総務や管理部門の担当者として、上司から急にこんな依頼を受けて頭を抱えていませんか。ChatGPTをはじめとする生成AI（文章や画像を自動生成するAI）は便利な一方で、情報漏洩や著作権侵害のリスクも抱えています。法務や外部コンサルに頼む予算もなく、何から手をつければいいのか分からない。そんな切迫した状況の担当者は多いはずです。

この記事では、生成AI社内ガイドラインの作り方を3ステップで整理しました。そのままコピペして使えるひな形の全文、既存の就業規則に追記する場合の分岐フロー、公的ガイドラインとの対応マッピング表もまとめて掲載しています。今週中に草案を上司に提出したい方は、第4章のひな形から読み始めても構いません。

そもそも社内ガイドラインが必要な理由

生成AIやChatGPTを業務で活用する企業が急増していますが、ルール整備は追いついていません。帝国データバンクの2024年調査では、日本企業の約17.3%が生成AIを活用中と報告されています。未導入企業の多くが「運用の仕組みがない」ことを障壁に挙げています。

ガイドラインなしで利用を始めると、事故が起きてから慌てて禁止令を出す流れになりがちです。結果として、せっかくの生産性向上の機会も失われます。まずは「なぜ今、社内ガイドラインが必要なのか」を整理しましょう。

情報漏洩・著作権侵害が起きる前に整備する

生成AIで最も多いトラブルが、機密情報の入力による漏洩です。無料版のChatGPTでは、入力した会話データがAIモデルの学習に使われる可能性があります。設定画面「Settings > Data controls」からオプトアウトできますが、従業員全員が正しく設定している保証はありません。

もうひとつの代表例が著作権侵害です。他社の資料やWeb上の記事をそのまま入力して要約させる行為は、著作権法上のリスクを伴います。生成された文章や画像が既存作品に酷似していた場合の責任も問題になります。こうしたリスクは、事故が起きてからでは取り返しがつきません。

法規制の最新動向（2025年版AI事業者ガイドライン）

2025年は日本のAI規制が大きく動いた年です。総務省と経済産業省は2025年3月28日に「AI事業者ガイドライン第1.1版」を共同公表しました。第1.0版（2024年4月）から生成AI関連の記載が大幅に拡充されています。AI利用者向けの指針は第5部に記載され、別添7にはチェックリストも付属しています。

加えて、2025年5月28日には「AI推進法」（人工知能関連技術の研究開発及び活用の推進に関する法律）が成立し、同年6月4日に公布されました。第7条は「活用事業者の責務」として、基本理念に沿った自律的な活用努力義務を定めています。罰則規定はありませんが、事故時に「努力を怠った」と判断されるリスクはあります。ガイドライン整備は、もはや「あった方がいい」ではなく「ないと困る」段階に来ています。

まず決めること——ガイドライン策定の3ステップ

ガイドラインをゼロから作ろうとすると、何から手をつけるか迷いがちです。先に結論を言うと、決めるべきことは大きく3つしかありません。利用ツール、入力禁止情報、違反時対応。この順番で決めれば、最短ルートで草案まで到達できます。

それぞれのステップで押さえるべき論点を整理していきます。

ステップ1：利用可能なツールと用途を決める

最初に「どのツールを、どの業務で使ってよいか」を決めます。ChatGPT Enterprise版は入力データが学習に使われないため、機密性の高い業務にも使えます。一方、無料版のChatGPTはデフォルトで学習対象となるため、用途を限定すべきです。

ツールごとのデータ学習ポリシーは以下のように異なります。

ChatGPT EnterpriseはAES-256による保存時暗号化とTLS 1.2以上の転送時暗号化を実装し、SOC 2 Type 2監査も受けています。SAML SSOやMFAにも対応しているため、セキュリティ要件が厳しい企業にも適しています。

利用可能な業務範囲の具体例としては、議事録の要約、メール文面の下書き、社内問い合わせ対応の一次回答などが挙げられます。社内資料を活用するユースケースは、関連記事「Google NotebookLM使い方入門」も参考にしてください。

ステップ2：入力禁止情報の範囲を決める

次に「何を入力してはいけないか」を明確にします。業界で共通して禁止されているのは次の項目です。

• 個人情報（氏名・住所・電話番号・マイナンバー等）
• 社外秘・機密情報
• 顧客・取引先情報
• 第三者の著作物（他社資料・論文・記事の原文）
• 他社から秘密保持義務を課された情報
• 著名人の顔写真・氏名

