生成AI 社内ガイドラインの作り方──テンプレート付き【2026年】

企業が生成AIの社内利用ルールを策定するための手順・テンプレートを整理。経産省・総務省「AI事業者ガイドライン第1.2版」を踏まえ、利用範囲・禁止事項・情報セキュリティ・著作権対応の具体的な項目を解説する。

3行まとめ

経産省・総務省は2026年3月に「AI事業者ガイドライン第1.2版」を公表。AIエージェントのHuman-in-the-Loop義務化が追加された

社内ガイドラインは「禁止」ではなく「安全に活用する」ための文書。利用範囲・禁止事項・セキュリティ・著作権の4軸が柱になる

生成AI技術の変化が速いため、最低でも半年に1回の見直しサイクルを組み込むことが重要

なぜ社内ガイドラインが必要なのか

生成AIの業務利用が広がるなかで、ルールを定めずに利用を放置すると、以下のリスクが発生する。

情報漏洩：機密情報や個人情報をAIサービスに入力し、学習データに取り込まれる
著作権侵害：AIの出力物をそのまま公開し、第三者の著作物と類似したコンテンツが生まれる
品質問題：AIの出力（ハルシネーション含む）を検証せずに業務に使い、誤情報が社外に出る
コンプライアンス違反：業界固有の規制（金融庁ガイドライン、医療広告規制等）に抵触する

ガイドラインの目的は「AIの利用を禁止する」ことではなく、**「安全に活用するための基準を共有する」**ことだ（リコー）。禁止一辺倒では業務効率化の機会を失い、野放しでは事故が起きる。その間のバランスを文書化するのがガイドラインの役割になる。

政府ガイドラインの現状（2026年6月時点）

社内ガイドラインを策定する際、政府が公表しているガイドラインを参照枠として使うことが推奨される。

AI事業者ガイドライン（第1.2版）

総務省・経済産業省は2026年3月31日に「AI事業者ガイドライン（第1.2版）」を公表した（経産省）。これは2024年4月の初版（第1.0版）から数えて2度目の改定にあたる。

同ガイドラインの特徴は以下の通り。

項目	内容
対象	AIの開発者・提供者・利用者の3主体
基本構造	10の共通指針＋主体別の責務
アプローチ	リスクベース（リスクの大きさに応じて対策の程度を変える）
第1.2版の変更点	AIエージェントのHuman-in-the-Loop（HITL）義務化、EU AI Act GPAI Code of Practiceとの整合確認、データトレーサビリティの確保
法的拘束力	なし（ソフトロー＝自主的に検討すべき望ましい行動の考え方）

（PwC Japan、経産省公表資料をもとに作成）

法的拘束力はないが、事故発生時に「業界標準の注意義務を果たしていたか」を判断する際の参照基準になり得る。自社のガイドラインを策定する際は、この10原則との整合性を確認しておくことが望ましい。

その他の参照すべき文書

個人情報保護法：顧客情報・従業員情報をAIに入力する場合、個人情報の第三者提供に該当し得る
不正競争防止法：営業秘密をAIサービスに入力した場合、秘密管理性が失われるリスクがある
著作権法：AI生成物の著作権の帰属、学習データの利用に関する法的論点がある
景品表示法（ステマ規制）：AIで生成したレビューや広告文を「人間が書いたもの」として出すと、不当表示に該当し得る

著作権とAIの法的論点については関連記事：AI画像の著作権を整理するも参照。

ガイドライン策定の5ステップ

ステップ1：策定チームの編成

情報システム部門だけで作ると現場の実態と乖離する。以下の部門から横断チームを編成することが推奨されている（NTT東日本、レバテックLAB）。

部門	役割
情報システム	セキュリティ要件、ツール選定、技術的制約の整理
法務	著作権・個人情報保護・契約上の制約の確認
人事・総務	就業規則との整合、研修計画の策定
事業部門（営業・マーケ等）	現場のユースケース、実務上の必要性の把握
経営層	方針決定、リスク許容度の判断

ステップ2：現状把握

ガイドラインを作る前に、社内でのAI利用実態を把握する。

どの部門が、どのAIツールを、どのような業務に使っているか
過去にAI利用に関連するインシデント（情報漏洩、誤情報の公開等）が発生していないか
既存の情報セキュリティポリシーや就業規則にAI関連の記載があるか

