AI を社内で使うならルールが先|中小企業の社長が最初に決めるべきガイドライン5項目
冒頭
従業員40人の建設会社を経営している社長が、ある日こんな報告を受けた。「営業の田中が、取引先の見積書を ChatGPT に貼り付けて要約させていたみたいです」。取引先の金額情報が AI に入力された——これが問題なのか、問題でないのか、社長自身も判断がつかなかった。
こういったケースは、今あちこちの中小企業で起きている。社員が個人の判断で AI を業務に使い始めているが、何を入力して良くて、何がダメなのか、会社としてのルールがない。ルールがないから、使う人は不安を感じながら使い、使わない人は「怖いから触らない」と距離を置く。
この記事では、従業員10〜100名規模の中小企業の社長・役員に向けて、AI の社内利用ルール(ガイドライン)として最低限決めるべき5つの項目を解説する。法務部門がない会社でも作れるよう、そのまま使えるテンプレートも用意した。記事の最後にテンプレートのダウンロードリンクがある。
なぜ「ルールが先」なのか
図: AI 社内ルールがないと起きる3つのリスク(画像生成待ち)
AI ツールを導入する前に社内ルールを整備すべき理由は、シンプルに3つある。
1つ目は、情報漏洩のリスク。AI に入力したデータがどう扱われるかは、ツールや契約プランによって異なる。無料プランでは入力データが AI の学習に使われるサービスもある。取引先の見積書、社員の個人情報、未公開の決算数値——こうした情報を社員が無防備に入力すれば、情報漏洩につながりうる。
2つ目は、著作権のリスク。AI が生成した文章や画像をそのまま自社のウェブサイトや資料に使った場合、他者の著作物と類似していればトラブルになる可能性がある。AI の出力物の著作権に関する法整備は各国で進行中で、日本でも議論が続いている。
3つ目は、品質のリスク。AI は間違った情報をもっともらしく出力することがある(これを「ハルシネーション」と呼ぶ。AIが事実でないことを、あたかも事実のように回答する現象のこと)。AI の出力をチェックせずに取引先に送ったり、意思決定に使ったりすると、業務上のミスにつながる。
ルールがあれば、社員は「ここまではOK、ここからはNG」と判断できる。ルールがなければ、個人の判断に委ねられ、リスクはバラバラに散らばる。100ページの分厚いマニュアルは不要だ。A4で2枚あれば十分。以下の5項目を決めるだけで、社内の AI 利用は格段に安全になる。
ルール1: AI に入力してはいけない情報を決める
これが最も重要なルールだ。社員に「AI に何を入力していいか」を明確にする。
入力OKの例:
- 自分が書いた文章の校正やリライト
- 一般に公開されている情報(ニュース記事、公開済みの自社情報)の要約
- 架空の例を使った業務フローの相談
- 自社の内部資料(有料プランで、データが学習に使われない契約の場合)
入力NGの例:
- 取引先の非公開情報(見積書、契約書、提案書の原文)
- 社員の個人情報(マイナンバー、住所、給与明細)
- 未公開の経営情報(決算数値、M&A情報、人事異動)
- 顧客の個人情報(名前、住所、電話番号、メールアドレス)
- パスワード、APIキー、アクセストークン(システム関連の認証情報)
ポイントは「全部ダメ」にしないこと。全部禁止にすると、社員は隠れて使うようになる。「ここまではOK」という線引きをすることで、安全に使える範囲が明確になる。
なお、Claude の Pro プラン以上や Team プランでは、入力したデータが AI の学習に使われない契約になっている。こうした有料プランを会社として導入すれば、入力OKの範囲を広げることができる。セキュリティの詳細は「Claude に社内情報を入れても大丈夫?」(/articles/512)で解説している。
ルール2: AI の出力を使う前に、人間がチェックする
AI が作った文章、数値、提案をそのまま使うのではなく、必ず人間が内容を確認してから使う——これをルールとして明文化する。
特にチェックが必要な項目は以下の通り。
- 固有名詞(人名、社名、製品名)が正しいか
- 数値(金額、数量、日付)が正しいか