ここで重要なのは、「禁止」だけでなく「加工すればOK」のラインも示すことです。たとえば顧客データはそのまま入力禁止ですが、数値をダミーに置き換えれば分析相談に使えます。現場が判断に迷わない粒度で書くことがポイントです。

個人が業務で気をつけるべき注意点の全体像は、関連記事「生成AIを仕事で使うときの注意点チェックリスト15」にまとめています。組織ルールと個人の注意点を両輪で押さえると効果的です。

ステップ3：違反時の対応フローを決める

ルールは「違反したらどうなるか」まで決めて初めて機能します。いきなり懲戒処分ではなく、段階的な対応フローが現実的です。

一般的には次の3段階が使われます。

1. 口頭注意：軽微な違反、過失による一回目の違反
2. 書面指導：同じ従業員による2回目以降、または中程度の違反
3. 懲戒検討：故意による機密情報漏洩、重大なインシデント発生時

この段階を明示しておくと、現場管理職が判断に迷いません。人事・法務部門との連携窓口も併記しておくと安心です。

【2パターン対応】作成フローチャート

ガイドラインを作る方法は、大きく2パターンあります。「ゼロから新規文書として作る」か「既存の就業規則・情報セキュリティポリシーに追記する」かです。実務担当者が最も気にするのは既存規程との整合性ですが、競合記事はこの分岐をほとんど扱っていません。

あなたの会社の状況に合うパターンを選んでください。

ゼロから作る場合の手順

就業規則に情報セキュリティの詳細規定がない企業や、独立した文書として整備したい場合はこちらです。手順は次の5ステップです。

1. 現状把握（誰がどのAIをどう使っているかヒアリング）
2. 本記事のひな形をベースに草案作成
3. 情報システム部門・法務担当に内容確認
4. 経営層の承認取得
5. 全社周知とeラーニング実施

所要期間の目安は2〜4週間です。承認ルートが長い場合は余裕を持って着手してください。

既存の就業規則・情報セキュリティポリシーに追記する場合

すでに情報セキュリティポリシーや就業規則が整備されている中堅企業は、こちらの方が現実的です。追記手順は次の通りです。

現行規程の該当条文を特定
  ↓
「生成AI」に関する条項を新規追加（または既存条項を拡張）
  ↓
用語集に「生成AI」「プロンプト」等を追加
  ↓
既存の情報管理規定との重複・矛盾をチェック
  ↓
就業規則変更の場合は労基署への届出要否を確認

就業規則本体に追記すると変更手続きが重くなります。情報セキュリティポリシー側に追加する方が柔軟に運用できます。労基署への届出が必要かどうかは、社労士に相談すると確実です。

コピペで使えるガイドラインひな形（全文掲載）

ここからが本記事の核心です。以下のひな形をMarkdown形式でそのままコピーして、自社用にカスタマイズしてください。JDLA（日本ディープラーニング協会）の「生成AIの利用ガイドライン」ひな形と、AI事業者ガイドライン第1.1版を参考に、中小企業でも実運用できる粒度で整理しました。

目的・適用範囲と利用可能な業務範囲

# 生成AI利用ガイドライン

## 第1条（目的と適用範囲）
本ガイドラインは、株式会社〇〇（以下「当社」）において、
役員および従業員（派遣社員・業務委託先を含む）が生成AIを
業務で利用する際の遵守事項を定める。

## 第2条（利用可能なツール）
当社で利用を許可する生成AIツールは以下の通り。
上記以外のツールを業務で利用する場合は、
情報システム部門に事前申請すること。
- ChatGPT Team / Enterprise
- Microsoft Copilot for Microsoft 365
- Google Gemini for Workspace

## 第3条（利用可能な業務範囲）
以下の業務に限り、生成AIの利用を認める。
1. 社内向け文書・メールの下書き作成
2. 議事録・会議メモの要約
3. 公開情報の調査・要約
4. プログラムコードの雛形生成・レビュー補助
5. 翻訳・文章校正

