LASSIC Media らしくメディア

LASSIC IT事業部｜元請（プライムベンダー）としてシステム保守・運用を受託

生成AI利用規程とは何か、なぜ今策定が急がれるか

生成AI利用規程とは、企業・組織が生成AIサービスを業務で利用する際のルールを定めた内部規程であり、利用目的・禁止行為・情報管理・インシデント対応手順などを一文書にまとめたものです。従業員がChatGPTやCopilot（コパイロット、Microsoft 365に組み込まれたAIアシスタント）などを個人判断で使い始める前に、組織として許容できる範囲と禁止事項を明文化することが目的です。

規程が存在しないまま利用が広がると、機密情報や個人情報のプロンプト入力、AI出力のまま外部送信、著作権を侵害するコンテンツの公開といったリスクが顕在化します。個人情報保護委員会は2023年6月2日、「生成AIサービスの利用に関する注意喚起等について」を公表し、生成AIに個人情報を入力することで個人情報保護法上の義務が発生する可能性があることを事業者に周知しました。

また、経産省・総務省は2024年4月にAI事業者ガイドライン第1.0版を共同策定し、AI開発者・提供者・利用者それぞれが取るべきリスク管理措置や透明性確保の方策を示しています。利用規程はこれらの公的ガイドラインを社内に落とし込む”実装文書”として機能します。

情報漏えいや著作権侵害が発生した場合、法的責任だけでなく顧客・取引先からの信頼喪失というビジネスリスクが生じます。このため、規程の策定は「いつか対応する任意事項」ではなく、生成AI活用の前提条件として位置づける必要があります。

利用規程に盛り込む項目：公的ガイドライン3本が示す構成

生成AI利用規程とは、何を・誰が・どのように使えるかを定めることで、組織全体のリスクを管理するための文書です。JDLA（日本ディープラーニング協会）が2023年10月に公開した「生成AIの利用ガイドライン 第1.1版（簡易解説付）」は、企業が利用規程を整備するためのひな形として設計されており、公開以降、多くの企業に活用されています^*1。

以下では7つの項目を順に解説します。JDLAガイドライン第1.1版の条項構成と、個人情報保護委員会・経産省の指摘を参照しながら整理しています。

利用目的・適用範囲の明確化

利用規程の冒頭で「誰が」「何のために」「どのツールを」使えるかを明示します。たとえば「社内向け文章作成補助のみ可。顧客向け成果物への直接転用は不可」という形で適用境界を引くことで、部門によって解釈がバラつくことを防ぎます。

JDLAの第1.1版ガイドラインは「利用目的の特定と範囲限定」を最初の条項として示しており、業務用途と個人用途を明確に区別することを推奨しています。

禁止事項・制限事項

禁止事項は「絶対禁止」と「条件付き制限」の2段構えで整理すると実用的です。

• 絶対禁止：個人情報（氏名・住所・メールアドレス等）のプロンプト入力、機密性3以上の社内情報の入力、第三者の著作物をそのまま学習・出力に流用する行為
• 条件付き制限：AI出力をそのまま顧客提出資料に使用すること（ファクトチェック必須の明記が条件）
• 要申請事項：新しい生成AIサービスを業務で試験利用する場合（情シスへの事前申請を条件に許可）

個人情報保護委員会の注意喚起では、生成AIへの個人情報入力が個人情報保護法第17条（利用目的による制限）に抵触する可能性があると指摘されています^*2。禁止事項の条文は、この法的根拠と紐づけて記載することで、従業員の理解を促しやすくなります。

個人情報・機密情報の取り扱いルール

AIツールのプロバイダーがユーザー入力データを学習に使用するかどうかは、サービスごとに異なります。プロバイダーのプライバシーポリシーを情シスが事前確認し、データ利用停止オプション（オプトアウト設定）の有無を規程に記載することが求められます。

また、AI出力に誤った情報が含まれる「ハルシネーション（幻覚、AIが事実と異なる内容を自信をもって出力する現象）」のリスクについても言及し、出力の事実確認（ファクトチェック）を義務付ける条文が必要です。

ツール選定・承認フロー

従業員が個人の判断で新しい生成AIツールを使い始める「シャドーIT」を防ぐためには、利用可能なツールのホワイトリストと申請フローを規程で定めます。情シスが「セキュリティ評価→法務確認→部門長承認」という3段階承認を経てホワイトリストに追加する手順を明文化すると運用しやすくなります。

教育・研修の義務

規程は文書だけでは浸透しません。新規に生成AI利用を開始する従業員に対し、利用規程の説明と確認テストを義務付けること、年に一度の更新研修を実施することを条文に盛り込みます。JDLAガイドラインも「利用者への教育・周知」を重要条項として位置づけています。

インシデント対応手順

機密情報を誤入力した、AI出力を無確認で顧客送付したなど、問題が発生した際の報告ラインと初動対応手順を規程に明記します。「報告を受けた翌営業日中に情報セキュリティ責任者へ通知」「事実確認後48時間以内に対策報告書を提出」といった具体的なタイムラインを設けることで、事後対応の混乱を防ぎます。

規程の見直し・更新サイクル

生成AI技術と関連法規の動向は急速です。年1回以上の定期改訂と、重大な法改正や新たな生成AIリスクが判明した際の臨時改訂を規程に定めておくと、陳腐化を防ぎます。経産省AI事業者ガイドライン（2024年4月、第1.0版）も、AI利用事業者に対して継続的なリスク評価と規程の更新を求めています^*3。

