生成AIの社内ガイドラインは「10条構成」で策定するのが最短ルートです。JDLA(日本ディープラーニング協会)が公開しているガイドラインテンプレートをベースに、自社の業種・機密レベルに合わせてカスタマイズする——この方法であれば、早ければ2週間で策定が完了します。
「ChatGPTを使いたいが、会社としてのルールがない」「社員が勝手に顧客情報をAIに入力しているかもしれない」「ガイドラインを作りたいが、何をどこまで書けばいいか分からない」——生成AIの社内活用が広がる中で、こうした声が急増しています。
生成AI総合研究所が支援してきた企業の中で、実際にあった事例を紹介します。ある製造業(従業員200名)で、社員がChatGPTの無料版(ウェブ版)に顧客の設計図面の情報を入力していたことが発覚しました。幸い実害はありませんでしたが、この「ヒヤリハット」をきっかけに、「社内ガイドラインを早急に策定すべき」という機運が高まりました。
重要なのは、このとき企業がとった対応が「AIの使用を禁止する」ではなく「ルールを決めて使う」だったことです。弊社の支援経験では、AIの使用を全面禁止した企業は、競合がAIを活用して生産性を上げる中で取り残されるリスクがあります。一方、ガイドラインを策定した企業では、AI利用率が20%から65%に向上し、月40時間の業務改善効果が生まれています。「禁止」よりも「ルールを決める」方が、結果としてAI活用が進むのです。
本記事では、10条構成のガイドラインテンプレートの全文と、条文ごとのNG例・インシデント事例、業種別のカスタマイズガイド、さらには4時間で完結するワークショップの設計まで、策定に必要なすべてを網羅します。
この記事でわかること
– 生成AI企業利用ガイドラインの10条構成と各条の全文テンプレート
– 策定の5ステップ(現状把握→リスク分析→起草→レビュー→展開)
– 条文別のNG例とインシデント事例
– 業種別カスタマイズガイド(IT/製造/医療/金融/士業)
– 4時間ワークショップの設計(アジェンダ・ファシリテーション手順)
– EU AI法(2026年8月本格適用)への対応チェックリスト
「自社のガイドラインを一緒に策定してほしい」という方は、生成AI総合研究所の30分無料ヒアリングをご活用ください。業種・規模に合わせたガイドラインの骨子を一緒に設計します。
なぜガイドラインが必要なのか——「禁止」ではなく「管理」が正解
ガイドラインを策定する前に、「なぜ必要なのか」を組織内で共有しておく必要があります。ガイドラインの目的は「AIの使用を制限すること」ではなく、「ルールの範囲内で安心してAIを使える環境を作ること」です。
ガイドラインがない企業で起きること
ガイドラインがない状態でAIの利用を認めると、以下の3つのリスクが発生します。
1つ目は情報漏洩リスクです。ChatGPTの無料版やウェブ版では、入力したデータがAIの学習データとして使用される可能性があります。顧客名、契約金額、営業秘密、設計図面などの機密情報をそのまま入力した場合、間接的に第三者に漏洩するリスクがあります。弊社が支援した製造業では、まさにこのケースが「ヒヤリハット」として発覚しました。社員は悪意なく「業務を効率化したい」と思ってAIを使ったのですが、機密情報の取り扱いルールが明文化されていなかったために、リスクのある使い方をしてしまったのです。
2つ目はハルシネーション(誤情報生成)リスクです。生成AIは「事実っぽい嘘」を生成することがあります。AIが生成した情報をファクトチェックなしに顧客に提供したり、社内の意思決定に使ったりすると、誤った情報に基づく判断や顧客への誤案内につながります。
3つ目は著作権リスクです。生成AIが生成した文章や画像が、既存の著作物と類似している場合、著作権侵害に該当する可能性があります。特に、AI生成物を商用利用する場合や、Web上に公開する場合には注意が必要です。
ガイドラインがある企業で起きること
一方、ガイドラインを策定した企業では、以下の変化が生まれます。
弊社が策定を支援した製造業(200名)の実績データを紹介します。
| 指標 | ガイドライン策定前 | ガイドライン策定6ヶ月後 |
|---|---|---|
| AI利用率(全社員中) | 20% | 65% |