入力禁止情報と出力確認の義務

## 第4条（入力禁止情報）
以下の情報を生成AIに入力することを禁止する。
ただし、第2条に定めるTeam / Enterprise契約の
ツールで、かつ所属長の承認を得た場合はこの限りでない。

1. 個人情報（氏名・住所・電話番号・
   マイナンバー・顔写真等）
2. 社外秘・機密情報として指定された情報
3. 顧客・取引先から受領した情報
4. 第三者の著作物（他社資料・論文等の原文）
5. 秘密保持契約（NDA）の対象となる情報
6. 未公表の財務情報・人事情報

## 第5条（出力結果の確認義務）
生成AIの出力結果を業務に利用する場合、
利用者は以下を必ず確認すること。
1. 事実関係の正確性（ハルシネーションへの対応）
2. 第三者の権利侵害の有無
3. 差別的・不適切な表現の有無

違反時の対応（口頭注意→書面指導→懲戒検討）

## 第6条（違反時の対応）
本ガイドラインに違反した場合、以下の段階で対応する。

【第1段階】口頭注意
- 過失による軽微な違反
- 所属長から口頭で注意し、再発防止を確認

【第2段階】書面指導
- 同一従業員による2回目以降の違反
- 人事部門から書面で指導を行う

【第3段階】懲戒検討
- 故意による機密情報漏洩
- 重大なインシデントの発生
- 就業規則に定める懲戒規定に従い処分を検討

教育・研修計画と改定手順

## 第7条（教育・研修）
全従業員は、入社時および年1回、
生成AI利用に関する研修を受講する。
研修内容は以下を含む。
1. 本ガイドラインの全条項
2. 入力禁止情報の具体例
3. ハルシネーションの実例
4. 過去のインシデント事例

## 第8条（改定）
本ガイドラインは年1回見直すほか、
重大な法改正・技術変化があった場合に随時改定する。
改定は情報システム部門が起案し、
経営会議の承認を経て施行する。

制定日：20XX年XX月XX日
改定日：—
所管：情報システム部門

ここまでをそのままWordやNotionに貼り付ければ、草案の骨格が完成します。自社の実態に合わせて、ツール名や条文番号を調整してください。

公的ガイドラインとの対応マッピング表

「上司から根拠を聞かれたらどうしよう」という不安を解消するため、本ひな形の各条文がどの公的指針に対応するかをまとめました。

主要な公的ガイドライン3種の概要

参照すべき公的資料は次の3つです。

• AI事業者ガイドライン第1.1版（総務省・経産省、2025年3月28日）
• 生成AIの利用ガイドライン（JDLA、2023年5月初版・同年10月に第1.1版に改訂）
• 生成AIの調達・利活用に係るガイドライン（DS-920）（デジタル庁、2025年5月27日）

AI事業者ガイドラインは法的根拠に最も近い存在です。JDLAひな形は実務で最もカスタマイズしやすい形式となっています。デジタル庁版は行政向けですが、調達プロセスの考え方が参考になります。

自社ひな形のどの条文がどの公的指針に対応するか

この対応表を参考資料として添付すれば、経営層への説明がスムーズになります。

導入後の運用——形骸化させないためのポイント

ガイドラインは作って終わりではありません。むしろ、作った後の運用の方がはるかに重要です。せっかく整備しても、半年後に誰も覚えていないケースは少なくありません。

形骸化を防ぐ2つのポイントを押さえましょう。

年1回の見直しタイミングと改定手順

生成AIの技術進化は速く、半年で状況が大きく変わります。年1回の定期見直しを必ずスケジュールに組み込んでください。おすすめの見直しタイミングは次の2つです。

• 4月：年度初めに合わせて新ツール追加・廃止を反映
• 10月：上期のインシデント事例を踏まえて禁止事項を更新

改定手順は「情報システム部門が起案 → 法務確認 → 経営会議承認 → 全社周知」の4ステップで固定化します。毎年同じ流れにすることで、担当者が変わっても運用が継続します。

現場への周知方法とeラーニングチェックリスト

周知で最も効果的なのは、eラーニングと理解度テストの組み合わせです。小テストで80点以上を取らないと社内システムにログインできない仕組みにすると、受講率が一気に上がります。

eラーニング用のチェック項目例を挙げます。

• [ ] 社内で利用許可されている生成AIツールを3つ挙げられる
• [ ] 入力禁止情報の6カテゴリを説明できる
• [ ] 機密情報を誤って入力した場合の報告先を知っている
• [ ] 出力結果の事実確認方法を理解している
• [ ] 違反時の対応3段階を説明できる

