ChatGPTなどAIサービスを業務利用するとき、静岡の一人情シスがまず決めておきたい「社内ルール」5つ

前回の記事では、取引先から届く**「情報セキュリティチェックシート」への回答の考え方**を整理しました。

最近、そのチェックシートの中に

• 「生成AIサービスを利用していますか」

• 「ChatGPTなどの外部AIサービスに入力する情報の管理ルールはありますか」

といった質問が入るケースが増えています。

一方で、現場からは

• 「業務でChatGPTを使ってみたい」

• 「すでに個人アカウントでAIを試している」

という声もよく聞きます。

「使わせない」の一言で済ませるには惜しい便利さがある一方で、情報漏えい・著作権・個人情報保護など、法務・セキュリティ上のリスクも無視できません。

日本でも、個人情報保護委員会が生成AIサービス利用時の注意点（個人情報を入力する場合の留意事項や、提供事業者による学習利用の確認など）を公表していますし、経済産業省・総務省も「AI事業者ガイドライン」などで企業のAI活用におけるガバナンス整備を求めています。

そこで本記事では、静岡県内の中堅企業で一人情シス・総務情シスとして奮闘している方を想定して、

• なぜ今、AI利用ルールが必要なのか

• ChatGPTなどのAIサービス利用ルールに必ず入れておきたい5つのポイント

• 一人情シスでも今日から進められる導入ステップ

を整理します。

1. なぜ今、AI利用ルールが必要なのか

（1）すでに「グレーな状態で」使われていることが多い

各種調査を見ると、日本企業でも生成AIを業務で利用している企業は増えている一方で、社内ルールが整備されていないケースがまだ多いとされています。

• 使ってよいのか、ダメなのか

• 何を入力してよいのか

• 結果をどこまで信じてよいのか

といった線引きが曖昧なまま、各社員の自己判断で使われている状況になりやすいのが実情です。

（2）「便利さ」と引き換えに負うリスクが大きい

特に注意したいのは、次のようなリスクです。

• 機密情報・個人情報の入力→ 個人情報保護委員会は、生成AIに個人情報を入力する場合は利用目的の範囲内かどうか、提供事業者が学習利用しないかなどを確認するよう注意喚起しています。

