生成AIを使うと、文章作成、要約、翻訳、議事録整理、メール文案、企画案作成、表計算の補助など、多くの業務を効率化できます。
一方で、会社としてルールを決めないまま使うと、次のような問題が起きる可能性があります。
顧客情報を入力してしまう。
未発表の見積書や提案内容を入力してしまう。
生成AIの出力を事実確認せず、そのまま顧客へ送ってしまう。
著作権や商標の確認をしないまま、画像や文章を公開してしまう。
誰がどの生成AIサービスを業務で使っているか、会社が把握していない。
IPAの「情報セキュリティ10大脅威 2026」では、組織向け脅威の3位に「AIの利用をめぐるサイバーリスク」が初めて選出されています。IPAは、AIに対する不十分な理解による意図しない情報漏えい、他者の権利侵害、AIの出力を十分に検証せず鵜呑みにすることによる問題、AIの悪用による攻撃の容易化などをリスクとして挙げています。
この記事では、中小企業が生成AIを安全に業務利用するために、入力してはいけない情報、出力確認の方法、責任者、利用申請、記録の残し方を整理します。
なお、この記事は一般的な実務整理です。個人情報保護法、著作権、契約、業法、秘密保持義務に関する個別判断が必要な場合は、弁護士、個人情報保護の専門家、情報セキュリティ専門家等に確認してください。
生成AIは「禁止」ではなく「ルール化」が現実的
生成AIの利用を全面的に禁止することは、短期的には分かりやすい対策です。
しかし、現実には、従業員が個人アカウントや無料サービスで使い始めてしまうことがあります。会社が把握していないまま業務利用されると、どの情報が入力されたのか、どの出力が使われたのか、誰が責任を持って確認したのかが分かりません。
そのため、中小企業では「使ってよい範囲」と「使ってはいけない範囲」を明確にすることが重要です。
総務省・経済産業省の「AI事業者ガイドライン」は、2026年3月31日時点で第1.2版が取りまとめられており、最新版として本編、概要、チェックリスト、ワークシート等が公開されています。
同ガイドラインでは、AI利用者についても、安全性、プライバシー保護、セキュリティ確保、透明性、アカウンタビリティなどに関する取組事項が整理されています。
つまり、生成AIの社内ルールは、単なる禁止リストではありません。
安全に使うための業務ルール、確認手順、責任分担、記録の仕組みです。
生成AI利用で起こりやすいリスク
まず、生成AIを業務で使うときのリスクを整理します。
| リスク | 具体例 |
|---|---|
| 情報漏えい | 顧客情報、見積書、契約書、未発表資料、営業秘密を入力する |
| 個人情報の不適切取扱い | 氏名、住所、メール、相談内容、従業員情報を目的外に入力する |
| 誤情報の利用 | AIの出力を確認せず、誤った説明を顧客へ送る |
| 著作権・商標リスク | 生成された文章・画像・コードを確認せず公開する |
| 契約違反 | 秘密保持契約で禁止されている情報を外部サービスへ入力する |
| なりすまし・詐欺 | AIで作られた自然な文章や偽画像を信じてしまう |
| シャドーIT | 会社が把握していないAIサービスが業務で使われる |
| 責任不明確 | 出力を誰が確認し、誰が承認したか分からない |
IPAとAISIが公開している「AI利用者のためのセキュリティ豆知識」は、AIやセキュリティに詳しくないAI利用者やマネージャを想定し、AI利用時の最低限かつ有効性の高いセキュリティ対策を紹介する資料です。その目次には、「クラウドAIに営業秘密は教えない」「外見では詐欺師を見破れないと心得る」など、利用者側が注意すべき項目が含まれています。
社内ルールの基本方針
生成AIの社内ルールは、最初から細かく作り込みすぎる必要はありません。
まずは、次の5つを基本方針にします。
| 基本方針 | 内容 |
|---|---|
| 1. 入力を制限する | 顧客情報、個人情報、機密情報、契約上秘密とされる情報を不用意に入力しない |
| 2. 出力を確認する | 生成AIの回答をそのまま社外文書、顧客回答、法務・医療・金融判断に使わない |
