「社員が勝手にChatGPTを使っているらしい」「ルールを作れと言われたけれど、何を書けばいいのか分からない」——最近、こうした話を聞くことが増えました。
生成AIはもはや一部の先進企業だけのものではなく、中小企業の現場にも当たり前に入り込みつつあります。問題は、多くの会社で「ルールがないまま使われている」か、逆に「とりあえず禁止して思考停止している」かのどちらかになっていることです。
この記事では、Claudeを開発するAnthropic社が提唱する「4Dフレームワーク」を土台に、中小企業がそのまま使える生成AI利用ルールの作り方を解説します。ガイドラインに入れるべき7項目と、自社名を入れ替えるだけで使えるひな形もご用意しました。
なお、この記事は「これからルールを作る」方に向けた内容です。すでに社員が無秩序に生成AIを使っていて対応に困っている場合は、別記事「社員が勝手にChatGPTを使っていた会社がやるべきこと」をあわせてご覧ください。
どの生成AIを選ぶべきか知りたい方は、下の記事から読んでいただくのがおすすめです。
なぜ今、生成AIの社内ルールが必要なのか?
ルール整備の必要性をお伝えすると、「うちは禁止しているから大丈夫」という反応と、「便利なんだから自由に使わせればいい」という反応の両方をいただきます。実は、このどちらにも見過ごせないリスクがあります。
禁止一辺倒だと「シャドーAI」が生まれる
生成AIを全面的に禁止にしても、利用がなくなるわけではありません。多くの場合、ただ「見えなくなる」だけです。
一度、AIの便利さを知った社員は、個人のスマートフォンや私用アカウントで業務の文章を処理し始めます。これがいわゆる「シャドーAI」です。会社が契約する法人プランであれば、入力したデータを学習に使わせない設定や、誰が何を入力したかの記録が残ります。しかし、個人の無料アカウントには、そうした保護が一切ありません。
つまり、禁止した会社のほうが、ルールを決めて許可した会社よりも危険な経路で情報が流出しやすいという逆転が起きるのです。しかも、私用アカウントの場合は情報漏えいが起きても会社は気づくことができません。中小企業には専任の情報システム担当がいないことが多く、シャドーAIの検知は大企業よりも困難です。
放置すれば情報漏えいと誤情報のリスクが発生する
逆にルールを決めずに、自由に使わせた場合はどうなるでしょうか?
まず怖いのが情報漏えいです。顧客名簿や見積書、契約書をそのままチャットに貼り付けて「この内容を要約して」と頼んでしまうケースは、現場で本当によく起きています。
無料版や個人アカウントでは入力内容がAIの学習に使われる可能性があり、設定を確認せずに機密情報を入れる行為は、実質的に社外への送信と変わりません。取引先との秘密保持契約違反や、個人情報保護法上の問題に発展するおそれもあります。
もうひとつの問題が誤情報です。生成AIは、もっともらしい嘘(ハルシネーション)を自信たっぷりに答えることがあります。存在しない法令や統計をそのまま顧客向け資料に載せてしまったり、AIが出した計算結果をチェック無しで見積書へ転記してしまったりすると大変な事になります。
「AIが書いたものなので知りません」という弁解はもちろん通じません。こういった言い訳が社内で通用し始めると、品質管理そのものが崩壊する危険性があります。
禁止は「統制不能な利用」を生み、放置は「無防備な利用」を生みます。だからこそ生成AIについては「ルールを設けたうえでの許可」が必要なのです。
生成AIに任せるべき業務と任せてはいけない業務
ルールの中身に入る前に、そもそも生成AIは何が得意で、何を任せてはいけないのかを知っておきましょう。ここが理解できると、あとで紹介する7項目がすっと腑に落ちます。
生成AIが特に力を発揮する業務
向いている業務には、次の3つの共通点があります。
- 間違えても人間のチェックで直せる
- たたき台があるだけで作業時間が大幅に減る
- 機密性の低い情報で完結する
この3つを満たす代表的な業務を、具体例とあわせて表にまとめました。
| 業務 | 具体例 |
|---|---|
| 文章のたたき台作成 | メールの返信文、お客様への案内文、求人票、ブログやSNS投稿の下書き |
| 要約・整理 | 長いメールのやりとりの要点抽出、会議の文字起こしの整理、マニュアルの要約 |
