ChatGPTをはじめとする生成AIの社内利用ルールを作る必要がある経営企画・情報システム・人事・DX推進部門の方向けです。読み終えると、次のことができるようになります。
- 「禁止事項を並べただけのルール」が、なぜ現場で使われなくなるのかを説明できる
- 利用目的からログ・教育まで、社内ルールに必要な8項目を漏れなく設計できる
- 職種別の業務例・プロンプトテンプレート・研修・更新体制まで含めて、ルールを「定着する形」に落とし込める
1. なぜ生成AIルールは現場で使われなくなるのか
生成AIの社内ルールを整備したい、というご相談は年々増えています。ただ、実際に各社のルール案を拝見すると、その多くが「入力してはいけない情報」と「禁止行為」の列挙で終わっています。機密情報を入力しない、出力を鵜呑みにしない、著作権に注意する──どれも正しい内容ですが、この形式のルールは高い確率で現場に定着しません。
理由は、読み手である現場社員の立場で考えると明確です。禁止事項だけのルールを読んだ社員に残るのは、「使うと怒られそうだ」という印象だけです。何に使ってよいのか、どう使えば安全なのかが書かれていないため、真面目な社員ほど利用を控え、一方で意欲的な社員は個人アカウントでこっそり使い続けます。結果として、会社が最も避けたかった「統制の外側での利用」だけが残るという逆転が起きます。
支援の現場でよく見かける、機能しないルールのパターンは次の3つです。
- 禁止列挙型。リスク部門が中心となって禁止事項を精緻に書き上げたものの、「では何に使えばよいのか」が一行もない。現場は判断できず、利用が止まるか水面下に潜るかの二択になります。
- 作って終わり型。ルールは制定したが、周知は全社メール1通のみ。研修もテンプレートもなく、半年後には存在自体が忘れられている。ルールは「作った日」ではなく「使われ続けた期間」で評価すべきものです。
- 借り物型。他社のひな形や公開されているガイドラインをほぼそのまま流用したため、自社の業務・職種・扱う情報と噛み合っていない。読んだ社員が「自分の仕事のどれに当てはまるのか」を判断できません。
3つに共通する根本原因は、ルールを「リスクを防ぐ文書」としてだけ設計し、「活用を促す文書」として設計していないことです。生成AIの社内ルールは、ブレーキとアクセルの両方を備えて初めて機能します。つまり、守るべき線引き(入力禁止情報・確認責任)と、進んでよい道筋(利用可能業務・テンプレート・教育)をセットで示す必要があります。本記事では、この両輪を漏れなく設計するための8項目を順に解説します。
2. 社内ルールに必要な8項目
生成AIの社内ルールに盛り込むべき項目は、次の8つに整理できます。それぞれ「決めること」と「決めないとどうなるか」を対で押さえてください。
| 項目 | 決めること | 決めないとどうなるか |
|---|---|---|
| ① 利用目的 | 会社として生成AIを何のために使うのか(業務効率化・品質向上・学習など)を宣言する | ルール全体が「禁止のための文書」と受け取られ、現場が萎縮する |
| ② 対象ツール | 会社として認めるツール・プラン・アカウントの範囲と、新しいツールを使いたいときの申請手順 | 個人アカウントや未確認ツールの利用が水面下に広がり、実態を把握できなくなる |
| ③ 利用可能業務 | 職種ごとに「使ってよい業務」の具体例を示す | 何に使えばよいか分からず、結局使われない。使う人と使わない人の差が開く |
| ④ 入力禁止情報 | 個人情報・機密情報・顧客から預かった情報など、入力してはいけない情報の線引き | 判断が各自任せになり、漏えいリスクが個人の感覚に依存する |
| ⑤ 出力確認責任 | AIの出力を誰が確認し、誰の責任で確定するか。確認の観点(事実・数値・引用・表現) | 誤った内容が確認されないまま社内外に流通する |
| ⑥ 顧客提出時のルール | 社外に出す成果物への利用条件、上長確認の要否、契約・約束上の制約の確認 | 顧客との信頼関係や契約上のトラブルに発展しうる |
| ⑦ ログ・監査 | 利用状況をどう把握するか。問題発生時に経緯を遡って確認できる体制 | インシデントが起きても原因も影響範囲も特定できない |
| ⑧ 教育・更新体制 | 研修の実施、相談窓口、ルール改訂の担当者と見直し頻度 | ルールが陳腐化し、実態と乖離した「読まれない文書」になる |
図1:生成AI社内ルールの8項目 — ①〜③が「アクセル」、④〜⑦が「ブレーキ」、⑧が両方を維持する仕組み
8項目のうち、多くの企業のルールに欠けているのは③利用可能業務、⑤出力確認責任、⑧教育・更新体制の3つです。④の入力禁止情報はほとんどの企業が書いていますが、③と⑤がないと「危ないことは分かったが、何をどうすればいいか分からない」文書になります。以下、特に重要な項目を掘り下げます。
