社員が生成AIを使い始めると、必ず最初にぶつかるのが「この情報を入れていいのか」という判断です。ルールが無いまま現場の判断に任せると、機密情報の流出や著作権の問題が、気づかないうちに積み上がります。

本稿では、中小企業が生成AIを業務で使い始める前に、最低限文書化しておくべき5つのルールを示します。完璧な規程を一度に作る必要はありません。まずこの5項目をA4一枚にまとめ、全社に配ることから始めてください。

1. 入れてはいけない情報を、具体名で列挙する

「機密情報は入力禁止」とだけ書いても、現場は何が機密かを判断できません。禁止対象は、社員が見た瞬間に「これは該当する」と分かる具体名で書きます。

  • 顧客の氏名・連絡先・取引履歴などの個人情報
  • 取引先から受領した未公開資料(見積・図面・契約書)
  • 自社の未公開の財務数値・人事評価・採用情報
  • ソースコードのうち、社外秘として管理しているもの

逆に「入れてよいもの」も併記すると、萎縮による使わない化を防げます。公開済みのIR情報や、一般的な調べ物は自由に使ってよい、と明示します。

2. 使ってよいツールを、会社として指定する

無料版の生成AIには、入力した内容がAIの学習に使われる設定のものがあります。社員が個人アカウントで業務データを入力する状態は、最も避けるべきリスクです。

会社として、業務で使うツールを指定します。法人契約のプランや、入力データを学習に使わない設定のサービスを選び、それ以外での業務利用は禁止します。指定したツールの一覧と、申請して使う窓口を1つ決めておきます。

3. 生成物をそのまま使わない、と決める

生成AIの出力には、事実誤認や、他者の著作物に酷似した表現が混ざることがあります。生成物を社外に出す資料や契約文面にそのまま転用するのは、やめるべきです。

ルールとして「生成物は下書きとして扱い、人が事実確認と表現の修正をしてから使う」と決めます。特に、契約・法務・広報に関わる文章は、必ず担当者の確認を通す運用にします。

4. 問題が起きたときの連絡先を、先に決めておく

「機密情報を入力してしまったかもしれない」と社員が気づいたとき、誰に言えばいいか分からないと、報告が遅れて被害が広がります。

インシデントの一次連絡先(担当者と連絡手段)を、ルールの中に明記します。報告した社員を責めない運用にすることが、早期報告を促す前提です。何を・いつ・どの範囲で入力したかを記録するだけの簡単な様式を用意しておくと、対応がスムーズになります。

5. 半年に一度、ルールを見直す

生成AIのツールも、関連する法令やガイドラインも、数か月単位で変わります。一度作ったルールを放置すると、現場の実態とずれていきます。

見直しの頻度(たとえば半年に一度)と、見直しの責任者を決めておきます。新しいツールを使い始めるとき、社員から「このルールが実態に合っていない」と声が上がったときも、見直しのきっかけにします。

まずはA4一枚から始める

この5項目は、立派な規程集にする必要はありません。A4一枚にまとめて全社に配り、運用しながら具体化していくほうが、現場で機能します。

FORGE Consultingでは、弁護士の共同代表が監修する形で、AI利用ガイドラインの策定を支援しています。自社の業務と取引先の要請に合わせて、何を禁止し何を推奨するかを、一緒に具体化していきます。まずは現状を整理する無料相談から、お気軽にご相談ください。