生成AIの社内導入は何から始めるべきか 源内に学ぶ共通基盤と業務用AIの分け方
生成AIの社内導入は、最初の順番をそろえるだけで現場の迷いが減ります。
共通基盤と業務用AIを分けると、ツール選びも安全ルールも決めやすくなります。
生成AIの社内導入で最初に決めるべきことは、どのAIツールを買うかではありません。
全社員が安全に使うための共通基盤を先に作り、その上に業務用AIを載せることです。
ここでいう共通基盤は、サーバーや大きなシステムだけを指しません。
利用を認めるサービス、入力禁止データ、アカウント管理、権限、ログ、教育、出力確認まで含めた、社内の使い方の土台です。
要点生成AIの社内導入は共通基盤から始める
個人任せの利用を先に広げると、あとから入力データ、権限、退職時停止、出力確認を直す範囲が広がります。最初の順番は、共通基盤、小さな業務用AI、拡大判断です。
生成AIの社内導入は「何から」を共通基盤で決める
生成AIの社内導入で迷いやすいのは、「ChatGPTを配る」「Microsoft 365 Copilotを入れる」「FAQボットを作る」といった選択肢が、同じ棚に並んで見えることです。
ただし、これらは同じ粒度ではありません。
共通基盤は全員の道路で、業務用AIはその道路を走る業務車両のようなものです。道路がないまま車両だけ増やすと、部署ごとにルールが違い、事故が起きた時の止め方も分からなくなります。
総務省・経済産業省のAI事業者ガイドライン第1.2版は、AIの開発者、提供者、利用者の役割を分け、リスクに応じて対策を考える姿勢を示しています。
会社内でも同じで、管理する人、使う部署、最終確認する人を分けておく必要があります。
出典: 総務省・経済産業省「AI事業者ガイドライン 第1.2版」PDF
メモ最初の問いはツール名ではない
最初に決める問いは「どのAIがよいか」ではなく、誰が、どの情報を、どこまでAIに渡してよいかです。ツール選定は、その後に置くと迷いにくくなります。
源内型の万能担当に頼らず生成AIの社内導入を分ける
社内にAIに詳しい人が1人いると、判断がその人に集まりがちです。
ここでは、その状態を源内型と呼びます。万能な発明家のような人や、万能AIへの過度な期待を指す比喩と考えてください。
しかし、生成AIの社内導入を1人の詳しい担当者に寄せると、ルール変更、問い合わせ、事故対応、教育が一気に属人化します。
詳しい人がいることは強みですが、仕組みの代わりにはなりません。
共通基盤
業務用AI
大企業の例ですが、日立はグループ全社の生成AI共通基盤を整備し、機密度の高い情報を扱う推論環境やファインチューニング環境を段階的に作っています。
中小企業が同じ規模を真似る必要はありませんが、共通基盤と業務特化を分ける発想はそのまま使えます。
出典: 日立デジタル「日立グループ全社の生成AI活用を加速する生成AI共通基盤」
まず会社全体の使い方をそろえ、その後に部署ごとの業務AIを増やします。
この順番なら、作ったAIが増えても、止め方と見直し方を同じ基準で扱えるためです。

生成AIの社内導入で最初に決める共通ルール
生成AIの社内導入の共通ルールは、分厚い規程から始めなくても構いません。
最初は、入力してよい情報、出力を使ってよい場面、承認が必要な操作の3つを決めるだけでも、現場の迷いはかなり減ります。
- 入力禁止データを決める。顧客情報、契約情報、未公開の人事情報、認証情報を入れない
- 外部公開前の確認者を決める。広告、提案書、契約、医療・法務・会計の判断は人が見る
- 自動実行の範囲を決める。送信、削除、支払い、顧客対応の確定は承認を挟む
この3分類は、生成AIを社員が勝手に使う前に決める利用ルールの最低ラインや、生成AIの社内ルールを禁止業務から決める考え方ともつながります。
禁止ツール名を並べるより、禁止業務と承認条件で書いた方が、現場が判断しやすくなります。