新入社員研修にも必ず組み込みましょう。入社時点で「この会社では生成AIの扱いが明確」と感じてもらうことが、企業文化として定着させる第一歩です。

よくある質問（FAQ）

最後に、担当者からよく聞かれる質問をまとめました。

Q1. 無料版ChatGPTの利用は全面禁止すべきですか？
A. 全面禁止は現実的ではありません。公開情報の調査や一般的な文章作成に限定し、機密情報の入力を禁止するルールが実用的です。設定画面からオプトアウトする手順も併せて周知してください。

Q2. 就業規則への追記は必要ですか？
A. 必須ではありません。情報セキュリティポリシーへの追加で対応する企業が多いです。ただし、懲戒処分を伴う規定を設ける場合は、就業規則との整合性を社労士に確認してください。

Q3. 違反が起きたらどのタイミングで懲戒を検討すべきですか？
A. 故意による機密情報漏洩や重大インシデントが発生した段階です。過失による初回違反は口頭注意で十分なケースが多く、いきなり懲戒を持ち出すと現場が萎縮します。

Q4. ひな形をそのまま使って法的に問題ないですか？
A. 本記事のひな形は一般的な中小企業を想定した雛形です。業種固有の規制（金融・医療等）がある場合は、必ず自社の法務担当または外部専門家に最終確認を受けてください。

Q5. AI推進法で企業は何を求められますか？
A. 第7条で「基本理念に沿った自律的な活用努力義務」が定められていますが、罰則はありません。ただし、事故時の責任判断材料になるため、ガイドライン整備は実質的な必須対応と言えます。

まとめ

生成AI社内ガイドラインの作り方を、3ステップとひな形全文を通して解説しました。ポイントを振り返ります。

• 決めるべきことは「利用ツール」「入力禁止情報」「違反時対応」の3つ
• ゼロから作るか、既存規程に追記するかで手順が変わる
• 本記事のひな形をコピペしてカスタマイズすれば、最短で草案が完成する
• 公的ガイドラインとのマッピングを示せば経営層への説明がスムーズ
• 年1回の見直しとeラーニングで形骸化を防ぐ

この記事のひな形が、あなたの「今週中に草案を提出する」ミッションの助けになれば幸いです。個人の使い方ルールと組み合わせる場合は、関連記事「生成AIを仕事で使うときの注意点チェックリスト15」も合わせて活用してください。

知らずに使うと、情報漏洩や著作権侵害といったリスクがあります。最悪の場合、会社の信用問題に発展することも。

この記事では、生成AIを業務で安全に使うための注意点を15項目のチェックリストにまとめました。一つずつ確認すれば、安心してAIを活用できますよ。

生成AIを仕事で使う前に知っておくべき注意点

生成AIツールの種類と業務での使い方

生成AIとは、文章や画像などを自動で作り出すAIの総称です。代表的なツールをまとめると次のとおりです。

• ChatGPT: 文章作成・要約・翻訳・アイデア出しに幅広く対応
• Claude: 長文の読解や分析が得意。社内文書の要約にも活用可能
• Gemini: Google Workspaceとの連携が強み
• Copilot: Microsoft 365に組み込まれたAIアシスタント

ChatGPTは2024年時点で全世界の月間利用者が3億人を超えています。日本企業でも約35%が何らかの形で生成AIを導入済みです。

事務職での主な活用場面は、メール文面の下書き・議事録の要約・データ整理の補助などです。スプレッドシートのGemini AI関数のように、表計算ソフトに組み込まれたAI機能も増えています。

なぜ注意点を押さえる必要があるのか

生成AIは便利ですが、使い方を誤るとリスクがあります。主に次の3つです。

• 情報漏洩: 入力した社内データがAIの学習データに使われる可能性
• 著作権侵害: AI出力物の権利関係が法的に不明確
• 誤情報の拡散: もっともらしいウソを生成する「ハルシネーション」