| 翻訳・言い換え | 外国人のお客様への対応文、専門用語をやさしい表現に直す、クレーム返信のトーン調整 |
| アイデア出しの壁打ち | 新サービスの名称案やキャッチコピーを数十個出させて人間が選ぶ、会議の議題案づくり |
なかでも即効性が高いのは文章のたたき台作成です。ゼロから書く時間がそのまま削減されるため、導入初日から効果を実感できます。
ここで紹介する業務は「AIの出力は必ず人間が確認してから使う」という前提さえ守っていれば、失敗のダメージが小さく、効果はすぐに実感できるものばかりです。
絶対に任せてはいけない業務
一方で、AIに任せてはいけない業務もはっきりしています。こちらの共通点は次の3つです。
- 間違いが取り返しのつかない結果を生む
- 法律上、有資格者にしかできない
- 機密情報・個人情報そのものを扱う
ひとつでも当てはまる場合は、AIを使用してはいけません。代表的な業務を理由とあわせて表にまとめました。
| 任せてはいけない業務 | 理由 |
|---|---|
| 契約書のチェック、税務診断 | 士業・有資格者のみが許可されている。AIの回答を顧客に提供すれば資格法違反のリスクが発生する。 |
| 人事評価・採用合否の最終決定 | 学習データ由来のバイアスが混入するのおそれ。不採用理由の説明責任が果たせない。 |
| 会社の公式見解・謝罪文の発信 | 炎上・信用毀損に直結する。 |
| 緊急対応・安全に関わる判断 | 遅れや誤りが人の安全・健康に関わる。 |
こういった使用範囲の線引きを経営者の頭の中だけでなく、全社員が共有できる状態にすること。それがこれから作る社内ルールの役割です。
ルール作りの土台になる「4Dフレームワーク」とは
「7項目」の話に入る前に、その根拠となる考え方をご紹介します。
それはClaudeの開発元であるAnthropic社が、大学教授らと共同で開発した「4Dフレームワーク」です。
「4D」とは核となるコンセプトの「Delegation」「Description」「Discernment」「Diligence」を表しています。4つの考え方をひとつずつ見ていきましょう
4DフレームワークはAnthropic社公式の無料AI講座「AI Fluency」の核となっています。開発者や研究者の定めた決まりですが、中身は驚くほど実務的で、中小企業のルール作りにそのまま活用できます。
任せるかどうかを判断する力(Delegation)
1つめの「Delegation(権限委譲)」は、その業務をAIに任せてよいのか、いつ・どこまで任せるのかを判断する力です。
前の章でご紹介した「AIに任せるべき業務と任せてはいけない業務」の線引きが、まさにこれにあたります。ありがちな失敗は、頭に浮かんだことを何でも丸投げしてしまうこと。たとえば顧客データの入った台帳をそのままAIに渡してしまうのは、典型的なDelegationの欠如です。
意図を正しく伝える力(Description)
2つめの「Description(説明・描写)」は、AIにやってほしいことを的確に伝える力です。いわゆるプロンプトの書き方がここに含まれます。
「いい感じにメール書いて」では、いい感じの結果は返ってきません。誰に・何の目的で・どんなトーンで、という背景にあたる情報を伝えれば伝えるほど、AIの出力の質は上がります。社内で指示の出し方の基本を共有しておくと、AIの活用度は大きく変わります。
出力を見極める力(Discernment)
3つめの「Discernment(洞察・識別)」は、AIの出力を鵜呑みにせず、内容の正誤を確認し使えるかどうかを見極める力です。
生成AIは自信たっぷりの文章で間違えることがあります。AIが挙げた存在しない法令名や間違った統計をそのまま見積書や提案書に転記してしまった、という事故は、このDiscernmentの欠如から生まれます。「AIの出力は新人の下書きと同じ。必ず先輩がチェックする。」という感覚を社内の共通認識にしましょう。
結果に責任を持つ力(Diligence)
最後の「Diligence(勤勉・努力)」は、AIを使った仕事の結果に、最終的な責任を持つ力です。
AIをどれだけ使用したとしても、成果物の責任はそれを使った人間と会社にあります。「これはAIが書いたので知りません」は、お客様にも法律にも通用しません。誰が最終承認するのか、問題が起きたら誰に報告するのかをあらかじめ決めておくことが、結果に責任を持つ唯一の方法です。