OpenAIは法人向けのプライバシー説明で、ChatGPT Business、ChatGPT Enterprise、APIなどのビジネスデータをデフォルトでは学習に使わず、組織内のアクセス制御やSSOを提供すると説明しています。
だからこそ、個人アカウントの寄せ集めではなく、会社が管理できる形へ寄せる判断が重要になります。
出典: OpenAI「Enterprise privacy at OpenAI」(英語)
注意学習オフだけで安心しない
学習に使われるかは大事ですが、それだけでは不十分です。履歴、管理者の閲覧範囲、連携アプリ、退職時の停止まで見ないと、社内データの管理は完結しません。
社内AI基盤の作り方は権限・ログ・教育から始める
社内AI基盤の作り方で最初に見るべきなのは、AIそのものより既存データの権限です。
AIは新しい問題を起こすだけでなく、すでに広がりすぎている共有権限を見える化することがあります。
Microsoft 365 Copilotは、Microsoft Graph上のメール、チャット、文書など、ユーザーがアクセス権を持つ情報を使って回答を作ると説明されています。
同じページでは、プロンプト、応答、Graph経由でアクセスしたデータは基盤LLMの学習に使われないとも説明されていますが、ユーザーが見られる情報はAIも参照し得る点が実務上の焦点です。
出典: Microsoft Learn「Data, Privacy, and Security for Microsoft 365 Copilot」(英語)
社内AI基盤で最初に整える3領域
| 領域 | 最初に見るもの | 確認ポイント |
|---|---|---|
| 権限 | 共有フォルダ | 見せすぎを減らす |
| ログ | 利用履歴 | 危険入力を見つける |
| 教育 | 確認責任 | AIの出力を鵜呑みにしない |
権限棚卸しは、AIツールの権限棚卸しを退職時停止まで漏らさない台帳で見る考え方と相性がよい作業です。
社内データの扱いは、生成AIを社内データに学習させない設定と権限管理も併せて見ると、学習利用、接続、権限、停止を分けて整理できます。
実務社員研修で必ず入れること
うまいプロンプトより先に、入力してはいけない情報、外部公開前の確認、ハルシネーションの裏取りを教えます。使い方研修だけでは、事故防止には足りません。
業務用AIは共通基盤の上に小さく載せる
業務用AIは、共通基盤を作ってから小さく始める方が失敗しにくくなります。
最初に向くのは、議事録、社内FAQ、問い合わせ分類、提案書下書き、社内文書検索のように、成果と誤りを見つけやすい業務です。
社内文書を検索するAIでは、RAGや検索拡張生成という言葉が出てきます。
ただし、専門用語から始めるより、まずは「どの文書を見せるか」「回答の根拠をどこに戻すか」「誰が誤回答を直すか」を決める方が実務に近いです。
社内文書検索を考える場合は、社内文書をAIで横断検索する仕組みの作り方も参考になります。
ただし、文書検索AIを作る前に、文書名、保存場所、閲覧権限、更新責任者がそろっていなければ、AIは古い資料や見せてはいけない資料を拾いやすくなります。
判断業務用AIに向く仕事
繰り返しが多い、正解を人が確認できる、扱う情報の範囲を絞れる。この3つがそろう業務から始めると、生成AIの社内導入は検証しやすくなります。
NISTのAIリスクマネジメントフレームワークは、AIリスクをよりよく管理するための任意フレームワークとして公開され、生成AI向けプロファイルも示されています。
小さな業務用AIでも、リスクを見つけ、測り、管理し、見直すという流れは同じです。
出典: NIST「AI Risk Management Framework」(英語)
生成AIの社内導入で失敗しやすいパターン
生成AIの社内導入で失敗しやすいのは、技術不足だけではありません。
