All
SaaS管理
デバイス管理
セキュリティ対策
脅威・インシデント対策
IT基盤・インフラ
情シス業務・組織形成
AI / テクノロジー
プロダクト
イベントレポート
その他
ガバナンス

新着記事

もっと見る

>

>

情シス必見!AI利用ガイドラインの作り方|生成AI 社内ルールに必要な10項目と生成AIガイドライン 雛形

情シス必見!AI利用ガイドラインの作り方|生成AI 社内ルールに必要な10項目と生成AIガイドライン 雛形

情シス必見!AI利用ガイドラインの作り方|生成AI 社内ルールに必要な10項目と生成AIガイドライン 雛形

情シス必見!AI利用ガイドラインの作り方|生成AI 社内ルールに必要な10項目と生成AIガイドライン 雛形

最終更新日

情報システム部門向けに、社内における生成AIの利用ルール策定手順を解説します。シャドーITを防ぎ安全な業務環境を構築するための必須知識と、そのまま使えるWord雛形を提供します。

AI利用ガイドラインとは?企業に必要な理由と背景

AI利用ガイドラインとは、従業員が生成AIを業務で扱う際の技術的・倫理的・法的な基準をまとめた内部統制文書を指します。国内の生成AI市場が急成長を遂げるなか、企業が法的リスクを回避しつつ競争力を維持するために、明確なルールの策定が求められています。

生成AI市場の成長とルールの必要性

近年、テキストや画像を自動生成するAI技術は目覚ましい速度で普及しています。IT専門調査会社のIDC Japanが発表した予測によれば、国内の生成AIシステム市場は2023年から2028年にかけて年間平均成長率(CAGR)84.4%という驚異的なペースで拡大し、2028年には約8,000億円規模に達すると見込まれています。このように市場が急速に拡大する中で、現場の従業員は日常業務を効率化するために次々と新しいAIツールを試し始めています。

しかし、従業員が手軽に高度な出力を得られる反面、企業の管理が及ばない状態で利用が進むと甚大なリスクを抱え込むことになります。顧客の個人情報や未公開の営業秘密をプロンプト(AIへの入力指示)に打ち込んでしまうことで生じる情報漏洩のリスクや、既存の著作物と類似したコンテンツを生成してしまう著作権侵害のリスクが代表的です。

特有のリスクと社内統制

さらに、生成AI特有の課題として「ハルシネーション」があります。これは、AIが確率論に基づいてもっともらしい虚偽の情報を生成する現象です。従業員がAIの出力を鵜呑みにし、事実確認(ファクトチェック)を行わずに社外向けの資料として発信してしまった場合、企業の社会的信用を著しく損なう事態に発展します。

こうした事態を防ぎ、企業のコンプライアンスを維持するためには、属人的な判断に依存するのではなく、全社で統一された利用基準を設ける必要があります。リスクを最小限に抑えつつ生産性を高めるためには、明確な方針を示す規程の存在が欠かせません。

次は、実際に社内規程を整備する際に網羅すべき具体的な項目を見ていきましょう。

シャドーITの検知はCASB?SMP?

情シスの管理外で利用される「シャドーIT」は、情報漏えいや不正アクセスなど重大なリスクを招く可能性があります。本ホワイトペーパーでは、シャドーITが生まれる背景や放置によるリスク、そして具体的な可視化・対策方法を事例を交えて解説。社内のSaaS利用状況を正しく把握し、安全で効率的なIT運用を実現するための第一歩となる内容です。

シャドーITの検知はCASB?SMP?

情シスの管理外で利用される「シャドーIT」は、情報漏えいや不正アクセスなど重大なリスクを招く可能性があります。本ホワイトペーパーでは、シャドーITが生まれる背景や放置によるリスク、そして具体的な可視化・対策方法を事例を交えて解説。社内のSaaS利用状況を正しく把握し、安全で効率的なIT運用を実現するための第一歩となる内容です。

生成AI 社内ルールに含めるべき10項目

実効性のある社内ルールを構築するには、利用目的から罰則規定に至るまで、網羅的な10の項目を定義する必要があります。曖昧な記述や抜け漏れがあると、現場の従業員が独自の解釈でツールを利用し、インシデントの温床になるからです。

ガバナンスを効かせる10の必須項目

ガイドラインを策定する際は、以下の10項目を漏れなく盛り込むことで、現場の混乱を防ぐことができます。

1. 目的と基本方針
単なる禁止事項の羅列ではなく、業務効率化やイノベーション創出など、AIを活用するポジティブな意義を明記します。

2. 適用範囲
正規雇用者だけでなく、契約社員、派遣社員、業務委託先のパートナー企業まで含めるか対象を定めます。また、どの業務プロセスに適用されるかも明確にします。

