情シスの転職面接では、ChatGPT、Microsoft 365 Copilot、Geminiなどの生成AIについて「使ったことがありますか」と聞かれるだけでなく、「社内で使う場合、どのようなルールが必要だと思いますか」と問われる場面が増えています。これは、生成AIが文書作成や調査の効率化に役立つ一方で、個人情報、顧客情報、未公開資料、認証情報などを誤って入力するリスクがあるためです。特に中小企業では、専任のセキュリティ部門や法務部門がないまま現場利用が先行することも少なくありません。そこで情シスには、禁止だけで現場を止めるのではなく、安全に使える範囲を決め、運用しながら改善する視点が求められます。本記事では、情シス転職で差がつくAI利用ルールの考え方と、中小企業でも使いやすい社内向けテンプレートを具体的に解説します。
なぜ今、情シス転職でAI利用ルールの理解が重視されるのか
情シス転職でAI利用ルールの理解が重視される理由は、生成AIが一部の先進企業だけのツールではなく、日常業務に入り込み始めているからです。営業資料の下書き、議事録の要約、社内FAQの作成、問い合わせ回答文の整理、Excel関数の相談など、ChatGPTやCopilot、Geminiを使えば短時間で作業を進められる場面は多くあります。一方で、便利さが先行すると、社員が個人アカウントで社内情報を入力したり、AIの回答を確認せずに顧客向け資料へ転記したりするリスクが生まれます。つまり、情シスにはAIを止める役割ではなく、使える範囲と守るべき線を明確にする役割が求められています。
例えば、従業員80名規模の企業で、営業担当が顧客名や商談内容を含むメール文面を個人利用の生成AIに貼り付けて返信案を作った場合、本人に悪意がなくても情報管理上の問題になります。また、管理部門が就業規則の改定案をAIに要約させた結果、古い法令解釈や社内実態に合わない表現が混ざる可能性もあります。このような場面で必要なのは、「AIは禁止」と言い切ることではありません。まず、入力してよい情報、入力してはいけない情報、出力を使う前の確認方法、例外時の承認フローを決めることです。
面接で伝える視点:AI利用ルールは、制限を増やすための文書ではなく、社員が安全にAIを使うための業務ルールです。「利用禁止」ではなく「安全な利用範囲の明確化」と表現すると、情シスらしい運用視点が伝わります。
さらに、AIガバナンスは一度作って終わるものではありません。サービスの仕様、料金プラン、データの扱い、管理機能、社内の利用実態は変わります。そのため、転職面接では「AIツールを使えます」だけでなく、「利用ルールを作り、周知し、問い合わせを受け、定期的に見直す必要があると考えています」と話せると評価されやすくなります。特に中小企業では、完璧な規程を最初から作るより、まず小さく始めて運用しながら改善する実務感覚が重要です。
ChatGPT・Copilot・Geminiなどを業務利用する現場で必要なルール設計
生成AIの業務利用ルールを作る際は、ツール名だけで判断せず、利用目的、入力データ、利用環境、確認フローを分けて設計することが大切です。ChatGPTは汎用的な文章作成、FAQ草案、問い合わせ回答文の整理に使いやすく、CopilotはMicrosoft 365環境のメール、Teams、Word、Excel、PowerPointと組み合わせた利用に向いています。GeminiはGoogle Workspaceを使う企業で、Gmail、Docs、Sheets、Drive上の情報整理と相性があります。ただし、どのツールでも、法人向け契約か個人アカウントか、管理者機能があるか、データがどのように扱われるかを確認しないまま社内利用を広げるのは危険です。
まず決めるべきは、利用可能な業務範囲です。例えば、「公開情報の調査メモ作成」「社内FAQの下書き」「一般的な文章の言い換え」「会議メモの構成整理」「Excel関数やPowerShellの一般的な相談」は比較的始めやすい用途です。一方で、「顧客名を含む商談メモの入力」「人事評価情報の要約」「契約書全文の外部AIへの貼り付け」「未公開の障害情報や脆弱性情報の入力」「パスワードやAPIキーの入力」は原則禁止にすべき領域です。加えて、CopilotやGeminiのように社内データと連携するツールでは、AIそのものの設定だけでなく、SharePoint、Teams、Google Driveの共有範囲やアクセス権限を見直す必要があります。
| 設計項目 | 決める内容 | 中小企業での具体例 |