- 法律や制度に関する記述が最新の情報に基づいているか
- 取引先や顧客に送る文書として、トーンや内容が適切か
「AI が言っていたので」は、社外への言い訳にならない。AI はあくまで下書きを作るツールであり、最終的な責任は文書を送信した人間と会社にある——この認識をルールに書いておくことが大切だ。
ルール3: 使ってよい AI ツールを指定する
社員が個人の判断で、さまざまな AI ツールを業務に使い始めると、セキュリティの管理が難しくなる。「会社として推奨する AI ツール」を明示しておくのが望ましい。
たとえば:
- テキスト生成: Claude Cowork(Team プラン)を推奨
- 翻訳: DeepL Pro を推奨
- 上記以外の AI ツールを業務で使いたい場合は、事前に〇〇(管理部門 or 上司)に相談すること
ツールを指定する理由は2つある。1つは、データの取り扱いに関する契約条件がツールごとに違うため。もう1つは、社員が使うツールがバラバラだと、万が一の問題発生時に状況の把握が難しくなるためだ。
会社として契約した有料プランに統一することで、無料プランのデータ学習リスクを回避でき、利用状況の把握も容易になる。
ルール4: AI の利用を報告・共有する仕組みを作る
図: AI 利用の報告・共有 — ゆるい仕組み vs 厳格な仕組み(画像生成待ち)
AI をどう使っているかを社内で共有する仕組みがあると、良い使い方が広がり、危ない使い方を早期に発見できる。
ただし、過度な報告義務は AI 活用の足かせになる。会社の規模に応じて、適切な粒度を選ぶのが現実的だ。
10〜30人規模の会社なら「ゆるい仕組み」で十分だ。月に1回のチーム会議で「AI をこう使ってみた」という共有時間を5分設ける。良い使い方の事例が広がるだけでなく、「それはちょっと危ないかも」という使い方も自然に是正される。
50人以上の会社や、金融・医療・法務など規制が厳しい業種では、もう少し厳格な仕組みが必要になることがある。AI を使って外部に送る文書(メール、報告書、契約書)を作成した場合は上長の承認を得る、といったルールを設ける。
大切なのは「使うな」ではなく「使い方を見える化する」というスタンスだ。AI を活用する社員を管理するためのルールではなく、会社全体で安全に AI を使いこなすためのルールとして位置づける。
ルール5: ルールの見直しスケジュールを決める
AI の技術は急速に進化している。半年前のルールが、今の状況に合わないことは珍しくない。最初から「このルールは〇か月ごとに見直す」と決めておくのが重要だ。
見直しの推奨スケジュール:
- 6か月ごと: ルール全体のレビュー(ツールの追加・変更、新しいリスクの有無)
- 随時: AI ツールの大きなアップデートや、新たなリスク事例が報道された場合
見直しの際にチェックすべきポイント:
- 現在のルールで、社員が「使いにくい」と感じている点はないか
- 入力NGとしている情報の中に、安全に入力できるようになったものはないか(ツールの契約変更やセキュリティ強化による)
- 新しく使いたい AI ツールの要望が社員から出ていないか
- 他社で AI 関連の事故やトラブルが報じられていないか
ルールは「一度作ったら終わり」ではなく、「まず作って、使いながら改善する」が正しいアプローチだ。完璧を目指して作成を先延ばしにするより、今日A4で2枚のルールを作って明日から運用するほうが、はるかに安全だ。
ガイドラインのテンプレート — このまま使える5項目
以下に、そのまま使えるガイドラインのテンプレートの骨子を示す。記事末尾のリンクから、Word形式のテンプレートをダウンロードできる。
〇〇株式会社 AI利用ガイドライン(第1版)
制定日: 2026年〇月〇日 次回見直し: 2026年〇月〇日(制定から6か月後)
第1条 目的 本ガイドラインは、当社における AI ツールの業務利用について、安全で効果的な活用を促進するための基本ルールを定めるものである。
第2条 AI に入力してはいけない情報 以下の情報は、AI ツールに入力してはならない。 (1)取引先の非公開情報(見積書、契約書、提案書の原文) (2)社員の個人情報(マイナンバー、住所、給与情報) (3)未公開の経営情報(決算数値、人事異動案) (4)顧客の個人情報 (5)パスワード、認証情報
