【2026年版】ChatGPT・生成AI社内ルール(ガイドライン)の作り方:入力禁止情報・テンプレート付き

「社員が個人アカウントのChatGPTをこっそり使っているかもしれない……」——中小企業の経営者や総務担当者から、最も多く相談を受けるお悩みの一つです。かといって全面禁止にすると、むしろ陰での利用が増えます。答えは「禁止より先にルールを作ること」にあります。この記事では、弁護士法人のひとり情シスとして機密情報だらけの現場でAI社内ルールを整備してきたITコーディネーターが、中小企業が今日から使える最小限のガイドライン策定方法をテンプレート付きで解説します。
この記事で分かること
生成AI社内ルールとは、従業員が業務でChatGPTなどのAIを使う際のルールを明文化した文書です。最低限必要な6項目は「利用目的・利用ツール指定・入力禁止情報・生成物の扱い・違反時の対応・定期見直し」です。入力してはいけない情報は、顧客情報・個人情報・社内機密・未公開財務情報・契約書全文・人事評価情報の6カテゴリです。4ステップで最短2時間のたたき台が完成します。
1. なぜ今、生成AIの社内ルールが必要なのか
【このセクションの結論】
「うちはまだそんなに使っていないからルールは不要」は危険な思い込みです。社員が個人端末でこっそり使う「シャドウAI」がすでに広がっており、ルールなき利用は情報漏洩リスクを見えなくするだけです。
「うちの会社ではまだAIを本格的に使っていないから大丈夫」と思っている経営者の方に、一つ確認していただきたいことがあります。社員のスマートフォンや私用パソコンで、ChatGPTやClaudeが使われていないと、断言できますか?
「禁止」より「ルール整備」が正解である理由
【シャドウAIとは】
シャドウAIとは、IT部門や経営者が把握しないまま、社員が個人アカウントや私用端末で業務にAIを使っている状態のことです。(58字)
シャドウAIが怖い理由は、「使っている事実」ではなく「何を入力しているかわからない点」にあります。全面禁止にすると、社員は禁止されたこと自体を上司に報告しないまま、こっそり使い続けます。結果として、情報管理のリスクが「見えない場所」に移動するだけです。
総務省の調査によると、生成AIを業務利用している日本企業のうち、明文化されたガイドラインを整備済みの企業は約半数にとどまります。特に中小企業では、「方針を明確に定めていない」企業が過半数を占めています。 (出典:総務省「国内外における最新の情報通信技術の研究開発及びデジタル活用の動向に関する調査研究」2025年 https://www.soumu.go.jp/)
「禁止」はこの状況をさらに悪化させます。一方、「これを守れば使っていい」というルールがあれば、社員は安心して使えます。会社は情報管理のコントロールを取り戻せます。双方にメリットがある選択肢は、ルール整備一択です。
ルールがないまま使い続けると起きる3つのリスク
生成AI社内ルールがない状態で発生する3大リスク
- リスク①:情報漏洩——顧客データ・未公開情報がAIの学習データに取り込まれる可能性がある
- リスク②:著作権侵害——AIが生成した文章や画像が第三者の著作物と類似するケースがある
- リスク③:ハルシネーション(事実と異なる出力)を信じたまま意思決定・社外発信してしまう
このうち最も深刻なのはリスク①です。海外の大手電子機器メーカーで、エンジニアが開発中のソースコードを生成AIに入力したことで、情報が外部に漏洩する可能性が発覚した事例が報道されています。日本でも類似のインシデントは起きています。