| 3. 利用サービスを把握する | 業務で使う生成AIサービスを会社が台帳で管理する |
| 4. 責任者を決める | 利用可否、サービス選定、教育、事故対応の責任者を決める |
| 5. 記録を残す | 利用申請、承認、重要な出力確認、事故対応を証跡として残す |
AI事業者ガイドラインでは、文書化について、必要なときに必要なところで参照可能な状態にすることが示されています。また、教育・リテラシーについて、AIに関わる者が正しい理解と社会的に正しい利用ができる知識・リテラシー・倫理感を持つために、必要な教育を行うことが期待されています。
利用区分を3つに分ける
生成AIの利用は、すべて同じリスクではありません。
例えば、一般的な文章の言い換えと、顧客情報を含む相談内容の入力では、リスクが大きく異なります。
そのため、社内ルールでは、利用区分を3つに分けると運用しやすくなります。
| 区分 | 内容 | 例 |
|---|---|---|
| 利用可 | 機密情報・個人情報を含まない一般的な利用 | 一般的な文章の言い換え、社内研修案、一般知識の整理 |
| 承認制 | 業務情報を扱うが、リスク管理すれば利用可能 | 社内資料の要約、議事録整理、顧客向け文案作成 |
| 原則禁止 | 入力や出力に重大なリスクがある利用 | 顧客の個人情報入力、未発表の提案書入力、契約判断の丸投げ |
最初のルールでは、細かい分類よりも、「迷ったら承認制にする」ことが重要です。
入力してはいけない情報
生成AI利用ルールで最も重要なのは、入力禁止情報です。
次の情報は、原則として、会社が承認した安全な環境や契約上の確認がない限り、生成AIサービスへ入力しないようにします。
| 入力禁止情報 | 例 |
|---|---|
| 顧客情報 | 氏名、住所、電話番号、メール、購入履歴、相談内容 |
| 従業員情報 | 給与、評価、健康情報、住所、家族情報、マイナンバー |
| 取引先情報 | 担当者名、契約条件、価格、支払条件、未公開案件 |
| 営業秘密 | 仕入価格、原価、顧客リスト、ノウハウ、技術情報 |
| 未発表情報 | 新商品、未公開キャンペーン、提案書、入札情報 |
| 契約上の秘密情報 | NDA対象情報、委託元から預かった資料 |
| 認証情報 | ID、パスワード、APIキー、トークン、秘密鍵 |
| セキュリティ情報 | 脆弱性情報、ネットワーク構成、ログ、インシデント詳細 |
| 法務・労務の個別案件 | 紛争、懲戒、解雇、ハラスメント相談 |
| 医療・健康・要配慮情報 | 病歴、診療情報、健康診断結果、障害情報 |
個人情報保護委員会は、生成AIサービスへ個人情報を含むプロンプトを入力する場合、特定された利用目的を達成するために必要な範囲内であることを十分確認するよう注意喚起しています。また、本人の同意なく個人データを含むプロンプトを入力し、その個人データが応答結果の出力以外の目的で取り扱われる場合、個人情報保護法の規定に違反する可能性があるため、生成AIサービス提供事業者が機械学習に利用しないこと等を十分確認するよう示しています。
「匿名化すれば大丈夫」と考えない
生成AIに入力する前に、氏名を「Aさん」に置き換えれば安全だと考える場合があります。
しかし、匿名化やマスキングが不十分な場合、他の情報から個人や会社が推測されることがあります。
例えば、次のような入力は危険です。
| 入力例 | 問題点 |
|---|---|
| 「福岡市南区の〇〇業界で、4月に退職した営業部長A氏について」 | 氏名を消しても特定される可能性がある |
| 「従業員20名の会社で、経理担当Bさんの給与トラブルについて」 | 個別労務案件として特定性・機微性が高い |
| 「取引先C社との見積金額を下げる交渉文を作って」 | 取引条件や営業秘密に該当する可能性がある |
| 「このセキュリティログから攻撃の原因を調べて」 | システム構成や脆弱性情報を外部に渡す可能性がある |
匿名化したつもりでも、業種、地域、時期、役職、金額、案件名などが組み合わさると、特定につながる場合があります。
社内ルールでは、個人名を消したかどうかではなく、入力内容全体で特定・推測されるかを確認します。