④入力禁止情報 — 「情報の線引き」は具体名で書く
入力禁止情報は、「機密情報を入力しない」という抽象的な一文では機能しません。現場は自分の扱う情報が機密に当たるかを毎回判断できないからです。実務では、自社で実際に扱っている情報の名前で列挙することが重要です。たとえば「氏名・住所・電話番号などの個人情報」「顧客から秘密保持契約のもとで預かった資料」「未公開の財務数値・人事情報」「取引先の見積・契約条件」といった具合に、社員が自分の画面上の情報と照合できる粒度まで下げます。
あわせて、禁止ではなく条件付きで許可する道も示します。たとえば「固有名詞を仮名に置き換えれば要約に使ってよい」「入力データが学習に利用されない設定・プランであれば社内文書を扱ってよい」のように、抽象化・匿名化・ツール側の設定という回避手段を明記すると、現場は「禁止か、諦めるか」の二択から解放されます。
⑤出力確認責任 — 「AIが間違えた」は理由にならない体制を作る
生成AIの出力には誤りが含まれることがあります。もっともらしい文章で事実と異なる内容を返す現象はよく知られており、これを前提にした業務設計が不可欠です。ルール上のポイントはひとつです。AIの出力を使った成果物の責任は、AIではなく、それを確定した人が負うと明記すること。つまり「AIが作った」ではなく「私が確認して出した」という状態を、すべての成果物について成立させます。
そのうえで、確認の観点を具体化します。実務では最低限、「事実・数値・固有名詞は原典と照合したか」「引用・出典は実在するか」「社外秘の情報が紛れ込んでいないか」「自社の表現・トーンとして適切か」の4点を確認項目として示すと、確認作業の質が揃います。
ルール本則とあわせて、迷ったときの手順を1つのフローとして示しておくと、現場の自己判断による事故を減らせます。
- 入力しようとしている情報に「入力禁止情報」が含まれていないか確認する。含まれる場合は、除去・仮名化・抽象化してから使う
- その作業が、自分の職種の「使ってよい業務」に該当するか確認する
- 該当しない・判断に迷う場合は、自己判断で進めず相談窓口に確認する
- 出力は必ず事実・数値・出典を照合し、修正したうえで自分の責任で確定する
- 社外に出す成果物は、顧客提出時のルールに沿って上長確認を挟む
3. 職種別「使ってよい業務」の例 — 営業・管理・企画
8項目の中で最も定着効果が大きいのが、③の「使ってよい業務」の具体化です。全職種共通の抽象的な記述ではなく、職種ごとに「この仕事はAIを使ってよい」と名指しで示すことで、初めて現場は安心して使い始めます。以下は実務でよく挙がる例です。自社の業務に置き換える叩き台としてお使いください。
| 職種 | 使ってよい業務の例 | 使うときの条件 |
|---|---|---|
| 営業 | 提案書の構成案・一次ドラフト、フォローメールの下書き、商談メモの整理、業界情報の下調べ | 顧客名・商談内容は仮名化して入力。顧客提出物は上長確認を挟む |
| 管理部門 | 社内規程・手続きに関する問い合わせ回答の下書き、会議議事録の整形、社内通知文の作成、文書の要約 | 個人の人事・給与情報は入力しない。規程の解釈は原文と照合する |
| 企画・マーケティング | 企画書のたたき台、アイデアの発散・壁打ち、調査結果の構造化、記事・資料の校正 | 未公開の事業計画・数値は抽象化して入力。統計・出典は原典を確認する |
| エンジニア・情報システム | コードの下書き・レビュー補助、エラー調査、手順書・仕様書のドラフト | 認証情報・本番データを入力しない。生成コードはレビューを経て採用する |
| 全職種共通 | 自分用のメモ・学習、文章の推敲、翻訳の下書き、考えの整理 | 入力禁止情報の線引きは業務利用と同じ基準を守る |
図2:職種別「使ってよい業務」の例 — 「業務名+条件」のセットで示すのがポイント
この表の形式で重要なのは、業務名だけでなく「使うときの条件」を横に並べることです。許可と条件を一体で示すと、④入力禁止情報や⑤出力確認責任が「別ページの禁止事項」ではなく「その業務のやり方の一部」として読まれるようになります。
4. 職種別「注意すべき業務」の例
「使ってよい業務」の裏面として、利用に慎重な判断が必要な業務も職種別に示します。ここでのポイントは、全面禁止にするのではなく、「なぜ注意が必要か」と「使うならどんな条件か」を添えることです。理由のない禁止は形骸化しますが、理由が腹落ちした注意事項は守られます。
- 営業:価格・値引きの判断、顧客への約束を含む文面の確定。AIは自社の与信・過去経緯・関係性を知りません。判断はあくまで人が行い、AIは選択肢の整理までに留めます。
