この記事は、総論記事「AI導入支援とは何か」から一段深く、ルール文書そのものの作り方を扱います。総論では「利用ルールや入力してよい情報・いけない情報を明文化する」という論点を概観しました。本記事はそこから踏み込み、A4一枚に収まる実務的なルールの作り方に絞ります。権限の階層やアクセス制御といった技術的な設計には深入りせず、その範囲は別記事に譲ります。

分厚い規程から作らない

社内ルールと聞くと、何十ページもの「AI利用規程」を整える姿を思い浮かべるかもしれません。しかし、小さな会社が最初に作るべきは、その正反対の短いルールです。最初のルールは、三つで十分です。

  1. AIに入力してはいけない情報を決める

  2. 社外に公開する前に確認する人を決める

  3. 困ったときの相談先を決める

分厚い規程を最初から作ろうとすると、二つの問題が起こりがちです。一つは、作り上げるまでに時間がかかること。規程が完成するまでの間、現場はルールがないまま動くことになります。もう一つは、長いルールは読まれにくいこと。読まれないルールは、守られにくくなります。

A4一枚で収まる短いルールを作り、運用しながら必要に応じて項目を足していく。この進め方のほうが、結果として使われるルールに育つことがあります。なお、業界団体である一般社団法人日本ディープラーニング協会(JDLA)が、社内ルールの雛形にあたる「生成AIの利用ガイドライン」を公開しており、資料室ページから入手できます。ゼロから書き起こさず、こうした公開資料を下敷きにすれば、より早く自社版に着手できます。

ルールは、禁止リストを並べるためのものではありません。「ここまでは使ってよい」「ここから先は確認が必要」「ここは使わない」という境界を示すことで、社員が安心してAIを業務に使えるようにするためのものです。

まず決める3つのルール

1. AIに入力してはいけない情報を決める

「うちは小さい会社だから、個人情報保護法は関係ない」と考えるのは、適切ではありません。個人情報保護委員会が公表した「生成AIサービスの利用に関する注意喚起」(2023年6月2日)は、生成AIを使う事業者に向けた注意点を示しています。顧客名簿、従業員名簿、取引先リストなどを業務で扱っている事業者は、規模の大小を問わず、原則として個人情報取扱事業者に該当しうるとされています。

この注意喚起では、個人情報を取り扱う事業者が、生成AIサービスに個人情報を含む内容を入力し、それが回答の生成以外の目的(たとえば機械学習)に利用される場合には、当初の利用目的の範囲を超えた取り扱いとなり、個人情報保護法に違反するおそれがあると指摘されています。そのため、利用するサービスが入力した内容を機械学習などに利用しないかを、あらかじめ確認しておくことが大切です。

つまり、社員が顧客名簿をAIに入力する行為は、その社員個人だけの問題にとどまらず、会社としての法令遵守に関わる問題になりうるということです。だからこそ、個人の心がけに任せるのではなく、会社として入力してはいけない情報を明文化し、社内で共有しておくことが大切です。入力してはいけない情報は、たとえば次のように整理できます。

入力してよい(例)入力してはいけない(例)
・すでに公開されている自社情報
・一般的な業界知識や用語の説明
・個人や自社の機密を含まない一般的な相談		 ・顧客の氏名・住所・電話番号・メールアドレス
・従業員の個人情報・人事評価・給与情報
・取引先との秘密保持契約(NDA)で保護される情報
・未公開の財務情報、未公開の事業計画
・契約書の原本(取引先名や金額が記載されたもの)

なお、AIに入力してよいかどうかは、利用しているサービスの設定(入力内容を学習に使うかどうかなど)によっても変わります。実運用では、自社が使っているツールの仕様や設定をあわせて確認してください。

2. 社外に公開する前に確認する人を決める

二つ目は、AIが作った文書を社外に出す前に、誰が確認するかを決めることです。

AIは下書きやたたき台を速く作りますが、その内容の正しさや適切さまで保証するわけではありません。だからこそ、社外に出る文書には、公開の前に人が確認する工程を置くことが重要になります。「AI事業者ガイドライン(第1.2版)」(総務省・経済産業省、2026年3月31日公表)でも、大きな影響が生じ得る場面では人間の判断を介在させる仕組みを整えることが望ましいとされています。社外に出る文書は、こうした「大きな影響が生じ得る」場面にあたると考えられます。確認のルールを決めるときのポイントは、三つあります。