|---|---|---|
| 利用可能ツール | 会社が許可するAIサービス、アカウント種別、利用部門 | 会社契約のChatGPT Business、Microsoft 365 Copilot、Gemini for Google Workspaceのみ許可 |
| 入力禁止情報 | 個人情報、顧客情報、認証情報、未公開資料など | 氏名、メールアドレス、契約金額、見積書、APIキー、障害詳細は入力不可 |
| 出力の確認 | AI回答をそのまま使わず、担当者が事実確認する手順 | 社外提出資料は上長確認、IT手順書は実機確認後に公開 |
また、現場が迷わないように、ルールには「使ってよい例」と「使ってはいけない例」を必ず入れましょう。抽象的に「機密情報を入力しない」と書くだけでは、社員によって判断が分かれます。例えば、「製品名を伏せた一般的な問い合わせ文の言い換えは可」「顧客名と契約条件を含むメール全文の入力は不可」のように具体化します。さらに、例外的に利用したい場合の相談先を情シスまたは管理部門に一本化しておくと、現場判断によるリスクを減らせます。
禁止事項だけで終わらせないためのセキュリティと運用上の注意点
AI利用ルールは、禁止事項を並べるだけでは現場に定着しません。むしろ、禁止ばかりのルールにすると、社員が「相談すると面倒になる」と感じ、個人アカウントや未承認ツールでこっそり使うリスクが高まります。そこで重要なのは、セキュリティ上の注意点を明確にしながら、業務で使える安全なパターンも示すことです。例えば、「顧客情報を含まない文章の改善」「公開情報をもとにした調査観点の整理」「社内FAQの構成案」「マニュアルの読みやすさ改善」など、リスクが低く効果が出やすい用途を推奨例として示します。
セキュリティ面では、少なくとも入力データ、出力結果、アカウント管理、ログ、権限の5点を確認します。入力データでは、個人情報や秘密情報が含まれていないかを確認します。出力結果では、誤情報、著作権上問題のある表現、社内ルールと異なる手順が混ざっていないかをチェックします。アカウント管理では、会社契約のアカウントを使い、退職者の利用停止や多要素認証を適用します。ログについては、利用状況を必要な範囲で確認できるようにし、トラブル時に追跡できる状態を整えます。権限については、CopilotやGeminiのような社内データ連携型AIを使う前に、ファイル共有の棚卸しを行うことが重要です。
注意:「AIに入れなければ問題ない」と考えるだけでは不十分です。CopilotやGeminiのように社内ファイルやメールと連携するAIでは、既存のアクセス権限が広すぎると、本来見せるべきでない情報が検索・要約される可能性があります。
加えて、AIの回答はもっともらしく見えるため、利用者が誤りに気付きにくい点にも注意が必要です。例えば、WindowsやMicrosoft 365の設定手順、Google管理コンソールの操作、セキュリティ製品の設定値などは、バージョンや契約プランによって画面が異なります。そのため、IT手順書や顧客向け説明資料に使う場合は、公式情報、実機画面、社内の標準設定と照合する確認フローを入れましょう。つまり、AI利用ルールは「入力禁止」だけでなく、「出力をどう検証するか」まで含めて初めて実務で機能します。
中小企業でも作りやすいAI利用ルールのテンプレートと作成手順
中小企業でAI利用ルールを作る場合、最初から分厚い規程を作る必要はありません。まずはA4で2〜3枚程度の社内ルールとして、目的、対象者、利用可能ツール、入力禁止情報、出力確認、禁止事項、相談先、見直し時期をまとめるだけでも効果があります。大切なのは、現場が読んで判断できる具体性です。例えば、営業、管理、情シス、サポートなどの部門ごとに、使ってよい例と使ってはいけない例を1つずつ入れると、社内展開しやすくなります。
社内向けAI利用ルール テンプレート
1. 目的:生成AIを安全かつ適切に活用し、業務効率化と情報管理を両立するため、本ルールを定める。
2. 対象:当社の役員、社員、契約社員、派遣社員、業務委託者のうち、会社業務で生成AIを利用する者。
3. 利用可能ツール:会社が承認した生成AIサービスのみ利用可能とする。個人アカウントでの社内情報入力は禁止する。
4. 入力禁止情報:個人情報、顧客情報、契約情報、認証情報、未公開資料、社内ネットワーク構成、障害・脆弱性の詳細は入力しない。
5. 出力確認:AIの出力は参考情報として扱い、社外提出物、社内手順書、判断資料に使う場合は担当者が事実確認を行う。