なお、法整備も急速に進んでいます。2025年9月に「AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律)」が全面施行され、2026年3月には経済産業省・総務省による「AI事業者ガイドライン第1.2版」が公表されました。AIエージェントへの対応など、より実務的な内容が追加されています。ガイドラインのない企業は、調達条件や取引先審査でも不利になる時代が来ています。 (出典:経済産業省・総務省「AI事業者ガイドライン第1.2版」2026年3月31日 https://www.meti.go.jp/press/2025/03/20260331001/20260331001.html)
📄 【関連記事】 → AIセキュリティの脅威と中小企業の具体的な対策:「AIセキュリティ対策ガイド」
2. 社内ルールに必ず入れるべき6項目
【このセクションの結論】
中小企業のAI社内ルールは、A4で2〜3枚が適切です。大企業のような分厚いルールブックは不要です。「必ず入れるべき6項目」を押さえていれば、最低限の情報管理体制は整います。
「どんな内容を盛り込めばいいかわからない」——これが最も多い悩みです。答えはシンプルで、以下の6項目が入っていれば中小企業のAI社内ルールとして機能します。
最低限必要な6つの要素とは
社内ルールの6項目チェックリスト
- ①利用目的の明示——何のために・どの業務でAIを使うかを宣言する(禁止事項の羅列より先に「使っていい目的」を示す)
- ②利用ツールの指定——会社が認めたAIツールを明示する(個人アカウント・私用端末の業務利用を禁じる)
- ③入力禁止情報の明確化——入力してはいけない情報を具体的にリストアップする(詳細は次章で解説)
- ④生成物の取り扱いルール——AI出力は「初稿」として扱い、人間が必ずファクトチェック・校正する
- ⑤違反時の対応フロー——誰に・いつ報告するかを決めておく(「上長→情報管理責任者→経営者」の順が一般的)
- ⑥定期見直しのサイクル——最低半年に1回見直す日程を明記する(AI技術・法規制の変化に対応するため)
大企業向けのガイドラインと、中小企業向け最小限ルールは、目的・分量・運用体制が異なります。
| 比較項目 | 大企業向けガイドライン | 中小企業向け最小限ルール |
|---|---|---|
| 分量 | 20〜100ページ | A4で2〜3枚 |
| 策定体制 | 法務・IT・コンプライアンス部門が合同で策定 | 経営者または総務担当者が中心に策定 |
| 更新頻度 | 年1〜2回・専任チームが更新 | 半年に1回・担当者1名で更新可 |
| 達成目標 | 全部門でのリスク管理・法規制完全対応 | 情報漏洩の防止とシャドウAIの解消 |
| 現実的な運用 | 読まれずに形骸化するリスクが高い | 1枚で全員が把握できるシンプルさが武器 |
「難しく作りすぎない」が定着のカギ
【Human-in-the-Loopとは】
Human-in-the-Loopとは、AI出力の最終判断を必ず人間が行う仕組みのことです。誤情報や著作権問題を防ぐ最も確実な方法です。
「難しいルールを作るより、守れるシンプルなルールを作る」——これが中小企業のAI社内ルール策定で最も大切な原則です。厳しすぎるルールは誰も守りません。「これだけ守れば使っていい」というポジティブなフレームで書くことが、定着の第一歩です。
3. 入力してはいけない情報の完全リスト
【このセクションの結論】
入力禁止情報の線引きは「公開したら会社が困る情報は入力しない」の一言に尽きます。具体的には6カテゴリ・23項目が入力禁止情報に該当します。「どこまでがセーフか」の迷いをなくすことが、現場定着の鍵です。
「どこまで入力していいかわからない」という現場の声に応えるために、入力禁止情報を明確にします。
絶対に入力してはいけない情報(6カテゴリ)
入力禁止情報の完全リスト——これらは絶対にAIに入力しないでください
【カテゴリ1:個人情報】 顧客・社員の氏名、住所、電話番号、メールアドレス、生年月日、マイナンバー
【カテゴリ2:顧客・取引先情報】 顧客のクレーム内容、問い合わせ内容、商談内容、与信情報、契約金額
【カテゴリ3:社内機密情報】 未発表の新商品・新サービス情報、価格戦略、仕入先情報、技術情報・ノウハウ
