会社で生成AIを使う前に決める社内ルール
AI活用・財務DXの個別相談
この記事の内容を、自社の業務フローと数字管理に落とし込む相談をする
AI活用、経理効率化、月次試算表、資金繰り、社内運用ルールを現在の体制に合わせて整理します。
生成AIの社内利用はルールを決めてから始める
生成AIは、文章作成、要約、翻訳、調査メモ、議事録整理、社内FAQ作成など、多くの業務で役立ちます。一方で、会社としてのルールがないまま使うと、個人情報や機密情報の入力、誤った出力の利用、著作権や契約上の問題、アカウント管理の不備が起こりやすくなります。
個人情報保護委員会は、生成AIサービスの利用に関する注意喚起を公表しています。METIのAI事業者ガイドライン第1.2版でも、AIの利活用における安全性やガバナンスの重要性が示されています。中小企業でも、専門部署がないからといって無ルールでよいわけではありません。むしろ、少人数だからこそ、短く実行できる社内ルールを先に決めることが大切です。
この記事でわかること
この記事では、会社で生成AIを使う前に決めたい社内ルールを、個人情報、機密情報、アカウント、出力確認、記録保存の観点から整理します。難しい規程を一気に作るより、まず現場が守れる最低限のルールを作ることが目的です。
最低限決めたい社内ルール
| ルール項目 | 決める内容 | 実務上の例 |
|---|---|---|
| 利用目的 | どの業務で使ってよいか | 文案作成、要約、議事録、社内FAQ案 |
| 入力禁止情報 | 入れてはいけない情報 | 個人情報、未公開財務情報、取引先秘密、マイナンバー |
| 出力確認 | 誰が何を確認するか | 社外文書は担当者と責任者が確認 |
| アカウント管理 | 会社契約か個人利用か | 会社メール、権限管理、退職時停止 |
| 記録保存 | 利用履歴や成果物をどこに残すか | 重要文書はプロンプトと出力を保存 |
| 例外対応 | 判断に迷う場合の相談先 | 上長、管理部門、外部専門家 |
個人情報は「入力しない」を原則にする
最初のルールでは、個人情報を生成AIに入力しないことを原則にすると運用が安定します。氏名、住所、電話番号、メールアドレス、履歴書、従業員情報、顧客リスト、問い合わせ内容などは、本人が特定される可能性があります。どうしても業務上必要な場合は、利用するサービスの設定、契約条件、データ利用方針、社内承認を確認したうえで、匿名化やマスキングを検討します。
個人情報保護委員会の注意喚起は、生成AIサービスが普及している状況を踏まえたものです。会社としては、便利だから入力するのではなく、入力の必要性、代替手段、入力後の管理を確認する姿勢が必要です。
機密情報と未公開情報を分けて管理する
生成AIに入れてはいけない情報は、個人情報だけではありません。未公開の決算数値、資金繰り、価格表、仕入条件、顧客別売上、契約書、開発情報、社内人事、クレーム情報なども慎重に扱うべきです。
ルール作りでは、情報を「公開情報」「社内共有可」「限定共有」「入力禁止」に分けます。すべてを禁止にすると現場は使いにくくなります。たとえば、公開済みの商品説明や一般的な業務手順は利用可、顧客名や金額が入った資料は匿名化後に限定利用、個人番号や機密契約は入力禁止、という形です。
出力は必ず人が確認する
生成AIの出力は自然な文章に見えますが、事実誤認、古い情報、存在しない根拠、計算ミスを含むことがあります。社外に出す文章、採用や評価に関わる文書、契約、税務、会計、労務、医療、法務に関わる文章は、必ず担当者が根拠資料と照合します。
特に、数字を含む出力は注意が必要です。AIが表を要約した場合でも、元データと突合し、端数、期間、税抜税込、対象範囲を確認します。AIの出力をそのまま貼り付けるのではなく、下書きとして扱うルールを明記しましょう。
アカウントと履歴を会社で管理する
個人アカウントで業務利用を始めると、退職時の停止、利用履歴の確認、支払管理、情報持ち出しの把握が難しくなります。会社で継続利用する場合は、会社メールでの登録、管理者権限、二要素認証、退職時の削除、共有端末でのログイン禁止を決めます。
IPAの中小企業向けセキュリティガイドライン第4.0版では、バックアップやクラウドサービスの安全利用を含む実践的な対策が示されています。生成AIもクラウドサービスの一つとして、ID管理、アクセス権、バックアップ、インシデント時の連絡先を確認する必要があります。
小さな社内規程の作り方
最初の社内規程は、A4一枚でも十分です。目的、利用できる業務、入力禁止情報、出力確認、アカウント管理、違反時や迷った時の相談先を記載します。加えて、現場で使うチェックリストを用意します。
チェックリストには「個人情報が含まれていないか」「取引先の秘密情報が含まれていないか」「社外提出前に根拠を確認したか」「AI作成であることを必要に応じて明示したか」「保存場所に記録したか」を入れます。毎月一度、実際の利用例を確認し、ルールを更新します。
よくある質問
Q. 生成AIの利用を全面禁止すべきですか?
A. 全面禁止は一時的なリスク低減にはなりますが、社員が個人判断で使う地下利用を招くことがあります。使ってよい範囲と禁止情報を明確にし、相談できる運用を作る方が現実的です。
Q. 個人情報を匿名化すれば入力してよいですか?
A. 匿名化の程度によります。氏名を消しても、部署、役職、日時、内容の組み合わせで個人が推測できる場合があります。入力前に再識別リスクを確認し、必要性が低い場合は入力しない判断が安全です。
Q. 社員がすでに使っている場合はどうすればよいですか?
A. まず利用実態を責めずに把握します。使っている業務、入力した情報、保存場所、困っている点を確認し、今後のルールに反映します。過去の入力に問題が疑われる場合は、管理部門や専門家に相談します。
Q. ルールはどの頻度で見直すべきですか?
A. 最低でも半年に一度、利用ツールや業務範囲が変わったときは随時見直します。AIサービスの仕様、法制度、社内の利用実態は変わるため、初版を固定しないことが大切です。
まとめ
会社で生成AIを使う前に、利用目的、入力禁止情報、出力確認、アカウント管理、記録保存、相談先を決めます。個人情報と機密情報は原則として入力を避け、必要な場合も匿名化、契約条件、承認手続きを確認します。生成AIは業務効率化に役立ちますが、会社の信用を守るには、短くても実行できる社内ルールが必要です。
参考情報(公式情報)
- 個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」 https://www.ppc.go.jp/news/careful_information/230602_AI_utilize_alert/
- 経済産業省「AI事業者ガイドライン(第1.2版)」 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html
- IPA「中小企業の情報セキュリティ対策ガイドライン」 https://www.ipa.go.jp/security/guide/sme/about.html
AI Advisor Next Step
読んで終わらせず、AI活用を月次の数字改善につなげる
記事で整理した論点をもとに、AI化できる業務、扱ってよいデータ、経理・資金繰りへの接続方法を60分で確認します。
ご注意事項
本記事の内容は、公開日時点における一般的な情報提供を目的としており、 特定の個人や法人に対する専門的なアドバイスを構成するものではありません。
税務・会計・法務等に関する具体的なご相談については、 必ず資格を持った専門家にご確認ください。 本記事の情報に基づいて行われた判断や行動により生じた損害について、 当事務所は一切の責任を負いかねます。
記事の内容は法令の改正等により変更される場合があります。 最新の情報については、関係省庁の公式サイト等でご確認ください。