個人情報を入力する場合の確認
業務によっては、生成AIを使って問い合わせ内容を分類したい、議事録を要約したい、顧客対応文を作りたいという要望が出ることがあります。
その場合でも、個人情報を入力する前に、次の項目を確認します。
| 確認項目 | 内容 |
|---|---|
| 利用目的 | その個人情報の利用目的の範囲内か |
| 必要性 | 個人情報を入力しないと目的を達成できないか |
| 最小化 | 氏名、連絡先、住所などを削除できないか |
| 契約 | サービス提供事業者の規約・契約で入力データの扱いが明確か |
| 学習利用 | 入力データが学習に使われない設定・契約か |
| 保存期間 | 入力内容や履歴がどのくらい保存されるか |
| アクセス権 | 誰が入力履歴や出力履歴を見られるか |
| ログ | 利用履歴を確認できるか |
| 承認 | 責任者の承認を得ているか |
| 証跡 | 確認結果を記録しているか |
個人情報保護委員会は、一般利用者に対しても、生成AIサービスでは入力された個人情報が機械学習に利用されることがあり、正確または不正確な内容で出力されるリスクがあるため、入力する情報の内容や利用規約・プライバシーポリシー等を踏まえて適切に判断するよう注意喚起しています。
出力をそのまま使わない
生成AIの出力は、自然な文章に見えるため、正しいように感じやすいです。
しかし、生成AIの回答には、誤り、不正確な表現、古い情報、存在しない制度、架空の判例、誤った計算、偏った見解が含まれることがあります。
社内ルールでは、次のように定めます。
生成AIの出力は、担当者が確認し、必要に応じて責任者が承認してから使用する。
特に、次の用途では、出力をそのまま使ってはいけません。
| 用途 | 必要な確認 |
|---|---|
| 顧客への回答 | 事実、契約内容、納期、料金、責任範囲を確認 |
| 法務・労務 | 弁護士、社労士、専門部署の確認 |
| 医療・健康 | 医師、専門家、公式資料の確認 |
| 金融・税務 | 税理士、会計士、金融機関、公式資料の確認 |
| セキュリティ対応 | 情報処理安全確保支援士、保守会社、公式資料の確認 |
| 広告・Web公開 | 著作権、商標、景品表示、個人情報、事実関係を確認 |
| プレスリリース | 経営者、広報、法務、関係部署の確認 |
| 見積・契約 | 金額、条件、責任範囲、契約条項を確認 |
IPAは、「AIの利用をめぐるサイバーリスク」として、AIが加工・生成した結果を十分に検証せず鵜呑みにすることにより生じる問題を挙げています。
出力確認チェックリスト
生成AIの出力を業務で使う場合、次のチェックリストを使うと確認しやすくなります。
| No | チェック項目 | 確認 |
|---|---|---|
| 1 | 出力内容の事実確認を行ったか | □ |
| 2 | 公式資料、社内資料、契約書、専門家確認など、根拠を確認したか | □ |
| 3 | 存在しない制度、法律、判例、統計、URLが含まれていないか | □ |
| 4 | 顧客名、取引先名、個人名などの誤りがないか | □ |
| 5 | 古い情報や更新前のルールに基づいていないか | □ |
| 6 | 著作権・商標・第三者権利を侵害するおそれがないか | □ |
| 7 | 個人情報や秘密情報が出力に含まれていないか | □ |
| 8 | 差別的・不適切・誤解を招く表現がないか | □ |
| 9 | 顧客に断定しすぎていないか | □ |
| 10 | 必要な承認者が確認したか | □ |
| 11 | 生成AIを使ったことを記録したか | □ |
| 12 | 社外公開する場合、最終責任者が承認したか | □ |
AI事業者ガイドラインでは、AIシステム・サービスの開発・提供・利用において、検証可能性を確保しながら、必要かつ技術的に可能な範囲で情報提供することが重要とされています。また、利用時の入出力等のログについて、事故原因究明や再発防止策の検討等を踏まえて記録方法、頻度、保存期間等を検討することが示されています。
著作権・商標・第三者権利の確認
