19 MIN READ

ChatGPTを社内で安全に使うためのガイドライン雛形 — 中小企業の4つの必須項目

ChatGPTを社内で安全に使うルールは、何百ページも書く必要はありません。中小企業が最低限決めるべきは、入力禁止情報・利用可能ツール・成果物の二次利用・ログ管理の4点。雛形と運用の落とし穴を実装者の視点で整理しました。

ChatGPT生成AIガイドライン中小企業AI顧問

ChatGPTを社内で安全に使うガイドラインは、何百ページも要りません。中小企業が最低限決めるべきは、入力禁止情報・利用可能ツール・成果物の二次利用・ログ管理 の4点だけ。あとは運用しながら肉付けする方が、結局は機能します。

「禁止か解禁か」を決めかねたまま放置している会社は多いのですが、現場では既にシャドーAI(会社が把握していないAI利用)が広がっている、というのが率直な実感です。本稿では、Mewtonが中小企業のAI顧問支援で実際に使っている A4で2〜3枚に収まる雛形 を、そのまま下敷きにできる形で開示します。

ガイドラインがないと何が起きるか — シャドーAIの常態化

「ChatGPTを業務で使ってよいかダメか」を曖昧にしたまま放置している会社は多いです。経営層は禁止していないが推奨もしていない、というグレーな状態のまま、現場では社員が個人アカウントで勝手に使い始めている——という構図が頻繁に観察されます。

放置のコストは小さくありません。情報漏えい、著作権侵害、社外提出物の品質ばらつき、社員間のスキル格差。いずれも、後から整備するより、最初に最低限のルールを置いた方が圧倒的に楽です。

個人情報保護委員会は2023年6月にOpenAI社に対して生成AIサービスの利用に関する注意喚起を出しています。「個人情報を入力する場合、利用目的の範囲内で行う必要があり、AI事業者側の学習利用は第三者提供に該当するため本人同意が必要」というのが行政の立場です。事業者側の「対策していませんでした」では済まないトピックになっています。

さらに、経済産業省・総務省が令和8年3月に公表したAI事業者ガイドライン(第1.2版)では、AI利用者(=導入企業)に対して 入出力管理・Human-in-the-Loop(人による監督)・継続的なリスク見直し が組織責任として整理されました。「うちは中小だから関係ない」では通らない時代に入っています。

ただ、だからといって100ページの規程を作って配るのは現実的ではありません。中小企業の規模では、A4で2〜3枚に収まる骨格を先に置き、運用しながら肉付けする方が、結果として現場に届きます。具体的な定着の難しさはChatGPTを導入したのに、なぜ業務に活きないのかでも整理しました。

最低限決める4項目 — 雛形を率直に開示します

Mewtonが中小企業のAI顧問支援で最初に決めるのは、おおむね次の4項目です。各項目1分で読める粒度に絞ってあります。

① 入力禁止情報

社員が「これは入れていいの?」と毎回迷わずに済むよう、入れてはいけない情報を 箇条書きで明示 します。

雛形:

次の情報は、ChatGPT・Gemini・Claude などの生成AIサービスに入力してはならない。

  • 取引先・顧客の社名/担当者名/個人情報(メール本文・名刺データを含む)
  • 自社の未公開財務情報、未発表の事業計画、価格表
  • 採用候補者の履歴書・職務経歴書
  • 契約書のうち、取引先名・金額・特約条項が含まれる箇所
  • 社内パスワード、APIキー、認証情報全般

上記が含まれる場合は、固有名詞をマスキングするか、社内専用のAI環境(後述)を使用すること。

ここで大事なのは「絶対に入れるな」ではなく 「入れる前に判断する基準を渡す」 ことです。完全禁止にすると現場が止まり、結局シャドー利用が増えます。マスキングの作法を一行添えるだけで、運用は格段に楽になります。

② 利用可能ツール(プランの種類まで指定)

