「来週までに生成AIの社内ガイドラインを作ってほしい」。
総務や管理部門の担当者として、上司から急にこんな依頼を受けて頭を抱えていませんか。ChatGPTをはじめとする生成AI(文章や画像を自動生成するAI)は便利な一方で、情報漏洩や著作権侵害のリスクも抱えています。法務や外部コンサルに頼む予算もなく、何から手をつければいいのか分からない。そんな切迫した状況の担当者は多いはずです。
この記事では、生成AI社内ガイドラインの作り方を3ステップで整理しました。そのままコピペして使えるひな形の全文、既存の就業規則に追記する場合の分岐フロー、公的ガイドラインとの対応マッピング表もまとめて掲載しています。今週中に草案を上司に提出したい方は、第4章のひな形から読み始めても構いません。
そもそも社内ガイドラインが必要な理由
生成AIやChatGPTを業務で活用する企業が急増していますが、ルール整備は追いついていません。帝国データバンクの2024年調査では、日本企業の約17.3%が生成AIを活用中と報告されています。未導入企業の多くが「運用の仕組みがない」ことを障壁に挙げています。
ガイドラインなしで利用を始めると、事故が起きてから慌てて禁止令を出す流れになりがちです。結果として、せっかくの生産性向上の機会も失われます。まずは「なぜ今、社内ガイドラインが必要なのか」を整理しましょう。
情報漏洩・著作権侵害が起きる前に整備する
生成AIで最も多いトラブルが、機密情報の入力による漏洩です。無料版のChatGPTでは、入力した会話データがAIモデルの学習に使われる可能性があります。設定画面「Settings > Data controls」からオプトアウトできますが、従業員全員が正しく設定している保証はありません。
もうひとつの代表例が著作権侵害です。他社の資料やWeb上の記事をそのまま入力して要約させる行為は、著作権法上のリスクを伴います。生成された文章や画像が既存作品に酷似していた場合の責任も問題になります。こうしたリスクは、事故が起きてからでは取り返しがつきません。
法規制の最新動向(2025年版AI事業者ガイドライン)
2025年は日本のAI規制が大きく動いた年です。総務省と経済産業省は2025年3月28日に「AI事業者ガイドライン第1.1版」を共同公表しました。第1.0版(2024年4月)から生成AI関連の記載が大幅に拡充されています。AI利用者向けの指針は第5部に記載され、別添7にはチェックリストも付属しています。
加えて、2025年5月28日には「AI推進法」(人工知能関連技術の研究開発及び活用の推進に関する法律)が成立し、同年6月4日に公布されました。第7条は「活用事業者の責務」として、基本理念に沿った自律的な活用努力義務を定めています。罰則規定はありませんが、事故時に「努力を怠った」と判断されるリスクはあります。ガイドライン整備は、もはや「あった方がいい」ではなく「ないと困る」段階に来ています。
まず決めること——ガイドライン策定の3ステップ
ガイドラインをゼロから作ろうとすると、何から手をつけるか迷いがちです。先に結論を言うと、決めるべきことは大きく3つしかありません。利用ツール、入力禁止情報、違反時対応。この順番で決めれば、最短ルートで草案まで到達できます。
それぞれのステップで押さえるべき論点を整理していきます。
ステップ1:利用可能なツールと用途を決める
最初に「どのツールを、どの業務で使ってよいか」を決めます。ChatGPT Enterprise版は入力データが学習に使われないため、機密性の高い業務にも使えます。一方、無料版のChatGPTはデフォルトで学習対象となるため、用途を限定すべきです。
ツールごとのデータ学習ポリシーは以下のように異なります。
| プラン | 学習への利用 | 推奨用途 |
|---|---|---|
| ChatGPT Free / Plus | デフォルトでオン(オプトアウト可) | 公開情報のみを扱う業務 |
| ChatGPT Team / Enterprise / Edu | デフォルトでオフ | 社内情報を含む業務 |
| API(ビジネス契約) | デフォルトでオフ | 社内システム連携 |