生成AIで作成した文章、画像、ロゴ案、キャッチコピー、コードなどを公開・納品・販売する場合は、著作権や商標などの確認が必要です。
文化庁の「AIと著作権に関する考え方について」は、生成AIと著作権に関する考え方を整理したものですが、同文書自体は法的拘束力を持たず、特定の生成AIや技術について確定的な法的評価を行うものではないと明記されています。
したがって、社内ルールでは、次のように定めるとよいでしょう。
| 確認対象 | 確認内容 |
|---|---|
| 文章 | 既存記事、競合資料、第三者文章と酷似していないか |
| 画像 | 既存キャラクター、写真、作家の作風、商標、肖像に近すぎないか |
| ロゴ | 商標登録済みのロゴやブランド名と混同しないか |
| キャッチコピー | 既存広告、商品名、商標と重複しないか |
| コード | ライセンス違反、脆弱性、第三者コードの混入がないか |
| 音声・動画 | 肖像権、パブリシティ権、著作隣接権等の問題がないか |
| 納品物 | 生成AI利用の可否が契約で制限されていないか |
文化庁の資料では、生成AIに対して既存著作物を入力する場合に著作物の複製等が生じる場合があること、また、既存著作物と類似する生成物を生成させる目的で当該著作物を入力する行為について、著作権法第30条の4は適用されないと考えられるとの整理が示されています。
個別の著作権侵害該当性は、類似性、依拠性、利用態様、契約内容などにより判断が変わります。
そのため、社外公開・納品・販売に使う生成物は、必ず人が確認し、必要に応じて専門家へ相談する運用にします。
生成AI利用台帳を作る
生成AIを業務で使う場合、利用サービスを会社が把握する必要があります。
前回までの記事で扱ったSaaS・クラウド台帳と同じように、生成AIについても台帳を作ります。
| 項目 | 記録する内容 |
|---|---|
| サービス名 | 利用している生成AIサービス名 |
| 利用目的 | 文章作成、要約、翻訳、議事録、画像作成など |
| 利用部署 | 総務、営業、経理、広報、開発など |
| 管理責任者 | 利用を承認する責任者 |
| 技術管理者 | アカウント、契約、設定を管理する人 |
| 契約形態 | 無料、個人契約、法人契約、API利用など |
| 入力可能情報 | 一般情報のみ、社内情報可、個人情報不可など |
| 学習利用 | 入力内容が学習に使われるか、設定で除外できるか |
| 履歴保存 | 入力・出力履歴の保存有無、保存期間 |
| 利用者 | 誰が使っているか |
| MFA | 多要素認証の有無 |
| ログ | 管理者が利用履歴を確認できるか |
| 承認日 | 利用を認めた日 |
| 最終確認日 | 規約・設定・利用者を見直した日 |
| 未確認事項 | 学習利用、保存期間、海外移転、規約変更など |
生成AIは、従業員が個人判断で使い始めやすいサービスです。
会社として使うなら、「誰が、何のために、どの情報を入力してよいか」を台帳で管理しましょう。
利用申請のルール
生成AIを業務で使いたい場合、次のような利用申請を行うルールにします。
| 項目 | 記入内容 |
|---|---|
| 申請者 | 氏名、部署 |
| 利用したいサービス | サービス名、URL、契約形態 |
| 利用目的 | 何の業務で使うか |
| 入力予定情報 | 入力する情報の種類 |
| 個人情報の有無 | あり/なし |
| 機密情報の有無 | あり/なし |
| 社外公開の有無 | 出力を顧客・Web・SNS等に使うか |
| 確認者 | 出力を誰が確認するか |
| リスク対策 | 入力制限、出力確認、承認、ログ保存 |
| 承認者 | 責任者名 |
| 承認日 | 利用開始日 |
| 見直し予定 | 3か月後、半年後など |
すべての軽微な利用に申請を求めると、現場が使いにくくなります。
そのため、次のように分けると現実的です。
| 利用内容 | 申請 |
|---|---|
| 一般的な文章の言い換え、アイデア出し | 事前に認めた範囲なら申請不要 |
| 社内資料の要約、議事録整理 | 部署責任者の承認 |
| 顧客向け文案、Web公開文案 | 出力確認者と承認者を明確化 |
