社内AIガイドライン策定の最小構成──まず決めるべき3つのルール
日本企業の31.8%がAI活用方針を「明確に定めていない」(総務省 令和7年版白書)。数十ページのガバナンス文書は不要で、最低限3つのルールを決めれば社内AIガイドラインは始められる。条文テンプレートと策定手順を示す。
社内AIガイドラインは「3つのルールを1枚の文書にまとめる」だけで始められる。総務省の令和7年版情報通信白書によると、日本企業でAI活用方針を「明確に定めていない」のは31.8%で、米国(5.8%)・中国(4.2%)と比較して桁違いに高い。中小企業に限ると47.6%に達する。方針がないまま現場でAIツールが使われ続けると、機密情報の外部流出・著作権侵害・ハルシネーション(事実誤認)による業務事故のリスクが放置される。本記事では、数十ページの文書を作る前に「まずこの3つだけ決めろ」という最小構成を、コピー可能な条文テンプレート付きで示す。
- 日本企業の31.8%がAI活用方針を「明確に定めていない」──米国5.8%・中国4.2%と桁違い(総務省 令和7年版白書)
- 最小構成は「許可ツール」「入力禁止データ」「出力の検証義務」の3ルールだけ
- 経産省・総務省のAI事業者ガイドライン第1.2版(2026年3月)は「AI利用者」にもリスク管理を求めており、社内ルール不在は法的にも放置しにくくなっている
なぜ「最小構成」から始めるべきか
ガイドラインが存在しない企業で起きていることは単純だ。Leach社の「中小企業AI導入実態調査2026」によると、中小企業がAI導入に踏み切れない最大の障壁は「何から始めればいいか分からない」だった。
ガイドラインに関しても同じ構造がある。「情報セキュリティ」「知的財産」「個人情報保護」「倫理」「責任分担」──カバーすべき領域を並べるだけで圧倒される。結果として「いつか作る」のまま放置され、現場は自己判断でChatGPTに顧客データを貼り付ける。
経産省・総務省が2026年3月31日に公表した「AI事業者ガイドライン第1.2版」は、AI開発者・提供者だけでなく「AI利用者」(=AIツールを業務で使う企業)にも、リスクの特定・緩和を求めている。社内ルールが存在しない状態は、法的にも放置しにくくなりつつある。
だからこそ、最初のステップは「3つだけ決める」でいい。3つのルールが存在するだけで、「ルールがゼロ」の状態とは根本的に違う。
ルール1:許可ツールを指定する(ホワイトリスト方式)
何を決めるか
業務で使ってよいAIツールを具体名で列挙する。列挙されていないツールは業務利用禁止とする。
なぜ必要か
AI関連の調査を複数手がけるWorqlo社によると、企業従業員の40〜60%が未承認のAIツールを業務に使っている(いわゆる「シャドーAI」)。ツールごとにデータの取り扱いポリシーが異なるため、「どのツールなら入力データが学習に使われないか」を会社側が確認し、許可リストとして示す必要がある。
テンプレート条文
第○条(許可ツール)
1. 業務における生成AIの利用は、以下の許可ツールに限定する。
- ChatGPT Enterprise(OpenAI社、契約プランにより入力データの学習利用なし)
- Microsoft Copilot for Microsoft 365(テナント内データ処理)
- [自社で契約済みのツール名を追記]
2. 許可ツール以外の生成AIサービス(個人アカウントでの無料版を含む)を
業務データの処理に使用することを禁止する。
3. 許可ツールの追加・変更は、[情報システム部門/管理者名]が
データ取り扱いポリシーを確認した上で行う。
運用のポイント
- 無料版と有料版(Enterprise版)でデータの学習利用ポリシーが異なるツールが多い。契約プランを明記する
- 許可ツールは半年ごとに見直す。ツールのポリシー変更や新しいサービスの登場に対応するため
ルール2:入力してはいけないデータを定義する
何を決めるか
AIツールのプロンプト(入力欄)に貼り付けてはいけない情報のカテゴリを定義する。
なぜ必要か
EQUESのガイドライン解説記事によると、テンプレートで最低限カバーすべき禁止入力は「機密情報」「個人情報」「他者の著作物」の3カテゴリに集約される。
具体的にどんな入力が事故につながるか、同記事では以下の例が挙げられている:
- 個人情報の入力事故例: 名刺データ100件をAIに貼り付けて五十音順に並べ替えさせる → 個人情報が外部サーバーに送信される
- 未公開情報の入力事故例: 発表前の新規事業プレスリリース案をAIに書かせる → 未公開の事業戦略が外部に流出する
- 著作物の入力事故例: 有料ニュースサイトの記事全文をAIに貼り付けて要約させる → 著作権侵害のリスク
テンプレート条文
第○条(入力禁止データ)
1. 従業員は、許可ツールを利用する際、以下の情報をプロンプトに
含めてはならない。
(1) 機密情報:営業秘密、未公開の財務情報、秘密保持契約(NDA)の
対象となる情報、取引先から受領した非公開資料
(2) 個人情報:氏名、連絡先、住所、マイナンバー、その他
特定の個人を識別できる情報
(3) 他者の著作物:著作権者がAIへの入力を明示的に許可している
場合を除く
2. やむを得ず個人情報を扱う必要がある場合は、
匿名化または仮名化の処理を行った上で、
[管理者名/部門名]の事前承認を得ること。
運用のポイント
- 「機密情報」の定義が曖昧だと現場で判断できない。自社の情報分類基準(公開情報/社内共有情報/機密情報)がすでにあるなら、それをそのまま参照する
- 判断に迷ったら「入力しない」をデフォルトにする、と1行追記するだけで事故率は下がる
ルール3:AI出力の検証義務を設ける
何を決めるか
AIが生成した文章・数値・コードをそのまま業務に使うことを禁止し、人間による事実確認を義務づける。
なぜ必要か
生成AIの出力にはハルシネーション(事実と異なる情報の生成)が含まれる。EQUESの解説記事は「生成AIの出力には虚偽(ハルシネーション)が含まれる可能性があるため、必ず原典や一次情報に当たり、正確性を人間が確認すること」と記載している。
経産省・総務省のAI事業者ガイドライン第1.2版でも、AI利用者に対して「人間の適切な判断・介入(Human-in-the-Loop)」が求められている。AIに判断を丸投げするのではなく、人間が最終確認する仕組みを設けることが、法的なリスク管理の観点からも必要になっている。
テンプレート条文
第○条(出力の検証義務)
1. 生成AIの出力を業務に使用する場合、利用者は以下の検証を行うこと。
(1) 事実確認:数値、固有名詞、法令の引用、日付等の事実情報は、
一次情報源(公式サイト、原典、社内データベース等)で正確性を確認する
(2) 権利確認:AIが生成した文章・画像・コードが、
第三者の著作物と類似していないか確認する
(3) 適合確認:出力内容が自社のブランドガイドライン、
業界規制、取引先の要求事項に適合しているか確認する
2. 対外的に公開する文書(プレスリリース、契約書、広告、
SNS投稿等)にAI生成物を含む場合は、
公開前に[上長/管理者名]の承認を得ること。
3. AIの出力をそのままコピー&ペーストして納品物・提出物とすることを禁止する。
運用のポイント
- 検証の粒度は業務のリスクに応じて変える。社内メモの下書きと、顧客向け提案書では求められる検証レベルが異なる
- 「AI生成物を含む対外文書は上長承認」の1行を加えるだけで、事故の防波堤になる
3ルールを1枚にまとめたテンプレート全文
以下をコピーして自社名・ツール名・管理者名を埋めれば、最小構成のAIガイドラインが完成する。
[会社名] 生成AI利用ガイドライン(最小構成版)
制定日:[日付]
管理者:[部門名・担当者名]
■ 目的
本ガイドラインは、業務における生成AIの利用に関して、
情報セキュリティ・知的財産・出力品質の観点から
最低限遵守すべきルールを定めるものである。
■ 適用範囲
本ガイドラインは、[会社名]の全従業員(正社員、契約社員、
パート・アルバイト、派遣社員、業務委託先を含む)に適用する。
第1条(許可ツール)
業務における生成AIの利用は、以下のツールに限定する。
- [ツール名1]([契約プラン])
- [ツール名2]([契約プラン])
上記以外の生成AIサービスを業務データの処理に使用することを禁止する。
許可ツールの追加・変更は[管理者名]が行う。
第2条(入力禁止データ)
許可ツールのプロンプトに以下の情報を含めてはならない。
(1) 機密情報(営業秘密、未公開財務情報、NDA対象情報)
(2) 個人情報(氏名、連絡先、マイナンバー等)