3. 利用可能なツールの指定
会社がセキュリティ審査を行い、許可した法人向けサービスのみを使用するよう指定します。未承認ツールの利用は厳格に禁じます。

4. 入力禁止情報
顧客の個人情報、未公開の財務データ、技術ノウハウ、パスワードなどの機密データをプロンプトに入力することを禁じます。

5. 出力結果の確認義務
AIの出力をそのまま最終成果物として利用することを禁じます。必ず人間が内容の真偽(ファクトチェック)や論理性を確認するプロセスを義務付けます。

6. 著作権等の権利侵害の防止
生成された文章や画像が、第三者の著作権や商標権を侵害していないか確認するフローを定めます。

7. 報告とインシデント対応
禁止事項に抵触する操作を誤って行った場合や、情報漏洩の疑いがある場合の連絡窓口(情報システム部など)を明記します。

8. 罰則規定
悪質な違反に対する就業規則上の扱いを示し、ルールの強制力を持たせます。

9. 教育・研修の受講義務
利用者が安全な使い方を理解できるよう、定期的なセキュリティ教育への参加を必須とします。

10. ガイドラインの改定プロセス
技術の進化や法改正に合わせたルールの定期的な見直し手順を定めます。

これらを網羅することで、現場の迷いをなくし、安全な利用環境を提供できます。

続いて、これらの項目を形骸化させずに現場へ定着させるためのポイントを解説します。

利用可能なAIツールを審査する具体的なセキュリティ評価の手順は、実務で使えるセキュリティチェックシートの作り方で詳しく解説しています。

社内ルールを定着させる項目別の策定ポイント

社内ルールを定着させる最大の秘訣は、「禁止」を並べるだけでなく、安全に利用できる「ガードレール」として設計することです。ルールが厳しすぎると従業員は隠れて未許可の無料ツールを利用するようになり、かえって情報漏洩の危険性が高まるからです。

「オプトアウト対応」ツールの提供

情報システム部門として最初に取り組むべきは、安全なツールの公式な提供です。一般的な無料版のAIツールは、入力したプロンプトがAIのモデル改善(学習)に利用される仕様になっています。そのため、API経由での利用や法人向けエンタープライズプランなど、入力データがAIの学習に利用されない(オプトアウト機能を持つ)ツールを契約し、現場に配備することが前提となります。

現場が迷わない利用判断基準の提示

ツールを提供した上で、「どのような状況であればAIを利用してよいか」という判断基準を現場にわかりやすく提示します。以下の表のような基準を設けることで、従業員は自身の業務がガイドラインに違反していないか自己判断できるようになります。

利用条件

判断基準

対策例・留意点

利用ツールがオプトアウト対応

導入OK

ChatGPT Enterpriseなどの法人プラン契約を推進する。

個人情報・機密情報の入力

原則NG

匿名化ツールの併用、または社内規定で入力を完全禁止とする。

一般公開されている情報の要約

利用OK

出力結果のファクトチェック(人間の確認)を必ず実施する。

外部向け公式文書の作成

条件付きOK

最終責任はAIではなく作成者(人間)が負う旨を明記する。

現場が直感的に判断できる基準を設けることで、ルールの遵守率は劇的に向上します。

自社独自のルールをゼロから考えるのが難しい場合は、公的機関の指針を参考にするとスムーズです。

▲ 現場の従業員が迷わず自己判断できる、生成AIの業務利用フロー

関連して、安全な法人向けAIの選択肢としてClaudeとはどのようなツールかについても合わせて押さえておきたい観点です。

SaaSという情報資産をISMSでどう管理するか

クラウドサービスの利用拡大により、SaaSも今や重要な“情報資産”の一つとなりました。本ホワイトペーパーでは、ISMS(情報セキュリティマネジメントシステム)の観点から、SaaSをどのように識別・分類・管理すべきかを具体的に解説。台帳整備やリスクアセスメント、運用プロセスの設計まで、実践的な管理手法を紹介します。ISMS担当者・情シス必読の内容です。

SaaSという情報資産をISMSでどう管理するか

クラウドサービスの利用拡大により、SaaSも今や重要な“情報資産”の一つとなりました。本ホワイトペーパーでは、ISMS(情報セキュリティマネジメントシステム)の観点から、SaaSをどのように識別・分類・管理すべきかを具体的に解説。台帳整備やリスクアセスメント、運用プロセスの設計まで、実践的な管理手法を紹介します。ISMS担当者・情シス必読の内容です。

