AI利用ポリシーのテンプレートと作り方

AI利用ポリシーは5つの要素で構成する

社内AI利用ポリシーに必要な要素は5つだ。対象範囲、禁止事項、承認フロー、インシデント対応、更新プロセス。この5つが揃えば、社員が迷わず動けるポリシーになる。

多くの企業が「AIを使うときは気をつけて」という抽象的な一文を置いて終わりにしている。それでは社員はどこまで許されるかが分からず、結局は慎重になりすぎるか、何も考えずに使うかの二択になる。ポリシーの目的は禁止することではなく、安全に活用できる範囲を明確にすることだ。

この記事では、5要素それぞれの書き方と、すぐ使えるひな型の構成を具体的に示す。

要素1：対象範囲

ポリシーが適用される人・ツール・業務を明確に定義する。曖昧だと抜け穴になる。

対象者は「正社員・契約社員・派遣社員・業務委託先」のように列挙する。「社員」だけでは外部委託先が含まれないと解釈されるリスクがある。

対象ツールは、会社が承認したAIサービスのリストを明示する。個人利用のツールをそのまま業務に使うことを認めるかどうかも書く。承認済みツールのリストは別紙として管理し、ポリシー本文には「別紙に定める承認済みAIサービス一覧」と参照する形にすると更新が楽になる。

対象業務は、AIを使ってよい業務の範囲を示す。「社外秘情報を含む業務には利用不可」「個人情報を含む業務には事前申請が必要」といった形で、業務の種類に応じた制限を設ける。

ひな型の条項例：

第1条（適用範囲）
本ポリシーは、当社に在籍する全従業員（正社員・契約社員・派遣社員・業務委託先を含む）が業務でAIサービスを利用する場合に適用する。
対象となるAIサービスは、情報システム部が管理する承認済みAIサービス一覧（別紙）に記載されたものに限る。

要素2：禁止事項

何を入力してはいけないかを具体的に列挙する。「機密情報」という言葉だけでは社員の判断基準にならない。

禁止すべき情報の種類を列挙する：

分類	具体例
個人情報	顧客氏名・住所・電話番号・メールアドレス、社員の評価情報
機密情報	未発表の製品・サービス情報、M&A関連情報、価格交渉の内容
法的に保護された情報	顧問弁護士との通信内容、特許出願前の発明情報
取引先に帰属する情報	取引先から秘密保持契約のもとで受け取った情報

「何を入力しても問題ない情報」を明示する方法もある。「一般公開された情報の要約」「架空のサンプルデータを使った文章作成」「公開済みの自社資料の翻訳」など、具体的にOKな使い方を示すと、社員は萎縮せずに活用できる。

著作権についても一行入れておく。AIが生成したコードや文章には著作権上の問題が含まれる場合がある。「生成物を公開・販売する場合は法務部に相談すること」という一文で対応できる。

第2条（禁止事項）
従業員は、以下の情報をAIサービスに入力してはならない。
（1）個人情報（顧客・従業員を問わない）
（2）社外秘・機密に指定された社内情報
（3）取引先との秘密保持契約の対象となる情報
（4）弁護士・公認会計士等の職業的秘密に属する情報

要素3：承認フロー

新しいAIツールを使い始める前や、高リスクの用途で使う場合の承認ルートを定める。

承認フローは2段階で設計するとよい。日常的な利用については承認不要とし、新規ツールの導入や高リスク用途への適用だけ承認を求める設計だ。すべての利用に承認を求めると形骸化する。

承認不要の利用例：承認済みツールで、社外秘情報を含まない業務に使う場合。

申請が必要な利用例：

• 承認済みリスト外のAIツールを試験的に使いたい場合
• 顧客情報を含むデータを分析に使いたい場合
• AIが生成した文章を自社製品の公式情報として公開したい場合

申請フォームには、ツール名・利用目的・入力するデータの種類・情報セキュリティリスクの自己評価を記載してもらう。情報システム部が承認判断を行い、1週間以内に回答するという目安を設けると回るようになる。

第3条（利用申請）
承認済みAIサービス一覧に記載のないサービスを業務で利用する場合、または個人情報・社外秘情報を含む業務への適用を検討する場合は、所定の申請フォームを情報システム部に提出し、承認を得てから利用すること。

要素4：インシデント対応

禁止事項を誤って破ってしまった場合の報告ルートと対応手順を明確にする。

インシデントが起きたときに報告先が分からないと、問題が隠蔽されるリスクがある。報告は罰則のためではなく、被害を最小化するためのものだと明記することが重要だ。

インシデントの例：

• 顧客の個人情報を誤ってAIサービスに入力した
• 承認済みリスト外のサービスに機密情報が入った可能性がある
• AIが生成した誤情報を社外に発信してしまった

対応フロー：

1. 気づいた時点で上長・情報システム部に報告（24時間以内）
2. AIサービスのアカウント管理画面から該当の会話を削除
3. 情報システム部がサービス事業者に入力情報の削除を要請
4. 必要に応じて顧客・関係者への通知

自己申告を促すためには、軽微なミスは責めない姿勢をポリシーに明記する。「善意による誤使用について、速やかに報告した場合は懲戒処分の対象としない」という一文が、報告文化を作る。