(3) 他者の著作物(著作権者による許可がある場合を除く)
判断に迷う場合は入力しないことをデフォルトとし、
[管理者名]に相談すること。
第3条(出力の検証義務)
生成AIの出力を業務に使用する場合、以下を確認すること。
(1) 数値・固有名詞・法令引用は一次情報源で事実確認する
(2) 第三者の著作物との類似がないか確認する
(3) 対外公開文書にAI生成物を含む場合は[上長名]の承認を得る
AIの出力をそのまま納品物・提出物とすることを禁止する。
■ 改定
本ガイドラインは半年ごとに見直しを行い、
必要に応じて改定する。改定履歴は末尾に記録する。
改定履歴:
[日付] 初版制定
3つ決めたあと、次に加えるべき項目
最小構成で運用を始めたあと、次のステップとして加える候補は以下の4つだ。AIHRのAIポリシーテンプレート解説やHiBobのチェックリストで共通して挙げられている項目から抽出した。
| 優先度 | 項目 | 内容 |
|---|---|---|
| 高 | 教育・研修 | 許可ツールの使い方と禁止事項を全従業員に周知する仕組み |
| 高 | インシデント報告 | 機密情報を誤入力した場合の報告先と対応手順 |
| 中 | 利用ログの管理 | 誰がいつどのツールで何を生成したかの記録方針 |
| 中 | AI生成物の表示 | 対外文書にAI生成物が含まれる場合の開示ルール |
経産省・総務省のAI事業者ガイドライン第1.2版は、上記に加えて「AIエージェント利用時のHuman-in-the-Loop義務」「学習データのトレーサビリティ」についても記述しており、AIの活用範囲が広がるにつれてカバーすべき領域は増える。だが、最初の一歩は「3つだけ」で十分だ。
この記事を読んだ人が今日やること
- 上記テンプレートをコピーし、
[会社名]と[ツール名]を埋める - 情報システム担当者(いなければ経営者本人)が許可ツールのデータ取り扱いポリシーを確認する
- 全従業員にメールまたはチャットで共有し、「このルールで運用を始める」と宣言する
ガイドラインは完成度より存在が先だ。3ルールを紙にした時点で、方針ゼロの31.8%からは抜け出せる。
出典・但し書き
出典:
- 総務省 令和7年版 情報通信白書「企業におけるAI利用の現状」── 31.8%(AI活用方針を「明確に定めていない」日本企業の割合)、47.6%(中小企業の方針未策定率)の出典
- 経済産業省・総務省「AI事業者ガイドライン(第1.2版)」(2026年3月31日公表)── AI利用者の責務、Human-in-the-Loop要件の出典
- EQUES「生成AIガイドラインの作り方と事例11選・必須項目」── 禁止入力の具体例、条文テンプレートの参考元
- AIHR「AI Policy Template: What To Include and Why」── ポリシー構成要素の参考元
- HiBob「AI policy template & step-by-step checklist」── 次ステップ項目の参考元
- 株式会社Leach「中小企業AI導入実態調査2026」── 「何から始めればいいか分からない」の出典
但し書き:
- 本記事の情報は2026年6月20日時点のものである。AI関連の法規制・ガイドラインは改定頻度が高いため、策定時には各出典の最新版を確認されたい
- テンプレート条文は参考例であり、法的助言ではない。自社の業種・規模・取扱データの性質に応じたカスタマイズが必要であり、法務部門または外部の専門家への相談を推奨する
- 31.8%および47.6%は総務省白書の国際比較調査に基づく数値であり、調査対象・設問の定義(「明確に定めていない」の選択肢)によって他の調査と数値が異なる場合がある
- 本記事はAI導入の効果を保証するものではない
関連記事: 企業の88%がAI導入済み、だが成果を出せているのは6% / AI導入で失敗する企業に共通する5つのパターン
📎 出典・一次ソース
このニュースの解説動画も作っています
解説動画はYouTube、速報はX(旧Twitter)で毎日更新中。
コメント
まだコメントはありません。最初のコメントを書いてみませんか?
AIについて聞きたいことはありますか?
質問箱で無料で受け付けています。回答は公開され、他の方の参考にもなります。
質問箱を見る →
