正しいAIの推進を行うための「AI利用ルールブック」作りのすすめ

社内でのAI活用が進む一方で、ルールが整備される前に以下のような問題が起きやすくなります。

• 機密情報の誤入力：未公開の財務情報や顧客データを無償版のチャットAIに入力してしまう
• 誤情報の社外送付：AIが生成した事実確認不足の情報を、そのまま提案資料に転記する
• 著作権の無断流用：画像・文章の生成物を一次確認なしに社外公開物として使用する
• 野良ツールの乱立（シャドーAI）：情報システム部門の承認なしに個々の担当者が無料ツールを使い始める
• ログ・監査の不在：誰がどのAIツールで何を処理したか把握できず、監査・インシデント追跡が困難になる

一方で、過度な禁止政策は別の問題を生みます。「怖くて使えない」という雰囲気が生まれ、業務改善の機会を逃す。部署ごとに独自の判断でバラバラな運用が生まれ、品質・セキュリティが統一されない。公式サポートのない野良環境での利用が横行し、むしろリスクが増大する——という悪循環です。

ルールブックは「禁止」ではなく「安全に使える範囲を定義する」ための文書です。

ルールブック策定の前に、対象範囲（スコープ）を明確にします。

• 対象とすること：生成AIツール（テキスト・画像・コード補助・要約）、社内RAGシステム、AIが生成したコンテンツを含む社外向け成果物
• 対象外（一般例）：個人の学習目的での利用（業務情報を含まない場合）、研究開発部門での専用プロジェクト（別途ポリシーを制定する場合）、承認済みの例外申請を受けた特定の業務

AI利用ポリシーの設計には大きく2つのアプローチがあります。現在の主流は「ガードレール型」です。

"使わせないこと"がゴールではなく、"組織として責任ある活用ができること"がゴールです。ガードレール型は、現場の自律的な判断を促しながら、組織としてのリスクを制御する仕組みです。

以下の10項目は、業種・規模を問わず必ず検討すべき基本構成です。

1. 情報区分と入力可否（最重要）：どの情報をAIに入力してよいかを、情報の機密レベルに応じて明確に規定します。
2. ツールの許可リスト・禁止リスト（シャドーAI対策）：情報システム部門または経営層が承認したツールのみ業務利用を許可します。
3. 出力物の扱い（社外公開・納品・引用・著作権）：AIが生成した文章・画像・コードを社外に公開・納品する際は、必ず人間による確認・検証を経るものとします。
4. 誤情報対策（検証責任・一次情報・出典）：AIの出力を最終的に確認・判断する責任は、利用した社員個人にあります。
5. 個人情報・機密情報の取り扱い：個人を識別できる情報および機密に区分される情報は、承認された社内専用環境外のAIツールへの入力を禁止します。
6. ログ・監査（誰が、いつ、何を利用したか）：業務用AIツールの利用ログを保存・管理し、ISMS審査やIPO審査に対応できる証跡を確保します。
7. 権限（管理者・一般利用者・外部委託）：AI管理者と一般利用者、外部委託先が利用できる機能・ツールの範囲を種別ごとに定義します。
8. インシデント時の対応（情報漏洩疑い等）：機密情報・個人情報をAIに誤入力した可能性がある場合の報告先・連絡手順・初動対応を明記します。
9. 教育とFAQ：全社員を対象とした初回研修の実施と、具体的な事例を含むFAQの整備を行います。
10. 例外申請（業務上の必要があるときの逃げ道）：承認されていないツールや手順を業務上利用する必要が生じた場合の申請フローを設けます。

情報の機密レベルとAIへの入力可否の関係を整理します。

OK 入力可 要判断 条件付き可（匿名化・要約後、または上長承認後に限り入力可） NG 入力禁止

社内共有用にカスタマイズしてご活用ください。各テンプレートには、入力してよい情報・入れてはいけない情報を明示しています。

以下の条件でメールの下書きを作成してください。
【目的】：〇〇を依頼する
【相手】：△△社の□□様（取引先・目上の方）
【伝えたい要点】：（箇条書きで記載）
【トーン】：丁寧・フォーマル・押しつけがましくない