策定の進め方：ステークホルダー役割と3つのフェーズ

生成AI利用規程の策定は、情報システム部門単独で対応できる範囲を超えています。法務・コンプライアンス・現場部門・経営層が関わる横断プロジェクトとして進めることが、実効性のある規程を生む前提です。

フェーズ1：現状調査と適用範囲の設定（1〜2週間）

まず、社内で既に使われている生成AIツールを棚卸しします。従業員アンケートや情シスのネットワークログから「どの部門が・どのツールを・どんな用途で使っているか」を可視化します。利用実態が把握できると、規程の適用範囲（全社一律か部門別か、業務用途限定か個人利用も含むか）が定まります。

この段階で法務担当が関与し、個人情報保護法・不正競争防止法（営業秘密の観点）・著作権法との整合性を確認しておくことが、後工程での手戻りを防ぎます。

フェーズ2：ドラフト作成と内部レビュー（2〜4週間）

JDLAガイドラインなどの公開ひな形を参照しながら、フェーズ1で特定した自社の利用実態と適用範囲に合わせてドラフトを作成します。

ドラフトは以下の順でレビューを受けます。情シスが技術的実現可能性（禁止事項の検知手段の有無等）を確認し、法務が法的整合性を検証し、現場部門が「現実的に守れるか」を判断します。現場の反発が起きやすいのは「全面禁止」型の規程です。現場の生産性向上ニーズを考慮しながら「禁止・制限・要申請」の3段階に仕分けることで、実運用に耐える規程に仕上がります。

フェーズ3：承認・周知・運用サイクルの設計（1〜2週間）

規程案が確定したら、部門長会議または取締役会で承認を得た上で全社通知します。周知方法は、メールだけでなくイントラネット掲載と理解確認テストを組み合わせることが効果的です。

策定完了時点で、次の定期改訂日（通例1年後）とトリガー型臨時改訂の条件（法改正・重大インシデント等）も規程内に明記しておきます。これにより、規程が「一度作ったら放置」になることを防ぎます。

外部支援を使うべき判断軸：内製リスクとアウトソースのメリット

生成AI利用規程の策定を内製で進めることは、専門知識と工数の両面でハードルがあります。どの段階で外部支援を活用するかの判断軸を整理します。

内製で進める場合のリスクと工数

規程策定を担える人材には、AIリテラシー・個人情報保護法の知識・社内ステークホルダー調整力・文書作成力が求められます。これらを兼ね備えた担当者は少なく、兼任担当者が他業務と並行して進めると、策定に3〜6ヶ月以上かかるケースがあります。

また、内製では公的ガイドラインの改訂情報の追跡が漏れやすく、「2024年に施行された改正に対応していない」といった法的整合性のリスクが残ります。

外部支援を活用するメリット

法律事務所やITコンサルティング会社、LASSICのようなシステム運用・IT事業者への委託では、以下のメリットが期待できます。

• 法的整合性の担保：個人情報保護法・著作権法・労働基準法（業務指示としての規程の有効性）等との整合チェックを専門知識で対応できます。
• 策定スピードの向上：公開ひな形のカスタマイズと社内調整のファシリテーションにより、内製の半分程度の期間で策定が完了するケースがあります。
• 利用規程とシステム設定の連携：ITシステムを扱う事業者であれば、規程の禁止事項をツール設定・アクセス制御に反映するシステム面の整備も同時に進められます。

委託先選定の3つのポイント

外部委託先を選ぶ際は、以下の3点を確認することが有効です。

第一に、AIガバナンス・情報セキュリティの支援実績があるかどうかです。生成AI固有のリスク（ハルシネーション対策・プロンプトインジェクション等）への知見が求められます。

第二に、規程策定だけでなく「策定後の運用支援」まで対応できるかどうかです。作成した規程が形骸化しないよう、定期改訂や研修実施まで一貫して伴走できる体制があるかを確認します。

第三に、元請（プライムベンダー）として責任をもって対応する体制があるかどうかです。再委託の多層構造になると、責任の所在が曖昧になり、インシデント時の対応が遅延するリスクがあります。

まとめ：生成AI利用規程策定の3つの判断軸

本稿では、生成AI利用規程に盛り込む7項目と策定の3フェーズ、外部支援活用の判断軸を整理しました。要点を3つに集約すると次の通りです。

第一に、規程の骨格はJDLA・経産省・個人情報保護委員会の公的ガイドラインを参照軸にすることで、法的整合性の確保が効率的になります。ゼロから起草するよりも、公開ひな形を自社の利用実態に合わせてカスタマイズする方が、策定スピードと品質の両立に有効です。

第二に、策定は情シス単独ではなく法務・現場部門・経営層が参加する横断体制で進めることが、実効性のある規程を生む前提です。現場の利用実態を無視した「全面禁止型」の規程は形骸化し、シャドーITを助長します。

第三に、外部支援の活用判断は「法的整合性リスク」と「社内リソースの逼迫度」の2軸で行います。AIリテラシーと法的知識を兼ね備えた担当者がいない場合や、策定期間を短縮したい場合は、外部支援の活用がリスクを抑えながら規程整備を加速する選択肢になります。

よくある質問

著者：テレリモ総研編集部　鈴木 亮佑

ご不明な点はお問い合わせフォームからもご連絡いただけます。

1. *1　出典：一般社団法人日本ディープラーニング協会「生成AIの利用ガイドライン 第1.1版（簡易解説付）」（2023年10月公開）ページ掲載のダウンロード数
2. *2　出典：個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」（2023年6月2日）
3. *3　出典：経済産業省・総務省「AI事業者ガイドライン 第1.0版」（2024年4月公表）

Tweet