なぜ今、社内ルールが必要なのか
生成AIの利用は、もはや試験的な取り組みの段階ではなくなっています。中小企業においてはデジタルマーケティングの導入がまだ進んでいないケースも多いですが、個人レベルのAI活用は静かに広がっています。
問題は、こうした個人レベルの活用が会社として管理されていないケースが多いことです。
ルールがないと起きること
- 顧客の個人情報や取引内容を含む文章をAIに入力し、意図せず外部に送信してしまう
- AIが生成した不正確な情報をファクトチェックなしに、社外向け資料や記事として公開する
- AI生成のキャッチコピーやロゴ案が、既存の商標と類似していてトラブルになる
- APIキーやパスワードをそのままプロンプトに貼り付け、認証情報が漏洩する
これらはいずれも悪意ではなく、ちょっとした不注意から起きます。ルールがなければ防ぎようがありません。
特に中小企業では、情報システム専任の担当者がいないケースも多く、判断に迷ったとき誰に聞けばいいかわからない、という状況が生まれやすいです。だからこそ、シンプルなものでいいのでルールを明文化しておくことが重要になります。
まず決めること:「認可AI」と「非認可AI」の2分類
AIの社内利用ルールを作るうえで、最初に決めるべきは「どのサービスを会社として管理するか」です。そこで整理しておきたいのが、認可AIと非認可AIという2つの概念です。
認可AIとは
認可AIとは、会社が公式に社用アカウントを提供し、利用状況を管理しているAIサービスのことです。
社用アカウントを使うことで、入力データがAIの学習に使われない設定(オプトアウト)を組織として適用できます。また、インシデントが起きたときに原因を特定しやすくなります。逆にいえば、個人アカウントで使っているAIは、会社として管理できないという問題があります。
非認可AIとは
非認可AIとは、認可AI以外のすべてのAIサービスを指します。ChatGPT個人版、Perplexity、Manus、Cursorなど、便利なツールは多くあります。これらを一切禁止にするのは現実的でないため、「機密情報を入力しない限り、自己判断で利用してよい」 というラインを設けるのが実態に即した対応です。
つまり、認可AIと非認可AIの違いは使えるかどうかではなく、どこまでの情報を入力していいかにあります。
認可AIの整理例
参考として、GoogleWorkspaceを導入済みの企業を想定した認可AIの整理例を紹介します。
サービス
主な用途
利用対象
※ 各サービスのデータ取り扱いポリシーや学習オプトアウトの仕様は変更される場合があります。導入・運用時には最新の利用規約を確認してください。
GoogleWorkspaceをすでに導入している場合、Geminiはそのまま社用アカウントで利用できるため、認可AIとして位置づけやすいサービスです。全員が使う汎用ツールと、専門職向けのツールを分けて整理するだけで、運用がかなりシンプルになります。
非認可AIについては、機密情報を入力しなければ自由に使ってよいとします。ただし、定期的に業務利用していて有用だと感じるツールがあれば、認可AIへの追加を申請できる仕組みも設けておくと、現場の使い勝手と管理のバランスが取れます。
より高いセキュリティを求める場合の選択肢
情報管理の観点では、外部のAIサービスに頼らない方法も存在します。代表的なのが次の2つです。
クラウド基盤上でAIを使う方法は、AWSやGoogleなど大手クラウドサービスのインフラ上でAIを動かす仕組みです。AWSの「Amazon Bedrock」などが代表例で、通常のAIサービスとは異なり入力データが学習に使われないことが契約上保証されています。データの流れを自社でコントロールしやすく、セキュリティ要件が厳しい業界や、顧客情報を頻繁に扱う企業での採用が増えています。ただし、利用にはある程度の技術的な設定が必要で、クラウド利用料もかかります。
自社のサーバーにAIを構築する方法は、公開されているAIモデルを自社の設備上で動かすもので、情報が外部に一切出ないという意味では最も統制が取れます。セキュリティの観点では理想的ですが、サーバーの構築・維持コストと、それを管理できる専任のエンジニアが必要になるため、対応できる企業は限られます。
今回の事例では、まず既存のGoogleWorkspaceやSaaSを活用して運用コストを抑えつつ、情報管理の枠組みを整えることを優先しました。こうした選択肢があることを知った上で、自社の規模・リソース・リスク水準に合った構成を選んでいます。機密情報の扱いが増えたり、業務上のセキュリティ要件が高まったりした場合には、クラウド基盤や自社環境への移行を次のステップとして検討できます。
「絶対に入力してはいけない情報」を定義する
