Top  /  Media  /  ChatGPTを業務に定着させる社内ルールの設計

AIガバナンス

ChatGPTを業務に定着させる社内ルールの設計
— 「禁止事項」で終わらせない8項目

読了目安:約11分 公開:2026年7月5日 執筆:那須 義生(EXTOOL株式会社 代表取締役)
この記事の対象読者と、わかること

ChatGPTをはじめとする生成AIの社内利用ルールを作る必要がある経営企画・情報システム・人事・DX推進部門の方向けです。読み終えると、次のことができるようになります。

CONTENTS
  1. なぜ生成AIルールは現場で使われなくなるのか
  2. 社内ルールに必要な8項目
  3. 職種別「使ってよい業務」の例 — 営業・管理・企画
  4. 職種別「注意すべき業務」の例
  5. プロンプトテンプレートの作り方 — ルールを「使える形」に変換する
  6. 社内研修で扱うべき演習
  7. ルールを更新し続ける運用体制
  8. 自社ルールの充足度チェックリスト
  9. よくある質問

1. なぜ生成AIルールは現場で使われなくなるのか

生成AIの社内ルールを整備したい、というご相談は年々増えています。ただ、実際に各社のルール案を拝見すると、その多くが「入力してはいけない情報」と「禁止行為」の列挙で終わっています。機密情報を入力しない、出力を鵜呑みにしない、著作権に注意する──どれも正しい内容ですが、この形式のルールは高い確率で現場に定着しません。

理由は、読み手である現場社員の立場で考えると明確です。禁止事項だけのルールを読んだ社員に残るのは、「使うと怒られそうだ」という印象だけです。何に使ってよいのか、どう使えば安全なのかが書かれていないため、真面目な社員ほど利用を控え、一方で意欲的な社員は個人アカウントでこっそり使い続けます。結果として、会社が最も避けたかった「統制の外側での利用」だけが残るという逆転が起きます。

支援の現場でよく見かける、機能しないルールのパターンは次の3つです。

3つに共通する根本原因は、ルールを「リスクを防ぐ文書」としてだけ設計し、「活用を促す文書」として設計していないことです。生成AIの社内ルールは、ブレーキとアクセルの両方を備えて初めて機能します。つまり、守るべき線引き(入力禁止情報・確認責任)と、進んでよい道筋(利用可能業務・テンプレート・教育)をセットで示す必要があります。本記事では、この両輪を漏れなく設計するための8項目を順に解説します。

2. 社内ルールに必要な8項目

生成AIの社内ルールに盛り込むべき項目は、次の8つに整理できます。それぞれ「決めること」と「決めないとどうなるか」を対で押さえてください。

項目決めること決めないとどうなるか
① 利用目的会社として生成AIを何のために使うのか(業務効率化・品質向上・学習など)を宣言するルール全体が「禁止のための文書」と受け取られ、現場が萎縮する
② 対象ツール会社として認めるツール・プラン・アカウントの範囲と、新しいツールを使いたいときの申請手順個人アカウントや未確認ツールの利用が水面下に広がり、実態を把握できなくなる
③ 利用可能業務職種ごとに「使ってよい業務」の具体例を示す何に使えばよいか分からず、結局使われない。使う人と使わない人の差が開く
④ 入力禁止情報個人情報・機密情報・顧客から預かった情報など、入力してはいけない情報の線引き判断が各自任せになり、漏えいリスクが個人の感覚に依存する
⑤ 出力確認責任AIの出力を誰が確認し、誰の責任で確定するか。確認の観点(事実・数値・引用・表現)誤った内容が確認されないまま社内外に流通する
⑥ 顧客提出時のルール社外に出す成果物への利用条件、上長確認の要否、契約・約束上の制約の確認顧客との信頼関係や契約上のトラブルに発展しうる
⑦ ログ・監査利用状況をどう把握するか。問題発生時に経緯を遡って確認できる体制インシデントが起きても原因も影響範囲も特定できない
⑧ 教育・更新体制研修の実施、相談窓口、ルール改訂の担当者と見直し頻度ルールが陳腐化し、実態と乖離した「読まれない文書」になる

