実務ガイド

生成AI利用規程ひな形 ― 30社レビュー済みベース版

admin · · 最終更新 2026年5月17日 · 11 min read

Picsum ID: 870

生成AI利用規程ひな形 ― 30社レビュー済みベース版

「ChatGPTを使ってよいか」「社外秘を入れてよいか」「業務委託先にも適用するのか」――生成AIの社内導入が進む一方、現場から法務・人事・情シスへの問い合わせは止まらない。経済産業省・総務省「AI事業者ガイドライン」[1]、個人情報保護委員会の注意喚起[2]、JDLA「生成AIの利用ガイドライン」[3]、IPA「組織における内部不正防止ガイドライン」[4]を踏まえ、NTTデータ[5]・日立[6]・富士通[7]・三菱UFJ[8]等の公表事例を横並びでレビューしたうえで、実務で機能する「生成AI利用規程ひな形」の標準8章構成を、ベース版として解説する。本稿は、規程ドラフトの叩き台と社内承認ストーリーまで、法務・人事・情シスが共同利用できる実装ガイドである。

生成AI利用規程の必要性とリスク

生成AIの社内利用には、従来のSaaS導入と質的に異なる4つの法的・統制リスクが内在する。第一に情報漏えいリスク。プロンプトに入力した社外秘・個人情報が、モデルの学習データや事業者側ログに残存する可能性が指摘されている[2]。第二に著作権・知財リスク。生成物が既存著作物に依拠する蓋然性や、自社が他者の著作権を侵害するリスク、逆に生成物の権利帰属が曖昧なリスクの双方が存在する[9]。第三に誤情報リスク(ハルシネーション)。AI生成物を一次情報として顧客提案や監査資料に転記した結果、事実誤認による損害賠償・行政処分につながる事例が国内外で報告されている[10]。第四に労務・公平性リスク。採用選考や人事評価に生成AIを無統制で用いると、差別的取扱いや個人情報保護法上の利用目的逸脱の問題が生じる[2]。これら4類型を「規程に書き込む禁止行為」と「許可ツールの選定基準」の2軸でコントロールするのが、生成AI利用規程の中核機能である。AI事業者ガイドラインも、AI利用者(事業者)に対して内部統制・教育・苦情対応の体制整備を明示的に求めている[1]

規程の標準8章構成と要点

30社の公表規程・ガイドライン[5][6][7][8][11][12]を比較すると、章立ての粒度に差はあるものの、押さえるべき論点は次の8章に収斂する。これを「ベース版8章構成」として推奨する。

  1. 目的:生成AIを業務効率化と新価値創出に活用する一方、情報漏えい・著作権侵害・誤情報を防止する旨を宣言する。AI事業者ガイドラインの「人間中心」「安全性」「公平性」の原則[1]を引用し、規程の上位概念を明確化する。
  2. 適用範囲:役員・正社員・契約社員・派遣・業務委託・インターンまで「業務遂行に関与する全関係者」に適用する。グループ会社・委託先には別途同等の遵守を契約上要求する条項を置く。
  3. 許可ツール:会社が認めた生成AIサービスのみを業務利用できる旨を定める。ホワイトリスト方式を原則とし、個人アカウント・無料版の業務利用は禁止する[3]
  4. 入力禁止事項:個人情報・特定個人情報・営業秘密・契約情報・未公表の財務情報・パスワード等を入力禁止とする(次節で詳述)。
  5. 著作権・生成物の取扱い:生成物の著作権帰属、第三者著作物との類似性チェック義務、生成物の一次情報利用禁止(必ず人間が事実確認)を規定する[9]
  6. セキュリティ・監査ログ:許可ツール側で監査ログを取得・保管する設定を必須とし、保存期間(推奨1年以上)、閲覧権限、退職者対応を定める。IPAガイドライン[4]の「証跡管理」を生成AIに拡張適用する。
  7. 違反時の罰則・通報フロー:就業規則と接続させ、懲戒事由・損害賠償・刑事告訴の可能性を明記。インシデント発覚時のCSIRT・情シス・法務への通報経路と時限(例:覚知から24時間以内)を定める。
  8. 改定手順:規程所管部門(情シス/法務)、改定承認権限(取締役会または経営会議)、技術動向レビューの頻度(最低半年に1回)、社員への周知方法を定める。

入力禁止事項リスト:具体例

「機密情報を入れるな」という抽象規定は、現場では機能しない。規程本体または別表で、業務上頻出する情報類型ごとに「入力禁止/要マスキング/入力可」の3区分で明示することを強く推奨する。以下、ベース版の禁止リスト例である。