認可AIと非認可AIを整理しても、もう一つ決めておくべきことがあります。どのAIにも入力してはいけない情報の定義です。
これを「厳秘情報」として別途定義しておくことをおすすめします。認可AIであっても、厳秘情報は入力禁止とします。
厳秘情報の例
- 未公開の財務情報や業績予測(売上・利益・キャッシュフロー計画など)
- M&A・企業買収に関連する情報
- 未発表の製品開発情報・特許出願前の技術情報
- 経営戦略上の重要決定事項(中期経営計画・組織改編など)
- APIトークン・暗号鍵・パスワードなどの認証情報
- 機密性が特に高い役員会議事録(訴訟・法的リスクに関する内容など)
これらは、情報が漏洩した場合に会社や取引先に重大な損害を与える可能性があります。生成AIサービス側がセキュリティを強化していても、設定ミス・サービス側の障害・ソーシャルエンジニアリングなど、リスクがゼロになることはありません。
実務上で特に多いのが、APIキーやパスワードをプロンプトに貼り付けてしまうケースです。コードのデバッグや設定ファイルの質問をする際に、認証情報ごとAIに渡してしまうことがあります。コードの一部だから問題ないと思いがちですが、認証情報そのものが厳秘情報にあたります。
入力してよいか迷ったときに相談できる窓口を明示しておくことも重要です。ルールを整備するだけでなく、担当部署への相談ルートを用意することが、運用を続けるうえで鍵になります。
AI生成物を使うときの3つの注意点
AIを使って作ったコンテンツや資料を外部に出す際にも、確認しておくべきポイントがあります。
1.事実確認を怠らない
生成AIはもっともらしい文章を出力するのが得意ですが、事実とは異なる情報を自信満々に出力することがあります。「ハルシネーション(幻覚)」と呼ばれる現象で、大規模言語モデルの特性上、完全にはなくせません。
数値・固有名詞・法律・医療情報などは、必ず一次情報(公式サイト・論文・法令テキストなど)で裏付けをとりましょう。AI生成物はあくまで参考情報として扱い、最終判断は人間が行うことが基本です。
2.権利侵害のリスクを確認する
ロゴやキャッチコピーをAIに生成させて商用利用する場合、既存の商標・意匠と類似していないか確認が必要です。また、著名人の名前や既存作品名を直接プロンプトに入力して模倣コンテンツを作ることも避けましょう。
AI生成物の著作権については、人間の創作的関与がない場合は保護の対象外とされるケースが多いのが現状です。ただし、文化庁の「AIと著作権に関する考え方について」(2024年3月)では、人間が創作的意図を持ち、創作的寄与といえる行為を行った場合にはAI利用作品にも著作権が生じうるとされています。制度や解釈は今後も変化する可能性があるため、最新の動向を確認することをおすすめします。
3.公開時の表示を検討する
外部に公開するコンテンツにAI生成物を使う場合、必要に応じて「AI生成コンテンツを含む」旨を明示することを検討してください。特に医療・金融・法律に関わるコンテンツでは、免責表示とあわせて対応しておくとリスクを減らせます。
まとめ:今すぐ使える導入チェックリスト
ここまでの内容を、自社で取り組む際に使えるチェックリストとして整理します。すべてを一度に整備する必要はありません。1〜2項目から手をつけるだけでも、リスクは大きく変わります。
- 認可AIと非認可AIを分類し、社用アカウントを整備できている
- 非認可AIへの機密情報入力禁止ルールを全員に周知している
- 「厳秘情報」の定義を決め、どのAIにも入力しないことを徹底している
- 認可AIの学習オプトアウト設定が適用されているか確認している
- AI生成物は人間が最終確認する運用フローを作っている
- 違反・インシデント発生時の報告先と対応フローを定めている
- 判断に迷ったときに相談できる窓口を明示している
すべてに対応できている中小企業はほとんどないはずです。完璧を目指すより、今できることから始めるという姿勢で取り組んでいただければと思います。
おわりに
生成AIは使い方次第で業務を大きく変える力を持っています。ただし、ルールなき活用は静かにリスクを積み上げていきます。
本記事で紹介した「認可AI・非認可AIの分類」「厳秘情報の定義」「生成物の確認フロー」は、実際に運用されているガイドラインをベースにした考え方です。規模や業種によって適切なルールは異なりますが、枠組みとして参考にしていただければ幸いです。
なお、AIの社内活用にはもう一つ見落とされがちなリスクがあります。AIエージェントと呼ばれるツール群をめぐるセキュリティ問題です。2026年初頭に報告された自律型AIエージェント「OpenClaw」に関するセキュリティインシデントはその一例です(詳細は次回記事で取り上げます)。