「便利だから何も考えずに使う」が一番危険です。これから紹介する15項目を事前に確認しておきましょう。

情報漏洩を防ぐための注意点（チェックリスト1〜5）

1. 機密情報・個人情報をプロンプトに入力しない

これが最も重要な注意点です。AIに入力した情報は、サービス提供者のサーバーに送信されます。

具体的に入力してはいけない情報は次のとおりです。

• 顧客の氏名・住所・電話番号などの個人情報
• 売上データや未公開の経営数値
• 社内の人事評価・給与情報
• 取引先との契約内容

個人情報保護法では、個人データの第三者提供には原則として本人の同意が必要です。AIに入力する行為が第三者提供にあたる可能性もあります。「これくらい大丈夫だろう」は禁物ですよ。

2. 社内ガイドラインの有無を確認する

まず自社に生成AIの利用ルールがあるか確認してください。総務省や経済産業省もAI利用のガイドラインを公表しています。

社内ルールがない場合は、上司やIT部門に相談しましょう。自己判断で使い始めるのはリスクが高いです。確認すべきポイントは次の3つです。

• 使用が許可されているツールはどれか
• どんな業務に使ってよいか
• 入力してよいデータの範囲はどこまでか

3. 入力データの学習設定をオフにする

多くの生成AIツールは、入力データをモデルの学習に使う設定がデフォルトでオンになっています。

ChatGPTの場合、設定画面から「モデルの改善に使用する」をオフにできます。ChatGPT Team版やEnterprise版は、入力データが学習に使われない設計です。業務利用なら有料プランの検討をおすすめします。

設定方法はツールごとに異なるので、初回利用時に必ず確認してください。

4. 業務用アカウントと個人用アカウントを分ける

プライベートのアカウントで業務データを扱うのは避けましょう。理由は次のとおりです。

• 個人アカウントのチャット履歴に業務情報が残る
• 退職時にデータの管理ができなくなる
• 会社のセキュリティポリシーから外れる

会社が契約している法人プランがあれば、そちらを使いましょう。なければIT部門に相談してください。

5. チャット履歴の共有範囲を確認する

AIとのチャット履歴を他のユーザーと共有できる機能があります。ChatGPTの「共有リンク」機能が代表例です。

業務で使った会話を安易に共有すると、意図せず社内情報が漏れることがあります。共有する前に、会話の中に機密情報が含まれていないか必ず確認しましょう。

著作権・知的財産権に関する注意点（チェックリスト6〜9）

6. AIが生成した文章をそのまま使わない

AIの出力文をコピー&ペーストでそのまま使うのは避けてください。理由は2つあります。

1つ目は著作権リスクです。AIが学習データの文章に似た表現を出力する場合があります。そのまま使うと、意図せず他者の著作物と類似した文章を公開してしまう可能性があります。

2つ目は品質の問題です。AIの出力はあくまで「たたき台」です。自分の言葉で書き直し、内容を確認してから使いましょう。

7. 画像生成AIの出力物は著作権が不明確

DALL-E・Midjourney・Stable Diffusionなどの画像生成AIも業務で使う場面が増えています。しかし、生成された画像の著作権は法的に整理が進んでいません。