ChatGPT EnterpriseはAES-256による保存時暗号化とTLS 1.2以上の転送時暗号化を実装し、SOC 2 Type 2監査も受けています。SAML SSOやMFAにも対応しているため、セキュリティ要件が厳しい企業にも適しています。
利用可能な業務範囲の具体例としては、議事録の要約、メール文面の下書き、社内問い合わせ対応の一次回答などが挙げられます。社内資料を活用するユースケースは、関連記事「Google NotebookLM使い方入門」も参考にしてください。
ステップ2:入力禁止情報の範囲を決める
次に「何を入力してはいけないか」を明確にします。業界で共通して禁止されているのは次の項目です。
- 個人情報(氏名・住所・電話番号・マイナンバー等)
- 社外秘・機密情報
- 顧客・取引先情報
- 第三者の著作物(他社資料・論文・記事の原文)
- 他社から秘密保持義務を課された情報
- 著名人の顔写真・氏名
ここで重要なのは、「禁止」だけでなく「加工すればOK」のラインも示すことです。たとえば顧客データはそのまま入力禁止ですが、数値をダミーに置き換えれば分析相談に使えます。現場が判断に迷わない粒度で書くことがポイントです。
個人が業務で気をつけるべき注意点の全体像は、関連記事「生成AIを仕事で使うときの注意点チェックリスト15」にまとめています。組織ルールと個人の注意点を両輪で押さえると効果的です。
ステップ3:違反時の対応フローを決める
ルールは「違反したらどうなるか」まで決めて初めて機能します。いきなり懲戒処分ではなく、段階的な対応フローが現実的です。
一般的には次の3段階が使われます。
- 口頭注意:軽微な違反、過失による一回目の違反
- 書面指導:同じ従業員による2回目以降、または中程度の違反
- 懲戒検討:故意による機密情報漏洩、重大なインシデント発生時
この段階を明示しておくと、現場管理職が判断に迷いません。人事・法務部門との連携窓口も併記しておくと安心です。
【2パターン対応】作成フローチャート
ガイドラインを作る方法は、大きく2パターンあります。「ゼロから新規文書として作る」か「既存の就業規則・情報セキュリティポリシーに追記する」かです。実務担当者が最も気にするのは既存規程との整合性ですが、競合記事はこの分岐をほとんど扱っていません。
あなたの会社の状況に合うパターンを選んでください。
ゼロから作る場合の手順
就業規則に情報セキュリティの詳細規定がない企業や、独立した文書として整備したい場合はこちらです。手順は次の5ステップです。
- 現状把握(誰がどのAIをどう使っているかヒアリング)
- 本記事のひな形をベースに草案作成
- 情報システム部門・法務担当に内容確認
- 経営層の承認取得
- 全社周知とeラーニング実施
所要期間の目安は2〜4週間です。承認ルートが長い場合は余裕を持って着手してください。
既存の就業規則・情報セキュリティポリシーに追記する場合
すでに情報セキュリティポリシーや就業規則が整備されている中堅企業は、こちらの方が現実的です。追記手順は次の通りです。
現行規程の該当条文を特定
↓
「生成AI」に関する条項を新規追加(または既存条項を拡張)
↓
用語集に「生成AI」「プロンプト」等を追加
↓
既存の情報管理規定との重複・矛盾をチェック
↓
就業規則変更の場合は労基署への届出要否を確認就業規則本体に追記すると変更手続きが重くなります。情報セキュリティポリシー側に追加する方が柔軟に運用できます。労基署への届出が必要かどうかは、社労士に相談すると確実です。
コピペで使えるガイドラインひな形(全文掲載)
ここからが本記事の核心です。以下のひな形をMarkdown形式でそのままコピーして、自社用にカスタマイズしてください。JDLA(日本ディープラーニング協会)の「生成AIの利用ガイドライン」ひな形と、AI事業者ガイドライン第1.1版を参考に、中小企業でも実運用できる粒度で整理しました。
目的・適用範囲と利用可能な業務範囲
# 生成AI利用ガイドライン
## 第1条(目的と適用範囲)
本ガイドラインは、株式会社〇〇(以下「当社」)において、