官公庁・専門機関のAIガイドライン比較

ルールの骨格を固める際は、経済産業省や総務省、専門機関が公開している公的ガイドラインをベースにする手法が確実です。国や専門家が策定した基準は法的・倫理的リスクを網羅しており、自社のポリシーに対する客観的な裏付けとなるからです。

主要な公的ガイドラインの特徴

日本国内においては、現時点で包括的な新法による一律のハードロー規制ではなく、実務上の考え方を整理した「ソフトロー(ガイドライン方式)」が採用されています。自社の業界や規模に合わせて、以下の指針を組み合わせることをお勧めします。

機関名

ガイドライン名

特徴と活用ポイント

対象範囲

経済産業省・総務省

AI事業者ガイドライン(第1.0版)

開発者から利用者まで全ての主体に向けた包括的な指針。リスクベースのアプローチを採用しており、基本的な考え方を学ぶのに適している。

AI開発・提供・利用の全主体

日本ディープラーニング協会(JDLA)

生成AIの利用ガイドライン

民間企業がそのまま自社の規程に組み込みやすい実践的な内容。具体的な禁止事項や実務上の留意点が詳細に書かれている。

企業のAI利用者・情シス部門

これらの公的な指針を読み解き、自社の既存のセキュリティポリシーと照らし合わせることで、精度の高いルールを構築できます。

ここからは、情シス担当者が短時間で実際の文書を完成させる手順を紹介します。

情シス向け:AI利用ガイドラインを短時間で策定する方法

業務多忙な情シス担当者が素早くルールを策定するには、既存の雛形を活用し、自社特有の要件だけをカスタマイズする手法が最適です。ゼロから文章を書き起こすと法務確認を含めて数ヶ月を要しますが、ベースとなる文書があれば数週間での運用開始が見込めるからです。

策定から運用までの5ステップ

短時間で策定し、現場に定着させるための具体的な手順は以下の通りです。

ステップ1:現状の利用実態の把握
現場でどのAIツールが使われているか、アンケートやネットワークログの分析を通じて実態を掴みます。この段階でシャドーITの存在を洗い出します。

ステップ2:雛形の取得
後述するようなテンプレートをダウンロードし、ベースとなる文書を用意します。

ステップ3:自社要件のカスタマイズ
自社のセキュリティ規程(ISMSなど)との整合性を確認します。どの部門から先行導入するか、どのデータを入力禁止とするかを自社の業務に合わせて微調整します。

ステップ4:法務・コンプライアンス部門とのレビュー
作成した原案の法的リスクについて、専門部署による最終確認を依頼します。

ステップ5:全社への周知徹底
完成したルールを社内ポータルに掲載し、使い方に関するオンライン説明会などを実施します。意図せぬ違反に対しては不利益な扱いを行わず、迅速な報告を優先させる文化を醸成します。


雛形を最大限に活用し、承認プロセスを短縮することで、早期にガバナンスを効かせることが可能になります。

すぐに作業を始められるよう、実務で使えるテンプレートをご用意しました。

▲ 情シス担当者が短期間でAI利用ガイドラインを策定・運用するための5ステップ

情シス部門が推進するAI活用を含めた全体像を整理したバックオフィス効率化の完全ガイドもあわせて参照してください。

【雛形】そのまま使えるDL用Wordテンプレート

本記事では、自社の規定に合わせて編集可能な「生成AIガイドライン 雛形」を提供します。実践的な構成があらかじめ組み込まれており、項目の埋め合わせだけで即座に運用案を作成できるからです。

コピーして使えるガイドライン雛形

以下のテキストをコピーし、Wordや社内のドキュメント管理システムに貼り付けてご活用ください。括弧([ ])の部分を自社の情報に書き換えるだけで完成します。

【生成AI利用ガイドライン】

第1条(目的)
本ガイドラインは、[自社名]における生成AIの安全かつ適切な利用を促進し、業務効率化を図るとともに、情報漏洩や権利侵害を防止することを目的とする。

第2条(適用範囲)
本ガイドラインは、当社のすべての役員、従業員、および業務委託先等、当社の業務に従事するすべての者に適用される。

第3条(利用可能なツール)
業務での利用が許可される生成AIは、情報システム部が承認した以下のツールのみとする。
・[承認ツール名1(例:ChatGPT Enterprise)]
未承認の無料AIツールの業務利用は原則として禁ずる。

第4条(禁止事項)
利用者は、以下の情報を生成AIのプロンプト(入力指示)に入力してはならない。
1. 個人情報(顧客、従業員などの識別可能な情報)
2. 営業秘密(未公開の財務情報、技術ノウハウ、パスワード、顧客リスト等)
3. その他、他社との秘密保持契約に基づき開示が制限されている情報