図1:生成AI社内ルールの8項目 — ①〜③が「アクセル」、④〜⑦が「ブレーキ」、⑧が両方を維持する仕組み

8項目のうち、多くの企業のルールに欠けているのは③利用可能業務、⑤出力確認責任、⑧教育・更新体制の3つです。④の入力禁止情報はほとんどの企業が書いていますが、③と⑤がないと「危ないことは分かったが、何をどうすればいいか分からない」文書になります。以下、特に重要な項目を掘り下げます。

④入力禁止情報 — 「情報の線引き」は具体名で書く

入力禁止情報は、「機密情報を入力しない」という抽象的な一文では機能しません。現場は自分の扱う情報が機密に当たるかを毎回判断できないからです。実務では、自社で実際に扱っている情報の名前で列挙することが重要です。たとえば「氏名・住所・電話番号などの個人情報」「顧客から秘密保持契約のもとで預かった資料」「未公開の財務数値・人事情報」「取引先の見積・契約条件」といった具合に、社員が自分の画面上の情報と照合できる粒度まで下げます。

あわせて、禁止ではなく条件付きで許可する道も示します。たとえば「固有名詞を仮名に置き換えれば要約に使ってよい」「入力データが学習に利用されない設定・プランであれば社内文書を扱ってよい」のように、抽象化・匿名化・ツール側の設定という回避手段を明記すると、現場は「禁止か、諦めるか」の二択から解放されます。

⑤出力確認責任 — 「AIが間違えた」は理由にならない体制を作る

生成AIの出力には誤りが含まれることがあります。もっともらしい文章で事実と異なる内容を返す現象はよく知られており、これを前提にした業務設計が不可欠です。ルール上のポイントはひとつです。AIの出力を使った成果物の責任は、AIではなく、それを確定した人が負うと明記すること。つまり「AIが作った」ではなく「私が確認して出した」という状態を、すべての成果物について成立させます。

そのうえで、確認の観点を具体化します。実務では最低限、「事実・数値・固有名詞は原典と照合したか」「引用・出典は実在するか」「社外秘の情報が紛れ込んでいないか」「自社の表現・トーンとして適切か」の4点を確認項目として示すと、確認作業の質が揃います。

利用可否に迷ったときの判断手順(ルールに載せておく)

ルール本則とあわせて、迷ったときの手順を1つのフローとして示しておくと、現場の自己判断による事故を減らせます。

  1. 入力しようとしている情報に「入力禁止情報」が含まれていないか確認する。含まれる場合は、除去・仮名化・抽象化してから使う
  2. その作業が、自分の職種の「使ってよい業務」に該当するか確認する
  3. 該当しない・判断に迷う場合は、自己判断で進めず相談窓口に確認する
  4. 出力は必ず事実・数値・出典を照合し、修正したうえで自分の責任で確定する
  5. 社外に出す成果物は、顧客提出時のルールに沿って上長確認を挟む

3. 職種別「使ってよい業務」の例 — 営業・管理・企画

8項目の中で最も定着効果が大きいのが、③の「使ってよい業務」の具体化です。全職種共通の抽象的な記述ではなく、職種ごとに「この仕事はAIを使ってよい」と名指しで示すことで、初めて現場は安心して使い始めます。以下は実務でよく挙がる例です。自社の業務に置き換える叩き台としてお使いください。

職種使ってよい業務の例使うときの条件
営業提案書の構成案・一次ドラフト、フォローメールの下書き、商談メモの整理、業界情報の下調べ顧客名・商談内容は仮名化して入力。顧客提出物は上長確認を挟む
管理部門社内規程・手続きに関する問い合わせ回答の下書き、会議議事録の整形、社内通知文の作成、文書の要約個人の人事・給与情報は入力しない。規程の解釈は原文と照合する
企画・マーケティング企画書のたたき台、アイデアの発散・壁打ち、調査結果の構造化、記事・資料の校正未公開の事業計画・数値は抽象化して入力。統計・出典は原典を確認する
エンジニア・情報システムコードの下書き・レビュー補助、エラー調査、手順書・仕様書のドラフト認証情報・本番データを入力しない。生成コードはレビューを経て採用する
全職種共通自分用のメモ・学習、文章の推敲、翻訳の下書き、考えの整理入力禁止情報の線引きは業務利用と同じ基準を守る

