なぜ今、生成AIの社内利用規程が必要なのか
生成AIの業務活用は急速に拡大しています。文書作成、データ分析、コード生成、顧客対応の下書きなど、多くの業務で生成AIが利用されるようになりました。しかし、利用ルールが未整備のまま普及が進むと、機密情報の漏洩、著作権侵害、品質管理の欠如といったリスクが顕在化します。
Gartnerの調査によると、69%の組織が未承認AIの利用を検知しています。つまり、規程がなくても従業員は既に生成AIを使っているのです。「禁止」ではなく「安全な利用方法を示す」ことが、社内利用規程の本質的な目的です。
本記事では、生成AIの社内利用規程に含めるべき8つの項目を、テンプレート的な構成で解説します。自社の状況に合わせてカスタマイズし、すぐに利用規程の策定に着手できることを目指します。
規程に含めるべき8つの項目
生成AIの社内利用規程は、以下の8つの項目で構成します。
- 目的: 規程の趣旨と適用の背景
- 適用範囲: 対象となる人員、業務、ツールの範囲
- 利用可能ツール: 承認済みツールのリストと利用条件
- 禁止事項: 明確に禁止する行為の一覧
- データ分類基準: データの機密度に応じた分類と利用ルール
- 承認フロー: 新規ツールの導入申請と承認プロセス
- 違反時の対応手順: 違反の発見から是正までのプロセス
- 定期見直し: 規程の更新サイクルと見直し基準
以降、各項目の具体的な記載内容を解説します。
目的と適用範囲の定義
目的の記載例は以下の通りです。「本規程は、生成AIサービスの業務利用における情報セキュリティの確保、法令遵守、および業務品質の維持を目的として定める。」目的を明確にすることで、規程の判断基準が統一されます。
適用範囲は、3つの軸で定義します。
対象者: 正社員、契約社員、派遣社員、業務委託先を含む、当社の業務に従事するすべての者を対象とします。
対象業務: 当社の業務に関連するすべての活動を対象とします。私的利用(業務と無関係な個人的利用)は対象外とします。
対象ツール: テキスト生成AI、画像生成AI、音声認識AI、コード生成AIを含む、生成AIに分類されるすべてのサービスおよびツールを対象とします。
データ分類基準の設計
データ分類は利用規程の核となる部分です。全データを一律に扱うのではなく、機密度に応じて分類し、各分類でのAIツール利用可否を明確にします。
**機密(レベル3)**に該当するデータは、顧客の個人情報、契約内容、未公開の財務情報、技術的な機密情報、人事評価データなどです。機密データはいかなる生成AIツールにも入力を禁止します。
**社外秘(レベル2)**に該当するデータは、社内の業務プロセス文書、会議議事録(機密事項を除く)、プロジェクト計画書などです。社外秘データは法人契約の承認済みツールに限り入力を許可します。ただし、出力結果を社外に共有する場合は上長の承認が必要です。
**一般(レベル1)**に該当するデータは、公開済みの情報、一般的な業務知識、マニュアル類などです。一般データは承認済みツールであれば入力を許可します。
判断に迷う場合は、上位の分類(より厳格な扱い)を適用するのが原則です。
承認フローの設計
承認フローは「新規ツールの導入」と「日常利用」の2種類を分けて設計します。
新規ツール導入の承認フローは以下の5段階です。第一に、利用希望者が申請書(ツール名、利用目的、入力予定データの分類、対象者数)を提出します。第二に、情報セキュリティ部門がセキュリティ評価(データ管理体制、認証取得状況、利用規約の確認)を実施します。第三に、法務部門が法的リスク評価(著作権、個人情報保護、輸出管理等)を実施します。第四に、AI倫理委員会(または同等の機関)が総合判断を行います。第五に、承認結果を申請者に通知し、承認済みツールリストを更新します。
日常利用の承認フローは、承認済みツールを規程の範囲内で利用する場合は個別の承認は不要とします。ただし、社外秘データの入力や、外部への出力結果の共有には上長の事前承認を必要とします。
禁止事項の明確化
禁止事項は具体的に列挙し、従業員が判断に迷わないようにします。
- 未承認のAIツールに業務データを入力すること
- 機密データ(レベル3)をいかなるAIツールにも入力すること
- AIの出力結果をそのまま最終成果物として社外に提供すること(人間によるレビューなしでの提供禁止)
- AIの出力結果を根拠として重要な業務判断(契約締結、人事評価の確定等)を行うこと
- 個人アカウントの生成AIサービスに業務に関連するデータを入力すること
- AIを利用して他者の著作物を意図的に再現すること
禁止事項は「なぜ禁止なのか」の理由も付記すると、従業員の理解と遵守率が向上します。
違反時の対応手順
違反が発覚した場合の対応手順を「発見、報告、調査、是正、再発防止」の5段階で定義します。
発見: 違反は自己申告、上長による発見、モニタリングによる検知のいずれかで発覚します。自己申告を促すため、故意でない違反の自己申告に対しては処分を軽減する方針を明記することが有効です。
報告: 発見者は24時間以内に情報セキュリティ部門に報告します。報告内容は、違反の概要、関係するデータの種類、影響範囲の見積もりです。
調査: 情報セキュリティ部門が事実関係を調査し、影響範囲を特定します。機密データの漏洩が疑われる場合は、インシデント対応チームを招集します。
是正: 漏洩したデータの削除依頼、アクセス権限の見直し、関係者への通知など、必要な是正措置を実施します。
再発防止: 根本原因を分析し、規程の改善、研修の追加、技術的な制御(DLP等)の強化を検討します。
定期見直しのサイクル
生成AIの技術と法規制は急速に変化するため、規程の定期見直しは不可欠です。
定期見直しは半年に1回を基本サイクルとします。見直しの観点は、新たな法改正への対応、承認済みツールの利用状況と新規ツールの評価、違反事例の傾向分析と規程の改善、生成AI技術の進化に伴う新たなリスクの評価です。
臨時見直しは、以下の場合に実施します。重大な法改正が施行された場合、セキュリティインシデントが発生した場合、新たなAIサービスを全社導入する場合です。
見直しの結果は改訂履歴として記録し、従業員が最新版を参照できるよう社内ポータルを更新します。改訂内容が重要な場合は、全社通知と追加研修を実施します。
規程策定のプロジェクト計画
規程策定プロジェクトの全体スケジュールは、約3か月が目安です。第1月で現状調査(AI利用実態の把握、既存規程の棚卸し)を実施します。第2月でドラフト作成(各項目の記載、関係部門へのレビュー依頼)を行います。第3月で承認手続き(経営層への説明、最終承認、全社周知、研修実施)を完了します。
策定時の注意点として、現場の従業員の意見を必ずヒアリングすることが重要です。現場の実態から乖離した規程は遵守されず、シャドーAIを助長する結果になりかねません。
まとめ
生成AIの社内利用規程は、「禁止」ではなく「安全な活用の道筋を示す」文書です。目的、適用範囲、利用可能ツール、禁止事項、データ分類、承認フロー、違反時対応、定期見直しの8項目を軸に策定し、半年に1回の見直しで鮮度を維持してください。
aileadは、企業が承認した正規の対話データAIプラットフォームとして、対話データの安全な管理を実現します。ISMS(ISO/IEC 27001:2022)認証取得済みで、社内利用規程における「承認済みツール」として位置づけることで、シャドーAIリスクを回避しながらAIガバナンスに準拠した生成AI活用が可能です。詳しくはデモをご覧ください。
ailead編集部
株式会社ailead
aileadの公式編集部です。営業DX・AI活用に関する情報を発信しています。