  • 確認する人を一人に特定する。「みんなで確認」は「誰も確認しない」につながりがちです。業務ごとに、最終確認の責任を持つ一人を決めます。
  • 確認の観点を明示する。「全体を見る」では曖昧になります。「日付・固有名詞・金額の正確性」「自社の基準との整合」「断定や約束をする表現がないか」など、何を見るかを書き出します。
  • 確認した記録を残す。メールでの承認、チャットでの了承、紙への押印など、形式は問いません。「誰が確認したか」が後から分かる状態にしておきます。

こうした確認のルールを決めておくだけで、「AIが作った文書を、そのまま送ってしまった」という事故は起こりにくくなります。

3. 困ったときの相談先を決める

三つ目は、判断に迷ったときに、誰に相談すればよいかを決めておくことです。「この情報は入力してよいのか」「この文書は社外に出してよいのか」と迷う場面は、運用を始めると必ず出てきます。そのときに相談先が決まっていないと、社員は判断を抱え込むか、自己流で進めてしまいます。社内の担当者、または外部の専門家など、相談できる窓口をあらかじめ決めておくことで、迷いを一人で抱え込まずに済みます。

A4一枚の最小テンプレート

ここまでの3つを、そのまま記入できる形にまとめます。以下を埋めるだけで、最初の社内ルールが形になります。

─────────────────────────────────────────
 社内AI利用ルール(最小版)

① AIに入力してはいけない情報
 ・(例)顧客の個人情報(氏名・住所・連絡先)
 ・(例)従業員の人事・給与情報
 ・(例)NDAで保護される情報、未公開の財務・事業情報
 ・(例)契約書の原本(取引先名・金額の記載があるもの)
 ・自社の追記:________________

② 社外に公開する前に確認する人
 ・確認する人(業務ごとに一人):______
 ・確認する観点:日付・固有名詞・金額/自社基準との整合/断定・約束表現の有無
 ・確認の記録方法:______________

③ 困ったときの相談先
 ・社内の相談先:______________
 ・外部の相談先(必要に応じて):______

④ 制定日・見直し日
 ・制定日:____年__月__日
 ・次回見直し日:____年__月__日(例:半年後)
─────────────────────────────────────────

このA4一枚を起点に、運用しながら必要な項目を足していきます。最初から完璧を目指す必要はありません。④の見直し日を入れておくことで、ルールを「作って終わり」にせず、実態に合わせて更新する習慣がつきます。

士業・不動産・金融周辺の業務では境界を強める

業種によっては、上の三つに加えて、ルールの境界をより強く引いておく必要があります。資格や登録が必要な判断・業務に関わる場合です。

法令上、資格や登録が必要な判断・業務は、内容に応じた有資格者や登録のある業者へ確認してください。AIは、こうした専門的な判断の代替にはなりません。 AIで下準備をすることはあっても、助言や確認を受けた後の最終的な意思決定の主体は、案件に応じて自社または本人に残ります。たとえば、次のような線引きが考えられます。

業種AIで補助できること有資格者・登録業者へ確認すること
士業
(弁護士・税理士・社会保険労務士・行政書士など)		 説明文の下書き、相談前のヒアリング項目の整理、関連資料の整理など 法務・税務・行政手続きにかかわる判断は、資格・登録が必要な業務に該当しうるため、内容に応じた有資格者へ確認してください
不動産業 物件紹介文の下書きや資料の整理など 重要事項説明や契約・価格にかかわる事項は、資格・登録が必要な業務に該当しうるため、宅地建物取引士などの有資格者へ確認してください
金融周辺の業務 一般的な経済データの整理や社内資料の下書きなど 投資判断・金融商品の選定などは、AIの補助の範囲を超えます。資格・登録が必要な業務に該当するかどうかといった法的な評価そのものは、社内の判断で決めつけず、内容に応じた専門家・登録業者へ確認してください

これらに共通する原則は、「AIは下準備の補助にとどめ、資格・登録が必要な判断は有資格者・登録業者へ確認する」です。この一文を社内ルールに加え、社員全員に共有しておくと、境界が曖昧になりにくくなります。

まとめ:ルールは「安心して使える範囲」を示すため

社内のAI利用ルールは、社員を縛るためでも、AIの利用を禁止するためでもありません。「ここまでは安心して使える」という範囲を示すために作るものです。

まずはA4一枚に、3つ──入力してはいけない情報、社外公開前に確認する人、困ったときの相談先──を書き出す。そして制定日と見直し日を入れて、運用しながら育てていく。分厚い規程を構えるより、短いルールを早く回すほうが、現場で使われるルールになりやすいといえます。

引用元・参考文献