| 機密情報漏洩インシデント | 1件(ヒヤリハット) | 0件 |
| 業務改善効果 | 把握できず | 月40時間削減 |
| 社員の声 | 「使っていいのかわからない」 | 「ルールの範囲で自由に使える」 |
出典:生成AI総合研究所が支援先企業で実測したデータを基に作成
AI利用率が20%から65%に向上した理由は単純です。ガイドラインが「使っていいんだ」という安心感を社員に与えたからです。ガイドラインがない状態では、「AIを使って怒られるかもしれない」「情報漏洩したら責任を取らされるかもしれない」という不安から、多くの社員がAIの利用を控えていました。ガイドラインが「ここまではOK、ここからはNG」を明確にしたことで、社員は安心してAIを活用できるようになったのです。
📌 あわせて読みたい
策定の5ステップ——現状把握から展開まで
ガイドラインの策定は、以下の5ステップで進めます。弊社の支援経験では、集中的に取り組めば2週間で完了します。
ステップ1:現状把握(1〜2日)
まず、社内のAI利用状況を把握します。「どの部門が」「どのツールを」「どんな業務で」使っているかを調査します。方法は簡単で、全社員にGoogleフォーム等で5問程度のアンケートを配布するだけです。
弊社が使っている調査項目は以下の5つです。
- 業務でAIツールを使っているか(はい/いいえ/使いたいが使っていない)
- 使っているAIツールの名前(ChatGPT/Copilot/Gemini/その他)
- AIを使っている業務内容(メール作成/資料作成/リサーチ/翻訳/その他)
- AIに入力したことがある情報の種類(自社データ/顧客情報/個人情報/公開情報のみ)
- AIの利用に関して不安に感じていること(自由記述)
この調査で最も重要なのは4番目の質問です。「AIに顧客情報を入力したことがある」と回答した社員がいた場合、それは「すでにリスクが顕在化している」ことを意味します。この事実がガイドライン策定の緊急性を社内に認識させる強力な材料になります。
ステップ2:リスク分析(2〜3日)
現状把握の結果をもとに、自社固有のリスクを洗い出します。業種や取り扱うデータの種類によってリスクの重みが異なるため、テンプレートをそのまま使うのではなく、自社のリスクプロファイルに合わせた分析が必要です。
リスクは4つのカテゴリに分類します。
| カテゴリ | リスク例 | 対策の方向性 |
|---|---|---|
| セキュリティ | 機密情報の入力・不正アクセス | 入力禁止情報の明示・法人版の利用 |
| 正確性 | ハルシネーション・バイアス | 出力確認の義務化・ファクトチェック |
| 倫理 | 差別的出力・プライバシー侵害 | 禁止用途の明示・倫理チェック |
| 法務 | 著作権侵害・EU AI法対応 | 利用記録の保存・法的チェック体制 |
出典:生成AI総合研究所が策定支援で使用しているリスク分類表
ステップ3:起草(3〜5日)
リスク分析の結果をもとに、10条構成のガイドラインを起草します。次のセクションで全文テンプレートを提供しますので、そちらを自社に合わせてカスタマイズしてください。
ステップ4:レビュー(2〜3日)
起草したガイドラインを関係部門(法務・情シス・人事・経営層)でレビューします。特に法務部門には著作権とプライバシーの観点、情シス部門にはセキュリティの観点からチェックを依頼します。中小企業で法務部門がない場合は、顧問弁護士や社労士に確認を依頼することを推奨します。
ステップ5:展開(1〜2日)
完成したガイドラインを全社に展開します。ただし「PDFを全社メールで送る」だけでは読まれません。弊社の推奨は、以下の3つを組み合わせた展開方法です。
1つ目は、全社説明会の実施です(30分程度)。ガイドラインの目的と主要ルールを口頭で説明します。2つ目は、A4×1枚のチェックリスト版を全員に配布します。10条のガイドラインから最重要の項目を20項目に絞り込んだチェックリストです。3つ目は、部門別のハンズオン研修の実施です。「これはOK、これはNG」を具体例で教えます。
特に3つ目のハンズオン研修が定着の鍵です。「ガイドラインを読んでおいてください」では行動は変わりません。「この顧客のメールアドレスをChatGPTに入力するのはOKですか?NGですか?」という具体的な問いかけを通じて、社員一人ひとりの判断基準を揃えることが重要です。