| 個人情報・機密情報を含む利用 | 原則禁止または個別承認 |
| API連携、自動処理、顧客向けAI機能 | 経営者・責任者・専門家による確認 |
責任者を決める
生成AIの利用でよくある失敗は、誰も責任者になっていないことです。
「便利だから使っている」
「各部署で自由に使っている」
「個人アカウントなので会社は把握していない」
この状態では、事故が起きたときに対応できません。
社内ルールでは、少なくとも次の役割を決めます。
| 役割 | 主な責任 |
|---|---|
| 経営責任者 | 生成AI利用方針、許容リスク、対外説明の最終判断 |
| AI利用責任者 | 利用ルール、申請、台帳、教育、見直しを管理 |
| 情報セキュリティ責任者 | 入力制限、ログ、アカウント、事故対応を管理 |
| 個人情報管理責任者 | 個人情報入力の可否、PPC対応、本人対応を確認 |
| 各部署責任者 | 部署内の利用状況、出力確認、承認を管理 |
| 利用者 | 入力禁止情報を守り、出力を確認し、違反時に報告 |
AI事業者ガイドラインでは、アカウンタビリティの項目として、責任者の明示、関係者間の責任の分配、ステークホルダーへの具体的な対応、文書化が示されています。
中小企業では、代表者や総務責任者が複数の役割を兼ねることがあります。
それでも、台帳上は「誰が承認するのか」「誰が事故時に判断するのか」を明確にしておくことが重要です。
生成AIサービス選定時の確認項目
業務で使う生成AIサービスを選ぶときは、機能や価格だけで判断してはいけません。
次の項目を確認します。
| 確認項目 | 内容 |
|---|---|
| 契約形態 | 個人向けか、法人向けか |
| 入力データの扱い | 入力内容が学習に使われるか |
| オプトアウト | 学習利用を停止できるか |
| 保存期間 | 入力・出力履歴がどのくらい保存されるか |
| 管理者機能 | 管理者が利用者、ログ、設定を管理できるか |
| MFA | 多要素認証を設定できるか |
| アクセス制御 | 利用者ごとに権限を管理できるか |
| ログ | 利用履歴、管理者操作、API利用を確認できるか |
| データ所在地 | 保存国・処理国を確認できるか |
| 規約変更 | 利用規約やプライバシーポリシーの変更通知があるか |
| サポート | 障害・事故時の問い合わせ先があるか |
| 解約時 | データ削除、履歴削除、アカウント削除ができるか |
| API利用 | 入力・出力が自動的に外部連携されないか |
| 著作権・利用権 | 出力物の利用条件が規約で明確か |
個人情報保護委員会は、生成AIサービス利用者に対し、サービス提供事業者の利用規約やプライバシーポリシー等を十分確認し、入力する情報の内容等を踏まえて利用を適切に判断するよう示しています。
ログと証跡を残す
生成AIを業務利用する場合、証跡を残すことも重要です。
特に、次のような利用では記録を残します。
| 記録対象 | 残す内容 |
|---|---|
| 利用申請 | 申請者、目的、サービス名、承認者、承認日 |
| 重要な出力 | 何に使ったか、誰が確認したか、根拠資料 |
| 社外公開物 | 生成AI利用の有無、確認者、承認者 |
| 個人情報関連 | 入力しない判断、入力が必要な場合の承認記録 |
| 規約確認 | 利用規約、プライバシーポリシー、学習利用設定の確認日 |
| 教育記録 | 実施日、対象者、内容、参加者 |
| 事故・ヒヤリハット | 誤入力、不適切出力、誤公開、対応内容 |
| 定期見直し | 台帳、設定、利用者、ログ、規約変更の確認 |
AI事業者ガイドラインでは、AIの入出力等のログを記録・保存することや、事故等の原因究明、再発防止策の検討、損害賠償責任要件の立証上の重要性を踏まえ、記録方法、頻度、保存期間等を検討することが示されています。
ただし、ログに個人情報や機密情報が残る場合もあります。
ログを残すこと自体がリスクにならないよう、保存場所、アクセス権、保存期間も決めておきましょう。
誤って入力した場合の対応