むしろ、便利そうだから先に配る、詳しい人に任せる、使われない理由を社員の意識だけにするといった進め方の方が、あとから直しにくくなります。
警告配布で終わらせない
AIツールを全社員に配るだけでは、使う人だけが使い、使わない人は使わない状態になりがちです。業務、データ、成果の見方を決めないまま配ると、定着も管理も曖昧になります。
全社配布で止まる問題は、生成AIを全社に配っても使われない理由でも扱っています。
社員の意識だけを見るのではなく、何の業務で使うか、どの情報を入れてよいか、成果をどう測るかを決める必要があります。
- 個人アカウントで業務利用が広がっている
- 共有フォルダの閲覧権限が広すぎる
- AIの出力確認を誰がするか決まっていない
- ログの見方が監視目的に見えてしまう
ツール選定に入る前の比較軸は、ChatGPT・Copilot・Claudeを業務別に使い分ける基準にもつながります。
どれか1つに統一するより、どのデータを見せるか、どの業務で使うかを先に分ける方が実務的です。
30日で始める生成AIの社内導入手順
生成AIの社内導入は、最初から全社展開を完成させる必要はありません。
30日でやるなら、現状把握、共通ルール、3業務の試行、月次レビューに分けると、動き出しやすくなります。
30日ロードマップ
| 期間 | やること | 成果物 |
|---|---|---|
| 1週目 | 現状把握 | 利用中AI一覧 |
| 2週目 | 共通ルール | 禁止データ表 |
| 3週目 | 小さく試す | 3業務の記録 |
| 4週目 | 見直す | 継続判断表 |
1週目は、社員がすでに使っているAIツールを棚卸しします。
個人アカウント、部署契約、APIキー、ブラウザ拡張、連携アプリを1枚に集めるだけでも、見えていなかった利用が出てきます。
2週目は、入力禁止データと承認条件を決めます。
ここで完璧な規程を作るより、今日から社員が迷わない最低ラインを優先してください。曖昧なまま配布しないことが、最初の事故防止になります。
3週目は、議事録、社内FAQ、提案書下書きなど、3つの業務だけで試します。
4週目は、利用ログ、成果物、危険な入力、社員のつまずきを見て、広げる業務と止める業務を分けます。
結論生成AIの社内導入は基盤と業務を分ける
何から始めるかで迷ったら、共通基盤を先に決めます。業務用AIはその後でよく、最初の30日は小さな業務で成果とリスクを見れば十分です。
FAQ
Q生成AIの社内導入は何から始めるべきですか?
A生成AIの社内導入は、ツール選定より先に共通基盤から始めます。利用サービス、入力禁止データ、権限、ログ、教育、出力確認を決めると、部署ごとの使い方がばらつきにくくなります。
Q共通基盤と業務用AIはどちらを先に作るべきですか?
A多くの会社では共通基盤が先です。共通ルール、アカウント、権限、ログ、教育がないまま業務用AIを作ると、あとから管理し直す範囲が広がります。
QMicrosoft 365 CopilotやChatGPT Businessを入れれば十分ですか?
A十分とは言い切れません。法人向けAIサービスは入口になりますが、既存ファイルの共有権限、入力禁止データ、出力確認、部署別ルールは会社側で決める必要があります。
Q中小企業でも社内AI基盤は必要ですか?
A中小企業でも最低限の社内AI基盤は必要です。大きな専用システムではなく、利用ルール、管理者、禁止データ、アカウント管理、ログ確認を小さくそろえることから始めます。
Q業務用AIはどの仕事から試すべきですか?
A業務用AIは、議事録、社内FAQ、問い合わせ分類、提案書下書き、社内文書検索など、成果と誤りを確認しやすい仕事から試すのが現実的です。
Q生成AIの社内導入で一番避けたい失敗は何ですか?
A一番避けたい失敗は、個人任せで始めることです。便利な社員だけが使い、機密情報の入力、権限過多、出力の誤利用、ノウハウの属人化が起きやすくなります。