社内AI利用ガイドラインの作り方|テンプレート付き・業種別チェックリストで失敗しないルール策定
生成AIの業務活用が急速に広がる一方で、社内のルール整備が追いついていない企業が大多数です。IIJが情報システム部門を対象に実施した調査(IIJメールマガジン読者向けWebアンケート)では、生成AIに関するガイドラインが「未整備」と回答した企業が63%に上りました。東京商工リサーチの2025年調査でも、方針を「決めていない」企業が50.9%と半数を超えています。
「何を入力してよいか分からない」「ルールがなくて社員に説明できない」という声を抱える企業に向けて、本記事ではコピーして使えるテンプレートと業種別の追加チェックリストを提供し、ガイドライン策定を実践的にサポートします。
なぜ今、社内AIガイドラインが必要なのか
ガイドラインがないまま生成AIを使い続けると、企業は次のような深刻なリスクにさらされます。
| リスク分類 | 具体的な影響 |
|---|---|
| 情報漏洩 | 社員が顧客情報や機密データをAIに入力し、外部サーバーに送信されるリスク。Samsung従業員によるソースコード入力事件が代表例 |
| 著作権侵害 | AI生成物が既存の著作物と酷似し、意図せず権利侵害に発展するリスク |
| 誤情報による意思決定ミス | ハルシネーション(事実に反する情報の生成)をファクトチェックなしに業務で使用するリスク |
| コンプライアンス違反 | 個人情報保護法やNDA違反、業界固有の規制への抵触リスク |
| 利用の属人化・野放し | 部署や個人ごとに利用ルールがバラバラとなり、管理不能な状態に陥るリスク |
これらのリスクを防ぎつつ生産性向上を実現するために、ガイドラインの策定は不可欠です。重要なのは、ガイドラインを「AIの利用を制限するもの」ではなく、「安全に活用するための道しるべ」として位置づけることです。
参考にすべき公的ガイドライン
社内ガイドラインをゼロから作る必要はありません。信頼性の高い公的ガイドラインをベースに、自社に合わせてカスタマイズするのが最も効率的です。
| ガイドライン | 概要 | 特徴 |
|---|---|---|
| JDLA 生成AI利用ガイドライン(第1.1版) | 日本ディープラーニング協会が公開する社内向けひな形。禁止用途、データ入力ルール、生成物利用ルールの3本柱 | 最も広く参考にされている。無料ダウンロード可能 |
| 経産省・総務省 AI事業者ガイドライン(第1.1版) | AI開発・提供・利用の各事業者向けの統一指針。「人間中心のAI社会原則」を土台とした10の共通指針 | 認知度79%、活用率40%。本格的なガバナンス体制構築に |
| 東京都 文章生成AI利活用ガイドライン | 東京都職員向け。利用ルール、禁止事項、プロンプト例を含む実務的な内容 | 分かりやすい構成で企業にも参考になる |
| デジタル庁 テキスト生成AI利活用リスク対策ガイドブック | リスク分類と具体的な軽減策を提示 | リスク評価の枠組みとして有用 |
中でもJDLAの「生成AIの利用ガイドライン」は、多くの企業が社内ガイドラインのベースとして活用しています。IIJの調査でも、複数の情報システム担当者がJDLAのガイドラインを参考に自社版を作成したと回答しています。
社内AIガイドラインの基本構成と必須8項目
社内ガイドラインに盛り込むべき項目は大きく8つに分かれます。JDLAのひな形や各社事例を参考に整理しました。
| No. | 項目 | 記載すべき内容 | ポイント |
|---|---|---|---|
| 1 | 目的と方針 | ガイドラインの目的、会社の基本方針 | 「制限」ではなく「安全な活用推進」のスタンスで |
| 2 | 適用範囲 | 対象者(派遣・業務委託含む)、対象ツール | 個人端末での業務利用も対象か明記 |
| 3 | 利用可能なAIツール | 承認ツール一覧、新規導入の申請プロセス | 未承認ツールの使用を制限 |
| 4 | 入力禁止情報 | AIに入力してはいけない情報の分類と具体例 | ★最重要。具体例を多く挙げる |
| 5 | 生成物の取り扱い | ファクトチェック義務、社外公開時の承認 | 「そのまま社外に出さない」が基本 |
| 6 | 禁止事項 | 差別的コンテンツ生成、なりすまし等 | 倫理的観点の禁止事項を明記 |
| 7 | インシデント対応 | 情報漏洩・権利侵害発生時の報告・対応フロー | 報告先・初動対応を明確に |
| 8 | 運用・見直し | 見直し頻度、担当部署、教育計画 | 最低半年に1回。AI進化が速いため |
入力禁止情報の分類【テンプレート】
ガイドラインで最も重要なのが「AIに入力してはいけない情報」の定義です。多くの現場担当者が「何を入力してよいのか判断できない」と悩んでおり、この部分の具体性が実効性の鍵です。
