ChatGPT、Microsoft 365 Copilot、Geminiなどの生成AIは、文書作成、議事録要約、メール文面の作成、Excel関数の相談、社内FAQの下書きなど、日常業務の多くを支援できる存在になりました。一方で、中小企業では専任の法務・セキュリティ部門がないまま現場利用だけが先行し、情シス担当者が後追いで相談を受けるケースも増えています。そこで重要になるのが、AIを一律に禁止するのではなく、使ってよい場面、入力してはいけない情報、確認すべき手順を明文化した「AI利用ルール」です。本記事では、中小企業の情シスが現実的に運用できるルール作りと、社内展開の進め方を具体的に解説します。
なぜ今、AI利用ルールが情シスに求められているのか
まず押さえておきたいのは、生成AIの利用がもはや一部のIT好き社員だけの行動ではなくなっている点です。営業担当者が提案書のたたき台を作る、総務担当者が社内通知文を整える、経理担当者がExcel関数の考え方を確認するなど、業務の隙間にAIを使う場面は急速に広がっています。特に中小企業では、少人数で複数業務を担当することが多いため、AIによる時短効果は魅力的です。その一方で、会社として利用可否を決めていない場合、社員は個人アカウントや無料版サービスを自己判断で使い始めてしまいます。
情シスにAI利用ルールが求められる理由は、単に「情報漏えいを防ぐため」だけではありません。生成AIはクラウドサービスであり、入力内容、利用アカウント、連携先アプリ、保存履歴、管理者機能の有無によってリスクが変わります。たとえば、顧客名や契約金額を含む提案書を個人契約のAIに貼り付ける行為と、管理者が設定した法人向け環境で公開済みの製品説明文を要約する行為では、同じAI利用でもリスクの大きさが異なります。したがって情シスは、技術的な禁止設定だけでなく、業務実態に合わせた判断基準を示す必要があります。
加えて、国内外ではAIガバナンスやAIリスク管理に関する考え方が整理されつつあります。企業規模にかかわらず、AIを利用する組織には、利便性とリスクの両方を把握し、利用状況を説明できる状態が求められます。つまり、情シスの役割は「AIを止める門番」ではなく、「安全に使える道筋を作る推進役」へ変わりつつあります。今の段階で最低限のルールを整えておけば、将来CopilotやGeminiを本格導入する際にも、教育、権限管理、監査の土台として活用できます。
ポイント:AI利用ルールは、社員を縛るための文書ではなく、現場が安心してAIを使うための共通言語です。最初から完璧な規程を作るより、禁止事項と相談ルートを明確にした簡潔なルールから始めることが重要です。
ChatGPT・Copilot・Gemini利用時に起きやすい情報漏えいリスク
次に、代表的なAIサービス利用時に起きやすい情報漏えいリスクを具体的に見ていきます。最も多いのは、文章を要約してもらうために、顧客情報、見積金額、未公開の製品情報、社員の個人情報をそのまま貼り付けてしまうケースです。たとえば、営業部門が「この商談メモを提案書にしてください」と入力し、そこに顧客担当者名、導入予定時期、予算、競合比較が含まれていれば、営業秘密や個人情報を外部サービスへ送信することになります。たとえサービス側が法人向けの保護機能を提供していても、会社として利用条件を確認していなければ、説明責任を果たしにくくなります。
また、Microsoft 365 CopilotやGemini for Google Workspaceのように社内データと連携するAIでは、入力そのものだけでなく、既存のアクセス権限の不備がリスクになります。たとえば、SharePointやGoogleドライブに「全社員閲覧可」のまま保存された人事資料や取引先別の単価表があると、AIがそれを回答候補として扱う可能性があります。これはAIが勝手に情報を漏らすというより、もともとの権限設計の甘さがAIによって見えやすくなる現象です。そのため、AI導入前には、共有フォルダ、Teams、Googleドライブ、社内ポータルの権限棚卸しが欠かせません。
さらに見落とされがちなのが、AIの回答をそのまま社外へ送ることによる二次的な漏えいです。AIが作成したメール文や報告書には、入力した情報の一部が意図せず含まれる場合があります。たとえば、複数顧客の問い合わせ内容をまとめて貼り付け、「A社向けの返信文を作って」と依頼した結果、別顧客の事例や内部メモが混ざることがあります。加えて、ブラウザ拡張機能、AI議事録ツール、外部チャットボット連携など、社員が便利さを優先して追加した周辺ツールも確認対象です。情シスは、ChatGPT、Copilot、Geminiという名称だけで判断せず、利用プラン、データ利用条件、管理者設定、ログ取得可否、連携アプリの範囲をセットで確認する必要があります。