6. 禁止事項:AI出力を確認せずに公開すること、権利侵害のおそれがある文章や画像を使用すること、AIに判断責任を委ねることを禁止する。
7. 相談・見直し:判断に迷う場合は情シスまたは管理部門へ相談する。本ルールは少なくとも半年に1回見直す。
作成手順としては、まず現在使われているAIサービスを把握します。社内アンケートやヒアリングで、「どの部署が、どのツールを、何のために使っているか」を確認します。次に、利用場面をリスクの低いものから高いものへ分類します。例えば、一般文章の言い換えは低リスク、社内FAQの草案作成は中リスク、顧客情報を含む資料作成や人事評価の要約は高リスクと整理できます。そのうえで、低リスク領域は許可、中リスク領域は匿名化やレビューを条件に許可、高リスク領域は原則禁止または個別承認とします。
最後に、作成したルールを配布して終わりにせず、利用者向けの説明会やFAQを用意しましょう。例えば、「入力してよい情報の例」「匿名化の例」「AI回答を確認するチェックリスト」「相談先」を社内ポータルに掲載します。さらに、問い合わせが多い項目はテンプレートに追記し、半年ごとに見直します。こうした進め方を面接で説明できると、単に規程を作れる人ではなく、現場に定着するルールを運用できる人材として伝わります。
転職先でも使い回せるAIガバナンス運用の整え方
AI利用ルールを転職先でも活かすには、特定の会社やツールに依存しすぎない運用の型として整理しておくことが大切です。ChatGPT、Copilot、Gemini、Claudeなど、利用するサービスは企業によって異なりますが、基本となる考え方は共通しています。まず、利用目的を明確にし、次に入力データの種類を確認し、利用可能なアカウントや契約条件を整理し、出力の確認責任を決めます。そのうえで、利用状況を記録し、問い合わせやトラブルをもとにルールを見直す流れを作ります。これが、転職後も使い回しやすいAIガバナンスの土台です。
例えば、入社後30日では、既存のAI利用状況、承認済みツール、社内規程、ファイル共有設定を棚卸しします。31〜60日では、入力禁止情報や利用可能業務を整理し、現場向けの簡易ルールを作成します。61〜90日では、説明会やFAQを通じて周知し、相談件数や利用上の迷いを集めて改善します。特に中小企業では、最初から高度な監査体制を作るより、実態把握、簡易ルール、周知、見直しのサイクルを回す方が現実的です。これにより、AI活用のスピードと安全性を両立しやすくなります。
| 時期 | 取り組み | 確認するポイント |
|---|---|---|
| 入社〜30日 | 利用中のAIツール、契約、社内規程、共有権限を棚卸し | 未承認利用、個人アカウント利用、共有範囲の広すぎるフォルダ |
| 31〜60日 | 入力禁止情報、利用可能業務、レビュー手順を整理 | 現場が判断できる具体例になっているか |
| 61〜90日 | 説明会、FAQ、相談窓口、定期見直しを運用化 | 相談件数、ルール違反リスク、業務改善効果 |
一方で、AIガバナンスを情シスだけで抱え込むと、運用が続かなくなることがあります。社長、管理部門、法務担当、現場責任者と役割を分け、「情シスは技術設定と運用窓口」「管理部門は規程化と周知」「各部門長は利用状況の確認」といった体制を作ると、無理なく定着します。今後は、AIを使えること自体より、AIを安全に使うためのルール、権限、教育、見直しを整えられる人材が評価されやすくなります。情シス転職では、自分が作ったルール案やテンプレートをもとに、「現場が使える形に落とし込める」ことを具体的に語れるようにしておきましょう。
情シスの転職面接でAI利用ルールについて聞かれたら、「禁止事項を決めること」だけを答えるのではなく、利用目的、入力禁止情報、出力確認、承認フロー、周知、見直しまで含めて説明することが大切です。中小企業では、完璧なAIガバナンスを一度に作るより、まずは承認済みツール、入力してはいけない情報、使ってよい業務例、相談先を明確にするだけでも効果があります。さらに、ChatGPT、Copilot、Geminiなどの特性を理解しつつ、法人契約、アクセス権限、データの扱い、管理機能を確認する姿勢を示せば、実務に強い情シス候補者として伝わります。まずは現在の職場や学習環境で、A4数枚のAI利用ルール案を作り、面接で説明できる成果物として整理しておきましょう。
セキュリティ・管理のまず読むまとめ
このカテゴリを読むなら、まずこのまとめ記事から入るのがおすすめです。
コメント