社内生成AI利用ルールをどう作るか|申請・審査・禁止事項の実務設計
契約審査・承認・監査・稟議を、ひとつのOSで。
属人化しがちな契約レビューを、誰でも同じ品質で処理できる仕組みに。法務・営業の現場でそのまま使えます。
生成AIの業務利用は、すでに「使ってよいか」を議論する段階を過ぎています。社員は公私の端末から日常的にAIに触れており、統制されていないのは会社側の方だという状況が珍しくありません。ここで法務が「禁止事項を並べただけの規程」を作っても、現場に読まれないまま形骸化します。社内生成AI利用ルールは、禁止列挙ではなく、申請・審査・利用区分・入力制限・教育・違反対応までを一つの運用制度として設計する必要があります。
本記事では、経済産業省・総務省が2026年3月に公表した「AI事業者ガイドライン第1.2版」、2025年に成立したAI推進法、個人情報保護委員会の注意喚起、令和7年改訂の営業秘密管理指針を踏まえ、企業法務担当者が「実務で回る社内ルール」をどう組み立てるかを整理します。
なぜ生成AI利用ルールは「禁止事項」だけでは足りないのか
生成AIの社内ルールを作ろうとすると、多くの企業でまず「何を禁止するか」から議論が始まります。個人情報を入れてはいけない、秘密情報を入れてはいけない、社外秘を出力させてはいけない——これらは必要ですが、禁止だけでは制度として機能しません。
禁止列挙型ルールが機能しない3つの理由
- 現場が「では何ならできるのか」が分からない——禁止事項しか書かれていない規程は、結果として「よく分からないから隠れて使う」シャドーAI利用を生みます。
- 利用区分が設計されていない——すべての業務を同じ統制レベルで縛ると、定型業務まで承認を要求することになり、ルールが現場から敬遠されます。
- 申請・審査・教育・違反対応が接続されていない——ルール本体と運用フローが分離していると、規程はあるのに誰もゲートキーパーになっていない状態が生じます。
参照すべき外部規範
社内ルールを設計する際は、以下を参照基盤として押さえておきます。
- AI事業者ガイドライン(第1.2版)(経済産業省・総務省、2026年3月31日公表)——AI利用者向けに、入力データの適切性確認、出力の検証、人間による監督(Human-in-the-Loop)、透明性の確保、リスクベースアプローチ等を求めています。
- AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律)(2025年成立)——基本法的性格の法律として、国の推進方針・AI戦略本部・基本計画・事業者の協力の枠組みが法制化されました。現時点で直接的な行為規制を課す法律ではありませんが、企業としては説明可能な運用体制を整えておくことが望ましい状況です。
- 個人情報保護法——個人情報保護委員会は2023年6月に生成AI利用に関する注意喚起を行い、個人情報を含むプロンプトを入力する場合には、利用目的達成のために必要な範囲内であることを十分に確認すべき旨を明示しています。委託・第三者提供・外国にある第三者への提供に該当し得る場面の整理も必要です。
- 不正競争防止法・営業秘密管理指針(令和7年改訂)——営業秘密性の要件(秘密管理性・有用性・非公知性)を維持する観点から、生成AIへの入力管理は重要な実務対応となります。
社内ルールに入れるべき基本項目
社内生成AI利用規程は、最低限、以下の項目をカバーしておく必要があります。単体で完結させず、就業規則・情報管理規程・情報セキュリティ規程との整合をとることが前提です。
表1:社内生成AIルールに入れるべき項目一覧
| カテゴリー | 必須項目 | 記載すべきポイント |
|---|---|---|
| 対象範囲 | 対象ツール | 社内導入済みツール/業務利用が許容されたSaaS/私的契約ツールの扱い |
| 対象者 | 正社員・契約社員・派遣・業務委託先の取扱い | |
