生成AIの社内ガイドライン雛形｜禁止事項・権限・ログまで1枚で設計（2026年版）

生成AIの社内利用で起きるリスクと、ガイドラインに落とす論点

ガイドラインは「事故を防ぐ」だけでなく、事故が起きたときに止血できるようにする設計です。起きるリスクから逆算して、必須項目を押さえます。

情報漏えい：何が漏れるか（機密/個人情報/取引先情報）

事故は「悪意」より「うっかり」で起きます。例えば、提案書の要約を依頼したつもりで、顧客名・単価・契約条件をそのまま貼り付けてしまうケースです。 対策はシンプルで、入力データを区分し、入力OK/NGを明文化することです。

著作権・商用利用・ブランド：生成物の扱いで揉めるポイント

文章・画像・動画・コードは、論点が少しずつ違います。共通するのは「生成物をそのまま採用しない」ことです。対外発信・商用利用は必ず人が確認し、必要なら出典やライセンスを確認する運用にします。 画像/動画の商用利用の注意点は、以下の記事も参考になります。AI画像生成おすすめツール比較/AI動画生成ツールおすすめ比較

品質・説明責任：誤情報/差別/幻覚をどう扱うか

生成AIはもっともらしい文章を作れる反面、誤り（幻覚）や偏りが混ざることがあります。ガイドラインでは「最終責任は人」「対外文書はレビュー必須」を明文化し、レビューの粒度（誰が、何を、どの基準で見るか）を決めます。 人事・採用ではバイアスや差別リスクが増えるため、後述の部門別運用例で具体的に扱います。

ツール連携（エージェント/自動化）が生む新しいリスク

RAGやエージェント、自動化ツール連携は、便利な一方で「権限委任」「ログ欠落」「意図しない外部送信」が新しい事故になります。 例えば、社内データを検索して回答する仕組み（RAG）や、外部サービスへ自動投稿するエージェントは、接続先の権限と監査が最重要です。 仕組みの基礎はRAG（検索拡張生成）とは？とAIエージェントとは？を押さえると理解が速いです。

【コピペ可】生成AI 社内利用ガイドライン雛形（1枚版）

まずは最小セットで暫定運用し、ログを見ながら改定するのが現実的です。以下はそのまま社内文書に貼れる「1枚版」です（穴埋め前提）。

対象範囲（対象者・対象ツール・対象データ）

ここが曖昧だと、例外が増えて運用が崩れます。「誰が」「どのツールで」「どのデータを扱うか」を先に固定し、例外は申請で拾います。

禁止事項（入力NG／出力NG／共有NG）

禁止事項は抽象的に書かず、現場が判断できるNG例で書きます。特に「入力NG」と「生成物をそのまま外に出す禁止」の2つが重要です。

権限・ログ・承認（最低限の運用要件）

「個人利用」から「業務利用」へ上げる分岐点は、権限とログです。誰が何をしたかが追えないと、監査も再発防止もできません。

例外申請とインシデント対応（止血の手順）

例外が発生するのは正常です。重要なのは、グレーを放置せず、申請で可視化すること。インシデントは「初動テンプレ」があるだけで被害が小さくなります。

# 生成AI 社内利用ガイドライン（1枚版／雛形）

## 1. 対象範囲
- 対象者: （例）全社員／一部部署（    ）／委託先（可/不可）
- 対象ツール: ChatGPT / Claude / Gemini / Copilot / その他（    ）
- 対象データ: 公開情報／社内情報（区分により制限）／個人情報（原則禁止）

## 2. 入力ルール（データ分類）
- 入力OK: 公開情報／自社が公開済みの情報
- 原則NG: 個人情報、社外秘、機微情報（契約・価格・設計・ソースコード・認証情報 等）
- 例外: 申請/承認フローを通し、ログ保存と影響範囲確認の上で実施

## 3. 禁止事項（コピペして使えるNG例）
- 入力NG: 顧客名・住所・電話・メール、契約書、未公開の売上/原価、認証情報（APIキー/パスワード）
- 出力NG: 生成物を「事実確認なし」で外部公開、著作権/ライセンス不明の画像・文章を商用利用
- 共有NG: 生成結果を社外に転送、個人アカウントでの業務データ取り扱い（許可なし）

## 4. 権限・ログ・承認（最低限）
- アカウント: 会社管理アカウントを原則とする（個人アカウント利用は条件付き）
- 権限: 役割に応じて機能制限（例）外部連携/API、ファイルアップロード、共有
- ログ: 目的・入力区分・利用ツール・出力の用途を記録（監査用）
- 承認: 対外公開物/顧客向け成果物は人のレビューを必須とする

