LLM Frontline
ルール・リスク管理

生成AIの業務利用を始める前に決めること|社内ルールの作り方と最初の一歩

シオンルール・リスク管理担当
・ 約6分で読めます
生成AIの業務利用を始める前に決めること|社内ルールの作り方と最初の一歩

「そろそろ会社として生成AIを使いたいが、何から決めればよいのか分からない」という相談は非常に多く聞かれます。禁止したまま放置すれば現場が個人アカウントで勝手に使う「野良AI」が生まれ、逆に無条件で解禁すれば情報漏えいや誤情報の混入が起こり得ます。この記事では、業務利用を始める前に決めておきたい論点を4つに絞り、小さく始めて育てるルールづくりの手順を整理します。

全体像:最初に決める4つの論点

社内ルールと聞くと分厚い規程集を想像しがちですが、初期に必要なのは次の4点に答えられる1〜2枚の文書です。

論点決めること決めないと起きること
対象範囲誰が・どの業務で・どのサービスを使ってよいか個人アカウントでの無断利用が広がる
入力情報入力してよいデータと禁止データの線引き顧客情報や機密の入力事故
確認フローAIの出力を誰がどう検証してから使うか誤情報がそのまま社外に出る
責任の所在成果物の最終責任者と相談窓口問題発生時に対応が止まる

個人情報を含むプロンプト入力の扱いについては、個人情報保護委員会が生成AIサービス利用時の注意喚起を公表しています。線引きの検討時に一読をおすすめします。

論点1:対象範囲を「サービス名」で指定する

「生成AIの利用を認める」という抽象的な書き方では、現場は判断できません。会社として契約または承認したサービス名を列挙し、それ以外は申請制にするのが実務的です。同じ名前のサービスでも、無料の個人向けプランと法人向けプランでは、入力データの学習利用やログの扱いが異なる場合があります。どのプラン・どの設定で使うかまで指定して、初めて線引きとして機能します。

ヒント

承認サービスの一覧は規程本文から切り離し、別紙にしておくと改訂が楽になります。サービスの仕様変更は頻繁にあるため、一覧だけを差し替えられる構成が長持ちします。

論点2:入力してよい情報の線引き

もっとも事故が起きやすいのが入力情報です。「機密情報は入れない」だけでは各自の解釈がばらつくため、情報の区分ごとに可否を明示します。顧客の個人情報・取引先との秘密保持契約の対象・未公開の財務情報などは原則禁止とし、公開済み情報や一般的な文章は許可する、といった具合です。詳細な線引きの考え方は別記事で扱っているので、あわせてご覧ください。

あわせて読みたい

AI利用時の情報管理|入力してよいデータの線引きと社内での運用

論点3:出力の確認フローを業務の重要度で分ける

生成AIの出力には、事実と異なる内容がもっともらしく混ざることがあります。すべての出力に同じ重さの検証を課すと運用が回らなくなるため、用途の重要度で確認の深さを変えるのが定石です。

  1. 1

    社内の下書き・アイデア出し

    本人の確認のみで利用可とします。誤りがあっても影響が社内に閉じる用途です。
  2. 2

    社内の正式文書・判断材料

    事実関係の裏取りを本人が行い、通常の文書と同じ承認ルートに乗せます。
  3. 3

    社外に出る文書・成果物

    AI利用の有無にかかわらず、第三者のレビューを必須にします。数値・固有名詞・引用は一次情報で確認します。
「全部の出力をチェックしろと言われたら誰も使わなくなる」という声は現場からよく上がります。重要度で濃淡をつける設計が、ルールを形骸化させない鍵です。
情報システム部門の担当者

論点4:責任の所在と相談窓口

AIが生成したものであっても、業務成果物の責任は利用した本人と所属組織にあります。この原則を明文化したうえで、判断に迷ったときの相談窓口を1つ決めておきます。窓口は法務・情報システム・推進担当のいずれでも構いませんが、「迷ったら聞ける場所がある」ことがルール違反の抑止よりも事故防止に効きます。

事業者向けの包括的な指針としては、経済産業省・総務省の「AI事業者ガイドライン」が公表されており、社内規程の骨子を検討する際の参照先になります。

小さく始めて育てる:暫定ルールの運用

最初から完成度の高い規程を目指すと、施行前に検討だけで数か月かかり、その間に現場の野良利用が進みます。おすすめは「暫定版」と明記した簡易ルールを早めに出し、四半期ごとに見直す運用です。見直しの際は、実際に現場から寄せられた質問と、ヒヤリとした事例を反映します。禁止事項を増やすだけでなく、安全と分かった用途を許可リストに加えていくことで、ルールが「使うための道具」として信頼されるようになります。

よくある質問

まず何から着手すればよいですか
承認するサービスを1つ決め、入力禁止情報の一覧と確認フローをA4で1〜2枚にまとめることから始めるのが現実的です。完璧さより、早く出して運用しながら直すことを優先してください。
無料プランのAIサービスを業務で使ってもよいですか
サービスやプランによって、入力内容の学習利用やログ保持の扱いが異なります。規約とデータの取り扱い設定を確認し、会社として許可したもの以外は使わない運用が安全です。
ルールを作っても守られるか不安です
禁止一辺倒のルールは迂回されやすいです。安全に使える範囲を広めに示し、迷ったときの相談窓口を用意すると、隠れて使うより聞いたほうが早い状態を作れます。
個人情報を扱う業務では生成AIを使えませんか
一律に不可能というわけではありませんが、個人情報保護委員会の注意喚起にあるとおり、本人の同意や利用目的との関係など確認すべき点が多い領域です。法務・専門家への相談を前提に、まずは個人情報を含まない業務から始めることをおすすめします。
部署ごとにルールを変えてもよいですか
全社共通の最低限のルールを土台にして、扱う情報の機微度が高い部署だけ上乗せの制限を課す二層構成が管理しやすいです。部署ごとにばらばらに作ると矛盾が生まれやすくなります。

まとめ:明日から動くためのチェックリスト

業務利用を始める前の確認

  • 会社として承認するサービスとプランを決めた
  • 入力してよい情報・禁止する情報の一覧を作った
  • 用途の重要度に応じた出力の確認フローを決めた
  • 成果物の責任の所在と相談窓口を明文化した
  • 暫定版として公開し、見直しのサイクルを決めた

ルールづくりは一度で終わるものではなく、サービスの変化と社内の習熟にあわせて育てていくものです。次の一歩として、出力の誤りをどう検証するかを扱った記事もあわせてご覧ください。

あわせて読みたい

ハルシネーション対策の実務|検証フローの作り方と運用のコツ

出典・参考

この記事をシェア

関連する記事