ガイドライン必須10条の全文テンプレート
以下が、弊社が支援先企業向けに策定しているガイドラインの10条構成テンプレートです。JDLA「生成AIの利用ガイドライン」と経済産業省「AI事業者ガイドライン」を参照し、中小企業で運用可能な形にカスタマイズしています。
第1条:目的
本ガイドラインは、当社における生成AI(ChatGPT、Gemini、Copilot等の大規模言語モデルを含むAIサービス)の利用に関する基本方針を定め、業務効率化とリスク管理の両立を図ることを目的とします。
ポイントとして、目的を「AIの利用を制限する」ではなく「効率化とリスク管理の両立」と記載することで、ガイドラインが「制約」ではなく「推進のためのルール」であることを明確にしています。
第2条:適用範囲
本ガイドラインは、当社の全従業員(正社員、契約社員、パート・アルバイト、派遣社員を含む)が、業務において生成AIを利用する場合に適用します。個人的な利用(業務外の利用)は本ガイドラインの対象外としますが、当社のデバイスでの個人利用は原則禁止とします。
第3条:許可ツール
業務で使用を許可する生成AIツールは、以下のとおりとします。新たなツールの導入を希望する場合は、情報システム部門(または指定の責任者)の承認を得ること。
- ChatGPT Team(法人版)
- Google Gemini(Workspace連携版)
- Microsoft 365 Copilot
- その他、情報システム部門が承認したツール
上記以外のAIツール(無料版ChatGPT、個人契約のAIサービス等)は、業務での使用を禁止します。
この条文が重要な理由は、「許可されたツール以外を使わない」というルールが、情報漏洩リスクの大部分をカバーするからです。ChatGPTの無料版(ウェブ版)は入力データが学習に使用される可能性がありますが、法人版(Team/Enterprise)は学習に使用されません。「法人版を契約する」という投資を行うことで、セキュリティリスクを構造的に排除できます。
第4条:入力禁止データ
以下の情報は、いかなる生成AIツールにも入力してはなりません。
- 個人情報(顧客・従業員の氏名、住所、電話番号、メールアドレス等)
- 営業秘密(未公表の技術情報、設計図面、製造プロセス等)
- 顧客の機密情報(契約金額、未公表の経営情報、財務データ等)
- 自社の非公開情報(未発表の経営計画、M&A情報等)
- マイナンバー、クレジットカード情報、パスワード等の特定個人識別情報
固有名詞を含む場合は、「A社」「B様」のように匿名化した上で入力すること。
弊社の経験では、この第4条と次の第5条の2つだけを徹底すれば、AIに関するリスクの8割はカバーできます。ガイドラインの10条すべてを暗記する必要はなく、「機密情報を入れない」「出力は確認する」の2点だけ覚えてもらえれば、最低限のリスク管理は成立します。
第5条:出力検証義務
生成AIが出力した情報は、以下の確認を行った上で使用すること。
- 事実関係の確認(AIの出力に含まれる数値、日付、固有名詞等の正確性を一次情報で確認する)
- 品質チェック(文章の適切性、トーン、ビジネスマナーの確認)
- 著作物との類似性確認(商用利用する場合は、既存の著作物との類似性を確認する)
顧客への提出物にAIの出力を含む場合は、部門長の承認を得ること。
第6条:著作権の取り扱い
- AIが生成した文章・画像・コードの著作権は、現行法上の解釈に基づき取り扱うこと。
- AIが生成したコンテンツを商用利用する場合は、既存の著作物との類似性を事前に確認すること。
- 社内利用(会議資料、社内メモ等)については、著作権上のリスクは低いものとして取り扱うが、外部公開する場合は必ず確認を行うこと。
第7条:プロンプト管理
- 業務で効果があったプロンプト(AIへの指示文)は、部門ごとに共有ライブラリに保存すること。
- プロンプトに機密情報を含めないこと(第4条を遵守)。
- 外部のプロンプト共有サービス(PromptBase等)に社内プロンプトを投稿しないこと。
第8条:承認フロー
- 新しいAIツールの導入は、情報システム部門の評価を経て承認すること。