| 利用区分 | 自由利用/条件付利用/要申請利用/ホワイトリスト型 | 区分ごとの業務類型と判断基準、包括承認の可否 |
| 利用禁止・慎重類型 | 採用・人事評価・信用判定等の高リスク領域は別途厳格評価 | |
| 入力管理 | 個人情報の入力制限 | 利用目的との整合、必要な範囲、第三者提供・委託、越境移転の整理 |
| 秘密情報・営業秘密の入力制限 | マスキング要否、学習利用されない設定(Opt-out)の確認 | |
| 取引先情報・NDA対象情報 | NDAの目的外利用・第三者提供・自動処理制限・再委託承諾条項との整合 | |
| 出力管理 | 社外提出物への利用 | 事実誤認・著作権・生成物表示義務(対外的なAI利用の開示)との関係 |
| 検証・二重チェック | 人間による最終確認(Human-in-the-Loop)の義務化 | |
| 承認・申請 | 新規ツール導入/用途拡張時の申請フロー | 申請書様式、審査部門、承認権者、期限、包括承認の対象範囲 |
| 教育・周知 | 初期研修・定期研修・新入社員教育 | 受講義務、到達度確認、履歴管理 |
| 違反対応 | 相談窓口、調査手続、懲戒連動 | 就業規則との連動、エスカレーションルート |
| 記録・監査 | 利用ログ、申請記録、インシデント対応記録 | 契約関連は契約終了後5〜10年、個人情報関連は漏えい報告・開示請求対応を想定した保管期間設計 |
利用区分ごとの設計
社内ルールを「全面禁止か全面解禁か」という二者択一にすると、どちらを選んでも制度として歪みます。実務的には、業務の性質とリスクに応じた3段階程度の利用区分を設け、それぞれに統制レベルを対応させるのが合理的です。
3段階モデルの考え方
- 自由利用:公開情報のみを扱う、汎用的な調査・要約・表現調整等。個別承認不要。
- 条件付利用:社内情報の一部を扱うが、機微情報・個人情報・営業秘密を含まない業務。入力制限の遵守とログ記録が前提。
- 要申請利用:個人情報・営業秘密・取引先情報を扱う可能性がある業務、または社外提出物の生成。用途・データ範囲・承認者を特定した事前申請を要する。
ホワイトリスト型包括承認の併用
要申請利用の範囲を広く取ると、申請件数が膨張し、審査が滞留してシャドーAI利用の誘因になります。そこで、法務・情シスが事前に安全性を確認した「特定ツール×特定プロンプト×特定業務」の組み合わせについては、個別申請を要さず、部門単位の包括承認で足りるとする運用を併走させる設計が合理的です。契約書レビュー補助・定型契約ドラフト・議事録要約など、反復性が高く統制可能な業務から順にホワイトリスト化していくと、要申請利用の乱用とシャドー利用の双方を抑えられます。
表2:利用区分別の統制レベル比較表
| 項目 | 自由利用 | 条件付利用 | 要申請利用 |
|---|---|---|---|
| 想定業務例 | 公開情報の調査、翻訳、表現調整、アイデア出し | 社内議事録要約、FAQ作成、稟議ドラフト | 契約書レビュー補助、顧客対応文書、人事資料 |
| 個別申請 | 不要 | 不要(利用登録で足りる) | 必要(ホワイトリスト該当時は包括承認で代替可) |
| 入力制限 | 公開情報のみ | 機微情報・営業秘密は不可 | マスキング・仮名化等の措置を条件に可 |
| 出力検証 | 利用者が自己責任で確認 | 上長または所管部署の確認 | 所管部署+法務・情シス等の二重確認 |
| ログ・記録 | 原則不要 | 利用ログを保管 | 申請書・利用記録・成果物を関連付けて保管 |
| 教育要件 | 基礎研修 | 基礎研修+部門別研修 | 上記+個別ツール研修+年次更新 |
利用区分を設計するときの3つの視点
- データ機微性——入力されるデータが公開情報か、社内情報か、個人情報・営業秘密かで区分を切る。
- 出力の使途——社内メモか、社外文書か、意思決定の基礎資料か。使途が外部に向くほど統制を強める。
