「先日、営業の社員が提案書のたたき台をChatGPTで作っていて。聞いてみたら、経理も議事録の要約に使っていて、みんなそれぞれ自分のアカウントで、社内の資料を貼り付けて使っているようなんです。便利なのは分かるんですが、うちの情報が外に出ていないか、それが怖くて」——先日、社員三十名ほどの会社の経営者から受けた相談です。
生成AIの業務利用は、会社が方針を決める前に、現場が先に始めています。これは「シャドーAI」とも呼ばれ、禁止令を出しても目の届かないところで使われ、放置すれば顧客情報や社外秘が学習データや外部サーバーへ流れかねません。かといって全面禁止は、競争力とモチベーションを削ぎます。必要なのは、禁止でも黙認でもなく、安全に使うためのルールです。本記事では、中小企業が生成AIの利用ガイドラインをどう作り、どう根づかせるかを、受託で伴走する立場から整理します。
全面禁止も全面自由も、どちらも失敗する
まず、両極端がなぜ機能しないかを押さえます。
全面禁止は、表向き安全に見えて、実際には最も危険です。人は便利なものを使うのをやめません。禁止すれば、会社が把握・管理できない個人アカウントで、こっそり使われるだけ。ログも取れず、何を入力したかも分からない、いちばん見えない状態を招きます。
全面自由も危うい。「好きに使っていい」とだけ告げれば、顧客の個人情報や未公開の財務情報が、無料版のチャットに平気で貼り付けられます。無料版は入力内容が学習に使われる場合があり、一度渡した情報は取り戻せません。
答えは中間にあります。「何を・どのツールに・どこまで入れてよいか」を線引きし、その範囲で堂々と使ってもらう。ガイドラインとは、この線引きを言語化したものです。中小企業向けの社内AI活用そのものは社内AIアシスタントの記事や社内問い合わせのAI自動化の記事でも扱っていますが、その前提として「使い方のルール」が要ります。
ガイドラインに必ず入れる4つの柱
中身が複雑である必要はありません。中小企業のガイドラインは、次の四つを押さえれば実用に足ります。
1. 入力してよい情報・ダメな情報の線引き。顧客の個人情報、未公開の財務・人事情報、パスワードや秘密鍵、取引先との秘密保持契約に関わる情報——これらは入力禁止。一般公開情報や、社名・固有名詞を伏せた内容はOK、といった具体例で示します。抽象的な「機密は入れない」では現場は判断できません。
2. 使ってよいツールと契約形態。個人の無料アカウントは不可、会社が契約した業務向けプラン(入力が学習に使われない設定のもの)に限る、といった指定です。ツールを会社が用意することが、シャドーAIを地上に上げる最短路です。
3. 生成物の扱い。AIの出力はそのまま鵜呑みにせず、事実確認と責任者チェックを通す。著作権や誤情報のリスクを踏まえ、最終的な責任は人が持つ、と明記します。
4. 相談窓口と更新。判断に迷ったら誰に聞くか、ルールを誰がいつ見直すか。生成AIは進化が速く、一度作って貼って終わりにすると陳腐化します。
| 方針 | 見た目 | 実際に起きること |
|---|---|---|
| 全面禁止 | 安全そう | 個人アカウントで不可視利用が横行 |
| 全面自由 | 生産的そう | 機密が無料版に流入し取り返せない |
| ルール化 | 手間そう | 会社が把握した範囲で安全に使える |
事例: 「禁止」から「会社が契約したツール+一枚のルール」に変えた会社
具体例を挙げます。情報漏洩を恐れて生成AIを事実上禁止していた会社(社名は伏せます)から、「でも現場は隠れて使っているようだし、どう向き合えばいいか」と相談を受けました。ヒアリングすると、複数の社員が個人の無料アカウントで社内資料を要約させており、まさに最も見えない状態でした。
そこで、まず会社として業務向けプランを契約し、入力が学習に使われない設定にしたうえで全社に配布。同時に、「入れてよい情報・ダメな情報」「使ってよいツール」「生成物のチェック」「相談窓口」をA4一枚のガイドラインにまとめ、短い説明会で共有しました。無料版の業務利用は原則停止としつつ、会社が用意したツールでは堂々と使ってよいことを明確にしました。結果、隠れて使う理由がなくなり、利用が可視化され、機密の入力事故も起きなくなりました。効いたのは規程の分厚さではなく、「安全な受け皿を先に用意してから、一枚のルールで線を引いたこと」でした。
いきなり分厚い規程を作らず、「安全なツールとA4一枚」から
順番の注意です。大企業のような分厚いAIガバナンス規程を、中小企業がいきなり作る必要はありません。むしろ、それを目指すと「作るだけで疲れて、誰も読まない文書」になりがちです。まずやるべきは、会社が安全に使えるツールを一つ用意すること、そしてA4一枚で「入れてよい情報・使ってよいツール・生成物の扱い・相談先」を示すことです。この二つで、シャドーAIの大半は地上に上がります。運用しながら、部署ごとの例外や、より踏み込んだ活用ルールを足していけばよいのです。禁止で蓋をするより、受け皿とルールで導くほうが、結果として安全で生産的です。
社員が勝手に生成AIを使っていて不安、禁止すべきか迷っている、安全に使えるルールと環境を整えたい——そうしたお悩みがあれば、グリームハブのIT・AI活用の無料相談からお気軽にご相談ください。現状のヒアリングから、安全なツールの選定・契約、A4一枚のガイドライン作成、説明会や定着の支援まで、無理のない範囲でご一緒します。