この4つの力は、どれかひとつでも欠けると事故につながります。逆にいえば、社内ルールはこの4つを漏れなくカバーするように作ればよい、ということです。
社内ガイドラインに入れるべき7項目
では社内ガイドラインを作成していきましょう。当社では、中小企業の生成AIガイドラインには次の7項目を入れることをおすすめしています。
それぞれが4Dフレームワークのいずれかの力に対応しており、7つ揃えれば4つの力を組織として漏れなくカバーできる構成です。
利用してよいツールと申請の手順 (Delegation)
⇩
入力してはいけない情報の定義 (Delegation)
⇩
業務での指示の出し方と記録の残し方 (Description)
⇩
出力の確認とファクトチェックの手順 (Discernment)
⇩
著作権・権利侵害を避けるための確認事項 (Discernment)
⇩
最終責任者と承認フローの明確化 (Diligence)
⇩
ルールの見直しサイクルと相談窓口 (Diligence)
それぞれ、何を書くべきかとひな形の条文サンプルをご紹介します。
利用してよいツールと申請の手順
まず決めるべきは「どのツールなら使っていいか」です。
社内で使用するLLM(ChatGPT, Claude, Gemini)などを決め、AIの使用を会社が契約したプランのみに限定します。個人アカウントの業務での利用を明確に禁止します。新しいツールを使いたい場合の申請ルートも定めておくと、シャドーAIの芽を先回りして摘めます。
【条文サンプル】
業務における生成AIの利用は、会社が契約・承認したツールに限る。個人契約のアカウントを業務に使用してはならない。新たなツールの利用を希望する場合は、所定の様式により〇〇部に申請する。
入力してはいけない情報の定義
7項目の中で最も重要な項目です。「機密情報を入れない」といった抽象的な書き方では現場が判断できないので、自社の業務に即して具体的に列挙します。
【条文サンプル】
次の情報を生成AIに入力してはならない。(1)顧客・取引先の氏名、住所、連絡先等の個人情報 (2)取引先との契約内容、および秘密保持義務の対象となる情報 (3)従業員の人事・給与情報 (4)未公開の財務情報・経営情報。ただし、個人を特定できない形に加工した場合はこの限りでない。
最後の一文「個人を特定できない形に加工した場合はこの限りでない」が重要です。これがある事により、生成AIを活用できる場面が必要以上に狭まらないようにします。
業務での指示の出し方と記録の残し方
AIへの指示(プロンプト)の基本作法と、重要な業務で使った場合の記録について定めます。記録があると、あとで問題が起きたときに原因をたどることができます。
指示の出し方は、悪い例と良い例を見比べるのがいちばん分かりやすいです。たとえばお客様へのお詫びメールを作るとき、次の2つでは出力の質がまったく変わります。
ポイントは「立場・目的・相手・条件・トーン」の5点を渡すことです。これだけで修正のやりとりが減り、結果として時短効果が大きくなります。
記録の残し方については、大げさな仕組みは不要です。「見積書など顧客に提出する文書でAIを使ったら、案件フォルダのメモに『Claude使用・構成案と下書き作成』と1行残す」など、この程度で十分です。後から「この数字は誰が、どう作ったのか」を辿れるようにすることが目的なので、ツール名と使用した範囲のみが分かれば事足ります。
【条文サンプル】
生成AIを顧客向け成果物の作成に利用した場合は、利用したツール名と主な指示内容を当該業務の記録に残す。
出力の確認とファクトチェックの手順
AIの出力をそのまま使ってはいけない、という大原則をルールとして明文化します。特に数値・固有名詞・法令については、根拠の確認を義務づけます。
「確認しろ」とだけ書いても現場は何をすればいいか分かりません。当社では、確認を次の3段階に分けてルール化することをおすすめしています。
流し読みではなく、自分が書いたものとして通読する。日本語の不自然さ、文脈のずれ、相手の名前や社名の間違いがないかを見る。
AIが出した金額・数量・日付を、元データ(見積の根拠資料、契約書、カレンダー)と1つずつ照合する。例:AIに集計させた請求額は、必ずExcelの元データで検算してから請求書に転記する。
