「気づいたら、現場がそれぞれChatGPTを使い始めていた」——最近、中小企業の経営者からよく聞く話です。便利だから止める理由はない。けれど、誰がどんな情報を入力しているかは把握できていない。社内ルールも、情シス(情報システム担当)の専任もいない。そんな宙ぶらりんの状態に、心当たりはないでしょうか。
実際、会社主導でAIを導入・推奨している中小企業は約30%にとどまり、多くは「使用は個人の判断に任せている」状態だという調査があります(商工中金「中小企業の生成AIの利用にかかる調査」, 2026年1月)。ルールが追いついていないのは、あなたの会社だけではありません。
この記事は、「大企業向けの分厚い規程を作る体力はない。でも、何もないのは怖い」という経営者に向けて書いています。第三の選択肢として、A4で5枚に絞った「スモール版」のAI利用ポリシーの作り方を、各枚の中身と策定手順までまるごと整理しました。あわせて、半年間セキュリティ対策をDIYして痛感した「文書化はゴールではなく出発点だ」という学びも、率直にお伝えします。
この記事でわかること
- AI利用ポリシーに最低限必要な5項目(5枚版の全体像)
- 各「1枚」に何を書くか(情シス不在でも運用できる粒度で)
- コストゼロで草案を作る方法と、4週間での策定手順
- 「禁止」と書くだけでは守られない理由と、その先にある運用の話
なお、本記事で言う「生成AI」とは、ChatGPTやClaude、Microsoft Copilotのように、文章で指示(プロンプト)を与えると文章や画像を生成してくれるAIサービスを指します。
なぜ今、AI利用ポリシーが必要なのか?
理由は2つあります。まず実務上のリスクです。情報システム担当者を対象にした調査(IIJ, n=293, 2025年2月)では、社内のAI利用ガイドラインを整備済み・整備中と回答した企業は約37%にとどまります(IIJ, 2025年2月)。使う人は増えているのに、ルールは空白という企業が多い。このギャップが情報漏洩を生みます。2023年にはサムスンの技術者が業務でChatGPTにソースコードや社内会議の記録を入力し、外部に送られうる状態になりました(AI Incident Database)。
もう一つが外圧です。経済産業省・総務省の「AI事業者ガイドライン」は2026年3月に第1.2版へ更新され、AIを使う事業者に、利用ルールの明文化・年1回以上の研修・インシデント(問題発生)の報告窓口設置などを推奨事項として挙げています(AI事業者ガイドライン第1.2版, 経産省・総務省, 2026)。個人情報保護委員会も、個人情報を含むプロンプト入力には事前確認が必要だと注意喚起しています(個人情報保護委員会, 2023)。中小企業も「AIの利用者」としてこの枠組みの中にいます。
AI利用ポリシーに最低限必要な項目は?
最低限必要なのは、次の5項目です。この5つを押さえれば中小企業のポリシーとしては実用十分です。
- 総則・適用範囲(なぜ作るか・誰に適用するか)
- 利用可能ツール(どのAIを使ってよいか)
- 入力禁止情報リスト(何を入れてはいけないか)
- 生成物の取扱いルール(出てきたものをどう扱うか)
- 責任・インシデント対応・改訂(誰が責任を負い、どう見直すか)
この5項目は思いつきではありません。経産省・総務省ガイドライン、IPA(情報処理推進機構)のガイドライン、JDLA(日本ディープラーニング協会)の無料テンプレート、個人情報保護委員会の注意喚起——これら公的資料が共通して求める要素の「最大公約数」です(出典は記事末尾の参考資料に一覧)。逆に言えば、研修計画や詳細な罰則規定は、まずは外して構いません。
これらの公的資料はすべて無料です。JDLAの雛形は誰でもダウンロードでき(JDLA 生成AIの利用ガイドライン)、土台にすれば外部コンサルに払わずに草案を自社で作れます。では、5枚それぞれの中身を見ていきましょう。
1枚目:総則・適用範囲には何を書く?
このポリシーが「何のために・誰に向けてあるか」を1枚で示します。長文は不要で、書くのは3つだけです。第一に、なぜこのルールが必要か(「業務効率化のためにAI活用を進めるが、情報漏洩や誤情報のリスクを管理するため」程度で十分)。第二に、適用範囲(全従業員か、業務委託先も含むか。対象は業務利用の生成AI全般か)。第三に、用語の定義(前述の「生成AI」「プロンプト」「生成物」を一言ずつ)。
ポイントは、「これは罰するための文書ではなく、安心してAIを使うための文書だ」という姿勢を冒頭でにじませることです。最初のトーンで現場の受け止め方が変わります。
2枚目:利用可能ツールはどう決める?