図2:職種別「使ってよい業務」の例 — 「業務名+条件」のセットで示すのがポイント

この表の形式で重要なのは、業務名だけでなく「使うときの条件」を横に並べることです。許可と条件を一体で示すと、④入力禁止情報や⑤出力確認責任が「別ページの禁止事項」ではなく「その業務のやり方の一部」として読まれるようになります。

4. 職種別「注意すべき業務」の例

「使ってよい業務」の裏面として、利用に慎重な判断が必要な業務も職種別に示します。ここでのポイントは、全面禁止にするのではなく、「なぜ注意が必要か」と「使うならどんな条件か」を添えることです。理由のない禁止は形骸化しますが、理由が腹落ちした注意事項は守られます。

「使ってよい」「注意すべき」の2つのリストは、そのまま次章のプロンプトテンプレートと研修演習の素材になります。8項目のルールが本則だとすれば、この職種別リストは現場が毎日参照する実用面です。更新頻度も本則より高くなるため、別紙・別ページとして分冊しておくと改訂が楽になります。

5. プロンプトテンプレートの作り方 — ルールを「使える形」に変換する

ルールと業務例を整えても、現場が白紙の入力欄を前に手が止まってしまえば定着しません。この最後の一歩を埋めるのがプロンプトテンプレートです。テンプレートとは、よく使う依頼文の型をあらかじめ用意し、社員が穴埋めするだけで安全かつ品質の揃った出力を得られるようにしたものです。

テンプレートには、ルールの内容を構造として埋め込みます。たとえば議事録整理のテンプレートなら、次のような要素で構成します。

  1. 役割と目的 — 「あなたは会議記録の編集者です。以下のメモを、決定事項・宿題・論点の3区分で整理してください」
  2. 入力の注意書き — 「※固有名詞は仮名(A社・Bさん等)に置き換えてから貼り付けること」──④入力禁止情報がテンプレート内の手順として機能します
  3. 出力形式の指定 — 見出し・箇条書き・表など、後工程でそのまま使える形式を指定する
  4. 確認の促し — 「出力後、日付・金額・担当者名を元のメモと照合すること」──⑤出力確認責任が作業手順に変換されます

つまりテンプレートは、単なる便利ツールではなく、ルールの④と⑤を「読むもの」から「手を動かす手順」に変換する装置です。禁止事項を暗記していなくても、テンプレートに沿って作業すればルールを守れる状態を作ることが狙いです。

作り方の手順はシンプルです。まず職種別の「使ってよい業務」から利用頻度の高そうなものを5〜10個選び、それぞれに1本ずつテンプレートを作ります。最初から完成度を求めず、実際に使った社員の「ここを直したい」を集めて改訂していきます。テンプレート集は全社で1つの置き場(社内ポータルや共有ドキュメント)に集約し、誰が管理者で、改善提案をどこに送るかを明記しておくと、現場発の改善が回り始めます。

6. 社内研修で扱うべき演習

ルールの周知を「配布して読んでおいてください」で済ませると、ほぼ確実に読まれません。定着には研修が必要ですが、ルールの読み合わせだけの研修も効果が薄いのが実情です。実務でおすすめしているのは、手を動かす演習を中心に据えた60〜90分の構成です。扱うべき演習は次の4つです。

研修は一度きりではなく、新入社員・中途入社者向けの定期開催と、ルール改訂時の差分説明をセットで計画します。また、研修後に「自分の業務でまず使う場面を1つ決めて書き出す」ところまでやると、翌週からの利用率が目に見えて変わります。

7. ルールを更新し続ける運用体制

生成AIの機能・規約・リスクは変化が速く、制定時点のルールは必ず陳腐化します。だからこそ8項目めの「教育・更新体制」が、他の7項目を生かし続ける要になります。運用体制として最低限決めておくべきことは次の4点です。