| 情報区分 | 具体例 | 入力可否 | 備考 |
|---|---|---|---|
| 個人情報 | 氏名、住所、電話番号、メールアドレス、マイナンバー | 入力禁止 | 匿名化した上であれば一部利用可 |
| 顧客情報 | 顧客名、取引内容、契約条件、価格情報 | 入力禁止 | NDAにも抵触する可能性 |
| 財務・経営情報 | 未公開の決算数値、予算、M&A情報 | 入力禁止 | インサイダー情報に該当する可能性 |
| 技術・営業秘密 | ソースコード、設計図、特許出願前の技術情報 | 入力禁止 | 不正競争防止法上の「営業秘密」 |
| NDA対象情報 | 取引先からNDA下で開示された一切の情報 | 入力禁止 | 契約違反・損害賠償のリスク |
| 一般的な業務文書 | 議事録の要約、メール推敲、FAQ作成 | 条件付き利用可 | 禁止情報を含まないことを確認の上で |
| 公開情報の加工 | プレスリリースの要約、一般的な技術解説 | 利用可 | ファクトチェックは必須 |
業種・業界別の追加チェックリスト
基本のガイドラインは業種を問わず共通ですが、業界固有の規制や取り扱うデータの特性に応じた追加ルールが必要です。
| 業種 | 追加すべきルール | 関連法規制 |
|---|---|---|
| 金融業 | 顧客の資産情報・取引履歴の入力を厳格に禁止。AI生成物を投資助言やリスク評価に直接使用することを禁止 | 金融商品取引法、金融庁ガイダンス |
| 医療・製薬 | 患者データの厳格な匿名化義務。AI生成物を診断・治療判断に直接使用することを禁止 | 医師法、薬機法、次世代医療基盤法 |
| 製造業 | 設計データ・特許関連情報の入力制限。品質管理へのAI活用における責任範囲の明確化 | 不正競争防止法、特許法、PL法 |
| 士業 | 依頼者情報の入力を全面禁止。AI生成物に対する専門家としての最終判断責任を明記 | 弁護士法、税理士法、倫理規定 |
| 教育機関 | 学生の成績・個人情報の入力禁止。学習評価へのAI利用に関する透明性確保 | 学校教育法、文科省ガイドライン |
| 小売・サービス | 顧客の購買履歴・嗜好データの入力制限。景品表示法対応 | 景品表示法、特定商取引法 |
複数の業種にまたがる事業を展開している場合は、最も厳格な基準に合わせることを推奨します。
すぐに使える社内AIガイドライン【テンプレート全文】
以下は中小企業でもそのまま使用可能なテンプレートです。[ ]内を自社の情報に置き換えてお使いください。
第1条(目的)
[会社名](以下「当社」)は、生成AI技術の活用を業務効率化および新たな価値創出のための重要な手段と位置づけます。本ガイドラインは、AIの利用を禁止するものではなく、従業員がリスクを正しく理解し、安全かつ効果的にAI技術を活用することを支援するために定めるものです。
第2条(適用範囲)
本ガイドラインは、当社の全従業員(正社員、契約社員、派遣社員、業務委託先を含む)が、業務においてAIツールを利用する場合に適用します。個人所有の端末で業務データを扱う場合も対象となります。
第3条(利用可能なAIツール)
当社が業務利用を承認するAIツールは以下のとおりです。
・[ツール名1](用途:[用途])
・[ツール名2](用途:[用途])
上記以外のAIツールを業務で使用する場合は、事前に[管理部門名]への申請と承認が必要です。
第4条(入力禁止情報)
以下の情報は、いかなるAIツールにも入力してはなりません。
(1) 個人情報(氏名、住所、電話番号、メールアドレス、マイナンバー等)
(2) 顧客情報(顧客名、取引内容、契約条件、価格情報等)
(3) 未公開の財務・経営情報(決算数値、予算、M&A情報等)
(4) 技術・営業秘密(ソースコード、設計図、特許出願前の技術情報等)
(5) 秘密保持契約(NDA)に基づき開示された第三者の情報
(6) [業種固有の追加項目]
第5条(生成物の取り扱い)
(1) AI生成物は必ず人間によるファクトチェックを実施した上で使用すること。
(2) AI生成物を社外に公開・送付する場合は、[上長/管理部門]の承認を得ること。
(3) AI生成物をそのまま最終成果物とせず、自身の判断と責任で加筆・修正を行うこと。
(4) AI生成物に含まれる可能性のある著作権侵害リスクに注意し、必要に応じて類似性を確認すること。
第6条(禁止事項)
以下の行為は厳に禁止します。
(1) 差別的・攻撃的・違法なコンテンツの生成
(2) 他者になりすましたコンテンツの生成
(3) AI生成物であることを意図的に隠して社外に提供する行為
(4) AIを用いた不正行為(試験の代替回答、虚偽報告書の作成等)