- AIを使った新しい業務プロセスの構築は、部門長の承認を得ること。
- AIの出力を顧客に提供する場合は、部門長の確認を経ること。
第9条:教育・研修
- 全従業員に対して、本ガイドラインの内容を周知する研修を年1回以上実施すること。
- 新入社員・中途採用者には、入社後1ヶ月以内に本ガイドラインの研修を実施すること。
- AIツールの効果的な活用方法に関するハンズオン研修を四半期に1回実施すること。
第10条:定期見直し
- 本ガイドラインは四半期に1回(3ヶ月ごと)見直しを行うこと。
- AI技術や法規制の大きな変更があった場合は、臨時の見直しを行うこと。
- 見直しの責任者は[ ](役職名)とする。
見直しの頻度を「四半期に1回」としている理由は、AI技術の進化スピードが極めて速いためです。2025年に策定したガイドラインが2026年には古くなっているケースが実際にあります。生成AIの新しいモデルがリリースされるたびに、そのモデル固有のリスク(たとえばマルチモーダル対応による画像入力のリスク)が生じる可能性があるため、定期的な見直しが不可欠です。
条文別の深掘り解説——NG例とインシデント事例
10条の中から、特に重要な条文について、NG例とインシデント事例を交えて解説します。
第3条(許可ツール)のNG例
NG事例として、営業担当者が個人のスマートフォンにインストールしたChatGPT無料版で、顧客への提案書を作成していたケースがあります。無料版は入力データがAIの学習に使用される設定になっている可能性があり、提案書に含まれる顧客情報が間接的に漏洩するリスクがありました。
対策として、業務で使用するAIツールは会社が契約した法人版に限定し、個人契約のAIツールの業務利用を明確に禁止します。
第4条(入力禁止データ)のNG例
NG事例として、経理担当者が取引先の請求書をそのままChatGPTに読み込ませて、仕訳の下書きを作成していたケースがあります。請求書には取引先名、金額、振込先口座情報が含まれており、これらすべてが「入力禁止データ」に該当します。
しかし、この事例で注意すべきは、経理担当者の意図は「業務効率化」であり、悪意はなかったという点です。ルールが明文化されていなかったために、リスクのある使い方をしてしまったのです。ガイドラインは「社員を罰する」ためのものではなく、「社員が安心して正しい使い方ができる」ようにするためのものです。
正しい方法として、請求書の具体的な数字や名前を匿名化(「A社から100万円の請求」→「取引先Aから○○円の請求」)した上で入力するか、金額のみ(名前・口座情報なし)を入力して仕訳パターンの判断をAIに求めるアプローチを推奨します。
第5条(出力検証義務)のNG例
NG事例として、マーケティング担当者がAIで生成した市場規模のデータをそのまま企画書に記載し、上長がファクトチェックなしで承認。その企画書をもとに投資判断が行われたが、AIが生成した数値は実際の市場規模と20%以上乖離していたケースがあります。
このケースは「ハルシネーション」の典型例です。AIは「もっともらしい数字」を生成する能力が高いため、出力をそのまま信じてしまうリスクがあります。「AIが出した数字は必ず一次情報で確認する」というルールの徹底が不可欠です。
✦ AI導入の無料相談 ✦
「何から始めるか」を、
30分で整理します。
AI導入の診断から実装まで一気通貫で伴走。
補助金の活用で、導入費用の最大2/3を圧縮できます。
生成AI総合研究所|generativeai.tokyo
業種別カスタマイズガイド
ガイドラインの基本構造は共通ですが、業種によって重点を置くべきポイントが異なります。
製造業
第4条(入力禁止データ)に以下を追加します。
- 設計図面、CADデータ、製造プロセスの詳細
- 品質検査データ(製品固有の不良率・公差情報)
- 取引先との技術提携に関する情報
製造業では、技術情報が最大の競争力です。設計図面やノウハウがAIの学習データに含まれるリスクは、他業種以上に深刻です。弊社が支援した製造業(200名)では、「図面データは一切AIに入力しない」というルールを最初に設定しました。
医療・介護
第4条に以下を追加します。
- 患者・利用者の個人情報(一切入力禁止)
- 診断結果、検査データ、カルテ情報
- 未承認薬・治験に関する非公開データ
