「AIを使わせる前に、ルールを整えないと」
正しい問題意識だ。情報漏洩や著作権のトラブルを考えれば、ルールなしで現場に開放するのは危うい。だが、ここで大企業向けの分厚い規程ひな形を持ってくると、たいてい失敗する。誰も読まない規程は、無いのと同じだからだ。
中小企業がまず作るべきは、現場が迷ったときに見れば判断できる最小限のルールだ。本記事では、1枚で運用に乗せるAI社内ルールの作り方を整理する。核になるのは「入れていい情報・ダメな情報」の線引きだ。
分厚い規程が形骸化する理由
大企業向けのAIガイドラインは、法務・情シス・各部門の論点を網羅していて、十数ページに及ぶこともある。網羅性は立派だが、中小企業の現場でこれを配ると、ほぼ確実に読まれない。
現場が知りたいのは「この情報、AIに入れていいの?」という、その場の一点だ。十数ページの規程は、その一点に答えるには重すぎる。
だから、まずは1枚に絞る。守れる量にすることが、守られるルールの第一条件だ。
最小ルールの核:情報の線引き
AI社内ルールで最初に決めるべきは、たった1つ。「何を入れていいか、何を入れてはいけないか」だ。これさえはっきりしていれば、現場の事故の大半は防げる。
| 区分 | 例 | 扱い |
|---|---|---|
| 入れてよい | 公開情報、一般的な相談、自分で書いた文章の推敲 | 自由に使う |
| 注意して使う | 社内資料、議事録(固有名詞を伏せれば可) | 個人情報・機密を外して使う |
| 入れてはいけない | 顧客の個人情報、未公開の財務、パスワード、契約書原本 | 入力禁止 |
この3区分を1枚にして、全員がいつでも見れる場所に置く。迷ったら「入れてはいけない」側に寄せる、という原則を添えておくと、判断がぶれない。情報漏洩のリスクそのものは生成AIの情報漏洩リスクと対策で詳しく扱う。
1枚に入れる最小5項目
情報の線引きに加えて、最小ルールに入れておきたいのは次の5項目だ。これ以上は、必要になってから足せばいい。
- 使ってよいツール: 会社が認めたAIツールを名前で挙げる(無断で何でも使わない)
- 入れていい情報・ダメな情報: 前項の3区分の線引き
- 出力の扱い: AIの答えは鵜呑みにせず、人が必ず確認してから使う
- 著作権・引用: 生成物をそのまま外部に出す前に出典・権利を確認する
- 困ったときの相談先: 判断に迷ったら誰に聞くか
5項目に絞ると、A4で1枚に収まる。読める量だから読まれ、読まれるから守られる。著作権まわりの判断は生成AIの著作権と商用利用の注意点で補足している。
1枚ルールの書き出しイメージ
イメージが湧くように、1枚ルールの冒頭をどう書くかの例を示す。難しい言い回しは避け、現場がそのまま判断に使える日本語にする。
当社でAIを使うときの約束(1枚)。使ってよいツールは、会社が認めた次のツールです。顧客の個人情報、未公開の社内情報、パスワードは入力しません。AIの答えは必ず人が確認してから使います。迷ったら、入力せずに旗振り役に相談します。
これくらいの分量と平易さでいい。法律用語を並べた立派な規程より、現場が一読して動ける言葉のほうが、事故を防ぐ力は強い。
形骸化するルールに共通する特徴
守られないルールには、はっきりした特徴がある。作る前に避けたい。
- 長い: 十数ページあり、現場が読み切れない
- 抽象的: 「適切に利用すること」など、判断の助けにならない
- 禁止だらけ: 禁止事項ばかりで、何ができるかが書かれていない
- 置き場所が遠い: 共有フォルダの奥にあり、迷った瞬間に開けない
この逆をやればいい。短く、具体的に、できることも書き、すぐ開ける場所に置く。失敗の回避という観点ではAI導入でよくある失敗と回避策とも通じる。
1枚ルールを運用に乗せる
作ったルールを形骸化させないために、配って終わりにしない。3つだけやっておく。
- 使い始める前に1回だけ説明する: 配布だけでなく、なぜこの線引きかを口頭で一度伝える
- すぐ見れる場所に置く: チャットの固定メッセージや共有フォルダの先頭など、迷った瞬間に開ける場所に
- 事故やヒヤリで見直す: 危ない使い方が出たら、その都度1枚を更新する
ルールは「守らせるもの」ではなく「現場が困ったときに助けるもの」だ。この立て付けにすると、現場も前向きに使う。
ルールと教育はセットで効く
1枚ルールを作っても、配るだけでは線引きの理由までは伝わらない。なぜ顧客情報を入れてはいけないのか、なぜ出力を人が確認するのか。理由が分かっていないと、現場は応用が利かず、グレーな場面で判断を誤る。
だから、ルールの配布と同時に、なぜこの線引きなのかを一度説明する場を持つ。「ダメだから」ではなく「こういう事故が起きうるから」と理由で伝えると、現場は自分の頭で安全側に判断できるようになる。情報漏洩がどう起きるかは生成AIの情報漏洩リスクと対策で具体化しているので、説明の材料に使える。
ルールは事故を防ぐ最低ラインを示すもので、現場の判断力を育てるのは教育だ。この2つは片方だけでは弱い。両輪で回すと、ルールが形骸化せず生きたものになる。
よくある質問
Q. 法律の専門家にチェックしてもらうべきですか?
A. 最小ルールの段階では、まず社内で線引きを決めて運用を始めてよい。事業の性質上、個人情報や契約を多く扱う場合や、外部公開物に生成物を使う場合は、専門家に確認すると安全だ。判断に迷う領域は専門家に相談してほしい。
Q. 無料のAIツールを現場が勝手に使っています。
A. これはルールで真っ先に押さえたい点だ。「会社が認めたツールを使う」を1項目目に置き、認めるツールを明示する。無断利用は情報の入力先が管理できず、漏洩リスクが上がる。
Q. ルールはどのくらいの頻度で見直せばいいですか?
A. 定期見直しより、事故やヒヤリが出たときの随時更新が現実的だ。AIの使い方も法制度も動くので、半年に一度くらいは内容が古くなっていないか目を通すとよい。
Q. 部署ごとにルールを変えるべきですか?
A. まずは全社共通の1枚から始めるのがよい。顧客情報を大量に扱う部署など、固有のリスクがある場合だけ、共通ルールに数行を足す形で対応する。最初から部署別に作り込むと、管理が複雑になり形骸化しやすい。
Q. ルールを破った社員にはどう対応すれば?
A. 最初は罰よりも、なぜ危ないかを伝えて手順を直すほうが定着する。ただし顧客情報の入力など重大な違反は、再発防止のために明確に線を引く必要がある。罰則の重さは、扱う情報の機微さに応じて決めるとよい。
AI利用の社内ルール、まとめ
AI社内ルールは、分厚い規程ではなく1枚の最小ルールから始める。核は「入れていい情報・ダメな情報」の線引きで、これに5項目を足してA4一枚に収める。守れる量にすることが、守られるルールの条件だ。必要になったら足していけばいい。
網羅性を追うより、現場が迷った瞬間に開ける1枚を作る。
AI LIFEでは、会員企業が実際にどんな社内ルールで運用しているか、どこでヒヤリが出たかを共有しています。ひな形を眺めるより、同じ規模の会社が何を線引きしているかを知るほうが、自社のルール作りには効きます。
(参考:AI法人研修の詳細はこちら)