「使ってよいAIツール」を会社として明示する1枚です。これがないと、従業員が素性の分からない無料ツールを個人判断で使い続けることになります。
承認済みツールの一覧(例:ChatGPTの有料版、Claude、Microsoft Copilotなど)を挙げます。重要なのは無料版と有料版の区別です。多くの無料版は入力内容がAIの学習に使われる可能性があり、有料版や法人向けプランでは学習に使わない設定(オプトアウト)を選べることが多いからです。「業務利用は学習させない設定の有料プランで」と一行決めるだけで、サムスンのような事故の大半は防げます。あわせて、新しいツールを使いたいときの申請方法も一言添えます。情シスがいないなら「総務にメールで一報」程度で十分です。完璧な承認フローより「勝手に増やさない」という合意が大事です。
3枚目:入力禁止情報リストには何を載せる?
「AIに絶対入れてはいけない情報」を具体的に列挙する1枚で、5枚の中で最も重要です。現場が一番迷い、一番事故が起きるのがここだからです。3段階で整理すると現場が使いやすくなります。
- 絶対入力禁止:個人情報(氏名・住所・マイナンバー等)、顧客情報、ID・パスワードなどの認証情報、営業秘密、未公表の財務情報
- 要注意(原則禁止・承認制):社外秘の資料、契約書ドラフト、まだ公表していない経営情報
- 入力してよい例:すでに公開された情報の要約、一般的な文章作成やアイデア出しの補助、自分で書いた文章の校正
ここで効くのが、迷ったときの物差しを一文で添えることです。たとえば「その情報が外部に流出したら困るか? 困るなら入れない」。完璧な分類表より、現場が3秒で判断できる合言葉のほうが事故を防ぎます。そして、自社の業種特有の機密(クリニックなら患者情報、製造業なら設計データなど)を必ず1行足してください。汎用テンプレートのままでは、自社が本当に守るべきものが抜け落ちます。
4枚目:生成物の取扱いルールはどう書く?
AIが出してきたものを「そのまま使ってよいわけではない」と定める1枚です。生成AIは、もっともらしい誤情報(ハルシネーション。AIが事実でないことを事実のように出力する現象)を平然と出すからです。
最低限、3点を書きます。第一に、AIの出力は完成品ではなく「下書き」であり、必ず人間が確認してから使うこと。第二に、数値・固有名詞・法令・日付は必ず一次情報で裏取りすること(ハルシネーションが最も出やすい箇所です)。第三に、ブログや提案書、契約書など社外に出すものにAIを使った場合の確認フロー(誰がチェックして公開するか)。あわせて、AIの生成物が既存の著作物に酷似していないかを社外公開前に確認する、という著作権への配慮も一言入れておくと安心です。
5枚目:責任・インシデント対応・改訂はどう定める?
「何かあったとき誰がどう動くか」と「このルールをいつ見直すか」を決める1枚です。ここを書かないと、ポリシーは事故が起きた瞬間に機能停止します。
書くべきは4点です。AI利用の最終責任はAIではなく使った従業員と会社にあること(「AIが間違えた」は免責にならない、という確認)。問題が起きたときの報告先(情シスがいないなら「総務の○○」「事務長」など役職か実名で具体的に。窓口が曖昧だと誰も報告しません)。違反時の基本的な対応方針。そして、次回見直し予定日(例:半年後)と、改訂・承認した人の記録です。AIツールの進化は速く、半年前のルールはすぐ古くなります。見直し日を最初から決めておくだけで、塩漬けを防げます。
5枚を「作る」ための4週間の進め方は?