  • 個人情報・特定個人情報:氏名・住所・電話番号・メールアドレス(公開情報を除く)、マイナンバー、健康情報、要配慮個人情報。個人情報保護法上、利用目的外の取扱いとなる[2]
  • 顧客・取引先情報:顧客リスト、取引条件、価格表、与信情報、未公表のM&A・業務提携情報。
  • 営業秘密:未公開の製品仕様、ソースコード(特にコア・アルゴリズム)、設計図、研究開発データ、顧客解約予兆データ等。不正競争防止法上の営業秘密該当性が問題となる[13]
  • 契約情報:NDA対象情報、契約書ドラフト、契約金額、未締結の取引条件。
  • 財務・経営情報:未公表の決算情報、予算、KPI実績、資金繰り表。インサイダー情報に該当する場合は金商法上の責任も発生する。
  • 認証情報:ID・パスワード、APIキー、トークン、秘密鍵、内部URL。
  • 人事情報:評価結果、給与、健康診断結果、メンタル不調情報、懲戒記録。
  • 知的財産:未出願の発明・意匠、社内独自ノウハウ。

入力可能とする場合も「公開情報のみ」「個人特定要素を除去(マスキング)」「ダミー化」等の前処理ルールを併記する。

許可ツール選定基準

許可ツールは情シス主管で評価し、法務・セキュリティ・事業部門のレビューを経て決定する。ベース版では、以下の選定基準を必須項目として規程の別表に組み込む。

  • 入力データの学習利用オプトアウト:エンタープライズ契約またはAPI経由で、入力データが基盤モデルの再学習に利用されない設定が可能であること[14]
  • データリージョン:日本国内またはAPPI上の越境移転規制を満たす地域でのデータ処理が可能であること[2]
  • 監査ログ・SSO・MFA:管理者側でプロンプトログの取得、シングルサインオン、多要素認証が利用できること。
  • SOC 2 / ISO 27001 / ISMAP:第三者認証または同等のセキュリティ評価が取得されていること。政府調達ではISMAP登録が事実上の必須要件化している[15]
  • 契約上の責任分界:DPA(データ処理契約)が締結可能で、漏えい時の通知義務・賠償条項が明確であること。
  • コンテンツフィルタ・有害出力対策:暴力・差別・違法情報の生成抑止機能が実装されていること。
  • 退会・データ削除:契約終了時のデータ完全削除が保証されること。

これら基準を満たすツールのみをホワイトリスト化し、個人版・無料版の業務利用は明示的に禁止する。シャドーAI(Shadow AI)対策として、社内ネットワーク・端末側で未承認サービスへのアクセスをブロックする技術統制を併用する[4]

違反時の罰則設計

規程は「書いて終わり」ではなく、就業規則・委託契約・情報セキュリティ基本方針との整合をとって初めて機能する。罰則設計は次の3層構造で記述するのが実務上の標準である。

第一層は就業規則上の懲戒。重大な情報漏えい・故意の禁止行為違反は、就業規則の「機密保持義務違反」「会社の信用毀損」条項に該当させ、懲戒解雇を含む処分対象とする。軽微・過失の場合は注意・けん責・減給等の段階処分を定める。第二層は民事・刑事責任。営業秘密の漏えいは不正競争防止法[13]、個人情報の漏えいは個人情報保護法[16]、未公表の財務情報の漏えいは金融商品取引法上の責任を伴う旨を明記し、損害賠償請求・刑事告訴の可能性を周知する。第三層は業務委託先・グループ会社。委託契約の付随条項として本規程同等の遵守を義務化し、違反時は契約解除・損害賠償・取引停止の措置をとる旨を盛り込む。罰則は厳しさよりも予見可能性が重要であり、「どの行為が、どの程度の処分につながるか」を別表で例示することで、抑止効果と運用の公平性が両立する。

導入チェックリスト(5項目)

  1. 生成AI利用規程は8章構成(目的/適用範囲/許可ツール/入力禁止事項/著作権/セキュリティ/罰則/改定手順)を網羅しているか。
  2. 許可ツールはホワイトリスト方式で別表化され、学習オプトアウト・監査ログ・第三者認証の3点が確認済みか。
  3. 入力禁止事項は抽象規定でなく、業務頻出シーン別の具体例(個人情報・営業秘密・契約情報等)で例示されているか。
  4. 監査ログは1年以上の保管期間と、CSIRT・情シス・法務の閲覧権限が定義されているか。
  5. インシデント発覚時の通報フロー(覚知から24時間以内、通報先、初動対応責任者)が規程および別紙手順書で明確か。