• 著作権・知財の問題→ 経済産業省のガイドブックでも、生成AIの学習データや生成物の著作権、二次利用時の権利処理などへの配慮が求められています。

• 誤情報・バイアスの問題→ AIが出した回答をそのまま社外文書に使うと、誤情報の拡散や不適切表現につながる可能性があります。

だからこそ、

ための社内ルールが重要になります。

2. AI利用ルールに必ず入れたい5つのポイント

ここからは、一人情シスでも押さえやすいように、**「最低限ここだけは決めておきたい5つの軸」**に絞って解説します。

① 目的と対象業務：「何のために・どの業務で使うのか」

まずは、AIを

• 何のために

• どの業務で

使ってよいのかを明確にします。

OKの例

• 社内資料のたたき台作成

• メール文案やお知らせ文の草案

• コードレビューやテストケースの叩き台

• アイデア出し・ブレインストーミング

NG（または事前相談が必要）の例

• 契約書・規程など、法的リスクの高い文書の「最終版」をAIだけで作成する

• 医療・人事評価など、人の人生に重大な影響がある判断をAIに任せる

• 取引条件や価格交渉など、戦略情報に直結する内容の判断を任せる

条文例

② 入力禁止情報：「何を絶対に入れてはいけないか」

ここが一番大事と言ってもよい部分です。

個人情報保護委員会の注意喚起でも、生成AIサービスに個人情報を入力する際のリスクが繰り返し指摘されています。

最低限、次のような情報は「原則入力禁止」とするのが安全です。

• 特定の個人が識別できる個人情報全般（氏名・住所・メール・電話・社員番号など）

• 病歴・信条・家族関係などの要配慮個人情報

• 顧客名や取引条件などの営業機密

• 未公開の製品仕様・ソースコード・設計書などの技術情報

• 取引先から預かっている情報（業務委託契約で守秘義務があるもの）

条文例

③ 利用できるサービスとアカウントの種類

「ChatGPTなら何でもOK」としてしまうと、

• 無料版・個人アカウント

• 企業契約版（ログ学習オフ・SLAあり）

が混在し、統制が取りづらくなります。

最低限決めたいこと

• 業務で使ってよいサービス名（例：ChatGPT, Copilot, Claude など）

• 会社として契約しているサービスと、そのアカウント発行ルール

• 個人アカウント利用を原則禁止とするか、「試験利用」の範囲で認めるか

多くの企業向けガイドラインでは、業務利用について「会社が認めたサービスのみ」「会社が発行したアカウントのみ」を原則とすることが推奨されています。

条文例

④ 出力の扱いと責任：「AIが書いたまま出さない」

AIの回答は便利ですが、

• 正しそうに見えて間違っている

• 古い情報をそのまま出してくる

• 偏った表現・不適切表現が紛れ込む

といったリスクがあります。

経産省のガイドブックなどでも、生成AIの出力はそのまま利用せず、人による確認・編集を前提とすることが強調されています。

決めておきたいルール

• AIの出力は必ず人間が内容を確認し、必要に応じて修正する

• 出力の利用について最終責任を負うのは人間（利用者／上長）

• 社外に出す資料・メールについては、従来どおり上長のチェックフローを通す

条文例

⑤ ログ・教育・相談窓口：「使いっぱなし」にしない仕組み

最後に、運用面で決めておきたいのがこの3つです。

1. 利用ログの把握

   • どの部署が、どのサービスを、どの程度使っているか

   • できれば、会社契約の管理画面で把握できるようにする

2. 教育・周知の方法

   • 社内研修・eラーニング

   • 「やってはいけない例」の共有

   • 利用ルールと併せて、「どう使えば便利か」もセットで伝える

3. 相談窓口の明確化

   • 情報システム担当

   • 総務・法務担当

   • 「迷ったらここに聞けばいい」という窓口をはっきりさせる

経産省や各種ガイドラインでも、AI活用において経営層の関与とガバナンス体制、利用ルールの整備と教育が重要とされています。

3. 一人情シスでも今日からできる“AI利用ルール”導入ステップ

「ちゃんとした規程」を一気に作ろうとすると大変なので、一人情シスでも回せるステップに分解してみます。

ステップ1：まず現状を洗い出す

• 社内アンケートや雑談ベースで

  • どの部署が

  • どのツールを

  • どんな用途で使っているかを聞き出します。

「禁止するかどうか」を決める前に、現状の実態把握が非常に重要です。

ステップ2：試験導入するサービスを絞る

• 会社として契約可能なサービス（企業向けプラン等）を1〜2種類に絞る

• ログやアクセス管理ができるものを優先

「とりあえず全て禁止」よりも、「ここは会社として認める」軸を作るほうが現場も協力的です。

ステップ3：A4一枚の「暫定ガイドライン」を作る

本記事で挙げた5つのポイントをベースに、

1. 利用目的・対象業務

2. 入力禁止情報

3. 利用可能なサービスとアカウント

4. 出力の確認と責任

5. 相談窓口

だけをA4一枚にまとめた暫定版ガイドラインを作り、総務・人事・経営層と相談のうえで社内に展開します。

その後、必要に応じて正式な規程（◯◯規程）に格上げしていくイメージです。

ステップ4：情報セキュリティチェックシートとの「つながり」を意識する

前回の記事で扱った情報セキュリティチェックシートでは、今後「生成AIの利用状況」を聞かれることが増えていくはずです。

AI利用ルールを整備しておくことで、

• 「利用していますが、社内ルールに基づいて管理しています」

• 「入力禁止情報を定め、教育を実施しています」

といった形で、自信を持って回答できるようになります。

4. 山崎行政書士事務所がお手伝いできること

山崎行政書士事務所では、クラウド法務・情報セキュリティに加えて、ChatGPTなど生成AIサービスの社内利用ルール・規程の整備支援も行っています。

例えば、次のようなご相談に対応可能です。

• 貴社の業種・規模・クラウド利用状況に合わせた「生成AI利用ガイドライン」「AI利用規程」のドラフト作成

• すでに社員が使っているAIサービスの洗い出しと、情報セキュリティチェックシートへの回答方針の整理

• AIサービスの利用規約・プライバシーポリシーの法務的なチェック（個人情報保護・知財・責任分担など）

• 経営陣・現場向けのAI利用ルール説明資料・研修用スライドの作成支援

という段階でも、遠慮なくご相談ください。

静岡県内の企業さま向けには、オンライン・訪問のどちらでも対応可能です。

お問い合わせの際に、「AI利用ルールの相談希望」とひとこと添えていただければ、

• 現在のご状況（既に使っているサービス、社内ルールの有無など）

• どこまで社内で作り込めているか

を伺ったうえで、最適な支援内容と費用感をご提案いたします。