情シス不在でも、4週間あれば草案から運用開始まで到達できます。週ごとに区切るのがコツです。
| 週 | やること | 担当・ポイント |
|---|---|---|
| 1週目(現状把握) | 「どのAIツールをどんな業務で使っているか」を全従業員にヒアリングし、責任者を一人決める | 情シスがいないなら経営者か総務担当が現実的 |
| 2週目(草案作成) | JDLAの雛形やIPAガイドラインを土台に、前述の5枚へ落とし込む | 3枚目に自社の業種固有の機密を足すのを忘れずに |
| 3週目(レビュー・確定) | 管理職と各部門の代表に目を通してもらう | 契約・個人情報に不安があれば社労士・弁護士へ相談 |
| 4週目(展開・教育) | 全社チャット等で周知し、15〜30分の説明会を開く | 要点だけの「1枚サマリー」を社内チャットにピン留めすると定着が段違い |
完璧を目指して半年かけるより、「使えるシンプル版を今すぐ運用し、半年後に見直す」という、小さく作って改善する進め方をおすすめします。
なぜ「文書化しただけ」では守られないのか?
5枚のポリシーを作っても、それが「守られる」とは限りません。文書化はゴールではなく、出発点にすぎないのです。
私自身、半年間かけて自社のAIセキュリティ対策をDIYし、直近2ヶ月だけで安全装置を13回作り直しました。痛感したのは、「やってください」と指示するだけではAIが工程を省き、「禁止」「必須」と書いただけでは守られない、という現実です。AI自身が「これは機密だから止まろう」と自発的に検知・停止した件数は、ゼロでした(詳しくは別記事「非エンジニア経営者がAIセキュリティ対策を半年DIYした記録」に書いています)。
対策には3つの段階があります。段階1「ルールを文章で書く」、段階2「スクリプトで自動化する」、段階3「機械的に止める仕掛けを作る」。今回のポリシーはすべて段階1で、即効性は最も低い。それでも段階2・3を設計する土台になるため、出発点としては必須です。
これは人間にも同じです。「機密は入力しない」と書いた紙が一枚あるだけでは、忙しい現場の人はうっかり顧客名を貼り付けます。だからこそ3枚目(入力禁止情報リスト)は3秒で判断できる具体性まで落とし込み、4週目の周知や半年ごとの見直しといった「運用」とセットにしなければ意味をなしません。この運用を社外の右腕として担うのが番頭代行の役割です。
私の場合、2026年4月にAIが担った業務は56件、外注換算で月額約215万円相当でした(出典:自社ROI集計)。守りのルールを整えるからこそ、攻めにAIを使い倒せます。
AIポリシーづくりのよくある疑問は?
弁護士や社労士に依頼しないとダメ? いいえ。草案は無料の公的雛形で自社で作れます。ただし、個人情報や契約に関わる機微な部分は、確定前に専門家へ見てもらうと安心です。
作ったら終わり? いいえ。AIツールの進化は速いので、半年〜1年ごとの見直しを最初から予定に組み込んでください。見直し日が決まっていない規程は、ほぼ確実に塩漬けになります。
既存の就業規則や情報セキュリティ規程とぶつからない? ここは要注意です。特に機密情報の定義や懲戒に関する記載は、確定前に必ず突き合わせてください。
テンプレートは配って終わりではなく、現場で守られるまで伴走してこそ意味を持ちます。「自社での棚卸しから一緒に考えたい」という方は、番頭代行とは何か・費用と導入の流れもご覧ください。
AI利用ポリシー、どこから手をつけるか迷っていませんか?
現場でどのAIツールがどう使われているかを一緒に棚卸しし、貴社の業種・実態に合わせた5枚版の作り方を整理します。まずは無料相談で、いまの使われ方のどこにリスクがあるかを確認するところから始めませんか。番頭代行が経営者の隣で手を動かしながらご一緒します。
30分のオンライン相談/無料
参考資料
- AI事業者ガイドライン(第1.2版)本文 PDF(経済産業省・総務省, 2026)
- AI事業者ガイドライン 掲載ページ(経済産業省)
- テキスト生成AIの導入・運用ガイドライン(IPA 情報処理推進機構, 2024)
- 生成AIサービスの利用に関する注意喚起等について(個人情報保護委員会, 2023)
- 生成AIの利用ガイドライン(JDLA 日本ディープラーニング協会, 雛形ダウンロード)
- 中小企業の生成AIの利用にかかる調査(商工中金, 2026年1月)
- 企業のセキュリティ実態調査(IIJ, n=293, 2025年2月)
- 生成AI活用状況調査(帝国データバンク, 2024)
- Samsung機密情報漏洩事例(AI Incident Database)
- 非エンジニア経営者がAIセキュリティ対策を半年DIYした記録(合同会社未来共創機構)