更新体制まで含めて初めて、社内ルールは「制定された文書」から「運用されている仕組み」になります。逆に言えば、8項目のうちどれか1つを削らざるを得ないとしても、⑧だけは削ってはいけません。

8. 自社ルールの充足度チェックリスト

ここまでの内容を、自社のルールがどこまで整っているかを点検するチェックリストにまとめます。すでにルールがある企業は既存文書との照合に、これから作る企業は設計の順序としてお使いください。

生成AI社内ルール 充足度チェックリスト
  1. ルールの冒頭に、禁止ではなく「会社として活用を進める」という利用目的が書かれている
  2. 会社として認めるツール・プランと、新ツールを使いたいときの申請手順が示されている
  3. 職種ごとに「使ってよい業務」が具体例つきで列挙されている
  4. 入力禁止情報が、自社で扱う情報の具体名で線引きされている
  5. 仮名化・抽象化・設定変更など、禁止情報を扱うための回避手段が示されている
  6. AI出力の確認責任者と、確認の観点(事実・数値・出典・表現)が業務ごとに決まっている
  7. 顧客提出物への利用条件と、上長確認などの工程が定義されている
  8. 利用状況を把握する手段と、問題発生時に遡って確認できる体制がある
  9. プロンプトテンプレートの置き場と管理者が決まっている
  10. 研修の計画と、ルール改訂のオーナー・見直し頻度が決まっている

10項目のうち半分以上が埋まっていない場合、ルールはまだ「禁止事項の掲示」の段階にあります。すべてを一度に整える必要はありませんが、優先するなら③利用可能業務と⑤出力確認責任から着手してください。この2つが埋まるだけで、ルールは現場にとって「読む理由のある文書」に変わります。

実務用テンプレートを無料配布中(AI業務改善スターターキット)

本記事の8項目をそのまま自社に当てられる「生成AI社内ルール 8項目チェックリスト(PDF)」を、「業務棚卸しテンプレート(Excel)」とセットで無料配布しています。メールアドレスのご登録で、すぐにダウンロードいただけます。

スターターキットを受け取る →

よくある質問

社内ルールはどのくらいの分量が適切ですか?
本則はA4で2〜3枚程度に収め、職種別の業務例やプロンプトテンプレートは付属資料に分ける構成が実務では扱いやすいです。分厚い規程は読まれず、逆に1枚だけの掲示では現場の判断に迷う場面をカバーできません。「本則は薄く、付属資料で具体的に」が基本の考え方です。
社員が個人アカウントでChatGPTをすでに使っている場合、まず何をすべきですか?
いきなり全面禁止にすると利用が水面下に潜り、かえって統制が効かなくなります。まず匿名アンケートやヒアリングで利用実態を把握し、会社として認めるツールと条件を早めに示すことが先決です。そのうえで入力禁止情報の線引きを周知し、業務データを扱う利用は入力データが学習に使われない設定・プランへ移行させる、という順番で進めます。
ルール違反が見つかった場合、罰則を設けるべきですか?
重大な情報漏えいにつながる行為は、就業規則など既存の懲戒の枠組みで扱うのが一般的です。一方で、生成AIルール独自の細かい罰則を並べることはおすすめしません。罰則を強調すると利用の申告や相談が止まり、実態が見えなくなるからです。まずは相談しやすい窓口と、違反が起きたときの是正・再発防止の手順を整える方が実効的です。
ルールの見直しはどのくらいの頻度で行うべきですか?
少なくとも半年に1回、ツールの機能追加・利用規約の変更・社内の利用実態の変化を踏まえて見直すことをおすすめします。加えて、対象ツールの大きな仕様変更や情報漏えい等のインシデントが起きた場合は、定期見直しを待たずに臨時で改訂します。改訂履歴と周知の記録を残しておくと、後から経緯を説明する際にも役立ちます。

自社のルールづくりを具体的に進めたい方へ

無料の初回相談(オンライン30分)で、貴社の利用実態と体制をお聞きしながら
「8項目のうちどこから整えるべきか」を一緒に整理します。

無料相談する →