従業員が誤って個人情報や機密情報を生成AIへ入力してしまう可能性があります。
その場合に備えて、事前に対応手順を決めておきます。
| 順番 | 対応 | 内容 |
|---|---|---|
| 1 | すぐ報告 | 上司、AI利用責任者、情報セキュリティ責任者へ報告 |
| 2 | 証跡保存 | 入力日時、サービス名、入力内容、出力内容を記録 |
| 3 | 追加利用停止 | 同じ情報を再入力しない、出力を使わない |
| 4 | サービス設定確認 | 履歴削除、学習利用停止、管理者確認 |
| 5 | 影響範囲確認 | 個人情報、機密情報、契約情報、顧客影響を確認 |
| 6 | 関係者連絡 | 必要に応じて顧客、委託元、弁護士、専門家へ相談 |
| 7 | 法令対応 | 個人データの漏えい等に該当する可能性を確認 |
| 8 | 再発防止 | 入力禁止ルール、教育、アクセス制御を見直す |
ここで重要なのは、従業員を責めることではありません。
誤入力を隠される方が、会社にとって大きなリスクになります。
「迷ったら報告」「誤入力してもすぐ報告すれば対応できる」という文化を作ることが大切です。
社内教育で伝えるべきこと
生成AIルールは、規程を作るだけでは定着しません。
従業員向けには、次の内容を短時間で繰り返し伝えるとよいでしょう。
| 教育テーマ | 内容 |
|---|---|
| 入力禁止情報 | 顧客情報、個人情報、機密情報、認証情報を入力しない |
| 出力確認 | AIの回答をそのまま使わず、根拠を確認する |
| 個人情報 | 利用目的、必要最小限、学習利用、規約確認 |
| 著作権 | 生成物を公開・納品する前に第三者権利を確認する |
| 詐欺・偽情報 | AIで作られた自然な文章や画像を鵜呑みにしない |
| 事故対応 | 誤入力、不適切出力、誤公開はすぐ報告する |
| 利用申請 | 新しいAIサービスを使う前に申請する |
| 記録 | 重要な利用は確認者・承認者を記録する |
IPAの「AI利用者のためのセキュリティ豆知識」は、AIにもセキュリティにも詳しくない利用者やマネージャを想定し、社内研修等にも使えるスライド形式の資料として公開されています。
生成AI社内ルールのひな形
以下は、中小企業向けのシンプルな社内ルール案です。
生成AI利用ルール案
当社は、業務効率化と品質向上のため、生成AIを適切に活用する。
ただし、情報漏えい、個人情報の不適切取扱い、著作権侵害、誤情報の利用、契約違反を防ぐため、以下のルールを定める。
1. 利用目的
生成AIは、文章作成補助、要約、翻訳、アイデア出し、資料構成案、社内教育資料作成など、業務補助の目的で利用する。
2. 入力禁止情報
以下の情報は、会社が承認した場合を除き、生成AIに入力してはならない。
- 顧客情報
- 従業員情報
- 取引先情報
- 個人情報
- 営業秘密
- 未発表情報
- 契約上の秘密情報
- ID、パスワード、APIキー等の認証情報
- セキュリティログ、脆弱性情報、ネットワーク構成
- マイナンバー、健康情報、病歴等の要配慮情報
3. 出力確認
生成AIの出力は、必ず利用者が確認する。
顧客、取引先、Webサイト、SNS、契約、法務、労務、税務、医療、セキュリティ対応に使う場合は、必要に応じて責任者または専門家の確認を受ける。
4. 社外利用
生成AIで作成した文章、画像、コード、資料を社外に公開または納品する場合は、事実関係、個人情報、秘密情報、著作権、商標、契約上の制限を確認する。
5. 利用申請
新しい生成AIサービスを業務で利用する場合、利用目的、入力予定情報、利用者、契約形態、学習利用の有無、ログ管理、責任者を明記して申請する。
6. 責任者
生成AIの利用責任者を置き、利用台帳、教育、申請承認、事故対応、定期見直しを管理する。
7. 事故・誤入力時の報告
個人情報、機密情報、契約上秘密とされる情報を誤って入力した場合、または不適切な出力を社外に利用した可能性がある場合は、直ちに責任者へ報告する。
8. 記録
重要な業務利用については、利用目的、確認者、承認者、出力確認、社外利用の有無を記録する。
9. 見直し
生成AIサービスの機能、規約、法令、社内業務の変化に応じて、本ルールを定期的に見直す。