## 5. 例外申請とインシデント対応
- 例外申請: 目的／対象データ／代替策／リスク／承認者（    ）／ログ保存の方法
- インシデント初動: ①利用停止 ②関係者連絡 ③ログ保全 ④影響範囲確認 ⑤再発防止
- 連絡先: 情シス（    ）／法務（    ）／現場責任者（    ）

補足: 実運用では「入力データ分類表」「例外申請フォーム」「インシデント初動手順」を別紙で持つと、現場が迷いません。 参考としてAIエージェントの作り方の「権限/ログ設計」の考え方も同じです。

最短導入ステップ：30日でガイドラインを「運用」まで持っていく

文書を作るだけで終わらせず、PoC→定着までを30日で回すのが最短です。ポイントは「使い方研修」より「事故らない運用研修」を軸にすることです。

部門別の運用例（営業/人事/開発）

「うちはどこまでOK？」は、部門の業務データと責任の置き方で変わります。ここではOK例・NG例の粒度まで落とします。

営業：提案書/メールでのOK例・NG例（顧客情報の扱い）

営業は顧客情報が混ざりやすい領域です。ポイントは「顧客固有情報を入れない」形に分解してAIに投げることです。

人事・採用：求人票・スクリーニング・評価の注意点

人事は個人情報と差別リスクが強く、ガイドライン上は「原則NG」が増えます。個人情報を入力しない設計（匿名化・要約）と、評価の説明責任を守るレビュー体制が重要です。 実務の活用例はAI × 人事・採用の実践ガイドも参考になります。

• 求人票のたたき台作成はOK（公開情報と自社の公開可能情報で）。
• 履歴書や評価コメントの入力は原則NG（個人情報・機微が混ざる）。
• スクリーニングは「補助」まで（最終判断は人／根拠の記録を残す）。

開発：Copilot/AIコーディングの情報管理とレビュー運用

開発はソースコードや認証情報の混入が最大リスクです。運用の基本は「秘密情報を入力しない」「生成コードをレビューする」「ライセンス/脆弱性の観点を含める」です。 チーム導入時のルールはGitHub Copilotの使い方に詳しくまとめています。

よくある質問（FAQ）＋チェックリスト

反対意見（法務/情シス/現場）を先回りして、意思決定を加速させます。迷うポイントは「データ分類」と「例外申請」に寄せて整理するとブレません。

7つのFAQ

Q. 生成AI（ChatGPT等）に社内情報を入力しても大丈夫ですか？

A. 原則はデータ分類で判断します。社外秘・個人情報・機微情報は入力禁止とし、例外が必要な場合は申請/承認フロー（目的・対象データ・代替策・ログ保存）を通して判断します。

Q. ガイドラインは「禁止」中心にした方が安全では？

A. 禁止だけだと現場のシャドーAIが増えやすく、結果的に統制不能になります。安全に使える範囲を定義し、ログと権限で統制する方が現実的です。

Q. ガイドラインに最低限入れるべき項目は何ですか？

A. 「入力ルール（データ分類）」「禁止事項（NG例）」「権限」「ログ/監査」「例外申請」「インシデント対応」の6点が最小セットです。

Q. 生成物（文章/画像/コード）はそのまま社外に出してよいですか？

A. 原則は人の確認を必須にし、第三者権利・機密混入・誤情報のチェック工程を定義します。用途により承認レベルを分けて運用します。

Q. どの部署がガイドラインの責任者になるべきですか？

A. 情シス/セキュリティ、法務、現場（利用部門）の三者で役割分担し、最終責任（改定責任者）を1名に明確化します。

Q. どれくらいの頻度で見直すべきですか？

A. 原則は四半期〜半期で定期レビューし、ツール変更・事故発生・法令/社内規程変更があれば随時改定します。

Q. まず何日で導入できますか？

A. 1枚雛形での暫定運用は最短1〜2週間、ログ/権限/教育まで含めた運用定着は30日を目安に設計します。

導入チェックリスト（最低限）

1枚雛形を作ったら、次に「運用できるか」を確認します。以下が埋まっていれば、暫定運用を開始できます。

• 対象範囲（対象者・対象ツール・対象データ）が明文化されている
• 入力NGの基準がデータ分類で定義され、例外申請の導線がある
• 禁止事項がNG例で書かれている（現場が判断できる）
• 会社管理アカウント/個人アカウントの扱いが決まっている
• 権限（連携/共有/ファイル）と承認（レビュー責任者）が定義されている
• ログの保存項目（目的・入力区分・出力用途）が決まっている
• インシデント初動の連絡先と手順（止血）が用意されている
• 見直し頻度（四半期/半期）と改定責任者が決まっている