- 責任の所在——誰がその出力に署名・承認するのかを事前に決めておく。決定者不在の出力は作らない。
申請・審査・承認フローの考え方
要申請利用の範囲を決めた次に設計すべきは、「誰が・何を・どこまで見るか」という審査の設計です。ここが曖昧だと、申請は上がってきても承認が滞留し、最終的に現場がフォームを回避するようになります。
申請フローの基本構造
- 申請:利用者が用途・対象業務・入力データ種別・期間を申請書に記載。
- 一次審査(情シス):ツール選定の適否、技術的統制(入力ログ、学習拒否設定、リージョン等)の確認。
- 二次審査(法務):契約上の制約(NDA・顧客契約・ベンダー契約)、個人情報保護法・著作権・弁護士法72条等の法令適合性。
- 三次審査(人事・コンプラ):就業規則・情報管理規程との整合、懲戒連動、教育要件の充足。
- 承認・登録:権限者による承認後、利用登録台帳に反映。有効期限・再審査タイミングを設定。
新規ベンダー導入と社内利用の接続
社内利用ルールは、ベンダーとの契約審査と切り離せません。入力データの学習利用可否、データ保存期間、サブプロセッサーの所在、モデル更新時の挙動変更、インシデント通知義務——これらが契約で抑えられていないツールを社内ルール上「要申請利用」枠に入れても、入力情報の行方をコントロールできません。ベンダー契約で確保できていない水準は、社内ルールでも実現できないという前提で、契約審査と社内ルールを連動させる必要があります。
取引先NDA等による「上書き」への注意
近年の取引先NDAや業務委託契約では、「第三者提供禁止」にとどまらず、「自動処理・機械学習による処理の禁止」「AIを含む再委託についての事前承諾」を明記する例が増えています。社内ルールで「要申請利用」としてハードルを設定していても、個別の顧客契約・NDAがそれより厳しい制約を課している場合は、契約条件が社内ルールを上書きする点を現場に周知する必要があります。審査フローの中に「対象業務に紐づくNDA・顧客契約の確認」を明示的なステップとして組み込むのが安全です。
表3:法務・情シス・人事・事業部の役割分担表
| 局面 | 法務 | 情シス | 人事 | 事業部 |
|---|---|---|---|---|
| 規程策定 | 条項ドラフト、法令整合 | 技術要件の整理 | 就業規則連動 | 業務実態のインプット |
| ツール選定・契約 | 契約審査、DPA・NDA確認 | 技術評価、セキュリティ審査 | — | 業務要件の提示 |
| 申請審査 | 法令・契約整合 | 技術統制の充足性 | 就業規則・教育要件 | 業務上の必要性 |
| 教育・周知 | 法令リスクの解説 | 操作・技術上の注意 | 研修運営・履歴管理 | 部門内浸透 |
| 違反対応 | 法的評価、外部対応 | ログ調査、アクセス制限 | 懲戒手続・聴取 | 業務影響評価 |
| 定期見直し | 法改正対応 | 技術動向反映 | 就業規則改定 | 運用実態フィードバック |
教育・周知・違反対応
規程は作って終わりではなく、守られる状態をいかに作るかが設計の本体です。教育・周知・違反対応は三位一体で設計します。
教育の設計
- 初期研修——入社時・配属時に必須受講。入力禁止情報、申請フロー、違反時の影響を具体例ベースで扱う。
- 定期研修——年1回以上、法改正・ガイドライン改訂・ツール変更を反映。受講履歴を人事側で管理。
- ケーススタディ型教育——実際に起きた入力事故・出力事故を匿名化して教材化する。抽象論より定着率が高い。
周知の設計
規程本文そのものを全社員に読ませることを目的にせず、利用シーンごとの「簡易ガイド」「1枚マニュアル」「部署別FAQ」に分解して届けます。就業規則・情報管理規程の該当条項とのマッピング表を併せて提示すると、現場の納得感が変わります。
違反対応の設計
- 相談窓口——「迷ったら事前に相談できる」ルートを明示することが、事後対応より効果的です。