第5条(出力結果の確認および責任)
生成AIの出力結果には虚偽(ハルシネーション)や偏見が含まれる可能性がある。利用者は必ず内容の正確性を確認(ファクトチェック)し、他者の著作権を侵害していないことを検証した上で業務に使用すること。最終的な成果物の責任は利用者が負うものとする。

第6条(インシデント発生時の対応)
本ガイドラインに違反する事象、または情報漏洩の疑いを発見した場合は、速やかに[報告窓口:情報システム部等]に報告しなければならない。

このベースをもとに、自社の社風やセキュリティ基準に合わせて微調整を行ってください。

ルールを定めた後は、それをシステム的に監視し、統制する仕組みを整えるフェーズに入ります。

シャドーAI対策と安全運用を支えるSaaS管理

ガイドラインの策定後、実効性を担保するにはシステムによる利用状況の可視化と制御が欠かせません。ルールを定めただけでは、意図せず未許可のSaaS型AIツールを使ってしまう従業員を完全に防ぐことは難しいからです。

ホワイトリスト運用とアカウント管理の課題

情報システム部門としては、許可したAIツールのみを社内ネットワークで利用できるようにする「ホワイトリスト運用」の導入が求められます。しかし、数多く存在するSaaSの利用状況を手動で追跡し、誰がどのアカウントを使っているかをスプレッドシート等で管理するのは非現実的です。

Adminaを活用したガバナンス強化

ここで有効なのが、SaaS管理ツール「マネーフォワード Admina」の活用です。Adminaを導入することで、社内で誰がどのAIツールのアカウントを持っているかを一元的に可視化できます。

これにより、退職者のアカウント削除漏れを防ぎ、未承認のAIサービスにアクセスしているユーザーを検知する「アカウント管理」が自動化されます。規程の整備とシステムによる監視体制を両輪で回すことで、初めて強固なAIガバナンスが確立します。

最後に、社内ルールの運用にあたってよく寄せられる疑問にお答えします。

▲ SaaS管理ツール(Admina)を活用したシャドーAI対策とガバナンス強化のシステム構成

SaaS管理によるガバナンス強化の具体的な仕組みやメリットは、SMP(SaaS Management Platform)とは何かをまとめた記事で詳しく解説しています。

生成AI利用ガイドラインに関するよくある質問(FAQ)

Q:AI利用ガイドラインは全社員に適用すべきですか?

A:はい。正社員だけでなく、契約社員や業務委託先も含め、自社のネットワークやデータにアクセスするすべての関係者に適用することを強くお勧めします。

Q:生成AIガイドライン 雛形を利用する際の注意点は何ですか?

A:雛形はあくまでベースとなる文書です。自社の既存の情報セキュリティポリシーや就業規則と矛盾が生じないよう、必ず法務部門やコンプライアンス担当者によるレビューを通してください。

Q:ガイドライン策定後、違反者が出た場合はどう対処すべきですか?

A:意図的な悪用でない限り、まずは速やかな報告を促し、被害の拡大を防ぐ初動対応を優先します。その後、ルールの周知不足が原因であれば再教育を実施し、社内体制の改善を図ります。

まとめ

本記事では、企業における生成AIの安全な運用を支えるルールの作り方について、必須項目から実際のテンプレートまでを解説しました。技術の進化が早い分野であるため、一度作成した規程も定期的に見直す運用が求められます。

最後に、情シス担当者が実務で確実に動くためのチェックリストをまとめました。

  • ✅ 社内で利用されているAIツールの現状把握を完了した

  • ✅ 法人向けの安全なAIサービス(オプトアウト対応)を選定した

  • ✅ 提供した雛形をもとに自社用ルールの原案を作成した

  • ✅ 法務部門と連携して内容の法的レビューを実施した

  • ✅ Admina等のSaaS管理ツールでアカウント監視体制を構築した

情報システム部門が主導して適切なガードレールを敷くことで、企業はリスクを抑えながらAIの恩恵を最大限に享受できるようになります。

本記事の内容に誤り等がございましたら、こちらからご連絡ください。

監修

Admina Team

情シス業務に関するお役立ち情報をマネーフォワード Adminaが提供します。

SaaS・アカウント・デバイスの管理を自動化し、IT資産の可視化とセキュリティ統制を実現。

従業員の入退社対応や棚卸し作業の工数を削減し、情報システム部門の運用負荷を大幅に軽減します。

中小企業から大企業まで、情シス・管理部門・経営層のすべてに頼れるIT管理プラットフォームです。