【カテゴリ4:財務・人事情報】 売上データ、給与データ、原価情報、人事評価情報、採用選考情報
【カテゴリ5:契約・法務関連】 契約書の全文(相手方固有の条件が含まれるもの)、社外秘の法務文書
【カテゴリ6:認証・セキュリティ情報】 パスワード、APIキー、アクセストークン、社内システムの構成情報
個人情報保護委員会も、生成AIサービスへの入力に際して要配慮個人情報(病歴・犯罪経歴等)を含む情報は原則入力を避けるべきと注意を促しています。 (出典:個人情報保護委員会「生成AIサービスの利用に関する注意点」2023年6月 https://www.ppc.go.jp/)
入力してもよい情報の判断基準
| 情報の種類 | 入力OK/NG | 理由 |
|---|---|---|
| すでに公開済みの会社情報(HPに掲載済みなど) | ✅ OK | 外部に出ても問題がない |
| 一般的な質問・知識の確認 | ✅ OK | 固有の機密情報を含まない |
| 社内文書の「ひな形」作成依頼(機密情報を含まない内容) | ✅ OK | 固有情報を伏せれば問題なし |
| 顧客名・顧客情報が入った文書の添削 | ❌ NG | 個人情報・顧客情報に該当 |
| 社内の未発表計画の相談 | ❌ NG | 社内機密情報に該当 |
| 実名入りの人事関連の相談 | ❌ NG | 個人情報・人事情報に該当 |
判断に迷った場合は「その情報が外部に漏れたら会社として困るか?」を自問してください。「困る」と思った情報は入力しないのがルールです。
『IT担当者』として作ったのは禁止リストではなくOKリストでした
企業が扱う情報は機密性が高く、企業内部情報や顧客情報が外部に漏れることは、お客様への被害に繋がると同時に企業の信頼を損ねる結果を招きます。「生成AIを使い始めたい」という要望が現場から上がってきたとき、私が最初に作ったのは「禁止リスト」ではなく「OKリスト」でした。
「これは使っていい」「この業務ならAIが助けになる」という具体例を先に示したことで、スタッフは安心してルールに従いました。禁止事項を羅列するだけのガイドラインは、現場の萎縮を生みます。「使っていいこと」を先に示す——これが、機密情報だらけの現場でルールを定着させた、私の実体験からの教訓です。
4. 中小企業のための策定4ステップ
【このセクションの結論】
ガイドラインは「完璧なものを作ってから公開する」のではなく「7割の精度でスタートして半年で磨く」アプローチが正解です。最短2時間でたたき台を完成させ、試験運用を通じて改善していきます。
では、実際にどうやって社内ルールを作ればよいのでしょうか。4ステップで整理します。
【生成AI社内ルール策定:4ステップ全体マップ】
STEP 1:現状把握(社内のAI利用実態を確認する)
↓
STEP 2:たたき台の作成(テンプレートをベースに自社情報を記入)
↓
STEP 3:試験運用(特定部署・少人数で1〜2か月試す)
↓
STEP 4:全社展開(フィードバックを反映して正式公開)
STEP1〜2:現状把握とたたき台作成
STEP 1|現状把握
まず「社内で誰が・どのAIツールを・どんな目的で使っているか」を把握します。アンケートまたは口頭確認でも構いません。現状を把握することで「どんなルールが必要か」が見えてきます。
確認すべき3点は、①現在使っているAIツールの種類(ChatGPT・Claude・Geminiなど)、②個人アカウントと会社アカウントのどちらで使っているか、③どの業務で使っているか(文章作成・調査・データ分析など)です。
STEP 2|たたき台の作成(テンプレート)
以下のテンプレートを自社情報に書き換えるだけで、最低限のガイドラインが完成します。
【生成AI利用ガイドライン(初版)】
会社名:〇〇株式会社
制定日:令和〇年〇月〇日
改訂予定:制定から6か月後
1. 目的
本ガイドラインは、従業員が生成AIを業務で安全・効果的に利用するための