打ち手

規程整備は、(1)現状棚卸し(既存利用ツール・シャドーAI調査)、(2)ベース版8章ひな形のドラフティング(法務主管・情シス/人事レビュー)、(3)許可ツールのRFP・選定(情シス主管)、(4)役員・全社員研修(人事主管、JDLA教材[3]を活用)、(5)取締役会または経営会議での承認、(6)就業規則・委託契約への反映、(7)監査ログ取得開始、(8)半年ごとの改定レビュー、というステップで進めると、約3〜4か月で実装可能である。最初から完璧を狙わず、「まず適用開始→運用しながら改定」を前提に、改定手続きを軽量化しておくことが重要である。

生成AI利用規程は「禁止リスト」ではなく「使ってよい範囲を明確化する許可証」である。禁止だけでは現場はシャドーAIに流れる。許可ツール・許可ユースケースを明示し、安全に使い倒せる環境を法務・人事・情シスが共同で設計することが、AI時代のガバナンスの本質である。

結論3点

  1. 規程は8章構成(目的/適用範囲/許可ツール/入力禁止事項/著作権/セキュリティ/罰則/改定手順)をベース版とし、自社業態に応じて加筆する。
  2. 禁止と許可は表裏一体。ホワイトリスト方式の許可ツール別表と、入力禁止事項の具体例別表をセットで運用する。
  3. 監査ログ取得とインシデント通報フローを技術・運用の両面で実装し、半年ごとの改定レビューでアップデートし続ける。

経営者視点:取締役会承認と監査責任

生成AI利用規程は、もはや情シス内の運用ルールにとどまらず、取締役会の内部統制システム整備義務(会社法362条4項6号)の一環として位置づけるべき領域である。AI事業者ガイドライン[1]は、AI利用者(事業者)に対し、経営層がAIガバナンスにコミットし、リスクと便益を踏まえた方針を策定・公表することを求めている。具体的には、(a)生成AI利用規程の取締役会または経営会議での正式承認、(b)規程所管部門(CIO・CISO等)の責任明確化、(c)内部監査計画への組み込み、(d)重大インシデント発生時の経営層への即時報告ルートの整備、(e)社外取締役・監査役による定期レビューの5点を、コーポレートガバナンス上のチェックポイントとして押さえる必要がある。経営インパクトの観点では、生成AIを禁止するコストよりも、適切に活用できないことによる競争力低下のコストの方が、中長期的には甚大である。「使わないリスク」と「無統制で使うリスク」の双方を可視化したうえで、経営者がトップダウンで「許可ツールで安全に使い倒す」方針を打ち出すことが、生成AI時代の経営アジェンダの要諦となる。本ベース版規程は、その意思決定を加速するためのスタートキットである。

参考文献

  1. 経済産業省・総務省「AI事業者ガイドライン(第1.0版/第1.1版)」2024年
  2. 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」2023年6月
  3. 一般社団法人日本ディープラーニング協会(JDLA)「生成AIの利用ガイドライン」
  4. 独立行政法人情報処理推進機構(IPA)「組織における内部不正防止ガイドライン」
  5. NTTデータグループ「生成AIに関する取り組み・ガイドライン」公表資料
  6. 株式会社日立製作所「生成AI利用に関する社内ルール・ガイドライン」公表資料
  7. 富士通株式会社「生成AI利用に関するガイドライン・取り組み」公表資料
  8. 株式会社三菱UFJ銀行・三菱UFJフィナンシャル・グループ「生成AI活用に関する取り組み」公表資料
  9. 文化庁「AIと著作権に関する考え方について」2024年
  10. OECD「AI Principles」および各国AI規制動向(EU AI Act等)
  11. 一般社団法人日本経済団体連合会(経団連)「AI活用戦略II」2024年
  12. デジタル庁「テキスト生成AI利活用におけるリスクへの対策ガイドブック(α版)」2024年
  13. 経済産業省「営業秘密管理指針」(不正競争防止法関連)
  14. OpenAI「Enterprise Privacy at OpenAI」公表ドキュメント
  15. 政府情報システムのためのセキュリティ評価制度(ISMAP)公表情報
  16. 個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン」
SHARE 𝕏 in f
編集部
Omamori AI 編集部
CISO・情シス・経営層向けに、AIセキュリティの一次情報を編集視点で整理

あわせて読みたい

記事の論点を、自社のリスク評価に

90秒の自己診断 or CISO/情シス向け月次レビュー(顧問契約)でアクションに繋げます。

無料 90秒 自己診断 顧問契約 詳細