役員および従業員(派遣社員・業務委託先を含む)が生成AIを
業務で利用する際の遵守事項を定める。
## 第2条(利用可能なツール)
当社で利用を許可する生成AIツールは以下の通り。
上記以外のツールを業務で利用する場合は、
情報システム部門に事前申請すること。
- ChatGPT Team / Enterprise
- Microsoft Copilot for Microsoft 365
- Google Gemini for Workspace
## 第3条(利用可能な業務範囲)
以下の業務に限り、生成AIの利用を認める。
1. 社内向け文書・メールの下書き作成
2. 議事録・会議メモの要約
3. 公開情報の調査・要約
4. プログラムコードの雛形生成・レビュー補助
5. 翻訳・文章校正入力禁止情報と出力確認の義務
## 第4条(入力禁止情報)
以下の情報を生成AIに入力することを禁止する。
ただし、第2条に定めるTeam / Enterprise契約の
ツールで、かつ所属長の承認を得た場合はこの限りでない。
1. 個人情報(氏名・住所・電話番号・
マイナンバー・顔写真等)
2. 社外秘・機密情報として指定された情報
3. 顧客・取引先から受領した情報
4. 第三者の著作物(他社資料・論文等の原文)
5. 秘密保持契約(NDA)の対象となる情報
6. 未公表の財務情報・人事情報
## 第5条(出力結果の確認義務)
生成AIの出力結果を業務に利用する場合、
利用者は以下を必ず確認すること。
1. 事実関係の正確性(ハルシネーションへの対応)
2. 第三者の権利侵害の有無
3. 差別的・不適切な表現の有無違反時の対応(口頭注意→書面指導→懲戒検討)
## 第6条(違反時の対応)
本ガイドラインに違反した場合、以下の段階で対応する。
【第1段階】口頭注意
- 過失による軽微な違反
- 所属長から口頭で注意し、再発防止を確認
【第2段階】書面指導
- 同一従業員による2回目以降の違反
- 人事部門から書面で指導を行う
【第3段階】懲戒検討
- 故意による機密情報漏洩
- 重大なインシデントの発生
- 就業規則に定める懲戒規定に従い処分を検討教育・研修計画と改定手順
## 第7条(教育・研修)
全従業員は、入社時および年1回、
生成AI利用に関する研修を受講する。
研修内容は以下を含む。
1. 本ガイドラインの全条項
2. 入力禁止情報の具体例
3. ハルシネーションの実例
4. 過去のインシデント事例
## 第8条(改定)
本ガイドラインは年1回見直すほか、
重大な法改正・技術変化があった場合に随時改定する。
改定は情報システム部門が起案し、
経営会議の承認を経て施行する。
制定日:20XX年XX月XX日
改定日:—
所管:情報システム部門ここまでをそのままWordやNotionに貼り付ければ、草案の骨格が完成します。自社の実態に合わせて、ツール名や条文番号を調整してください。
公的ガイドラインとの対応マッピング表
「上司から根拠を聞かれたらどうしよう」という不安を解消するため、本ひな形の各条文がどの公的指針に対応するかをまとめました。
主要な公的ガイドライン3種の概要
参照すべき公的資料は次の3つです。
- AI事業者ガイドライン第1.1版(総務省・経産省、2025年3月28日)
- 生成AIの利用ガイドライン(JDLA、2023年5月初版・同年10月に第1.1版に改訂)
- 生成AIの調達・利活用に係るガイドライン(DS-920)(デジタル庁、2025年5月27日)
AI事業者ガイドラインは法的根拠に最も近い存在です。JDLAひな形は実務で最もカスタマイズしやすい形式となっています。デジタル庁版は行政向けですが、調達プロセスの考え方が参考になります。
自社ひな形のどの条文がどの公的指針に対応するか
| 本記事ひな形 | AI事業者ガイドライン第1.1版 | JDLAひな形 |
|---|---|---|
| 第2条 利用可能ツール | 第5部 AI利用者向け指針 | 第1条 利用可能な生成AI |
| 第4条 入力禁止情報 | 別添7 チェックリスト | 第2条 データ入力に際して注意すべき事項 |