| リスク場面 | 起きやすい例 | 情シスの確認ポイント |
|---|---|---|
| 機密情報の入力 | 見積書、契約書、商談メモをそのまま貼り付ける | 入力禁止情報、匿名化手順、法人プランの条件 |
| 権限設定の不備 | AIが広すぎる共有フォルダを参照する | SharePoint、Googleドライブ、Teamsの棚卸し |
| 外部連携ツール | AI議事録、ブラウザ拡張、未承認SaaSの利用 | 承認済みツール一覧、利用申請、ログ確認 |
禁止ではなく安全に使うための社内ガイドライン設計
AI利用ルールを作る際に避けたいのは、「業務でAIを使ってはいけない」とだけ決めてしまうことです。もちろん、個人情報や未公開の財務情報を無断で入力してはいけないという禁止事項は必要です。しかし、現場がAIの便利さを知っている状況で全面禁止にすると、利用実態が見えないシャドーITになりやすくなります。そこで、中小企業では「禁止する情報」「条件付きで使える業務」「推奨する使い方」を分けて設計する方法が現実的です。
まず、入力禁止情報を明確にします。具体的には、顧客名、個人名、電話番号、メールアドレス、住所、マイナンバー、契約金額、未公開の決算情報、ソースコード、障害ログ、取引条件、採用候補者情報などです。ただし、現場にとっては「機密情報」という言葉だけでは判断しづらいため、「顧客名はA社ではなく業種名に置き換える」「金額は100万円ではなく概算レンジにする」「社員名は担当者Aと表記する」といった匿名化例を併記します。これにより、社員はAIを使う前に何を削ればよいか判断しやすくなります。
次に、利用レベルを3段階に分けると運用しやすくなります。レベル1は、公開情報や一般知識を使った文章のたたき台作成です。たとえば、社内イベント案内文、Excel関数の考え方、一般的なFAQ文案などが該当します。レベル2は、社内情報を含むが匿名化すれば利用できる業務です。議事録の要点整理、問い合わせ文面の改善、提案書構成案の作成などが含まれます。レベル3は、事前承認が必要な業務です。顧客データ分析、契約書レビュー、社内システムのログ解析、API連携による自動処理などは、法務、経営層、情シスの確認を挟むべきです。
加えて、承認済みAIサービスの一覧を作ります。ChatGPT Business、Microsoft 365 Copilot、Gemini for Google Workspaceなど、法人向け管理機能やデータ保護条件を確認したサービスを「利用可」とし、個人契約の無料AI、出所不明のブラウザ拡張、ファイルを外部送信する未承認ツールは「利用不可」または「要申請」とします。重要なのは、製品名だけでなく、利用プラン、ログ管理、管理者アカウント、退職者アカウント削除、データ保持期間、外部連携の扱いまで記録することです。これにより、問い合わせが来たときに情シスが毎回ゼロから判断せずに済みます。
ガイドラインに入れたい基本項目
- 利用目的と対象部門
- 入力禁止情報と匿名化の具体例
- 利用可能なAIサービスと申請方法
- AI回答の確認責任と社外提出前のチェック
- トラブル時の相談窓口と報告ルート
現場部門にAI利用ルールを定着させる教育と周知方法
AI利用ルールは、文書を作って社内ポータルに置くだけでは定着しません。特に中小企業では、営業、製造、バックオフィス、経営層がそれぞれ異なる使い方をするため、全員に同じ説明をしても自分ごとになりにくい傾向があります。まずは、部門別に「やってよい例」と「やってはいけない例」を示すことが効果的です。営業部門であれば、公開済みの製品情報をもとに提案書の構成を作るのは可、顧客名や見積金額を含む商談メモを貼り付けるのは不可、といった形です。総務部門であれば、社内イベント案内文の作成は可、社員の病歴や住所を含む相談記録の入力は不可と説明します。
次に、教育は長時間の研修よりも、15分程度の短い勉強会と具体的なサンプルの組み合わせが有効です。たとえば、月初の全社会議で「AIに入力する前の3つの確認」として、個人情報が入っていないか、顧客や取引条件が特定できないか、社外秘資料を貼り付けていないかを紹介します。そのうえで、社内ポータルに「そのまま使えるプロンプト例」を掲載します。例として、「以下の文章を敬体に整えてください。ただし、会社名・個人名・金額は含めていません」「一般的な製造業向けに、問い合わせ対応メールの構成案を作ってください」など、安全な入力形式を示すと、現場はルールを守りながらAIを使いやすくなります。