「ChatGPTを使ってよい」と書くだけでは不十分です。プランの種類まで指定 する必要があります。

雛形:

業務で利用できる生成AIは、次のいずれかに限る。

  • ChatGPT Team または Enterprise(管理者契約のアカウント)
  • Claude for Work(管理者契約のアカウント)
  • 当社契約の Microsoft 365 Copilot(業務アカウントで利用するもの)

個人プランの ChatGPT・Claude・Gemini を業務で使うことは禁止する。

これは厳しすぎる規則に見えるかもしれませんが、根拠ははっきりしています。OpenAIのEnterprise privacyでは、Business製品(Team・Enterprise・API)に入力したデータは既定でモデル学習に使われない、と明言されています。一方で 無料版・Plus版(個人プラン)はオプトアウトしない限り学習に使われる可能性がある。つまり「個人プランで業務情報を入れる」のは、設計上もっとも漏えいリスクが高い使い方になります。

社員に個人プランを買わせる方が安く見えても、結果としてシャドーAIを公認することになりがちです。Team契約はおおむね1ユーザー月25ドル前後から。社員10人なら月3〜4万円 で「学習に使われない」状態を買えると考えれば、合理的な投資です。

③ 成果物の二次利用ルール

ChatGPTが作った文章・資料を「そのまま顧客に出すかどうか」も、決めておく必要があります。

雛形:

生成AIが作成した成果物を社外に提出・公開する前に、次のいずれかを実施する。

  • 担当者による事実確認(数字・固有名詞・引用元のチェック)
  • 上長または有資格者によるレビュー(契約書・法令解釈・税務に関わる文書)
  • 出典が必要な記述は、AI出力をそのまま使わず、一次ソースに当たって書き直す

著作権・商標を含む素材を生成した場合は、商用利用前に必ず法務確認を取る。

「AIが書いた」を「人が見ていない」と同義にしないための仕組みです。汎用のChatGPTは、もっともらしい嘘(ハルシネーション)を一定割合で混ぜます。これは性能の問題というより仕様の話なので、事実確認なしに社外提出する運用は、規模に関係なく事故待ちです。

これは禁止というより、「最終責任は人間が引き受ける」という方針を文書化する こと。社員にとっても、AI出力を自分の判断で出していい範囲がはっきりするので、心理的負担は逆に下がります。

④ ログ管理と監督

最後は地味ですが、いちばん効きます。「誰が・何に・どう使っているか」を、会社として見えるようにする仕組みです。

雛形:

  • 業務用AIアカウントの発行・廃止は情シス(または総務)が一元管理する
  • 退職者のアカウントは退職日に削除する
  • ChatGPT Team / Enterprise の管理画面で、月次で利用ログを確認する
  • 重大なインシデント(機密情報の誤入力など)が発生した場合は、24時間以内に管理者へ報告する義務を負う
  • 本ガイドラインは半期に1回見直す(責任者: ____)

ログを取らないと、何が起きてもインシデントとして検知できません。退職者アカウントの放置は、それだけで実害につながる典型例です。

日本ディープラーニング協会の資料室には、生成AIの利用ガイドライン雛形(条文のみ/簡易解説付き)がクリエイティブ・コモンズで公開されています。中小企業向けにそのまま使うには重い箇所もあるので、上記4項目の骨格に必要に応じて条文を追加していく、という使い方が現実的です。

ガイドラインだけ作って終わりにしないために

ここまで読んで「自社でも書ける気がする」と思った方もいるはずです。実際、骨格はA4で2〜3枚に収まります。

ただ、率直に言うと ガイドライン文書を作ったあとが本番 です。Mewtonが伴走する案件で頻発する失敗は、次の3つに集約されます。

  1. 作って配って終わり — 配布後3ヶ月以内に運用状況を見直さないと、ほぼ確実に形骸化します
  2. 「禁止」だけで「代替手段」を渡さない — 個人プラン禁止と書きながらTeamアカウントを発行しない、など
  3. 管理者が現場の使い方を知らない — どんな業務で使われているか把握していないので、改訂時にズレた条文を足してしまう