(5) 会社が承認していないAIツールの無断使用
第7条(インシデント対応)
AIの利用に関して以下の事象が発生した場合、速やかに[報告先]に報告してください。
(1) 機密情報をAIに入力してしまった場合
(2) AI生成物が他者の著作権を侵害している可能性に気づいた場合
(3) AI生成物に基づく誤った判断により損害が発生した場合
(4) その他、AIの利用に関する問題が生じた場合
第8条(教育・周知)
当社は本ガイドラインの理解促進のため、全従業員を対象とした定期研修(年[回数]回以上)、新規入社者への説明、活用好事例やインシデント事例の社内共有を実施します。
第9条(見直し・改定)
本ガイドラインは、AI技術の進展、関連法令の改正、利用状況の変化に応じて、[半年/1年]ごとに見直しを行います。
ガイドライン策定の5ステップ
テンプレートがあっても、策定プロセスを間違えると形骸化します。以下の5ステップで進めましょう。
| Step | 内容 | 具体的なアクション | 期間目安 |
|---|---|---|---|
| 1 | 現状把握 | 社内でのAI利用状況を調査。どの部署が何のツールをどう使っているか把握 | 1〜2週間 |
| 2 | 草案作成 | テンプレートをベースに、自社の業種・規模に合わせてカスタマイズ | 1〜2週間 |
| 3 | 関係者レビュー | 法務・情シス・現場責任者のレビュー。中小企業は外部専門家の活用も有効 | 1〜2週間 |
| 4 | 周知・教育 | 全社員への説明会。「やっていいこと・だめなこと」を図解化した資料の配布 | 1〜2週間 |
| 5 | 運用・見直し | 利用状況のモニタリング。半年〜1年ごとに改定 | 継続的 |
IIJメールマガジン読者向けWebアンケートの調査では、実際にガイドラインを策定した企業の多くが「情報システム部門が主導」し、「スピード重視で最低限のルールからスタート」したと回答しています。完璧を目指すよりも、まず走り出すことが大切です。
大企業と中小企業のアプローチの違い
ガイドラインの「骨格」は共通ですが、策定・運用のアプローチは規模によって異なります。
| 項目 | 大企業 | 中小企業 |
|---|---|---|
| 策定主体 | 情シス・DX推進・法務の共同策定 | 経営者またはIT担当者が主導 |
| ガイドラインの粒度 | 詳細な規定(数十ページ)。監査体制、ログ保存要件も含む | 「やっていいこと・だめなこと」+最低限の承認フロー(A4数枚) |
| ツール管理 | IT部門がAPI経由で法人版を一括導入。利用ログの監査 | 商用データ保護のあるサービスを選定。最低限の利用記録 |
| 教育体制 | 部門別説明会、Eラーニング、定期テスト | 全体ミーティングでの説明+図解チェックリスト |
| 監査 | 定期ログ監査、AIガバナンス委員会 | 月1回のヒアリング、問題事例の共有 |
| 見直し頻度 | 四半期ごと | 半年〜1年ごと |
中小企業に特にお伝えしたいのは、「ガイドラインは完璧でなくてよい」ということです。方針未定の中小企業が52.4%という現状を考えると、シンプルでも「ある」と「ない」では雲泥の差があります。A4用紙2〜3枚で構いませんので、「入力禁止情報」と「承認フロー」を決めることが第一歩です。
まとめ
社内AIガイドラインの策定は「やるべきか」ではなく「いつやるか」の段階に入っています。最後に要点を整理します。
(1)公的ガイドラインを活用する。JDLAのひな形をベースにカスタマイズすれば、ゼロから作る必要はありません。
(2)「入力禁止情報」の明確化が最重要。具体的な分類と例示を記載することで実効性が大きく高まります。
(3)業種固有のルールを追加する。基本の骨格は共通でも、金融・医療・製造業など業界固有の規制対応が必要です。
(4)完璧を目指さず、まず始める。シンプルなルールから運用を開始し、アジャイルに改善するのが現実的です。
(5)「制限」ではなく「活用推進」のスタンスで。推奨活用例もセットで示すことが成功の鍵です。
AI技術は日々進化しており、ガイドラインも「一度作って終わり」ではなく継続的な見直しが不可欠です。本記事のテンプレートが、皆さまの社内ガイドライン策定の一助となれば幸いです。
注意事項
本記事に掲載されている情報は、2026年2月時点の公開情報に基づいています。法令・規制は改正される場合があり、業界固有のガイドラインも随時更新されます。策定にあたっては最新の法令を確認の上、必要に応じて弁護士等の専門家にご相談ください。本記事のテンプレートは一般的な指針であり、個別の法的助言を提供するものではありません。記載されているガイドライン名称・調査データの出典は各発行元に帰属します。
コメント