生成AI(ChatGPT/Copilot)を社内導入する際のルール策定ガイド ― 中小企業向け利用ポリシーの作り方
生成AIの業務活用は、もはや「導入するかどうか」ではなく「どう導入するか」のフェーズに入っています。しかし、ルールなしに社員が各自の判断で利用を始めると、機密情報の漏えいや著作権侵害といったリスクが生じます。
本記事では、中小企業が生成AIの社内利用ルールを策定するための手順とポリシーのテンプレートを提供します。
生成AIの業務利用で発生するリスク
機密情報の入力による情報漏えい
ChatGPTの無料版やWebブラウザ経由で利用する場合、入力した内容がAIの学習データとして利用される可能性があります。社員が顧客情報、財務データ、契約内容を生成AIに入力すると、その情報が外部に流出するリスクがあります。
著作権・知的財産の問題
生成AIが出力した文章や画像には、著作権で保護された既存の著作物の表現が含まれる可能性があります。AIの出力をそのまま社外に公開した場合、著作権侵害のリスクがあります。
誤情報の拡散(ハルシネーション)
生成AIは事実と異なる情報を自信を持って出力することがあります(ハルシネーション)。AIの出力を検証せずに取引先への提案書や報告書に使用すると、企業の信頼を損ねるリスクがあります。
シャドーAI
生成AIの利用ルールがない場合、社員が各自のスマートフォンやプライベートのアカウントで生成AIを利用する「シャドーAI」が発生します。利用状況を把握できず、リスク管理が不可能になります。
利用ポリシーに盛り込むべき7つの項目
1. 利用を許可するサービスの指定
会社として利用を許可する生成AIサービスを明示します。
推奨アプローチ: 企業契約で利用するサービスを指定し、それ以外の利用を禁止する方式が最も安全です。
例:「業務における生成AIの利用は、会社が契約するMicrosoft 365 Copilot、またはChatGPT Team/Enterpriseプランに限定する。個人アカウントでの業務利用は禁止する。」
2. 入力してはいけない情報の定義
生成AIに入力してはいけない情報を具体的に定義します。
入力禁止情報の例:
- 顧客の個人情報(氏名、住所、電話番号、メールアドレス)
- 契約内容、取引条件、価格情報
- 財務情報(売上、利益、予算等の未公開情報)
- 社員の個人情報
- ソースコード(自社開発の場合)
- 取引先から秘密保持義務の下で受領した情報
3. 出力の検証義務
AIの出力をそのまま使用することを禁止し、必ず人間が内容を検証した上で使用するルールを定めます。
例:「生成AIの出力を社外向けの文書(提案書、報告書、メール等)に使用する場合は、事実関係の確認と上長の承認を経ること。」
4. 利用が推奨される業務
生成AIの活用が効果的な業務を明示することで、適切な利用を促進します。
推奨される利用例: 文書の下書き作成・推敲、議事録の要約、メールの文面作成、データの集計・分析補助、アイデアのブレインストーミング、マニュアル・FAQ作成の補助
5. 禁止される利用
リスクが高い利用を明示的に禁止します。
禁止事項の例: 生成AIの出力をそのまま法的文書に使用すること、生成AIによる自動的な意思決定(人事評価、与信判断等)、生成AIで作成した文書を人間が作成したものとして偽ること
6. ログの管理と監査
企業契約の生成AIサービスでは、利用ログ(プロンプトと出力)を管理画面で確認できるものがあります。定期的にログを監査し、ポリシー違反がないかを確認する体制を整えます。
7. 教育と啓発
ポリシーを策定するだけでなく、全社員に対してAIリテラシー教育を実施します。「なぜこのルールが必要なのか」を理解してもらうことが、ポリシーの実効性を高めます。
導入のステップ
ステップ1(1〜2週間): 利用ポリシーの策定。上記7項目を自社の状況に合わせてカスタマイズ。
ステップ2(2〜4週間): パイロット導入。ITに詳しい社員5〜10名に限定して導入し、ポリシーの実効性と課題を検証。
ステップ3(1〜2週間): ポリシーの修正とAIリテラシー研修の実施。
ステップ4: 全社展開。段階的に利用範囲を広げる。
Microsoft 365 CopilotとChatGPT Teamの比較
| 項目 | Microsoft 365 Copilot | ChatGPT Team |
|---|---|---|
| 月額 | 約4,500円/ユーザー | 約3,800円/ユーザー |
| M365連携 | Word、Excel、PowerPoint、Teams、Outlookに統合 | なし(別途ブラウザで利用) |
| データ保護 | M365テナント内で処理。学習に使用されない | ビジネスデータは学習に使用されない |
| 社内データ参照 | SharePoint、OneDriveのデータを参照して回答可能 | 不可(入力した情報のみ) |
| 管理機能 | M365管理センターで一元管理 | ChatGPT管理画面で管理 |
すでにMicrosoft 365を導入している企業にはCopilotが自然な選択肢ですが、費用面ではChatGPT Teamの方が手頃です。
まとめ
生成AIの社内導入は、「ルール策定→パイロット導入→全社展開」の順で進めてください。ルールなしに利用を開始するとシャドーAIが蔓延し、事後的にガバナンスを効かせることが困難になります。
情シス365のConsult365(IT戦略コンサルティング)では、生成AI利用ポリシーの策定支援、Microsoft 365 Copilotの導入支援を行っています。無料ヒアリングからお気軽にどうぞ。