さらに第8条(承認フロー)に、AIの出力を医療判断に使用しないことを明記します。医療分野では、AIの出力に基づいて治療方針を決定することは、医師法上の問題を引き起こす可能性があります。
士業(税理士・弁護士・社労士等)
第4条に以下を追加します。
- クライアントの財務データ、確定申告情報
- 係争中の案件に関する情報
- 従業員の個人情報(給与・マイナンバー等)
士業は守秘義務の対象が広いため、入力禁止データの範囲も広くなります。ただし、「法改正の要約」「契約書の一般的な条項の確認」「判例の検索」といった一般的な法的知識に関する利用はリスクが低く、業務効率化の余地が大きい領域です。
金融業
第4条に以下を追加します。
- 顧客の口座情報、資産情報、与信情報
- 未公表の投資判断材料(インサイダー情報に該当する可能性のあるデータ)
- 顧客のリスクプロファイル情報
金融業では、金融商品取引法や個人情報保護法との整合性が特に重要です。AIの利用記録(ログ)を保存する期間についても、金融庁のガイドラインとの整合性を確認する必要があります。
4時間ワークショップの設計
ガイドラインの策定プロセス自体を、4時間のワークショップとして設計することで、関係者の理解と合意を効率的に得ることができます。弊社が支援先で実際に使用しているワークショップのアジェンダを紹介します。
参加者
- 経営層(社長または取締役)1名
- 情報システム担当 1名
- 法務/コンプライアンス担当 1名
- 各部門の代表者 2〜3名
- ファシリテーター(外部コンサルまたは推進担当者)1名
合計6〜8名程度。中小企業の場合は、社長+情シス+各部門長の3〜4名でも十分に機能します。
アジェンダ
| 時間 | 内容 | 目的 |
|---|---|---|
| 0:00-0:30 | 現状共有:アンケート結果の報告 | 「今、社内でAIがどう使われているか」を全員で共有 |
| 0:30-1:00 | リスク討議:4カテゴリのリスク洗い出し | 自社固有のリスクを特定 |
| 1:00-1:30 | 10条テンプレートの読み合わせ | 各条の意図と自社へのフィット感を確認 |
| 1:30-2:00 | 休憩 | — |
| 2:00-2:45 | カスタマイズ作業:自社版への修正 | 業種固有の条項追加・不要条項の削除 |
| 2:45-3:15 | 運用ルールの設計 | 承認フロー・研修計画・見直しサイクルの決定 |
| 3:15-3:45 | 合意形成:最終版の確認 | 全参加者の合意を得る |
| 3:45-4:00 | 展開計画の策定 | 全社説明会・チェックリスト配布の日程決定 |
出典:生成AI総合研究所が支援先企業で実施したワークショップの実績を基に作成
ワークショップの成功の鍵は、「現場の声」を反映させることです。テンプレートをそのまま使うのではなく、「うちの業務ではこういう使い方をしたい」「このルールだと厳しすぎて使えなくなる」といった現場の意見を取り入れることで、実効性のあるガイドラインが生まれます。
EU AI法(2026年8月本格適用)と日本の法規制への対応
2026年8月にEU AI法が本格適用されます。これは日本企業にも間接的に影響を与える可能性があります。
EU AI法の概要
EU AI法は、AIシステムのリスクを4段階に分類し、リスクレベルに応じた規制を課す法律です。
| リスクレベル | 対象例 | 規制内容 |
|---|---|---|
| 許容できないリスク | ソーシャルスコアリング、リアルタイム顔認識 | 原則禁止 |
| 高リスク | 採用AI、信用スコアリング、教育評価AI | 適合性評価・登録義務 |
| 限定的リスク | チャットボット、AI生成コンテンツ | 透明性義務(AI利用の開示) |
| 最小リスク | スパムフィルター、ゲームAI | 規制なし(自主規制推奨) |
出典:EU AI Act条文を基に生成AI総合研究所が整理
日本の中小企業が直接的にEU AI法の規制対象になるケースは現時点では限定的ですが、EU域内の顧客や取引先がある企業、EU向けにサービスを提供している企業は、AI利用における透明性やリスク管理が求められる可能性があります。
日本の法規制動向
