生成AIガイドライン・社内規程の作り方——規程整備から承認フローまで実務手順を解説

なぜ生成AIガイドラインが「PoC後の壁」になるのか

生成AIの実証実験(PoC)を終えた企業が本番展開を試みると、法務・情報セキュリティ部門から「何を使ってよいか基準がない」「情報漏洩リスクへの対処方針が未定」という指摘が入り、稟議が差し戻されるケースが後を絶ちません。ツールの有効性は立証できても、利用ルールが存在しないままでは組織的な展開に進めないのです。

生成AIガイドラインは、利用を禁じるための文書ではなく「誰が・何を・どの条件で使えるか」を明確にして現場が自律的に動けるようにする設計図です。この視点が欠けたまま規程化すると、過度な禁止事項だけが並んで形骸化します。規程整備のゴールは「利活用の促進」と「リスク管理」の両立であることを、最初に関係部門と合意することが成功の鍵です。

規程整備の進め方——3ステップ・アプローチ

ステップ1は「現状棚卸し」です。部門ヒアリングを通じて、社内で既に使われているAIツール(ChatGPT・Microsoft Copilot・Google Geminiなど、2026年時点の主要サービス)を洗い出し、利用実態と潜在リスクを可視化します。「野良利用」の実態を把握しないまま規程を作ると、現場に刺さらないお飾り文書になります。

ステップ2は「リスク分類とスコープ決め」です。取り扱う情報の機密度(個人情報・営業秘密・公開情報)とAI出力の用途(社外公開・社内判断・補助確認)を2軸にしたリスクマトリクスを作成し、高リスク用途を先に規制対象として特定します。ステップ3は「規程文書化と承認フローの設計」で、法務・IT・各事業部の代表者が関与できる体制を整えることが現場への普及を左右します。

社内規程に盛り込む必須項目——雛形の章立て

以下は実務で使える雛形の章立て例です。自社の規模・業態に応じて項目を取捨選択し、各章には「なぜその規定が必要か」の説明文を添えると現場の理解と遵守率が上がります。

第1章から附則まで一気に作ろうとせず、まず第1〜4章(総則・ツール一覧・情報分類・禁止事項)を「最小限の初版」として公布し、3〜6か月の運用を経てから全章を整備するフェーズアプローチが現実的です。

• 第1章 総則——目的・適用範囲・定義(生成AIツール・入力データ・出力物の定義を明確化)
• 第2章 利用可能なツールとサービス一覧——情報システム部門が承認したサービスのみ記載する「ホワイトリスト方式」を採用
• 第3章 利用できる情報の分類——公開情報・社内情報・個人情報・要機密情報の4分類と各利用条件
• 第4章 禁止事項——具体的な禁止行為を列挙(詳細は次セクション参照)
• 第5章 出力物の取り扱い——事実確認義務・著作権注意事項・社外公表前の確認ルール
• 第6章 セキュリティ・データ保護——ログ保管・アカウント管理・インシデント報告手順
• 第7章 承認・申請フロー——新規ツール導入申請、高リスク用途の事前承認プロセス
• 第8章 教育・研修——利用開始前の必須研修、定期的なリテラシー更新
• 第9章 違反時の対応——調査フロー・就業規則等との連動
• 附則——施行日・改定履歴・問い合わせ先(AI推進担当部署)

禁止事項の設定——何を・どこまで禁じるか

禁止事項は「全面禁止」より「条件付き制限」の形で書くと現場の使い勝手が向上します。たとえば「個人情報の入力禁止」ではなく「氏名・連絡先・社員番号などの個人識別情報は、APIオプトアウト設定が確認できないサービスには入力不可」と記述すれば、設定済みの企業版サービスに余地を残せます。禁止の粒度が荒すぎると抜け道利用を招き、細かすぎると運用が破綻するため、「禁止の理由」をセットで書くことが遵守率の維持につながります。

禁止事項は半年〜1年ごとにモデルやサービスの変化に合わせて見直すことを規程内に明記してください。各ツールの最新利用規約・プライバシーポリシーを定期確認する担当者と確認スケジュールをあらかじめ決めておくことが重要です。

• 未承認AIサービスへの機密情報・個人情報の入力
• AIが生成した文章・画像・コードを「自ら作成したもの」として社外に無断提出すること
• 出力物をファクトチェックせずに公式文書・プレスリリース・法的文書へ使用すること
• 本番データベースへのAI生成コードの無審査適用
• 競合他社の営業秘密や第三者著作物をAIに入力して派生物を生成すること
• 採用・人事評価をAI出力のみで決定すること(人間による最終確認を必須とする)

データ取扱いルール——情報分類と入力可否の判断基準

生成AIサービスの多くは入力内容をモデル改善に利用するオプションを持っています(2026年時点。各サービスの最新設定を必ず確認してください)。APIプランやエンタープライズプランへ切り替えることでデータ学習をオプトアウトできるケースが多く、その設定状態によって入力できる情報の範囲が変わります。契約プランと実際の設定状態を情報システム部門が一元管理することを推奨します。

入力可否の実務判断には「3つの問い」が使えます。(1)その情報が外部に漏れた場合、顧客・自社に実害が生じるか。(2)入力先サービスのデータ保持・学習ポリシーは確認済みか。(3)出力物を第三者と共有する可能性があるか。3問すべてに問題がなければ入力可、1問でも懸念があれば情報システム部門に相談する、というルールを設けると現場の迷いがなくなります。