第4条（インシデント報告）
本ポリシーに違反する利用が発生した、または疑われる場合、発見者は24時間以内に直属の上長および情報システム部に報告しなければならない。善意による誤使用で速やかに報告した場合は、懲戒処分の対象としない。

セキュリティの基礎知識については、生成AIとセキュリティも参照するとよい。

要素5：更新プロセス

ポリシーの定期見直しサイクルと、改訂の責任者・手続きを定める。

生成AIは技術の進化が速い。半年前には存在しなかった機能やリスクが次々と現れる。ポリシーに「最終改訂日」と「次回見直し予定日」を明記し、年1回以上の見直しサイクルを組み込む。

見直しのトリガーは2種類設けるとよい。定期見直し（年1回）と、イベント起動型の見直しだ。イベント起動型の例として、「重大インシデントの発生」「法令・ガイドラインの改正」「承認済みツールに重大な脆弱性が発見された場合」を列挙する。

改訂の承認権者を明確にする。「情報システム部長と法務部長の合意のうえ、代表取締役が承認する」のように決めておくと、見直しが後回しにならない。

第5条（見直し・改訂）
本ポリシーは年1回以上見直す。見直しは情報システム部が主導し、法務部・各事業部のAI推進担当の意見を踏まえて改訂案を作成する。改訂は代表取締役の承認を経て施行する。

ポリシー全体のひな型構成

以下が推奨する構成だ。1ページに収まる簡易版と、詳細版の両方を用意しておくとよい。

目次構成：

AI利用ポリシー
  第1条 目的
  第2条 適用範囲
  第3条 禁止事項
  第4条 利用申請
  第5条 セキュリティ要件
  第6条 インシデント報告
  第7条 生成物の取り扱い
  第8条 見直し・改訂
  附則（施行日・改訂履歴）
別紙1 承認済みAIサービス一覧
別紙2 利用申請フォーム
別紙3 よくある質問と回答

別紙を本文と分けることで、ツールの追加や変更が生じたときに別紙だけを更新できる。承認済みツールリストはAIの普及とともに頻繁に変わるため、本文に埋め込まないことが重要だ。

ポリシー作成の進め方

ステップ1：現状調査（1〜2週間）

社員が今どんなAIツールをどんな用途で使っているかをアンケートで把握する。ポリシーを実態からかけ離れた内容で作ると、最初から形骸化する。

ステップ2：草案作成（2〜3週間）

AI推進担当が本記事の5要素を参考に草案を作成する。法令・ガイドラインとしては、経済産業省「AI事業者ガイドライン」と、個人情報保護委員会のAI関連ガイドラインを参照する。

ステップ3：レビュー（1〜2週間）

情報システム部（セキュリティ条項）・法務部（著作権・守秘義務条項）・人事部（適用範囲・懲戒規定との整合）に依頼してレビューを受ける。

ステップ4：パイロット公開（2〜4週間）

一部の部署にパイロット版として公開し、「使っていて迷う場面」を集める。集まった疑問をFAQ化して別紙に加える。

ステップ5：全社展開

確定版を全社員に周知する。配布時に「禁止するためのルールではなく、安全に使えるようにするためのルール」だと説明することで、心理的ハードルが下がる。

ガイドライン整備の詳細はAI利用の社内ガイドライン作成も合わせて参照するとよい。

よくある落とし穴

禁止事項が広すぎる：「機密情報」「重要情報」という言葉だけでは、社員は判断できない。「顧客の氏名・連絡先」「未発表の製品名と発売時期」のように具体例を示す。

更新のしくみがない：作成時に更新サイクルを決めないと、陳腐化する。最低でも「年1回・情シス主管・代表承認」という3点を初版から入れる。

現場を置いてきぼりにする：情シスと法務だけで作ると、現場の実態とずれる。草案作成の段階からAI活用が進んでいる現場の担当者を1〜2名巻き込む。

FAQを用意しない：ポリシーを配布しても「結局これってどこまでOKなの」という質問が殺到する。別紙のFAQに「この場合はOK・この場合はNG」を20〜30問用意するだけで問い合わせが激減する。

ポリシーが整ったら、次のステップは社員への研修だ。ルールを知っているだけでは行動は変わらない。生成AIの社内研修プログラムの作り方で研修設計の全体像を確認するとよい。

ポリシー運用の継続

ポリシーは作ることより、運用し続けることのほうが難しい。

承認済みツールリストは担当者が管理し、四半期ごとに新規申請の可否を見直す。インシデント報告の件数と内容を記録し、年次の見直しに反映する。「報告すると怒られる」という雰囲気を作らないことが、継続報告の鍵だ。

また、ポリシーの存在を社員に継続的に知らせる工夫が必要だ。新入社員研修に組み込む、社内ポータルの目立つ場所に置く、年次の確認サインを取るといった方法で、ポリシーが形骸化しないようにする。

AI活用推進の全体像についてはAI推進のロードマップの作り方で体系的に整理されている。ポリシー整備はロードマップの中でどのタイミングに置くべきかを確認しておくとよい。

まとめ

社内AI利用ポリシーは、対象範囲・禁止事項・承認フロー・インシデント対応・更新プロセスの5要素で構成する。草案はAI推進担当が作り、情シスと法務がレビューし、現場パイロットでFAQを充実させてから全社展開する。ポリシーの目的は禁止ではなく、安全に活用できる範囲の明確化だ。その姿勢を明記することが、社員の主体的な活用を促す。