実務ガイド

企業の AI 利用ルール ひな形 ― 必須 8 項目と運用ポイント

admin · · 7 min read

AI Usage Policy — Template · 8 Required Sections
Illustration: Storyset (line, brand-recolored)

「うちの会社、AI 利用ルールある?」と現場に聞かれて、答えに詰まる経営者・情シス担当者は少なくありません。シャドー AI 完全ガイドで論じた通り、ルールがない状態で AI ツールの導入だけが進めば、機密情報漏えい・規制違反・知的財産毀損のリスクが組織横断で蓄積されます。本記事は、企業の AI 利用ルール(ガイドライン)の必須項目・記載例・運用ポイントを、そのまま社内文書のひな形として使える粒度で提供します。

なぜ AI 利用ルールが必要か

ルールの目的は「禁止のため」ではなく「現場が安心して使えるため」です。明確なルールがあれば、現場は判断に迷わず生産性を上げられ、情シス・法務は事後対応の負荷を減らせ、経営は説明責任を果たせます。AI 利用ルールは、AI を制限する文書ではなく、使うための土台を組織で共有する文書として設計するのが正解です。

必須 8 項目 ― AI 利用ルールに最低限入れるもの

① 適用範囲

誰に適用されるか(全従業員/業務委託/インターン)、何に適用されるか(業務利用のすべて/私物デバイスでの業務利用を含む)を明示。曖昧だと「自分には関係ない」と解釈されます。

記載例:「本ルールは当社の全役職員、業務委託先、インターン、その他業務に従事するすべての者に適用される。私物デバイス・私用アカウントから業務情報を扱う AI ツールに入力する行為も対象とする。」

② 利用可能な AI サービスのリスト(許可リスト)

エンタープライズ契約・データ非学習契約のあるサービスのみを明示リスト化。リストは情シスが管理し、四半期ごとに見直す旨を記載。

記載例:「業務利用は次の許可リストに記載のサービスのみとする。許可リストは別紙〈AI サービス許可リスト〉とし、四半期ごとに情報システム部が更新する。リスト外サービスを業務利用する場合は、事前に AI ガバナンス委員会 へ申請する。」

③ 入力してはいけない情報

「機密情報を入力するな」では曖昧。具体的な情報カテゴリで列挙する。

記載例:「次の情報を許可リスト外の AI サービスに入力してはならない。

  • 個人情報(氏名・住所・電話番号・メールアドレス・マイナンバー等)
  • 顧客の取引情報・契約条件・価格情報
  • 未公開の製品設計・開発資料・特許出願前情報
  • 未公開の財務情報・M&A 検討資料
  • 採用・人事評価・給与に関する個別情報
  • パスワード・API キー・認証情報
  • セキュリティ脆弱性情報・インシデント詳細

許可リスト上のサービスでも、エンタープライズ契約条件を超えるカテゴリは入力禁止」

④ 業務での使い方の例示

「これは OK」を具体例で示す。ルールが「禁止リスト」だけだと、現場は萎縮します。

記載例

  • ✅ 公開情報の要約・翻訳・編集
  • ✅ メール文面の下書き作成(個人情報を含まない範囲)
  • ✅ 一般的なコード断片・関数の生成(社内コードを貼らない)
  • ✅ アイデア出し・ブレインストーミング
  • ✅ プレゼン資料の構成案作成
  • ⚠️ 個人情報・顧客データを含む処理 → 許可リスト上のサービスでのみ実施
  • ❌ 営業秘密・未公開情報の入力
  • ❌ 医療情報・金融取引情報の汎用 AI への入力(業界規制あり)

⑤ 生成物の利用責任

AI が生成したテキスト・コード・画像の最終責任は利用者にあることを明記。AI の幻覚・誤情報・著作権侵害は AI ベンダーが補償してくれないため、必ず人間がチェックする義務を負わせる。

記載例:「AI が生成した出力は、業務利用前に必ず利用者本人が事実関係・著作権・適法性を確認する。AI の出力をそのまま外部に提供した結果生じた損害は、当該従業員および所属部門が責任を負う。」