個人情報保護法の観点では、氏名・メールアドレス・マイナンバーなどの個人情報を生成AIへ入力する行為が「第三者提供」に該当するリスクがあります。2026年時点の個人情報保護委員会のガイドラインおよび最新の解釈指針を参照し、法務部門と方針を事前に合意しておくことを強く推奨します。

承認フローの設計——部門別の実情を踏まえた現実解

承認フローが複雑すぎると、現場は「申請が面倒だから個人アカウントで使う」という抜け道に走ります。フローは「通常利用(誓約書一度きり)」「要申請利用(高リスク用途)」「禁止」の3段階に絞り、日常的な低リスク用途は簡素な入口にすることが普及の条件です。

新規ツール導入の承認フローは「申請→情報システム審査(目安3営業日)→情報セキュリティ確認(目安3営業日)→法務確認(必要時のみ)→承認通知」という目標期間を規程に明記し、承認ステータスをイントラネットで公開すると透明性も確保できます。「申請してから2週間以内に結論を出す」というSLAを設けることが、現場の不満を解消する最低ラインです。

• 営業部門——顧客情報を含む提案書作成時の確認ルール、CRM連携AIの承認有無
• 開発部門——コード補完AI(GitHub Copilotなど)の利用条件、OSSライセンス汚染リスクの確認基準
• 人事部門——採用・評価での利用制限、候補者への開示義務の検討
• 経理・法務部門——契約書・財務データを扱う場合の追加承認ステップ
• マーケティング部門——AI生成コンテンツの表示義務(業界自主規制・薬機法等との整合性確認)

規程の運用と継続改善——導入後に形骸化させないために

規程は公布して終わりではなく、四半期ごとの利用状況レビューと年1回以上の全面見直しサイクルを設計段階から組み込んでください。把握手段としては、承認ツールの利用ログ集計・インシデント報告数の推移・利用者アンケートの3点セットが有効です。数値の変化を定例会議で報告できる体制を作ると、規程改定の判断根拠が蓄積されます。

規程の実効性を高める最大の施策は教育です。全社員向けのeラーニング(30分程度)を年1回、新規参加者向けオンボーディングを入社・異動時に実施することを規程に義務として明記することを推奨します。ヒヤリハットの報告窓口を設けて件数を追跡することも、リスクの早期発見と規程改善の両方に役立ちます。Meta Flow AIでは、生成AIガイドラインの策定から教育コンテンツ整備・定着支援まで一貫して伴走しています。

関連トピック

本記事は次のトピックを深掘りしたガイドです。全体像はエンタープライズ生成AIのトピックページをご覧ください。

よくある質問

生成AIガイドラインは何から作り始めればよいですか？

最初のステップは「現状棚卸し」です。部門ヒアリングで社内で使われているAIツールと用途を洗い出し、実態を把握してから規程を書く順序が重要です。次に、取り扱う情報の機密度と用途のリスク分類を行い、高リスク部分から順に規程化すると整備が現実的に進みます。最初から全章を完成させようとせず、禁止事項・情報分類の2章を「最小初版」として公布し、運用しながら肉付けするフェーズアプローチが実務では定着しやすいです。

社内規程と利用ガイドラインは別物として作るべきですか？

「利用ガイドライン」は現場向けの平易な解説書、「社内規程(利用規程)」は就業規則等に連動する正式な制度文書と位置づけ、両方を作成することを推奨します。規程は法的拘束力のある形式で策定し、ガイドラインは理解促進のためのわかりやすい補足資料として別管理にすると、現場への浸透と法的整合性を同時に確保できます。

個人情報を生成AIに入力することは一律禁止にすべきですか？

一律禁止より「条件付き許可」の設計を推奨します。入力先サービスのデータ保持・学習ポリシーと、個人情報保護法上の第三者提供に該当するかどうかを法務部門と確認した上で条件を設定してください。学習オプトアウトが明確なエンタープライズプランなどでは、条件付きで利用を認める企業も増えています。2026年時点の個人情報保護委員会のガイドラインも必ず参照してください。

生成AIが作ったコンテンツには著作権の表示が必要ですか？

日本の著作権法において、2026年時点でAI生成物の著作権帰属は流動的な解釈状況にあります。社外公表物にAI生成コンテンツを含む場合は、人間がどの程度創作的に関与したかを記録し、法務部門が最新の法解釈を確認した上で判断することを社内規程に明記してください。業界団体の自主ガイドラインが存在する場合はそちらも参照が必要です。

承認フローはどのくらいのスピードで回すべきですか？

新規ツール申請の承認は「申請から2週間以内」を目標SLAとして設計することを推奨します。情報システム審査3営業日・情報セキュリティ確認3営業日・法務確認(必要時のみ)という段階構成で、各ステップの期限と担当者を規程に明示すると現場の「いつ使えるかわからない」という不満を解消できます。

生成AIガイドラインの更新頻度はどのくらいが適切ですか？

最低でも年1回の全面見直しと、主要ツールのポリシー変更や法令改正があった際の随時改定を義務として規程に定めることを推奨します。生成AIの技術・規制環境は変化が速いため、担当部署と改定トリガー条件(例:重大インシデント発生・主要法令の改正・新サービスの急速普及)をあらかじめ明記しておくと形骸化を防げます。