日本では「AI基本法」の制定に向けた議論が進んでいます。2026年5月時点では法案の段階ですが、経済産業省が公表した「AI事業者ガイドライン」は、企業がAIを利用する際の自主的な指針として活用できます。
弊社の推奨は、EU AI法と日本のAI事業者ガイドラインの両方を参照した上で、自社のガイドラインに「法規制対応」の条項を追加しておくことです。具体的には、第10条(定期見直し)の中に「AI関連法規制の動向を四半期ごとに確認し、必要に応じてガイドラインに反映する」という文言を追加しておくと、将来的な法規制の変化にも対応しやすくなります。
ガイドライン策定後の運用——「作って終わり」にしない3つの仕組み
ガイドラインは「策定すること」がゴールではなく、「運用すること」がゴールです。弊社の支援経験では、策定したガイドラインが実際に現場で機能しているかどうかが、AI活用の成否を分けます。
仕組み①:四半期見直しサイクル
3ヶ月に1回、ガイドラインの見直しを行います。見直しのポイントは3つです。
1つ目は、新しいAIツールの追加です。3ヶ月の間に新しいAIサービスがリリースされることは珍しくありません。社員から「このツールを使いたい」という要望が出た場合、セキュリティ評価を行った上で許可ツールリストに追加します。
2つ目は、インシデントの振り返りです。過去3ヶ月間に「ヒヤリハット」があったかどうかを確認し、あった場合はガイドラインの条項を修正します。
3つ目は、法規制の変更確認です。AI関連の法規制は急速に変化しているため、四半期ごとに最新の動向を確認し、必要に応じてガイドラインに反映します。
仕組み②:月次のAI活用共有会
月に1回、各部門のAI活用事例を共有する会を開催します。「営業部でこんな使い方をしたら効果があった」「経理部でこのプロンプトが便利だった」——こうした事例共有が、組織全体のAIリテラシーを底上げします。
仕組み③:インシデント報告フロー
AI利用に関するインシデント(情報漏洩、ハルシネーションによる誤案内等)が発生した場合の報告フローを明確にしておきます。「誰に」「いつまでに」「何を」報告するかを事前に定めておくことで、インシデント発生時の初動が速くなります。
まとめ:ガイドラインは「制約」ではなく「安心」を生む
ガイドラインの目的は、AIの利用を制限することではなく、ルールの範囲内で安心してAIを使える環境を作ることです。
最低限守るべきことは2つだけです。「機密情報を入力しない」「出力は必ず確認する」。この2点さえ徹底すれば、リスクの8割はカバーできます。
今日やるべきことは、本記事の10条テンプレートをダウンロードし、自社の業種に合わせてカスタマイズを開始することです。2週間後には、全社に展開できるガイドラインが完成します。
AI導入の全体設計についてはAI導入の進め方 完全ガイドで、AIガバナンスのチェックリストについてはAIガバナンス|中小企業版チェックリスト20項目で解説しています。
✦ AI導入の無料相談 ✦
ガイドライン策定、
一緒に作りませんか?
御社の業種・規模に合わせたガイドラインの骨子を
30分で一緒に設計します。
生成AI総合研究所|generativeai.tokyo
出典・参考:
– JDLA「生成AIの利用ガイドライン」
– 経済産業省「AI事業者ガイドライン」(2025年4月公表)
– EU AI Act(2025年8月施行、2026年8月本格適用)
– 個人情報保護委員会「生成AIサービスの利用に関する注意喚起」
※本記事の情報は2026年5月時点のものです。法規制の最新情報は各公式サイトをご確認ください。
✦ AI導入の無料相談 ✦
「何から始めるか」を、
30分で整理します。
AI導入の診断から実装まで一気通貫で伴走。
補助金の活用で、導入費用の最大2/3を圧縮できます。
生成AI総合研究所|generativeai.tokyo
生成AI、結局どう使う?を解決する
現場のための「導入・活用実践ガイド」
「何から始めるべきか分からない」悩みを解消。ビジネスの現場で明日から使えるチェックリストと選定基準をまとめました。
- 失敗しない「ツール選定比較表」
- 非専門家でもわかる「活用ステップ」
- 最低限知っておくべき「安全ルール」
- 現場が納得する「導入の進め方」
BUSINESS GUIDE
この記事が役に立ったら、同僚にもシェアしてください
