この記事でわかること
- 社員のAI利用状況を把握する方法がわかる
- 情報漏洩を防ぐための基本ルールがわかる
- 社内でAIを安全に広げる手順がわかる
社員が個人アカウントで生成AIを使い始めている。本人たちは便利だと感じているが、会社としてはルールを決めていない。
このような状態のまま時間が経っている会社は少なくありません。
総務省の令和7年版情報通信白書では、規模の小さい会社で生成AIの活用方針を明確に定めていないところが約半数を占める、と示されています。現場が先に動き、会社の方針があとから追いかける状況になっている会社もあります。
禁止すれば社員が困る。放置すれば、情報の扱いが心配になる。どちらにも決めきれず、判断を保留している経営者や管理職の方もいるはずです。
この記事では、「禁止する」のではなく「安全に使えるように整える」ための10項目をまとめます。一気にすべて対応する必要はありません。順番に確認していけば、抜け漏れを減らしながら進められます。
まずは現状を把握する
1つ目は、誰が、どのAIを、どんな業務で使っているかを把握することです。
社員が個人の判断でAIを使っている状態では、会社から利用状況が見えません。まずは、短いアンケートで十分です。
「使っているAIサービス名」
「使っている業務」
「困っていることや不安なこと」
この3つを聞くだけでも、現状の輪郭が見えてきます。
詳しくは社員が無許可で生成AIを使う「シャドーAI」とは?で扱っています。
入力していい情報・ダメな情報を決める
2つ目は、AIに入力してよい情報と、入力してはいけない情報を分けることです。
取引先名、顧客の連絡先、社内の未公開数字、契約書の内容、社員の個人情報など、扱いに注意が必要な情報を一覧にしておきます。
社員が「これはAIに入れていいのだろうか」と迷ったとき、その表を見れば判断できる状態にしておきます。
具体的な情報の種類は、AIに入力してはいけない情報とは?で整理しています。
会社として使うツールを決める
3つ目は、会社として使うAIサービスを決めることです。
社員ごとに違うサービスを個人アカウントで使っていると、設定や利用状況を管理しにくくなります。できるだけ、会社で契約したアカウントに切り替えていく方が安全です。
最初から多くのサービスを試す必要はありません。まずは1〜2サービスに絞って始める方が、社員も覚えやすく、管理もしやすくなります。
費用感については、生成AI導入にかかる費用はどれくらい?で確認できます。
各サービスの学習設定を確認する
4つ目は、入力内容がAIの学習や改善に使われないように、設定を確認することです。
AIサービスごとに、データの扱い方や設定画面は異なります。会社で使う場合は、利用前に必ず確認しておきたい項目です。
ChatGPTについてはChatGPTで最初にやっておくべきセキュリティ設定、ClaudeについてはClaudeで最初にやっておくべき設定と使い始め方にまとめています。
予算と費用負担の方針を決める
5つ目は、費用の方針を決めることです。
無料プランのまま使うのか。個人の有料プランを会社が補助するのか。会社として有料プランや法人プランを契約するのか。会社の規模や使い方によって、判断は変わります。
最初から全社で法人プランを契約しなくても構いません。まずは数人で有料プランを試し、使い方や効果を見ながら広げていく進め方も現実的です。
費用の目安は、生成AI導入にかかる費用はどれくらい?を参考にしてください。
AI担当者を決める
6つ目は、AI活用の窓口になる担当者を決めることです。
担当者が1人いるだけで、社内の相談先が明確になります。情報収集、ルール作り、勉強会の準備なども進めやすくなります。
専門家である必要はありません。AIに関心があり、社内の状況を見ながら動ける社員であれば、最初の担当者としては十分です。
任命された担当者の動き方は、AI担当に任命されたら最初の1か月でやることで扱っています。
困ったときの相談先を明示する
7つ目は、社員が迷ったときに相談できる場所を用意することです。
「これはAIに入力していいですか」
「この文章をそのまま使っていいですか」