ステップ3：ガイドラインの起草

後述のテンプレートをベースに、自社の業種・規模・リスク許容度に応じてカスタマイズする。

ステップ4：関係部門のレビューと承認

法務・情報システム・経営層の承認を得る。特に法務レビューは省略しない。著作権や個人情報保護に関する判断は、法務の専門知識がないと誤ったルールを設定するリスクがある。

ステップ5：周知と定期見直し

策定しただけでは機能しない。全社への研修・説明会の実施と、定期的な見直しサイクルの設定が必要だ。生成AI技術の進化と法規制の変化が速いため、最低でも半年に1回の見直しが推奨されている（AI Brain Partners、Uravation）。

テンプレート：社内ガイドラインの構成例

以下は、複数のガイドライン策定ガイド（レバテックLAB、Money Forward Admina、リコー、Uravation）の共通項をまとめた構成例だ。自社の状況に合わせて項目を追加・削除して使う。

第1章：目的と適用範囲

■ 目的
本ガイドラインは、生成AIの安全かつ効果的な業務活用を推進するために、
利用上のルールを定めるものである。

■ 適用範囲
・対象者：全従業員（正社員、契約社員、派遣社員、業務委託先を含む）
・対象ツール：ChatGPT、Claude、Gemini、Copilot、その他会社が
  承認した生成AIサービス
・適用業務：社内業務全般

第2章：利用が認められるAIツール

承認済みのツールを明示する。「許可リスト方式」（記載されたツールのみ利用可能）が管理しやすい。

■ 承認済みツール（2026年○月時点）
1. ChatGPT（Team/Enterprise プラン）
2. Claude（Pro/Team プラン）
3. Microsoft Copilot（Microsoft 365経由）
4. [自社導入のツール名]

■ 未承認ツールの利用
上記以外の生成AIサービスを業務で使用する場合は、
情報システム部に事前申請し、承認を得ること。

第3章：入力してはいけない情報（禁止事項）

これがガイドラインの核心部分になる。以下の情報は生成AIサービスに入力してはならない（レバテックLAB、Money Forward Admina）。

カテゴリ	具体例
個人情報	顧客の氏名・住所・電話番号・メールアドレス、従業員の人事情報
営業秘密	未公開の財務情報、技術ノウハウ、事業計画、顧客リスト
第三者の秘密情報	NDA（秘密保持契約）で保護された取引先の情報
認証情報	パスワード、APIキー、アクセストークン
著作物の大量複製	第三者が著作権を持つ文章・画像・コードの大量入力

第4章：生成物の取り扱い

■ 事実確認の義務
生成AIの出力には誤情報（ハルシネーション）が含まれる可能性がある。
出力内容を業務に使用する前に、必ず事実確認を行うこと。
特に数値・法令・人名・日付は一次情報源で裏取りすること。

■ 著作権に関する注意
・生成物が第三者の著作物と類似していないか確認すること
・AIが生成したコードをプロダクトに組み込む場合は、
  ライセンス互換性を確認すること
・AI生成物に著作権が発生しない可能性があることを認識すること

■ 社外公開時のルール
・生成AIで作成した文章・画像を社外に公開する場合は、
  上長の承認を得ること
・必要に応じてAI利用の旨を開示すること

第5章：情報セキュリティ

■ データ学習の制御
・業務データがAIの学習に使用されない設定（オプトアウト）を
  確認・適用すること
・API経由での利用など、データが学習に使用されない契約形態を優先すること

■ 通信とアクセス管理
・暗号化通信（HTTPS）を使用するサービスのみを利用対象とする
・共有アカウントの使用を禁止し、個人アカウントで利用すること
・会話履歴に機密情報が残らないよう、定期的に削除すること

情報セキュリティとAIのリスクについては関連記事：AIセキュリティリスクとプロンプトインジェクション対策も参照。

第6章：AIエージェントの利用ルール

AI事業者ガイドライン第1.2版でHITL（Human-in-the-Loop）が強調されたことを受け、AIエージェント（自律的にタスクを実行するAI）に関するルールを設けることが望ましい（PwC Japan）。

■ AIエージェントの利用条件
・外部アクションを伴うAIエージェント（メール送信、データ更新、
  API呼び出し等）を利用する場合は、人間による承認ステップを
  必ず設けること（Human-in-the-Loop）
・AIエージェントが実行した操作のログを保存し、
  事後検証可能な状態を維持すること