AIが「労働基準法第〇条では…」「経済産業省の調査によると…」と答えたら、e-Gov法令検索や省庁の公式サイトで原典に当たる。原典が見つからない情報は、それらしく見えても使わない。
実際にあった例をひとつ挙げます。助成金の案内文をAIに下書きさせたところ、すでに終了した制度の名称と、存在しない申請期限が混ざっていた、というケースがありました。文章としては自然だったため、段階1の通読では気づけませんでした。段階3の「原典確認」をルールにしていたおかげで、公開前に発見できました。
【条文サンプル】
生成AIの出力を業務に使用する際は、利用者本人が内容の正確性を確認しなければならない。数値、法令、統計、固有名詞を含む場合は、原典または公式情報により裏付けを確認する。
著作権・権利侵害を避けるための確認事項
生成物が既存の著作物に酷似していないか、社外公開前に確認するプロセスを定めます。画像生成やコピーライティングで特に重要です。
【条文サンプル】
生成AIの出力を社外に公開する場合は、既存の著作物・商標等との類似がないかを事前に確認する。疑義がある場合は〇〇部に相談のうえ判断する。
最終責任者と承認フローの明確化
「AIが作ったものでも、責任は人間にある」を組織の仕組みに落とし込む項目です。成果物の種類ごとに、誰が最終承認するのかを決めます。
【条文サンプル】
生成AIを利用して作成した成果物の責任は、当該成果物を業務に使用した従業員およびその承認者が負う。社外に提出する文書は、従来の承認フローと同様に上長の承認を得る。
ルールの見直しサイクルと相談窓口
生成AIの世界は変化が速く、半年前のルールがもう古い、ということが普通に起きます。見直しの周期と、現場が迷ったときの相談先をルール自体に書き込んでおきましょう。社員教育について触れるのもこの項目です。
【条文サンプル】
本ガイドラインは原則として半年ごとに見直す。生成AIの利用に関して判断に迷う場合は、〇〇(担当者名・窓口)に相談する。
そのまま使えるガイドラインひな形(ダウンロード)
上記の7項目をすべて盛り込んだガイドラインのひな形(Word形式)を用意しました。
会社名・担当部署名・対象ツール名を自社のものに置き換えるだけで、最低限のガイドラインとして機能する内容になっています。
ダウンロードはこちらから。
ひな形はあくまで出発点です。業種によって重視すべき項目は変わります。たとえば介護・医療なら利用者情報の扱いについて厚めに書き足してください。
ルール制定を失敗しないためのポイント
ガイドライン作りで発生する最大の失敗は「作って終わり」になることです。立派なルールが共有フォルダに眠ったまま、現場は今日も自己流でAIを使っている——これでは作らなかったのとなんら変わりません。
次の3つのポイントを押さえておくと、ルールが定着しやすくなります。
- 配布ではなく顔を合わせて伝える
-
制定したルールはファイルで配布するだけでなく、ミーティングなどを開いて直接伝えましょう。時間は15分や30分で充分です。「なぜこのルールが必要か」を、リスクの実例とセットで説明しましょう。
- 禁止事項は「推奨される使い方」とセットにする
-
禁止事項を決める際は必ず「推奨される使い方」も同時に示します。ルールを「AIを使うな」というメッセージに受け止められてしまうと、せっかく正規ルートを作っていても正しい使われ方をされません。
- ルールは小さく始めてときおり見直す
-
こういったルールは最初から完璧に運用されることを前提とするよりも、定期的に見直しながら改善していくことを前提にしたほうがうまくいきます。
AI教育の素材としては、本記事でご紹介したAnthropic社の無料講座「AI Fluency」がおすすめです。(動画は英語ですが、字幕の自動翻訳で受講できます)。
AI Fluency公式ページ: anthropic.com/learn/claude-for-you
まとめ
この記事では、中小企業向けに生成AIの社内ルールの制定について書いてきました。
「生成AIの社内ルール」というと守りの話に聞こえますが、本質はまったく逆です。安全に使える環境を整えることで、社員が躊躇うことなくAIを使えるようになり、日々の業務が確実に速くなる。ルール整備は、生成AIを会社の力に変えていくための攻めの一手です。
まずは本記事のルールのひな形をベースに、自社の言葉で7項目を埋めてみてください。生成AIが御社の力となることを願います。
コメント