「このサービスを業務で使ってもいいですか」
こうした疑問を気軽に聞ける窓口がないと、社員は自己判断で進めてしまいます。
月1回の社内勉強会、チャットでの相談窓口、AI担当への問い合わせなど、形式は何でも構いません。社員が迷ったときに止まらず相談できる場を作ります。
勉強会の中身については、AI活用の社内勉強会は、何を話せばいい?で具体例を紹介しています。
取引先・顧客情報の社内ルールを作る
8つ目は、取引先や顧客に関する情報を扱うときのルールです。
業務でAIを使う以上、取引先名や顧客情報が関わる場面は出てきます。どの情報は入力してよいのか、どの情報は伏せるのか、どの情報はそもそも使わないのかを、社内で決めておく必要があります。
たとえば、顧客名は伏せる、個人情報は入力しない、契約書の本文はそのまま貼り付けない、などです。
リスクと対策の全体像は、中小企業のためのAIセキュリティ完全ガイドにまとめています。
AIの出力をそのまま社外に出さない確認フローを作る
9つ目は、AIが作った文章や資料を、そのまま社外に出さない仕組みを作ることです。
AIは、間違った内容を自然な文章で書くことがあります。数字、制度名、商品情報、法律や補助金の内容などは特に注意が必要です。
社外向けの文章は、必ず人が読み返してから送る。提案書やメールは、事実関係と表現を確認してから出す。こうした確認フローを決めておくと、トラブルを防ぎやすくなります。
AIの勘違いの仕組みは、いまさら聞けない「ハルシネーション」とは?で説明しています。
ルールを守ってもらう周知方法を決める
10個目は、ルールの伝え方です。
ルールを作っても、社員に届かなければ意味がありません。文書化したうえで、どの場面で伝えるかまで決めておく必要があります。
たとえば、入社時の説明に入れる。年1回見直す。社内勉強会で説明する。チャットや社内ポータルに固定しておく。こうした形で、社員が何度も確認できる状態にしておきます。
ポリシー文書の作り方は、AI利用ポリシーの作り方|中小企業のための文書化ガイドにまとめています。
まとめ
10項目を見ると、多いと感じるかもしれません。
ただし、一気にすべてを揃える必要はありません。まずは、現状把握から始めます。そこで見えてきた課題に応じて、入力情報のルール、使うツール、相談先づくりへと進めていけば十分です。
大切なのは、禁止ではなく、整える方向で進めることです。
社員がすでに便利だと感じているAIを取り上げるのではなく、安心して使える環境にしていく。その方向で進めた方が、社内にも受け入れられやすくなります。
AIが下書きを作り、最終的な判断は人間が行う。この前提を10項目すべてに通しておくと、社内ルールの軸がぶれにくくなります。
まずは、現状把握のアンケートから始めてみてください。
よくある質問
Q1. 10項目すべてを揃えないと、社員にAIを使わせてはいけませんか?
すべて揃ってから始める必要はありません。
まずは、現状把握と入力情報のルールから決めると、トラブルを防ぎやすくなります。残りの項目は、使いながら整えていく形でも構いません。
完璧を待っていると、社員が個人判断でAIを使う状態が長く続いてしまいます。小さく始めて、少しずつ整えていく方が現実的です。
Q2. すでに社員が個人アカウントでAIを使っています。すぐ禁止すべきですか?
いきなり禁止するよりも、まずは状況を把握する方が現実的です。
急に禁止すると、社員が使っていることを言い出しにくくなり、かえって会社から見えない状態になる可能性があります。
まずはアンケートなどで使用状況を見える化し、入力してはいけない情報のルールを共有します。そのうえで、会社のアカウントに切り替えていく順番がよいでしょう。
Q3. 従業員30人ほどの規模でも、ここまで必要ですか?
必要です。ただし、重い規程を作る必要はありません。
規模が小さい会社ほど、一人ひとりの判断が会社全体に影響しやすくなります。だからこそ、最低限のルールは決めておいた方が安心です。
文書はA4一枚程度の軽いものでも構いません。会社として「何を入れてよいか」「何を入れてはいけないか」「困ったら誰に聞くか」を共有しておく。これだけでも判断のばらつきが減ります。