社内でAIツールを使う人が増えてきたものの、「何を入力していいのか」「誰が責任を持つのか」が曖昧なまま運用している会社は少なくありません。ガイドラインというと分厚い規程集を想像してしまいがちですが、最初から完璧なものを作る必要はありません。むしろ大切なのは、最低限決めておくべき項目を絞り込み、まず動かしながら育てていく姿勢です。この記事では、社内AIガイドラインを作るときに最初に決めるべき5つの項目を、具体例とチェックリスト形式で紹介します。

なぜ「最初の5項目」から始めるべきか

ガイドラインづくりでつまずく一番の原因は、最初から網羅的なルールを作ろうとしてしまうことです。想定されるリスクを洗い出し、部署ごとの例外を検討し、法務部門の確認を待ち…という進め方をしていると、いつまで経っても運用が始まりません。

その間にも現場では、担当者が個人の判断でAIツールを使い続けています。ルールが存在しない期間こそが、情報漏えいや誤った情報の社外発信といったリスクが一番高まる期間です。まずは最低限の骨組みを固めて運用を始め、実際に使いながら気づいた点を追記していくほうが、結果的に実効性のあるガイドラインに育ちます。以下の5項目は、その骨組みとして最初に決めておきたい内容です。

1. 使ってよいツールの範囲を決める

最初に決めるべきは「何を使ってよいか」の線引きです。無料の個人アカウントで誰でも使えるツールと、会社として契約し管理者がアカウントを管理しているツールとでは、情報の扱われ方が大きく異なります。

具体的には、次の観点で整理しておくとわかりやすくなります。

  • 会社として契約・許可しているツールの一覧
  • 個人アカウントでの利用を認めるか、認める場合はどこまでか
  • 部署やチームで独自に導入しているツールがないかの棚卸し
  • 新しいツールを試したいときの申請・相談先

「禁止リスト」を作るより、「まず何を許可するか」を明確にするほうが、現場は迷わず動けます。

2. 入力してはいけない情報を明確にする

次に決めるべきは、AIツールに入力してはいけない情報の範囲です。ここが曖昧なまま運用されているケースが最も多く、事故につながりやすいポイントでもあります。

入力を避けるべき情報の例として、次のようなものが挙げられます。

  • 顧客の氏名・連絡先・契約内容などの個人情報
  • 取引先との契約書や見積もりなど、社外秘の書類
  • 未公表の決算情報や新製品・新サービスの詳細
  • 従業員の人事評価や給与に関する情報
  • パスワードやアクセスキーなどの認証情報

抽象的に「機密情報は入力しない」と書くだけでは、現場の判断はばらついてしまいます。自社の業務で実際に扱っている情報の種類を具体的に挙げて示すことが重要です。判断に迷う情報が出てきた場合の相談先も、あわせて決めておきましょう。

3. 出力物の取り扱いルールを決める

AIが生成した文章や資料をそのまま社外に出してよいかどうかも、最初に決めておくべき項目です。AIの出力には、事実と異なる内容が含まれることがあります。もっともらしい書きぶりで誤った情報が混ざることもあるため、内容を鵜呑みにしない姿勢が欠かせません。

最低限決めておきたいのは次の点です。

  • 外部に出す文書や顧客対応の文面は、必ず人が内容を確認してから使用する
  • 事実関係が伴う内容(数値・固有名詞・日付など)は、元の資料と突き合わせて確認する
  • AIを使って作成したことを開示する必要がある場面かどうかを事前に整理しておく
  • 著作権や引用のルールに反する使い方をしていないか確認する

「参考として使う」段階と「そのまま社外に出す」段階を分けて考えると、ルールが作りやすくなります。

4. 責任の所在を決める

AIの出力をもとに何らかの判断や発信を行った結果、問題が生じた場合に、誰が確認し、誰が責任を持つのかを事前に決めておく必要があります。「AIが作ったから」という理由は、社外に対しても社内に対しても、責任の免除にはなりません。

決めておきたいことは次の通りです。

  • 最終的な内容確認・承認を行う担当者や役職
  • 部署をまたぐ内容の場合の確認フロー
  • 問題が発生した際の報告先と初動対応の流れ

「AIを使った」という事実と、「その内容に責任を持つのは誰か」という点は切り離して考えるのがポイントです。人が最終確認をするという前提を、全員が共有しておく必要があります。

5. 見直しのタイミングを決める

最後に、ガイドライン自体をいつ見直すかを決めておきます。AIツールは機能や利用範囲が変化していくものですし、運用してみて初めて気づくルールの抜け漏れも出てきます。決めっぱなしにせず、定期的に手を入れる前提を最初から組み込んでおくことが大切です。

具体的には、次のような仕組みを用意しておくとよいでしょう。

  • 半年に一度など、定期的な見直しの機会を設ける
  • 現場からルールへの疑問や改善提案を出せる窓口を作る
  • 新しいツールの導入や利用範囲の変更があったときに、そのつど反映する

ガイドラインは一度作って終わりではなく、育てていくものだと捉えておくと、無理なく運用を継続できます。

まとめ

  • 完璧なガイドラインを最初から目指さず、最低限の5項目から始めるとスムーズに運用が始められます
  • 使ってよいツールの範囲を「許可リスト」の形で明確にしましょう
  • 入力を避けるべき情報は、抽象論ではなく自社の具体的な情報の種類で示しましょう
  • AIの出力は人が確認してから使う前提を徹底し、責任の所在をあらかじめ決めておきましょう
  • ガイドラインは定期的に見直し、運用しながら育てていくものと考えましょう