⑥ AI エージェント・自動化ツールに関する特則

近年の Cursor、Devin、Claude Code、Operator など自律実行型エージェントは、従来の対話 AI と扱いを分ける。AI エージェントセキュリティガイドを参照。

記載例:「ファイル削除・送金・契約締結・対外送信などの破壊的・対外的アクションを行う AI エージェントの業務利用は、情報システム部の事前審査を必須とする。エージェントへの権限付与は最小限とし、破壊的アクションは利用者本人の承認を毎回必須とする。」

⑦ インシデント発生時の対応

機密情報を誤って入力してしまった場合の連絡先と初動を明示。隠さず即報告できる文化を作る。

記載例:「次の事象が発生した場合、利用者は速やかに情報システム部(連絡先:◯◯)へ報告する義務を負う。報告者を理由として懲戒の対象とはしない。隠匿が後で発覚した場合のみ、懲戒対象となる。

  • 許可リスト外の AI サービスに業務情報を入力してしまった
  • AI の出力に他社の機密情報や個人情報が含まれていた
  • AI エージェントが意図せざる対外的アクションを実行した

⑧ 教育と監査

入社時と年1回の研修義務、利用ログのサンプル監査、違反時の対応プロセスを記載。

記載例:「全従業員は入社時および年1回の AI 利用研修を受講する。情報システム部は利用ログのサンプル監査を四半期ごとに実施する。重大な違反(営業秘密の入力等)は、就業規則の規定に基づき懲戒の対象となり得る。」

追加で入れると効くオプション項目

  • 知的財産の扱い:AI 生成物の著作権、業務時間外の個人利用との切り分け
  • 顧客提供物への AI 利用開示:顧客に納品する成果物に AI を使った場合の開示ルール
  • 採用・人事評価での AI 利用制限:差別・公平性の問題(一部の自治体・国で義務化)
  • 個人利用との切り分け:私物アカウントでの個人利用は本ルール対象外、ただし業務情報の入力は対象
  • 第三者へのインタビュー・取材・録音への AI 利用:相手の同意を必須とする

運用 ― ルールが「死文化」しないために

① 四半期見直しを制度化

AI 技術の進化は半年単位で世界が変わる。AI ガバナンス委員会のような横断組織で、四半期ごとに見直し・更新する。

② 「相談しやすい窓口」を設置

新しい AI ツールを使いたい現場の相談を受ける窓口を明示。「ルール違反」ではなく「次の許可リスト候補」として処理する流れを作る。

③ 違反者を晒さず、事例として学ぶ

個別の違反者を晒す運用は報告を萎縮させる。「こういうことがあった」という事例として匿名共有し、組織の学びにする。

④ 経営層から発信する

「AI 利用は推奨」「ただしルールを守ろう」のメッセージを、経営層が継続的に発信。情シスの押し付けに見えると現場は無視します。

AI 利用ルールは「禁止のため」ではなく「使うため」の土台。

Omamori AI の結論

  1. 事実:AI 利用ルールは多くの企業で未整備、または「禁止リスト」だけで現場の判断を支えられていない。シャドー AI が広がる中、現場が安心して使える土台としてのルールが組織横断で必要。
  2. 判断軸:ルールは「禁止する」ためではなく「現場が安心して使えるため」の文書として設計。必須 8 項目(適用範囲・許可リスト・入力禁止情報・利用例示・生成物責任・エージェント特則・インシデント対応・教育監査)を最低限カバー。
  3. 打ち手:本記事の必須 8 項目をひな形に、自社事情を加味して整備。四半期見直しを制度化、相談窓口を設置、違反者を晒さない事例共有、経営層からの発信——4 点を運用面でセットにする。

関連記事

👉 シャドー AI 完全ガイド
👉 従業員向け AI 利用ガイドライン ひな形(旧版)
👉 AI ガバナンス委員会 ― 3 つのループ
👉 セキュリティ用語集

SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細