| 第5条 出力結果の確認 | 第5部 出力の妥当性確認 | 第3条 生成物の利用に際して注意すべき事項 |
| 第6条 違反時の対応 | 別添2 AIガバナンス実践例 | (各社で追記) |
| 第7条 教育・研修 | 別添2 実践のポイント | 前文 周知徹底 |
この対応表を参考資料として添付すれば、経営層への説明がスムーズになります。
導入後の運用——形骸化させないためのポイント
ガイドラインは作って終わりではありません。むしろ、作った後の運用の方がはるかに重要です。せっかく整備しても、半年後に誰も覚えていないケースは少なくありません。
形骸化を防ぐ2つのポイントを押さえましょう。
年1回の見直しタイミングと改定手順
生成AIの技術進化は速く、半年で状況が大きく変わります。年1回の定期見直しを必ずスケジュールに組み込んでください。おすすめの見直しタイミングは次の2つです。
- 4月:年度初めに合わせて新ツール追加・廃止を反映
- 10月:上期のインシデント事例を踏まえて禁止事項を更新
改定手順は「情報システム部門が起案 → 法務確認 → 経営会議承認 → 全社周知」の4ステップで固定化します。毎年同じ流れにすることで、担当者が変わっても運用が継続します。
現場への周知方法とeラーニングチェックリスト
周知で最も効果的なのは、eラーニングと理解度テストの組み合わせです。小テストで80点以上を取らないと社内システムにログインできない仕組みにすると、受講率が一気に上がります。
eラーニング用のチェック項目例を挙げます。
- [ ] 社内で利用許可されている生成AIツールを3つ挙げられる
- [ ] 入力禁止情報の6カテゴリを説明できる
- [ ] 機密情報を誤って入力した場合の報告先を知っている
- [ ] 出力結果の事実確認方法を理解している
- [ ] 違反時の対応3段階を説明できる
新入社員研修にも必ず組み込みましょう。入社時点で「この会社では生成AIの扱いが明確」と感じてもらうことが、企業文化として定着させる第一歩です。
よくある質問(FAQ)
最後に、担当者からよく聞かれる質問をまとめました。
Q1. 無料版ChatGPTの利用は全面禁止すべきですか?
A. 全面禁止は現実的ではありません。公開情報の調査や一般的な文章作成に限定し、機密情報の入力を禁止するルールが実用的です。設定画面からオプトアウトする手順も併せて周知してください。
Q2. 就業規則への追記は必要ですか?
A. 必須ではありません。情報セキュリティポリシーへの追加で対応する企業が多いです。ただし、懲戒処分を伴う規定を設ける場合は、就業規則との整合性を社労士に確認してください。
Q3. 違反が起きたらどのタイミングで懲戒を検討すべきですか?
A. 故意による機密情報漏洩や重大インシデントが発生した段階です。過失による初回違反は口頭注意で十分なケースが多く、いきなり懲戒を持ち出すと現場が萎縮します。
Q4. ひな形をそのまま使って法的に問題ないですか?
A. 本記事のひな形は一般的な中小企業を想定した雛形です。業種固有の規制(金融・医療等)がある場合は、必ず自社の法務担当または外部専門家に最終確認を受けてください。
Q5. AI推進法で企業は何を求められますか?
A. 第7条で「基本理念に沿った自律的な活用努力義務」が定められていますが、罰則はありません。ただし、事故時の責任判断材料になるため、ガイドライン整備は実質的な必須対応と言えます。
まとめ
生成AI社内ガイドラインの作り方を、3ステップとひな形全文を通して解説しました。ポイントを振り返ります。
- 決めるべきことは「利用ツール」「入力禁止情報」「違反時対応」の3つ
- ゼロから作るか、既存規程に追記するかで手順が変わる
- 本記事のひな形をコピペしてカスタマイズすれば、最短で草案が完成する
- 公的ガイドラインとのマッピングを示せば経営層への説明がスムーズ
- 年1回の見直しとeラーニングで形骸化を防ぐ
この記事のひな形が、あなたの「今週中に草案を提出する」ミッションの助けになれば幸いです。個人の使い方ルールと組み合わせる場合は、関連記事「生成AIを仕事で使うときの注意点チェックリスト15」も合わせて活用してください。