基本ルールを定めるものです。
2. 適用範囲
役員・正社員・契約社員・パート・業務委託先に適用します。
3. 利用可能なツール
会社が認めたAIツール(例:ChatGPT Teamプラン)のみ使用可とします。
個人アカウント・私用端末での業務利用は禁止します。
4. 入力禁止情報
以下の情報は入力を禁止します。
・顧客・社員の個人情報(氏名・住所・電話番号・メール等)
・顧客の相談内容・商談内容・クレーム内容
・未公開の新商品・新サービス・事業計画
・売上・原価・給与等の財務情報
・契約書の全文・社外秘文書
・パスワード・APIキー等の認証情報
5. 生成物の取り扱い
AI出力は「初稿・参考情報」として扱います。
社外への発信・重要意思決定への使用前に、必ず人間が確認・修正します。
6. 違反時の対応
ガイドライン違反を認知した場合は、直ちに上長に報告します。
上長は情報管理責任者〔氏名・連絡先〕に報告します。
7. 定期見直し
本ガイドラインは〇年〇月(制定6か月後)に見直しを実施します。
以降、半年ごとに見直します。
【オプトアウトとは】
オプトアウトとは、AIサービスへの入力情報を学習に使用しないよう設定することです。ChatGPT Teamプランは標準で設定済みです。
全社展開前の確認チェックリスト(5項目)
- 入力禁止情報のリストが具体的に書かれているか(曖昧な表現になっていないか)
- 「どのツールを使っていいか」が明記されているか
- 見直し日程がカレンダーに登録されているか
- ガイドラインの周知方法(朝礼・メール・掲示など)が決まっているか
- 違反時の報告先(担当者名・連絡先)が具体的に記入されているか
STEP3〜4:試験運用と全社展開
STEP 3|試験運用 全社一斉展開より先に、特定の部署・少人数(3〜5名)で1〜2か月試験運用します。「ルールに無理がないか」「現場で判断に迷う場面はないか」を確認してフィードバックを集めます。
STEP 4|全社展開 フィードバックを反映して修正した上で、全社に周知します。朝礼・全社メール・社内掲示板のいずれかで周知し、質問窓口(担当者)を明示することで「どこに聞けばいいかわからない」を防ぎます。
📄 【関連記事】 → AI活用を全社展開するための5ステップ:「中小企業のAI活用をどこから始めるか」
5. よくある失敗パターンと対策
【このセクションの結論】
ガイドライン策定の失敗は「禁止しすぎ」「作って終わり」「現場の声を無視」の3点に集約されます。社内ルールは「文書を作ること」が目的ではなく「現場が守れる状態を作ること」が目的です。
ガイドラインを作ったのに機能しない——そういった失敗パターンを5つ紹介します。
ガイドラインを作っただけ」で終わる3大原因
- 原因①:禁止事項を羅列しすぎた——「〜してはいけない」だけのルールは、使い方がわからず萎縮を生む
- 原因②:現場の声を聞かずに作った——「上から決めたルール」は守られない
- 原因③:完璧を目指して公開が遅れた——作成に3か月かけている間に、シャドウAIが広がる
❌ 失敗①:全面禁止にした 「情報漏洩が怖いから生成AIは全社禁止」にすると、社員は個人スマートフォンや私用PCでこっそり使い続けます。管理できない利用が増えるだけで、リスクが見えなくなります。「これを守れば使っていい」という許可の枠組みを作ることがリスク管理の本質です。
❌ 失敗②:作って終わりになった ガイドラインを作成して全社にメールで送っただけでは、誰も読みません。朝礼での読み合わせ・Q&Aの機会設定・わからない場合の相談窓口の明示が、定着のカギです。
❌ 失敗③:現場が判断に迷う場面への対応を用意しなかった 「これは入力していいの?」という迷いが生じたとき、担当者に聞ける環境がないと、社員は「とりあえず使わない」か「こっそり使う」の二択になります。