- 管理部門:人事評価・懲戒・採用合否など、個人の処遇に関わる判断。評価の下書きにAIを使うと、根拠の説明責任を果たせなくなるおそれがあります。使うとしても事実の整理までとし、評価そのものは委ねません。
- 企画:市場規模や統計数値をAIの回答のまま企画書に載せること。生成AIは実在しない数値・出典を返すことがあるため、数値と出典は必ず原典で確認してから使います。
- 法務・契約に関わる業務:契約書の条文判断や法令解釈の確定。一次的な論点整理には有用ですが、最終判断は専門家の確認を経ることをルールに明記します。
- 全職種共通:顧客から預かった資料をそのまま入力する行為。秘密保持契約に抵触するおそれがあるため、契約条件の確認と、抽象化・仮名化の徹底が前提になります。
「使ってよい」「注意すべき」の2つのリストは、そのまま次章のプロンプトテンプレートと研修演習の素材になります。8項目のルールが本則だとすれば、この職種別リストは現場が毎日参照する実用面です。更新頻度も本則より高くなるため、別紙・別ページとして分冊しておくと改訂が楽になります。
5. プロンプトテンプレートの作り方 — ルールを「使える形」に変換する
ルールと業務例を整えても、現場が白紙の入力欄を前に手が止まってしまえば定着しません。この最後の一歩を埋めるのがプロンプトテンプレートです。テンプレートとは、よく使う依頼文の型をあらかじめ用意し、社員が穴埋めするだけで安全かつ品質の揃った出力を得られるようにしたものです。
テンプレートには、ルールの内容を構造として埋め込みます。たとえば議事録整理のテンプレートなら、次のような要素で構成します。
- 役割と目的 — 「あなたは会議記録の編集者です。以下のメモを、決定事項・宿題・論点の3区分で整理してください」
- 入力の注意書き — 「※固有名詞は仮名(A社・Bさん等)に置き換えてから貼り付けること」──④入力禁止情報がテンプレート内の手順として機能します
- 出力形式の指定 — 見出し・箇条書き・表など、後工程でそのまま使える形式を指定する
- 確認の促し — 「出力後、日付・金額・担当者名を元のメモと照合すること」──⑤出力確認責任が作業手順に変換されます
つまりテンプレートは、単なる便利ツールではなく、ルールの④と⑤を「読むもの」から「手を動かす手順」に変換する装置です。禁止事項を暗記していなくても、テンプレートに沿って作業すればルールを守れる状態を作ることが狙いです。
作り方の手順はシンプルです。まず職種別の「使ってよい業務」から利用頻度の高そうなものを5〜10個選び、それぞれに1本ずつテンプレートを作ります。最初から完成度を求めず、実際に使った社員の「ここを直したい」を集めて改訂していきます。テンプレート集は全社で1つの置き場(社内ポータルや共有ドキュメント)に集約し、誰が管理者で、改善提案をどこに送るかを明記しておくと、現場発の改善が回り始めます。
6. 社内研修で扱うべき演習
ルールの周知を「配布して読んでおいてください」で済ませると、ほぼ確実に読まれません。定着には研修が必要ですが、ルールの読み合わせだけの研修も効果が薄いのが実情です。実務でおすすめしているのは、手を動かす演習を中心に据えた60〜90分の構成です。扱うべき演習は次の4つです。
- 演習1:入力してよいか判定するクイズ。「顧客名入りの商談メモ」「仮名化した議事録」「自社の公開済みプレスリリース」など10問程度の実例を示し、入力可否を各自判定して答え合わせをします。④の線引きが自分の感覚とどれだけずれているかを体感してもらうのが目的です。
- 演習2:テンプレートを使った実作業。前章のテンプレートを使い、実際の業務に近い題材(架空の会議メモ、架空の問い合わせ文など)で成果物を作ります。「便利だ」という体験が定着の最大の推進力になります。
- 演習3:誤りを見つける演習。事実誤認や実在しない出典をあえて含む出力例を配り、どこが誤りかを探してもらいます。「AIはもっともらしく間違える」ことを、説明ではなく体験として理解してもらうためです。⑤の確認責任が、この演習を経ると自分ごとになります。
- 演習4:迷うケースの相談演習。「顧客から預かった資料を要約したい」「新しいAIツールを試したい」など、ルールの境界にあるケースを提示し、判断手順(本記事の図解参照)に沿って窓口へ相談する流れを実際になぞってもらいます。
研修は一度きりではなく、新入社員・中途入社者向けの定期開催と、ルール改訂時の差分説明をセットで計画します。また、研修後に「自分の業務でまず使う場面を1つ決めて書き出す」ところまでやると、翌週からの利用率が目に見えて変わります。
7. ルールを更新し続ける運用体制
