生成AIを社員が勝手に使う前に中小企業が決める利用ルールの最低ライン
社員が安心して生成AIを使える範囲を先に決めておくと、情報漏えいの不安はかなり減らせます。
禁止だけで止める前に、今日決める最低ラインを見てみませんか?
生成AIの利用ルールを中小企業で決める時、最初から分厚い規程を作る必要はありません。まず必要なのは、社員が業務情報をどのAIに入れてよいかを会社として線引きすることです。
現場では、議事録の要約、メール文面、提案書の下書き、調べ物などに生成AIを使いたくなる場面が自然に出てきます。便利だからこそ、
会社が何も決めていないと、社員は個人契約のAIや見つけたばかりのサービスを自己判断で使い始めがちです。
問題は、AIを使うこと自体ではなく、会社が把握しないまま顧客情報や未公開資料が外部サービスへ入力されることです。この記事では、生成AIを止めるためではなく、社員が安全に使えるようにするための最低ラインを整理します。
ルールは「禁止」ではなく、社員が安全に使える範囲を決める安全柵。
使ってよいAI・入力禁止情報・出力確認・事故報告・見直し担当を、まずA4一枚に。完璧な規程より、迷いを減らす最低ラインから始める。
生成AIの社内利用ルールは「禁止」ではなく使える範囲を決めるもの
生成AI利用ルールは、社員を縛るための文書ではありません。使ってよいAI、入力してよい情報、出力を確認する人を決めるための業務ルールです。
総務省・経済産業省のAI事業者ガイドライン第1.2版では、事業活動でAIシステムやAIサービスを利用する事業者をAI利用者として扱っています。中小企業も、
業務で生成AIを使うなら、適正利用や個人情報・機密情報の不適切入力を避ける設計が必要です。
出典: 総務省・経済産業省「AI事業者ガイドライン第1.2版」
要点最初の目的は「禁止」ではなく「迷いを減らす」こと
社員が毎回判断に迷う状態を減らし、使ってよい場面と人が確認する場面を分ける考え方です。全面禁止よりも、守れる範囲を先に示すほうが現場では動きやすくなります。
公式ガイドラインを中小企業向けに読み替える考え方は、AI事業者ガイドライン改定で中小企業がまず対応すべきことでも整理しています。今回の記事は、より手前の「社員が勝手に使う前の線引き」に絞った内容です。
シャドーAIは社員の問題ではなく会社の線引き不足で起きる
シャドーAIは、会社が正式に許可・把握していない生成AIを、社員が業務に使っている状態です。社員が悪意を持っているとは限らず、単に会社が使ってよい範囲を示していないだけのこともあります。
この状態を放置すると、
会社が知らないところで顧客情報や未公開資料が外部サービスに入力される可能性が高まります。あとから「それは入れてはいけない情報だった」と気づいても、入力履歴や保存先を追えないことも少なくありません。

| 放置しやすい場面 | 起きるリスク | 先に決めること |
|---|---|---|
| 個人AIで要約 | 会議録の外部入力 | 使えるAIを指定 |
| 提案書の下書き | 顧客情報の混入 | 入力禁止を明示 |
| 社外メール作成 | 誤情報の送信 | 確認者を決める |
社内で複数のAIを使い分けるなら、まず業務別に見せてよいデータを分ける必要があります。ChatGPT・Copilot・Claudeを業務別にどう使い分けるかの考え方も、利用ルールづくりの土台です。
中小企業が最初に決める6つの最低ライン
最初から完璧な社内規程を作ろうとすると止まります。まずはA4一枚でも運用できる6項目に絞るほうが現実的です。
| 項目 | 決める内容 | 現場への言い方 |
|---|---|---|
| 利用可能AI | 会社が確認したツール | 業務利用はこのAIだけ |
| 入力禁止 | 顧客名・契約書など | この情報は入れない |
| 出力確認 | 社外提出前の確認者 | AI文面は人が見る |
| 社外利用 | 広告・提案・採用文 | 公開前に確認する |
| 事故報告 | 報告先と初動 | 迷ったらすぐ共有 |
| 見直し | 担当者と更新条件 | 変わったら直す |
個人情報保護委員会は、生成AIサービスに個人情報を含むプロンプトを入力する場合、利用目的の範囲やサービス側の扱いを確認する必要があると注意喚起しています。
顧客名、問い合わせ内容、契約情報を入力する前に止まれるルールが必要です。