防ぐ方法はシンプルで、作成から半年は月1回の振り返り を置くこと。実際の入力ログ・現場ヒアリング・インシデント有無を確認して、雛形を微調整していきます。

IPAが2024年7月に公表したテキスト生成AIの導入・運用ガイドラインでも、導入担当者・運用担当者・セキュリティ担当者の3者で 責任分担を明確化したうえで継続的に運用する ことが推奨されています。中小企業で3者を分けるのが難しい場合は、経営者直下に1名「AI推進担当」を置いて月次レビューを回す だけでも、機能します。

逆に、ガイドラインを作って後を放置するなら、最初から作らない方がマシです。「ある」のに守られないルールは、組織の規律全体を緩めます。組織側の前提条件は、当クラスター隣接の「AIを使える会社」と「使えない会社」は何が違うかで別途整理しました。

整備で詰まったら、外部の伴走を入れる選択肢

「自社で叩き台を書いてみたが、雛形のどこを自社向けに調整するか分からない」というご相談を、月に数件いただきます。

私たちMewtonでは、月額10万円のAI顧問という形で、ガイドラインの叩き台作成 → 現場ヒアリング → 半期見直しの伴走をお引き受けしています。Word / Notion 形式でそのまま社内展開できる雛形を、貴社の業種・体制に合わせて調整する内容です。

ガイドライン整備とあわせて、社員のリテラシー底上げが必要な場合は生成AIの社内研修、何から始めるべきかで整理した3層設計を組み合わせる形が現実的です。研修だけ・整備だけ、ではどうしても効果が半減します。

なお、社内のどの業務にAIを使うか自体がまだ固まっていない段階なら、ガイドライン整備より先に、業務の棚卸しが必要です。具体的な作法は隣接記事の「AIで何ができるか」を社内で議論する前に整理したい3つの視点を先に通すことをおすすめします。

具体的な相談に進みたい場合は、お問い合わせから「ガイドライン整備の相談」と一言添えていただければ、初回ヒアリング(無料・1.5時間)から進め方をお伝えします。

よくある質問

ガイドラインは何ページくらい書けばいいですか

骨格はA4で2〜3枚で十分です。100ページの分厚い規程は、中小企業ではまず運用されません。最低限の4項目(入力禁止情報・利用可能ツール・成果物の二次利用・ログ管理)を A4半ページずつ で書き、必要に応じて事例・FAQを別紙で足す形がおすすめです。

ChatGPTの個人プランは本当に業務で使ってはいけないのですか

「絶対ダメ」とまでは言いません。ただし、OpenAIのプライバシー仕様上、個人プラン(無料版・Plus)はオプトアウトしない限り、入力データがモデル学習に使われる可能性があります。取引先情報・機密情報を含む業務で使うのは避ける のが現実解です。社外公開済みの情報や個人学習目的の利用なら、個人プランで問題ありません。

Team / Enterpriseを契約すれば、もうガイドラインは要らないのでは

契約だけでは不十分です。Team / Enterpriseで解決するのは「入力データが学習に使われない」というデータ取扱い面だけ。入力してよい情報の範囲・成果物の確認フロー・退職時のアカウント削除 などは、契約とは別にルール化する必要があります。

ガイドラインの見直しはどのくらいの頻度がいいですか

最初の半年は 月1回、それ以降は 半期に1回 が現実的なペースです。AI製品のアップデートが頻繁なので、年1回だと条文が現実に追いつきません。

違反した社員への罰則は明記すべきですか

罰則を強く書きすぎると、現場が「報告しなければバレない」モードに入り、インシデントが見えなくなります。最初は 「重大インシデントは24時間以内に管理者へ報告する」 という報告義務だけを明文化し、罰則は就業規則の既存条項に紐づける運用がおすすめです。責めないで改善する姿勢を作る方が、長期的には事故が減ります。