❌ 失敗④:半年後に見直さなかった AI技術・法規制は半年で大きく変わります。2026年3月のAI事業者ガイドライン改訂のように、昨年のガイドラインが今年は古くなっているケースが頻発しています。見直し日をカレンダーに登録し、担当者を決めておくことが必須です。
❌ 失敗⑤:IT部門(または経営者)だけで作った 現場スタッフが「どんな場面でAIを使いたいか」を知らないまま作ったルールは、実態とずれます。策定段階で現場の担当者を1〜2名巻き込むだけで、定着率は大幅に上がります。
📄 【関連記事】 → DX推進担当者を社内で育てるための条件:「DX推進担当を社内で育てるための条件と落とし穴」
6. ITコーディネーターは生成AI社内ルール策定にどう関わるか
【このセクションの結論】
ITコーディネーターは「ルールの文書を代わりに作ること」ではなく「現場が守れるルールの設計」を支援します。特定のAIツールやベンダーに依存しない中立の立場から、自社に合ったルールを一緒に整理します。
【ITコーディネーターとは】
ITコーディネーターとは、経済産業省が推進する民間資格(ITコーディネーター協会が認定)の保有者で、中立の立場から経営視点でIT活用を支援する専門家のことです。
ITコーディネーターがAI社内ルール策定で担える支援は、まず「現状把握のヒアリング」から始まり、次に「自社に合ったルールの設計」へ進み、最後に「現場への定着支援」まで続く3ステップです。
まず「現状把握のヒアリング」です。社内でどのAIがどう使われているかを整理し、「何がリスクになっているか」を経営者と一緒に可視化します。次に「自社に合ったルールの設計」です。業種・規模・扱う情報の種類に合わせて、守れる最小限のルールを設計します。そして「現場への定着支援」です。ルールを作るだけでなく、説明会・質疑応答・見直しサポートまで伴走します。
特定のAIツールベンダーに依頼すると「自社ツールの利用を前提にしたガイドライン」になりがちです。中立のITコーディネーターに相談することで、ツールに縛られない、自社の経営課題に合ったルールが設計できます。
📄 【関連記事】 → 生成AIルールを運用する社内担当者の育て方:「DX推進担当を社内で育てるための条件と落とし穴」

7. よくある質問(FAQ)
-
生成AI社内ルールは法律で義務づけられていますか?
-
義務ではありませんが、AI推進法施行・AI事業者ガイドライン更新を受けてルールなき利用のリスクは年々高まっています。
-
ChatGPTに顧客名を入力しても大丈夫ですか?
-
入力しないことをお勧めします。顧客名は個人情報に該当するため、入力禁止情報として社内ルールに明記することが必要です。
-
社内ルールはどのくらいの分量で作ればいいですか?
-
A4で2〜3枚が中小企業には適切です。読まれない分厚いルールより、全員が把握できる薄いルールの方が定着します。
-
ルールを作ったのに守ってもらえない場合はどうすればいいですか?
-
禁止事項が多すぎる可能性があります。「何を使っていいか」というOKリストを先に示し、相談窓口を設けることで改善できます。
-
AI事業者ガイドライン第1.2版に中小企業はどう対応すればいいですか?
-
まず「入力禁止情報の明確化」と「Human-in-the-Loop(人間の最終確認)の義務化」の2点を社内ルールに盛り込めば十分です。
-
ITコーディネーターに生成AI社内ルールの策定を依頼できますか?
-
依頼できます。特定ツールに依存しない中立の立場で、現状把握・ルール設計・現場定着まで伴走支援します。
投稿者プロフィール

- 代表
-
プログラマーとしてキャリアをスタートし、製造業の社内SEとして「工場」の論理を、士業事務所の社内SEとして「先生」の論理を肌で学んできました。異なる文化を持つ組織の中でITを推進するには、技術力以上に「聴く力」と「翻訳力」が必要です。
現在はその経験を活かし、新潟の中小企業のDXを支援しています。
ITコーディネーター/上級ウェブ解析士/上級SNSマネージャー







