデータの扱いとセキュリティは専門部署の確認が必須です。

厳しくすべきか、緩くすべきか

使っていい範囲を明確にするのが基本です。禁止だらけにすると誰も使わなくなり、活用が進みません。守るべき一線を絞り、それ以外は試せるようにします。

一度作ったら更新は必要ですか

必要です。ツールも契約条件も変わります。少なくとも数か月に一度は見直し、現場で出た疑問を反映します。

AI利用の社内ガイドライン作成押さえるべき項目

禁止を並べるより、使っていい範囲を示す

AIの社内ガイドラインは、禁止事項を積み上げるほど機能しなくなる。読んだ人が萎縮し、結局誰も使わなくなるからだ。目的は活用を進めることなので、守るべき一線を絞り、それ以外は安心して試せると伝える形にする。

推進担当が下書きを作り、情報システム部門や法務と一緒に固めるのが現実的だ。とくにデータの扱いとセキュリティは、推進担当が独断で書かず、専門部署の確認を通す。

最低限押さえる項目

入力してよい情報、いけない情報

最も重要な一線がこれだ。顧客の個人情報、未公開の財務情報、他社から預かった秘密情報など、入力してはいけないものを具体的に挙げる。あいまいな「機密情報」だけでなく、自社で実際に出てくる例で示すと迷わない。

判断の根拠として、使うツールやプランで入力データが学習に使われるかどうかを確認しておく。法人向けプランでは学習に使われない設定が一般的だが、契約内容は必ず確かめる。

出力を確認する義務

AIの出力は、事実と異なる内容をもっともらしく作ることがある。だから、成果物を人間が確認してから使うことを明記する。とくに数字、固有名詞、社外に出す文章は必ず目視で確かめる。AIはたたき台を作る道具で、最終責任は使う人にある、という原則を共有する。

使ってよい業務、慎重に扱う業務

多くの定型業務は自由に使ってよい。一方、人事評価や採用の合否、与信判断のように人に重大な影響を与える判断は、慎重に扱う領域として分けておく。完全に任せず、人間の判断を必ず挟む。

使うツールの範囲

会社として認めるツールを示す。各自が無料ツールに業務情報を入れてしまうのを防ぐためだ。認めるツールと、その理由、申請の窓口を書いておく。

著作権と引用の扱い

AIが作った文章や画像をそのまま社外に出すときの注意を添える。生成物の権利関係や、引用元の確認について、自社の方針を一行でも示しておく。

作り方の手順

まず推進担当が、上の項目をA4一枚ほどの下書きにする。次に情報システム部門と法務に渡し、データとセキュリティ、法務の観点を補ってもらう。完成したら、入力してよい情報の例と、確認の義務だけは全員に確実に伝える。細部より、この二つが日々の事故を防ぐ。

公開後は現場の疑問を集め、数か月に一度は見直す。ツールも契約条件も変わるため、一度作って終わりにしない。

入れてよい情報・いけない情報の具体例

最も事故が起きやすいのが、情報の入力だ。抽象的な「機密情報禁止」では判断できないので、自社の例で具体的に示す。

入れてはいけない情報の例として、顧客の氏名や連絡先などの個人情報、未公開の売上や財務の数字、他社から秘密保持の約束で預かった情報、未発表の製品や戦略、従業員の評価や給与に関する情報などを挙げる。

比較的扱いやすい情報の例として、すでに公開している自社情報、一般的な業界知識、個人や企業が特定できない形に直した内容などを挙げる。

判断に迷ったときの原則も一文添えておく。「外部に出て困る情報は入れない」。この原則があると、リストにない情報でも判断できる。個人がどう守るかという視点は、会社で生成AIを使うときの注意点も合わせて周知すると効果的だ。

ガイドラインに盛り込む基本構成

A4一枚に収めるなら、次の構成が分かりやすい。

最初に、目的を一文で書く。「安心してAIを活用するための共通ルール」といった前向きな表現にし、禁止のための文書だと感じさせない。次に、使ってよいツールと、その申請方法。続いて、入れてよい情報といけない情報の具体例。そして、出力を確認する義務。最後に、困ったときの相談先を明記する。

細かい規定を増やすより、この骨格を押さえるほうが、現場で実際に使われるガイドラインになる。読まれない分厚いルールより、一枚で要点が分かるものを目指す。

厳しすぎても緩すぎてもいけない

ガイドラインの難しさは、さじ加減にある。

厳しすぎると、萎縮して誰も使わなくなり、活用が進まない。禁止事項を並べ立てると、現場は「面倒だから使わない」と判断してしまう。一方、緩すぎると、機密情報の漏えいや誤情報の発信といった事故のリスクが高まる。

ちょうどよいのは、守るべき一線を絞って明確にし、それ以外は自由に試せるとする形だ。守る一線は、情報の扱いと出力の確認の二つに集約できる。この二つさえ守れば、あとは現場の創意工夫に任せる。この姿勢が、安全と活用を両立させる。

周知と定着のさせ方

作っただけで読まれないガイドラインは多い。定着には工夫がいる。

まず、全文を覚えてもらおうとしない。入れてよい情報の例と、出力の確認だけは、確実に伝える。この二点が、日々の事故の大半を防ぐ。

次に、伝える場を選ぶ。分厚い文書をメールで一度送るより、勉強会や朝礼などで具体例を交えて短く伝えるほうが残る。新しく入った人にも、最初に共有する仕組みを作っておく。