出典: 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等」
注意「機密情報は入れない」だけでは伝わりにくい
現場では、何が機密かを毎回判断できるとは限りません。顧客名、見積書、契約書、未公開資料、ID・パスワードのように、自社の業務で使う言葉に落として伝えます。
入力禁止情報と出力確認を業務例に落とす
生成AIのルールで一番危ないのは、抽象的な言葉だけで終わることです。「個人情報に注意」ではなく、どの資料を入れてはいけないか、どの文章は人が確認するかを業務ごとに書きます。

- 入力しない情報: 顧客名、個人情報、契約書、見積書、未公開資料、社内会議録、ID・パスワード
- そのまま使わない出力: 顧客向けメール、提案書、広告文、採用文面、契約や法務に近い文章
- 確認者を置く業務: Web公開、社外提出、個人情報を含む判断、権利関係が絡む画像や文章
AIの出力が自然な文章に見えても、事実や権利関係まで正しいとは限りません。社外に出る文章は、担当者が事実を確認し、必要に応じて上長や専門担当が見る流れにします。
社内データをAIへ見せる範囲は、ツール選定ともつながる部分です。生成AIを社内データに学習させない設定や、ChatGPT接続アプリ権限の見直しもあわせて確認すると、ルールと設定を分けて考えやすくなります。
事故時の報告先と見直し担当を決める
生成AIの利用ルールは、作った瞬間よりも事故やヒヤリハットが起きた時に機能するかが重要です。誤って顧客情報を入力した、AI文面をそのまま公開して誤情報が出た、といった時の報告先を先に決めます。
デジタル庁のDS-920第2.0版は行政向け文書ですが、生成AIの利活用促進とリスク管理を表裏一体で進める考え方を示しています。中小企業でも、
リスクケースへの対応手順やナレッジ集約、見直しの考え方は参考になる部分です。
出典: デジタル庁「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン第2.0版」
運用報告先は「責める窓口」ではなく「止血する窓口」
入力ミスや誤公開を隠されると、対応が遅れかねません。初期ルールでは、誰へ、何を、どのタイミングで報告するかを短く書き、再発防止につなげる流れを優先します。
ルールは固定文書ではありません。新しいAIツールを導入した時、事故やヒヤリハットがあった時、公式ガイドラインや利用規約が変わった時に見直します。点検項目は、生成AI利用ルール診断のように、入力禁止、記憶、履歴、出力確認に分けると確認しやすい形です。
まず1ページの利用ルールから始める
人工知能戦略本部のAI指針では、AIガバナンスに経営層の関与、モニタリング、評価、教育・研修、継続改善が含まれる考え方が示されています。中小企業では、
これを大きな体制図にするより、まず守れる1ページのルールに落とすほうが進めやすいです。
出典: 人工知能戦略本部「人工知能関連技術の研究開発及び活用の適正性確保に関する指針」
最初の1ページには、次の順番で書けば足ります。使えるAI、入力禁止、出力確認、事故時報告、見直し担当を並べ、社員が迷った時に読める場所へ置くことが大切です。
- 1行目: 業務で使ってよいAIツール
- 2行目: 入力してはいけない情報の具体例
- 3行目: 社外に出す前の確認者
- 4行目: 誤入力や誤公開時の報告先
- 5行目: 見直し担当と見直すきっかけ
社員への周知は、禁止事項の読み合わせだけでは続きません。実際のメール、議事録、提案書を例にして、これは入れてよい、これは人が確認すると練習するほうが定着しやすい形です。社内展開の考え方は、生成AI研修の作り方も参考になります。
結論生成AIルールは、便利さを残すための安全柵
最初から完璧にしなくても、社員が迷う場面を減らす最低ラインがあれば、勝手利用は見えやすくなります。禁止だけで止めるより、会社として使える範囲を示すことから始めてください。
FAQ
Q中小企業でも生成AIの利用ルールは必要ですか?
A必要です。大きな規程でなくても、使ってよいAI、入力禁止情報、出力確認、事故時の報告先は先に決めておくべきです。
Q社員が個人契約の生成AIを使うのは禁止すべきですか?
A全面禁止と決めつけるより、業務情報を入れてよいか、社外提出物に使ってよいかを会社として示すほうが現実的です。
Q入力禁止情報は何を書けばよいですか?
A顧客名、個人情報、契約書、見積書、未公開資料、ID・パスワード、社内会議録など、自社で漏れると困る情報を具体例で示します。
QAIの出力はどこまで人が確認すべきですか?
A社内メモの下書きなら軽い確認で足りる場合があります。ただし顧客向け文書、広告、Web公開、契約・採用・法務に近い内容は人の確認を必須にします。
Q生成AI利用ルールは誰が管理すべきですか?
A情報システム担当だけに任せず、経営者、管理部門、現場責任者が関与し、見直し担当を明確にするのが現実的です。