一方で、周知だけでは限界があります。Teams、Slack、Google Chatなど、普段使っているコミュニケーションツールにAI相談窓口を設けると、現場からの質問を拾いやすくなります。「この資料をAIで要約してよいか」「このAI議事録ツールを使ってよいか」といった相談を情シスが受け、回答をFAQ化していけば、社内の判断基準が徐々に蓄積されます。さらに、各部門に1名ずつAI利用推進担当を置き、情シスと月1回だけ情報交換する方法も現実的です。大げさな委員会を作らなくても、現場の困りごとを吸い上げる仕組みがあれば、ルールは改善され続けます。
また、違反を見つけた際の対応も重要です。初期段階では、いきなり懲戒や禁止を前面に出すより、「なぜ危ないのか」「どう置き換えれば使えるのか」を説明するほうが定着します。たとえば、顧客名入りの文章を貼り付けようとした社員には、顧客名を業種名に置き換え、契約金額を範囲表現に変える手順を一緒に確認します。その結果、社員はAI利用を隠すのではなく、迷ったら相談する行動を取りやすくなります。情シスは監視者ではなく、業務効率化と安全性の両立を支える伴走者として関わることが大切です。
小さく始めるAIガバナンス運用チェックリスト
最後に、中小企業が無理なく始められるAIガバナンスの運用方法を整理します。AIガバナンスという言葉は大きく聞こえますが、最初から高度な監査体制や専用ツールを導入する必要はありません。まずは、利用ルール、承認済みサービス一覧、問い合わせ窓口、定期見直しの4点をそろえるだけでも、社内の混乱を大きく減らせます。たとえば、1枚の社内ガイドラインに「入力禁止情報」「使ってよいサービス」「困ったときの連絡先」をまとめ、情シスが四半期に1回見直す運用から始める方法があります。
運用チェックでは、利用状況の把握が第一歩です。全社員に細かな利用ログを提出させるのではなく、主要部門へ簡単なアンケートを実施します。「AIを使っている業務」「利用しているサービス名」「困っていること」「不安な点」を聞くだけでも、シャドーITの兆候や教育不足が見えてきます。加えて、Microsoft 365やGoogle Workspaceを利用している場合は、共有リンク、外部共有、退職者アカウント、機密フォルダのアクセス権限を点検します。AI導入そのものよりも、AIが参照する可能性のあるデータ基盤を整えることが先決です。
次に、申請と例外対応の流れを決めます。新しいAIツールを使いたい部門が出てきた場合、情シスはサービス名、利用目的、扱うデータの種類、外部送信の有無、管理者機能、契約条件を確認します。たとえば、AI議事録ツールであれば、録音データの保存場所、文字起こしデータの保持期間、参加者への同意取得、退職者のアクセス削除を確認します。開発部門がコード生成AIを使いたい場合は、ソースコードや認証情報を入力しないこと、生成コードをレビューすること、ライセンス上の懸念がある場合は利用を止めることを条件にします。
さらに、トラブル時の初動も決めておくと安心です。万が一、顧客情報を誤ってAIに入力した可能性がある場合、社員が隠さず報告できるよう、報告先、記録項目、影響確認、顧客対応の判断者を明確にします。報告項目は、利用したサービス、入力した日時、入力内容の概要、個人情報や営業秘密の有無、共有先、削除操作の有無などです。これらをテンプレート化しておけば、情シス担当者が不在でも初動対応を進めやすくなります。
| 確認項目 | 最低限の対応 | 見直し頻度 |
|---|---|---|
| AI利用ルール | 入力禁止情報、利用可サービス、相談窓口を明記する | 四半期ごと |
| 承認済みサービス | プラン、管理者、ログ、外部連携を台帳化する | 新規導入時・契約更新時 |
| 権限管理 | 共有フォルダ、外部共有、退職者アカウントを棚卸しする | 月次または四半期 |
| 教育・周知 | 15分研修、FAQ、プロンプト例を更新する | 半期ごと |
| インシデント対応 | 誤入力時の報告テンプレートと判断者を決める | 年1回以上 |
AI利用ルールは、一度作って終わりではありません。AIサービスの仕様、法人向けプランの管理機能、社内の利用部門、取り扱うデータは変化します。そのため、情シスは小さなルールを作り、現場からの相談を受け、必要に応じて更新するサイクルを回すことが重要です。まずは、禁止事項を明確にし、安全な利用例を示し、相談しやすい窓口を作るところから始めましょう。その積み重ねが、中小企業にとって現実的で強いAIガバナンスになります。
セキュリティ・管理のまず読むまとめ
このカテゴリを読むなら、まずこのまとめ記事から入るのがおすすめです。
コメント