- インシデント発生時のフロー——発見→一次報告→原因調査→影響評価→是正→再発防止→記録保全、までを定型化。
- 懲戒連動——就業規則の懲戒事由に、情報管理規程違反・社内規程違反として位置付けておく。生成AI利用規程を孤立させない。
チェックリスト
社内ルール整備チェックリスト
- どのAIツールを対象にするかを特定できているか
- 利用を禁止するケースを業務類型レベルで定義できているか
- 要申請利用の範囲が現場に判別可能な粒度で明確になっているか
- ホワイトリスト型包括承認の仕組みを併走させているか
- 個人情報・秘密情報・取引先情報の入力制限が規程に明記されているか
- 出力を社外利用する場合の確認ルール(Human-in-the-Loop)が定められているか
- 教育・周知の方法(初期・定期・記録管理)が決まっているか
- 違反時の対応フロー・相談窓口が定められているか
- 就業規則・情報管理規程・情報セキュリティ規程との整合が取れているか
- 導入ベンダーとの契約条件と社内ルールが連動しているか
- 個別の顧客契約・NDAが社内ルールを上書きする場面を想定できているか
- 定期見直しのサイクル(法改正・ガイドライン改訂対応)が組み込まれているか
規程ドラフト前の確認事項
- 既に社内で利用されているAIツールの棚卸し(シャドーAI含む)は完了しているか
- 自社が「AI開発者・AI提供者・AI利用者」のどの立場を兼ねるかを整理したか
- 顧客契約・NDAの中に、AIへの入力に影響する条項(目的制限・第三者提供禁止・自動処理禁止・再委託承諾)がないかを確認したか
- 個人情報保護法上の利用目的・必要性・第三者提供・委託・越境移転との整合を確認したか
- 業界固有の規制(金融・医療・通信・公的セクター取引等)の有無を確認したか
- 海外拠点・海外関連会社との情報連携が生じる場合、越境データ移転の論点を整理したか
- 規程適用前の移行期間(既存利用者の再登録・教育完了期限)を設計したか
- 違反対応を担う窓口部門の人員・権限・稼働を確保したか
関連記事
社内生成AI利用規程ドラフトプロンプト
生成AIの社内ルールをゼロから作るのではなく、実務で使える形に短時間で整理したい方向けに、規程本体・申請フロー・教育資料の土台を一括で生成するプロンプト集を提供しています。
- 規程本文ドラフト(利用区分・入力制限・申請・教育・違反対応を含む)
- 利用申請書様式・審査チェックリスト
- 就業規則・情報管理規程との整合確認ポイント
- AI事業者ガイドライン第1.2版・個人情報保護法・営業秘密管理指針の観点を反映
まとめ
社内生成AI利用ルールは、禁止事項の列挙ではなく、利用区分・入力制限・申請・審査・教育・違反対応を一体で運用する制度設計として組み立てるべきものです。AI事業者ガイドライン第1.2版やAI推進法の方向性は、企業に対して「使わない」ことではなく「適切に使い、説明できる状態」を求めています。
ポイントは4つです。第一に、利用区分を業務類型とデータ機微性で切り、全面禁止・全面解禁の二項対立を避けること。第二に、ホワイトリスト型の包括承認を併走させ、要申請利用の形骸化とシャドーAI利用の双方を抑えること。第三に、申請・審査フローを法務・情シス・人事・事業部の役割分担として明示し、個別NDA・顧客契約による上書き関係も審査ステップに組み込むこと。第四に、教育・周知・違反対応を規程本体と接続し、就業規則・情報管理規程・情報セキュリティ規程との整合を確保すること。
規程は作った瞬間から陳腐化が始まります。法改正・ガイドライン改訂・ツール仕様変更を定期見直しに組み込み、ベンダー契約審査と社内ルールを連動させ続けることが、長期的に「守られるルール」を維持する条件になります。
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
一次整理/マスキング/論点チェック/運用引継ぎ/稟議一枚化まで、
個別課題から少しずつ軽くしていく入口です。