【出力上の注意】
- 事実確認が必要な数値・日程は「（要確認）」と明示すること
- 相手の非公開情報は含めないこと

以下の文章を校正してください。
【校正の観点】
- 誤字・脱字・文法の修正、読みにくい文の改善
- 意味を変える書き換えは行わないこと
- 変更した箇所は変更前→変更後で明示すること

以下の会議メモを構造化して要約してください。
【会議名】：〇〇会議（〇〇年〇〇月〇〇日）
【会議メモ（テキスト）】：（ここに貼り付け）

【出力形式】
1. 決定事項（アクション不要）
2. 未決事項（次回持ち越し）
3. ToDo一覧（担当・期限を明記）
4. 次回会議の予定

以下のヒアリング内容をもとに、仕様を整理してください。
【ヒアリング内容】：（ここに内容を貼り付け）

【出力形式】
1. 機能要件（実現すべきこと）
2. 非機能要件（品質・性能・制約）
3. 対象外（今回のスコープ外）
4. 受け入れ条件（テスト観点・完了基準）
5. 不明点・確認が必要な点

以下のテーマについて調査・整理してください。
【調査テーマ】：〇〇

【出力上の注意（必ず守ること）】
- 事実と推測を明確に区別すること
- 情報の出典（URL・文書名・発行機関）を可能な限り明記すること
- 不明な点は「不明」または「要確認」と明示すること
- 推測や解釈を断言しないこと

社員全員が迷わず行動できるよう、禁止事項は「なぜNGか」とセットで明示します。

ルールは整備しただけでは機能しません。現場に定着させるための仕掛けが必要です。

• 1. 3段階の導入アプローチ：試行（Pilot）→ 正式展開（Roll-out）→ 拡張（Expand）の順で進め、各段階でフィードバックを反映させます。
• 2. 「禁止一覧」より「できること」を先に伝える：禁止事項だけを並べると萎縮を招きます。「このテンプレを使えばすぐ活用できます」という成功体験を先に提示し、ポジティブな関心を引き出します。
• 3. ヘルプデスク・相談窓口の設置：「これはAIに入力してもよいですか？」という疑問に即座に答えられる社内窓口（SlackチャンネルやFAQページ）を設置します。問い合わせ内容は蓄積してFAQの更新に活用します。
• 4. 例外申請の導線を整える：申請のハードルが高すぎると野良利用の温床になります。承認外ツールを業務上利用する必要が生じた場合の申請フローを使いやすく設計します。
• 5. 月次レビューと改善サイクル：インシデント（実際の事故・ヒヤリハット）の振り返り、成功事例の共有（時間削減・品質向上の事例）、ルールの追加・修正（ツールの更新や法令動向への対応）を月次で行います。

AIガバナンスの維持には、明確な役割分担が不可欠です。

R = 実行責任者（Responsible）　A = 説明責任者（Accountable）　C = 協議対象者（Consulted）　I = 情報共有対象者（Informed）

RACIはあくまで雛形です。組織規模・体制に応じて役割を兼務させることは問題ありません。ただし、「A（説明責任者）」は一人に絞ることが運用上重要です。

• フェーズ1（0〜30日）：基盤整備とパイロット
  ルールブック草案の作成、パイロット部門の選定（DX推進・情シス・営業等から1部門）、FAQ・相談窓口の準備、パイロット部門での試行開始・フィードバック収集
• フェーズ2（31〜60日）：整備と研修
  使用許可ツールの正式リスト化、全社向け研修の設計・実施、社内共有プロンプトテンプレートの配布、インシデント報告フローの確立
• フェーズ3（61〜90日）：全社展開と継続改善
  ルールブックの正式版発行・全社周知、監査ログの収集フローの開始、月次レビューの運営開始、改善サイクルの確立（インシデント振り返り・成功事例の共有）

AI利用ルールブックの目的は「AIを禁止すること」ではなく「組織として責任ある活用を実現すること」です。まず情報区分とツールの許可リストを整備し、現場が迷わず動けるプロンプトテンプレートと禁止事項を共有することが最初の一歩です。体制（RACI）を定めてオーナーを明確にし、月次レビューで継続的に改善することで、ガバナンスと生産性の両立が現実になります。90日のロードマップから小さく始め、組織全体の信頼できるAI活用文化を育てていきましょう。