文化庁は2023年6月にAIと著作権に関する考え方を公表しました。ただし、具体的なケースごとの判断はまだ確立されていないのが現状です。

社外に公開する資料に画像生成AIの出力を使う場合は、法務部門に確認するのが安全です。

8. 他者の著作物をプロンプトにコピペしない

他社のWebサイトの文章や書籍の内容を丸ごとプロンプトに貼り付ける行為は避けましょう。著作権法上の「複製」にあたる可能性があります。

「この文章を要約して」「この記事をリライトして」という使い方は特に注意が必要です。参照したい場合は、要点を自分の言葉でまとめてから入力してください。

9. 社外公開資料はダブルチェックする

プレスリリース・提案書・ブログ記事など、社外に出す文書にAI出力を使う場合は、必ず別の人にもチェックしてもらいましょう。

確認すべきポイントは次のとおりです。

• 他者の著作物と類似した表現がないか
• 事実と異なる記述がないか
• 自社のトーン&マナーに合っているか

一人でのチェックには限界があります。ダブルチェック体制を作っておくと安心です。

ハルシネーション（誤情報）への対策（チェックリスト10〜12）

10. AIの回答は「下書き」として扱う

ハルシネーションとは、AIがもっともらしいが事実でない情報を生成する現象です。生成AIを使ううえで最も注意すべきリスクの一つです。

たとえば、存在しない法律の条文を引用したり、架空の統計データを示したりすることがあります。AIは「自信がない」とは言ってくれません。

対策はシンプルです。AIの出力を「完成品」ではなく「下書き」として扱いましょう。必ず自分で内容を確認してから使ってください。

11. 数字・固有名詞・URLは必ず裏取りする

ハルシネーションが起きやすいのは、次のような情報です。

• 統計データや数値
• 人名・企業名・製品名
• 法律や制度の名称・内容
• URLやリンク先

特にURLは要注意です。AIが生成したURLにアクセスすると、まったく関係のないサイトや、存在しないページに飛ぶことがあります。必ず公式サイトで情報を確認しましょう。

12. 根拠の提示を求めるプロンプトを使う

AIに回答の根拠を示すよう指示すると、ハルシネーションに気づきやすくなります。次のようなプロンプトを試してみてください。

• 「根拠となる情報源も併せて教えてください」
• 「確信度が低い部分は『不確か』と明記してください」
• 「推測が含まれる場合はその旨を示してください」

根拠が示されれば裏取りもしやすくなります。100%防げるわけではありませんが、チェックの効率が上がりますよ。

業務品質を保つための注意点（チェックリスト13〜15）

13. 出力結果は必ず人間がレビューする

AIが出力した内容は、必ず人間の目でレビューしましょう。チェックすべきポイントは次のとおりです。

• 事実関係に誤りがないか
• 社内の表記ルールに合っているか
• 相手に失礼な表現がないか
• 文脈に合った内容になっているか

「AIが作ったから大丈夫」という思い込みは危険です。最終的な品質の責任は、AIではなく使う人にあります。

業務の効率化という意味では、Excelショートカットキー一覧のように、まずは定型作業をツールで効率化するのも有効な手段です。AIだけに頼らず、さまざまな効率化手段を組み合わせましょう。

14. AIに頼りすぎず判断は自分で行う

AIは便利なアシスタントですが、判断を丸投げしてはいけません。特に次のような場面では、必ず自分で考えて決めてください。

• 顧客への対応方針
• 社内の意思決定に関わる提案
• 金額や数量に関わる計算結果の最終確認

AIを使い続けると「自分で考える力」が鈍るリスクもあります。AIはあくまで補助ツールです。判断の主体は常に自分だという意識を持ちましょう。

Excel引き継ぎ資料の作り方のように、業務の手順を自分の頭で整理する習慣も大切です。

15. 定期的にツールのアップデート情報を確認する

生成AIは進化のスピードがとても速いツールです。数か月前の常識が通用しなくなることも珍しくありません。

チェックしておきたい情報は次のとおりです。

• ツールの利用規約の変更
• 新機能の追加やセキュリティ設定の変更
• 政府のガイドライン更新
• 社内ルールの改定

公式ブログやリリースノートを月に1回チェックする習慣をつけておくと安心です。チーム内で情報を共有する仕組みを作るのもおすすめですよ。

まとめ

生成AIを仕事で安全に使うための15項目を振り返りましょう。

情報漏洩を防ぐ（1〜5）

1. 機密情報・個人情報をプロンプトに入力しない
2. 社内ガイドラインの有無を確認する
3. 入力データの学習設定をオフにする
4. 業務用アカウントと個人用アカウントを分ける
5. チャット履歴の共有範囲を確認する

著作権・知的財産権を守る（6〜9）

1. AIが生成した文章をそのまま使わない
2. 画像生成AIの出力物は著作権が不明確
3. 他者の著作物をプロンプトにコピペしない
4. 社外公開資料はダブルチェックする

ハルシネーション対策（10〜12）

1. AIの回答は「下書き」として扱う
2. 数字・固有名詞・URLは必ず裏取りする
3. 根拠の提示を求めるプロンプトを使う

業務品質を保つ（13〜15）

1. 出力結果は必ず人間がレビューする
2. AIに頼りすぎず判断は自分で行う
3. 定期的にツールのアップデート情報を確認する

すべてを一度に完璧にする必要はありません。まずは情報漏洩対策の5項目から始めてみてください。一つずつ習慣にしていけば、生成AIは頼れる仕事のパートナーになりますよ。