■ 禁止されるエージェント利用
・人事評価の最終判断をAIエージェントに委任すること
・顧客への最終回答をAIエージェントが人間の確認なく送信すること
・金融取引の最終決定をAIエージェントに委任すること

第7章：教育と研修

■ 全従業員向け研修
・ガイドラインの内容説明（年1回以上）
・生成AIの基本的なリスク（ハルシネーション、情報漏洩、著作権）の理解

■ 管理職向け研修
・部下のAI利用を監督するための知識
・インシデント発生時の報告・対応フロー

第8章：インシデント対応

■ 報告義務
以下の事象が発生した場合、速やかに情報システム部および法務部に報告すること。
・機密情報または個人情報をAIに入力してしまった場合
・AI生成物が第三者の著作権を侵害している可能性が発覚した場合
・AI生成物に含まれる誤情報が社外に公開された場合

■ 対応フロー
1. 当該AIサービスの利用を一時停止
2. 情報システム部に報告（24時間以内）
3. 影響範囲の調査
4. 必要に応じて個人情報保護委員会・取引先への通知

第9章：見直しと改定

■ 定期見直し
・本ガイドラインは最低半年に1回、見直しを実施する
・新しい生成AIサービスの導入時、関連法令の改正時は臨時で見直す

■ 改定履歴
| 版 | 改定日 | 改定内容 | 承認者 |
|----|--------|---------|--------|
| 1.0 | 20XX年XX月XX日 | 初版策定 | ○○ |

ガイドライン策定時のよくある失敗

失敗1：禁止事項だけを並べて活用方法を示さない

「何に使ってはいけないか」だけが書かれたガイドラインは、従業員が萎縮してAIを使わなくなるか、ルールを無視して非公認ツールを使う（シャドーIT）かのどちらかになりやすい（リコー）。「推奨される活用例」を併記することで、活用と安全のバランスを取る。

失敗2：現場の声を聞かずに策定する

情報システム部門と法務部門だけで作ると、現場の業務実態とかけ離れたルールになる。策定前に主要部門へのヒアリングを実施し、実際のユースケースを把握したうえでルールを設計する（NTT東日本）。

失敗3：策定後に放置する

生成AIの進化速度は速く、半年前のルールが現在の技術に合わなくなることがある。「見直しスケジュール」をガイドライン自体に組み込み、改定の責任者を明確にしておく。

失敗4：全社一律のルールにこだわる

部門によってAI利用のリスクレベルは異なる。マーケティング部門のブログ下書きと、法務部門の契約書レビューでは求められる精度が違う。AI事業者ガイドライン第1.2版が採用するリスクベースアプローチにならい、リスクの大きさに応じてルールの厳格さを段階的に設定する方法もある。

業種別の追加検討事項

業種	追加で検討すべき事項
金融	金融庁ガイドライン、顧客の資産情報の取り扱い、AIによる投資助言の規制
医療	医療広告規制、患者情報（要配慮個人情報）の取り扱い、AI診断支援の法的位置づけ
教育	児童・生徒の個人情報保護、学生のAI利用に関する学術不正の定義
製造	技術ノウハウ（営業秘密）の保護、品質管理データの取り扱い
自治体・官公庁	行政の生成AI調達・利活用ガイドライン（総務省）、住民情報の保護

AI倫理の基本的な考え方については関連記事：AI倫理基本ガイド──バイアス・プライバシー・透明性も参照。

まとめ：ガイドライン策定のチェックリスト

項目	確認事項
☐ 策定チーム	情シス・法務・人事・事業部門・経営層の横断チームを編成したか
☐ 現状把握	社内のAI利用実態とインシデント履歴を調査したか
☐ 承認ツール	利用を許可するAIツールを明示したか
☐ 禁止事項	入力禁止情報のカテゴリを定義したか
☐ 生成物ルール	事実確認・著作権確認・公開承認のフローを定めたか
☐ セキュリティ	データ学習オプトアウト・通信暗号化・アクセス管理を確認したか
☐ エージェント	HITL義務・操作ログ保存のルールを設けたか
☐ 教育	研修計画と実施スケジュールを策定したか
☐ インシデント	報告義務と対応フローを定めたか
☐ 見直し	半年ごとの見直しスケジュールと責任者を明記したか

ガイドラインは「作ること」がゴールではなく、「運用されること」がゴールだ。まずは最小限の項目で策定し、運用しながら不足を補う方が、完璧を目指して策定が遅れるよりも有効な場合が多い。