そして、現場の疑問を集めて反映する。「この情報は入れていいのか」という具体的な質問が出たら、ガイドラインに追記する。使われながら育つルールが、最も実用的だ。社内浸透の全体像は、社内にAIを浸透させる30日計画とあわせて考えるとよい。

やってしまいがちな失敗

ガイドラインづくりで陥りやすい失敗も知っておく。

他社のひな形をそのまま使うこと。自社の業務や契約に合わない規定は、現場で機能しない。具体例は自社のものに直す。

一度作って放置すること。ツールも契約も変わるため、古いルールは実態に合わなくなる。定期的に見直す。

推進担当が独断でデータやセキュリティの判断を書くこと。この領域は、情報システム部門や法務の確認を必ず通す。専門部署と分担するのが、信頼できるガイドラインの条件だ。

そのまま使える文例

ガイドラインの各項目を、どんな文章にすればよいか迷う人のために、簡単な文例を示す。自社の実態に合わせて調整してほしい。

目的の例。「本ガイドラインは、社員が安心して生成AIを業務に活用するための共通の指針です。守るべき点を明確にし、それ以外は積極的な活用を歓迎します」。

情報の扱いの例。「次の情報は入力しないでください。顧客の個人情報、未公開の財務情報、他社から預かった秘密情報、未発表の製品や戦略。判断に迷う場合は、外部に出て困る情報は入れない、を基準にしてください」。

出力確認の例。「AIの出力には誤りが含まれることがあります。とくに数字、固有名詞、社外に出す文章は、必ず人の目で確認してから使用してください。最終的な責任は利用者にあります」。

相談先の例。「データの扱いやセキュリティに関する質問は情報システム部門へ、利用ツールや運用に関する質問はAI推進担当へお問い合わせください」。

部門ごとに追加するルール

全社共通のルールに加え、部門特有の注意を足すと、より実用的になる。

顧客情報を扱う営業やサポートでは、個人情報の扱いをより具体的に定める。人事では、評価や採用の判断をAIに委ねない旨を明記する。経理や財務では、未公開の数字の扱いを厳格にする。開発では、社外秘のコードや仕様の扱いを定める。

ただし、部門ルールを増やしすぎると複雑になる。全社共通の一線を土台に、各部門は必要な一文を足す程度にとどめると、運用しやすい。

違反やヒヤリハットが起きたら

どれだけ整えても、うっかりは起こりうる。起きたときの対応も決めておく。

機密情報を誤って入力してしまった場合は、隠さず、速やかに情報システム部門など適切な部署に報告する。早く伝えるほど、影響を小さくできる。報告した人を責めない空気を作ることが、隠蔽を防ぎ、結果的に組織を守る。

ヒヤリとした事例は、個人を責めずに共有し、ガイドラインの改善に生かす。「こういう場面で危うかった」という共有が、同じ失敗を防ぐ。失敗を学びに変える運用が、安全な文化を育てる。

公開前のチェックリスト

ガイドラインを公開する前に、次を確認する。

入れてよい情報といけない情報を、自社の具体例で示しているか。出力を確認する義務を明記しているか。使ってよいツールと申請方法を書いているか。困ったときの相談先を示しているか。データとセキュリティの記述を、情報システム部門や法務が確認したか。A4一枚程度で要点が分かるか。

これらを満たせば、現場で読まれ、実際に守られるガイドラインになる。完璧を目指すより、使われるものを、使いながら育てていく姿勢が大切だ。

守らせるのではなく、守りやすくする

ガイドラインは、取り締まるための文書ではなく、安心して使うための土台だ。発想を変えると、運用がうまくいく。

禁止を増やして守らせようとするより、守りやすい環境を整えるほうが効果的だ。たとえば、機密情報を入れない、と言うだけでなく、会社が認めた安全なツールを用意し、そちらを使えば気にせず業務情報を扱えるようにする。判断の負担を減らす仕組みが、結果的にルールを守らせる。

相談しやすい雰囲気も大切だ。迷ったら気軽に聞ける窓口があれば、独断で危ない使い方をする人が減る。ルールは、罰のためではなく、現場を守るためにある。この姿勢が伝わると、形だけでなく実質的に守られるようになる。

委託先や外部の人がいる場合

自社の社員だけでなく、業務委託先やパートナーがAIを使う場面もある。この場合の扱いも、必要なら定めておく。

委託先に渡してよい情報、委託先が使ってよいツール、成果物の確認方法などを、契約や取り決めの中で明確にする。社内のルールと整合させ、抜け穴を作らない。とくに、自社の機密情報を委託先のAI利用を通じて外に出さないよう、注意する。

このあたりは法務の関わる領域でもあるため、専門部署と相談しながら定める。判断に迷う点を残さないことが、後のトラブルを防ぐ。

運用しながら育てる

最初から完璧なガイドラインは作れない。運用しながら育てるのが現実的だ。

公開後は、現場で出た疑問を集める。「この情報は入れていいのか」という具体的な質問が出たら、答えをガイドラインに追記する。新しいツールが登場したら、使ってよいかを検討して反映する。少なくとも数か月に一度は見直し、実態に合わせて更新する。

こうして使われながら更新されるガイドラインは、現場の信頼を得て、形骸化しない。ルールづくりは社内浸透の一部であり、全体の進め方は社内にAIを浸透させる30日計画とあわせて考えるとよい。

まとめ

AIの社内ガイドラインは、守るべき一線を絞り、使っていい範囲を明確にすることで機能する。入力してよい情報、出力の確認義務、慎重に扱う業務、使うツールの範囲、権利の扱いを最低限押さえる。下書きは推進担当、確認は専門部署で分担し、定期的に更新する。