生成AIの機能・規約・リスクは変化が速く、制定時点のルールは必ず陳腐化します。だからこそ8項目めの「教育・更新体制」が、他の7項目を生かし続ける要になります。運用体制として最低限決めておくべきことは次の4点です。
- オーナーを1人決める。「情シスと人事とDX推進で連携して」という体制は、実務では誰も動かない体制と同義になりがちです。改訂の起案責任者を1人決め、関係部門はレビューで関与する形にします。
- 見直しのトリガーを決める。定期見直し(半年に1回程度)に加えて、「対象ツールの大きな仕様・規約変更」「社内インシデントの発生」「新しい業務ニーズの申請」を臨時改訂のトリガーとして明文化します。
- 現場の声の入口を作る。「この業務にも使いたい」「この禁止は実務に合わない」という声を受け付ける窓口を設け、申請→検討→回答の流れと目安期間を示します。入口がないと、現場は申請せずに使うようになります。
- 利用実態を定点観測する。⑦のログや簡単な利用アンケートを使い、利用率・よく使われる業務・困りごとを半年ごとに把握します。ルールと実態の乖離は、この観測を通じてしか見えてきません。
更新体制まで含めて初めて、社内ルールは「制定された文書」から「運用されている仕組み」になります。逆に言えば、8項目のうちどれか1つを削らざるを得ないとしても、⑧だけは削ってはいけません。
8. 自社ルールの充足度チェックリスト
ここまでの内容を、自社のルールがどこまで整っているかを点検するチェックリストにまとめます。すでにルールがある企業は既存文書との照合に、これから作る企業は設計の順序としてお使いください。
- ルールの冒頭に、禁止ではなく「会社として活用を進める」という利用目的が書かれている
- 会社として認めるツール・プランと、新ツールを使いたいときの申請手順が示されている
- 職種ごとに「使ってよい業務」が具体例つきで列挙されている
- 入力禁止情報が、自社で扱う情報の具体名で線引きされている
- 仮名化・抽象化・設定変更など、禁止情報を扱うための回避手段が示されている
- AI出力の確認責任者と、確認の観点(事実・数値・出典・表現)が業務ごとに決まっている
- 顧客提出物への利用条件と、上長確認などの工程が定義されている
- 利用状況を把握する手段と、問題発生時に遡って確認できる体制がある
- プロンプトテンプレートの置き場と管理者が決まっている
- 研修の計画と、ルール改訂のオーナー・見直し頻度が決まっている
10項目のうち半分以上が埋まっていない場合、ルールはまだ「禁止事項の掲示」の段階にあります。すべてを一度に整える必要はありませんが、優先するなら③利用可能業務と⑤出力確認責任から着手してください。この2つが埋まるだけで、ルールは現場にとって「読む理由のある文書」に変わります。
本記事の8項目をそのまま自社に当てられる「生成AI社内ルール 8項目チェックリスト(PDF)」を、「業務棚卸しテンプレート(Excel)」とセットで無料配布しています。メールアドレスのご登録で、すぐにダウンロードいただけます。
よくある質問
- 社内ルールはどのくらいの分量が適切ですか?
- 本則はA4で2〜3枚程度に収め、職種別の業務例やプロンプトテンプレートは付属資料に分ける構成が実務では扱いやすいです。分厚い規程は読まれず、逆に1枚だけの掲示では現場の判断に迷う場面をカバーできません。「本則は薄く、付属資料で具体的に」が基本の考え方です。
- 社員が個人アカウントでChatGPTをすでに使っている場合、まず何をすべきですか?
- いきなり全面禁止にすると利用が水面下に潜り、かえって統制が効かなくなります。まず匿名アンケートやヒアリングで利用実態を把握し、会社として認めるツールと条件を早めに示すことが先決です。そのうえで入力禁止情報の線引きを周知し、業務データを扱う利用は入力データが学習に使われない設定・プランへ移行させる、という順番で進めます。
- ルール違反が見つかった場合、罰則を設けるべきですか?
- 重大な情報漏えいにつながる行為は、就業規則など既存の懲戒の枠組みで扱うのが一般的です。一方で、生成AIルール独自の細かい罰則を並べることはおすすめしません。罰則を強調すると利用の申告や相談が止まり、実態が見えなくなるからです。まずは相談しやすい窓口と、違反が起きたときの是正・再発防止の手順を整える方が実効的です。
- ルールの見直しはどのくらいの頻度で行うべきですか?
- 少なくとも半年に1回、ツールの機能追加・利用規約の変更・社内の利用実態の変化を踏まえて見直すことをおすすめします。加えて、対象ツールの大きな仕様変更や情報漏えい等のインシデントが起きた場合は、定期見直しを待たずに臨時で改訂します。改訂履歴と周知の記録を残しておくと、後から経緯を説明する際にも役立ちます。