第3条 出力の確認義務 AI が生成した文章・数値・提案は、社外に送付または業務上の意思決定に使用する前に、担当者が内容を確認し、正確性を検証すること。AI の出力を無確認で使用した場合の責任は、使用した本人および所属部門の長が負う。
第4条 利用ツールの指定 業務で使用する AI ツールは、以下を推奨する。 (1)テキスト生成・要約: ______(ツール名とプラン) (2)翻訳: ______ 上記以外の AI ツールを業務に使用する場合は、事前に管理部門に相談すること。
第5条 利用状況の共有 月1回の〇〇会議において、AI の活用事例を共有する時間を設ける。良い活用事例、注意が必要だった事例を全社で共有し、ルールの改善に活かす。
このテンプレートを自社の状況に合わせて修正し、社長または管理部門の承認を得たうえで全社員に共有する。初版は短くていい。運用しながら、足りないルールを追加していけばよい。
よくある不安と答え
「法務部がないが、ガイドラインを作って大丈夫か?」 → 大丈夫だ。上記のテンプレートは、法的な拘束力を持つ規程ではなく、社内の運用ルールとしての位置づけだ。就業規則に組み込む場合は社労士や弁護士に相談するのが望ましいが、まずは「社内ガイドライン」として運用を始めるだけでも、リスクは大幅に下がる。
「社員に反発されないか?」 → 「禁止するためのルール」ではなく「安全に使うためのルール」だと伝えることがポイント。「AI を使うな」ではなく「AI をうまく使おう。そのためにこのルールを作った」というメッセージを添える。実際に AI を使って業務効率が上がった事例を一緒に紹介すると、前向きに受け止められやすい。
「ルールを作っても、社員が守っているか分からないのでは?」 → 完璧な監視は不要だし、望ましくもない。大切なのは「ルールがある」こと自体だ。ルールがあれば、問題が起きたときに「なぜルールを守らなかったのか」と問える。ルールがなければ、「ルールがなかったから仕方ない」で終わってしまう。
「大企業と同じレベルのガイドラインが必要?」 → 必要ない。大企業の AI ガイドラインは数十ページに及ぶものもあるが、中小企業にそこまでの文書は不要だ。この記事で紹介した5項目をA4で2枚にまとめれば十分。大切なのは、ルールの厚さではなく、全社員が内容を理解して守れることだ。
「AI の技術が変わったらルールが古くなるのでは?」 → だからこそ、ルール5で「見直しスケジュール」を決めている。最初から「このルールは完成版ではなく、半年ごとに更新する」と明示しておけば、古くなったルールに縛られることはない。
まとめ
AI の社内利用ルール(ガイドライン)は、5つの項目を決めるだけで作れる。入力NGの情報、出力の確認義務、推奨ツール、共有の仕組み、見直しスケジュール。完璧を目指す必要はない。A4で2枚のガイドラインを今週中に作り、来週から運用する。それだけで、社員が AI を安全に、そして積極的に使える環境が整う。
特典
この記事で紹介したガイドラインのテンプレートを、そのまま使えるWord形式で用意した。自社名、推奨ツール名、見直し日を書き換えるだけで、今日から運用できる。
→ AI社内利用ガイドライン テンプレートをダウンロードする(無料) /resources
参考リファレンス
- 総務省「AI利活用ガイドライン」
- 経済産業省「AI事業者ガイドライン(第1.0版)」(2024年4月)
- Claude Lab 関連記事: 「Claude に社内情報を入れても大丈夫?」(/articles/512)
- Claude Lab 関連記事: 「Claude で作った文章やコード、著作権はどうなる?」(/articles/518)
- Claude Lab 関連記事: 「Claude でやってはいけないこと10選」(/articles/519)
- Claude Lab 関連記事: 「Claude Cowork とは」(/articles/503)
- Claude Lab 関連記事: 「Claude 料金プラン完全ガイド」(/articles/506)