このひな形は、そのまま完成版として使うのではなく、自社の業務、扱う情報、取引先との契約、利用するAIサービスに合わせて調整してください。
よくある失敗
ルールを作らず、個人判断に任せる
生成AIは簡単に使えるため、従業員が個人判断で使い始めやすいサービスです。
会社がルールを決めないと、入力禁止情報、出力確認、責任者が曖昧になります。
無料サービスと法人サービスを同じように扱う
無料サービス、個人アカウント、法人契約、API利用では、入力データの扱い、ログ、管理者機能、契約条件が異なる場合があります。
業務で使う場合は、サービスごとの規約と設定を確認する必要があります。
個人情報を「少しだけなら」と入力する
少量の個人情報でも、利用目的、必要性、学習利用、保存期間、契約条件の確認が必要です。
特に、顧客相談、従業員情報、健康情報、労務案件は慎重に扱うべきです。
出力をそのまま顧客へ送る
生成AIの出力は、文章として自然でも、内容が正しいとは限りません。
顧客回答、契約、見積、法務、労務、税務、医療、セキュリティ対応では、人による確認が必要です。
著作権の確認をしない
生成AIで作った文章や画像でも、第三者の著作物、商標、肖像、契約上の権利に関係する場合があります。
社外公開や納品物では、特に確認が必要です。
誤入力を報告しにくい雰囲気にする
誤入力を隠すと、影響範囲の確認や再発防止が遅れます。
社内ルールでは、誤入力時の報告先と対応手順を明確にし、早期報告を促すことが大切です。
月次点検で確認すること
生成AIの利用ルールは、作って終わりではありません。
月次または四半期ごとに、次の項目を確認します。
| 点検項目 | 内容 |
|---|---|
| 利用サービス | 新しく使い始めた生成AIサービスはないか |
| 利用者 | 個人アカウントで業務利用していないか |
| 入力情報 | 個人情報、機密情報、契約上の秘密情報を入力していないか |
| 出力利用 | 社外公開、顧客回答、納品物に使っていないか |
| 承認 | 承認が必要な利用に承認記録があるか |
| ログ | 管理者が利用履歴を確認できるか |
| 規約 | 利用規約、プライバシーポリシー、学習利用条件が変わっていないか |
| 教育 | 新入社員、パート、業務委託者にもルールを周知したか |
| ヒヤリハット | 誤入力、不適切出力、誤公開の未遂がないか |
| 改善 | ルール、台帳、教育内容を見直したか |
これは、5月のテーマである「証跡ファイル」ともつながります。
生成AI利用台帳、利用申請、出力確認記録、教育記録、ヒヤリハット記録を残すことで、取引先にも「生成AIの利用を管理しています」と説明しやすくなります。
まとめ
生成AIは、業務効率化に役立つ一方で、ルールなしに使うと、情報漏えい、個人情報の不適切取扱い、誤情報の利用、著作権・商標リスク、契約違反につながる可能性があります。
中小企業でまず整備すべきルールは、次の10項目です。
- 生成AIの利用目的を定める
- 入力してはいけない情報を明確にする
- 個人情報・機密情報の入力は原則禁止または承認制にする
- 出力をそのまま使わず、事実確認を行う
- 社外公開・納品物では著作権・商標・契約条件を確認する
- 業務利用する生成AIサービスを台帳で管理する
- 新しいサービス利用時は申請・承認を行う
- 責任者、確認者、承認者を明確にする
- 誤入力・不適切出力時の報告手順を決める
- 教育記録、利用記録、見直し記録を残す
生成AIを安全に使うために必要なのは、「使うな」という一言ではありません。
どの情報を入力してはいけないか、どの出力を確認すべきか、誰が承認するか、事故時にどう報告するかを、会社として明確にすることです。
ライトハウスコンサルタントでは、情報処理安全確保支援士による情報セキュリティに関するコンサルティング、SECURITY ACTION取得サポート、CIOアウトソースサービスなどを行っています。生成AI利用ルール、SaaS・クラウド台帳、個人情報管理、社内教育、インシデント対応体制の整備に不安がある場合は、早めに専門家へ相談することをおすすめします。
