smarter hack
社内ルール #生成AI #セキュリティ #ガイドライン #社内ルール

ChatGPTを社内で使うときのルール例|入力してはいけない情報とは

「うちの会社でもChatGPT使いたいけど、ルールがなくて不安……」

生成AIの業務活用が広がる一方で、「社員が勝手に使って情報漏洩しないか」「どこまで使っていいのかわからない」という声も多く聞かれます。ルールがないまま使い始めると、思わぬトラブルにつながることも。

この記事では、中小企業が生成AIを社内で安全に使うためのルール例を紹介します。IPAなどの公的機関のガイドラインを踏まえつつ、すぐに使える雛形テンプレートも用意しました。

この記事で解決する業務

  • 社内で生成AIを使うルールがなく、導入に踏み切れない
  • 社員が個人アカウントで自由に使っており、管理できていない
  • 情報漏洩リスクが心配で、全面禁止にしてしまっている
  • 上司や経営層に提案するためのルール案を作りたい

入力してはいけない情報の一覧

まず最も重要な「これだけは入力してはダメ」という情報を整理しましょう。

入力禁止情報リスト

カテゴリ具体例リスク
個人情報氏名、住所、電話番号、メールアドレス、マイナンバー個人情報保護法違反、漏洩
顧客情報顧客リスト、取引履歴、契約内容信用失墜、損害賠償
機密情報未公開の決算情報、新商品の企画、M&A情報インサイダー取引、競合への流出
認証情報パスワード、APIキー、アクセストークン不正アクセス
社内人事情報給与、評価、懲戒記録プライバシー侵害
取引先の機密NDA対象の情報、取引先の非公開情報契約違反、信頼関係の毀損

なぜ入力してはいけないのか

ChatGPTなどの生成AIサービスでは、入力したデータがどのように扱われるかはサービスによって異なります。

  • 無料版・Plus版(デフォルト設定): 入力内容がモデルの改善(学習)に使用される可能性がある
  • Team/Enterprise版: 入力データは学習に使用されない設定がデフォルト
  • API利用: データは学習に使用されないことが利用規約で明記

いずれの場合でも、入力データはサーバーに送信されるため、機密情報の入力は避けるべきです。

安全に入力するための置き換えテクニック

機密情報を含む文書をAIに処理させたい場合は、以下のように置き換えてから入力しましょう。

【置き換えルール】
- 人名 → 「A氏」「B氏」または「〇〇」
- 社名 → 「X社」「Y社」
- 金額 → 「〇〇万円」(桁数は変えない)
- 住所 → 「〇〇県〇〇市」
- 電話番号 → 「XXX-XXXX-XXXX」
- メールアドレス → 「xxx@example.com」
- プロジェクト名 → 「Pプロジェクト」

【置き換え前】
田中太郎様から、A社向け提案書(3,500万円)について
問い合わせがありました。

【置き換え後】
〇〇様から、X社向け提案書(〇〇万円)について
問い合わせがありました。

社内ガイドラインの雛形テンプレート

以下は、そのまま自社に合わせて編集できるガイドラインの雛形です。

========================================
生成AI利用ガイドライン(社内用)
========================================

■ 制定日:2026年〇月〇日
■ 管理部門:〇〇部
■ 適用範囲:全社員(業務委託先を含む)

----------------------------------------
1. 目的
----------------------------------------
本ガイドラインは、生成AI(ChatGPT等)を業務で安全かつ
効果的に活用するためのルールを定めるものです。

----------------------------------------
2. 利用可能なサービス
----------------------------------------
以下のサービスのみ、業務利用を許可します。
- ChatGPT(Team版)※会社アカウント
- (その他、会社が認めたサービス)

※個人アカウントでの業務利用は禁止

----------------------------------------
3. 入力禁止情報
----------------------------------------
以下の情報は、いかなる場合も生成AIに入力しないこと。
- 個人情報(氏名、住所、電話番号、マイナンバー等)
- 顧客情報(顧客リスト、取引履歴、契約内容等)
- 機密情報(未公開の経営情報、技術情報等)
- 認証情報(パスワード、APIキー等)
- NDA対象情報(取引先の非公開情報等)

----------------------------------------
4. 利用可能な業務
----------------------------------------
以下の業務での利用を推奨します。
- 文書の下書き作成(メール、報告書、マニュアル等)
- 文章の校正・要約
- アイデア出し・ブレスト
- 一般的な調査・リサーチ
- データの整形・加工(機密情報を除く)

----------------------------------------
5. 出力の検証義務
----------------------------------------
生成AIの出力は、以下を必ず確認すること。
- 事実関係の正確性(特に数値・日付・固有名詞)
- 法令・社内規定との適合性
- 著作権の侵害がないか
- そのまま社外に出して問題ない内容か

AIの出力をそのまま社外文書として使用することは禁止。
必ず人間が内容を確認・編集してから使用すること。

----------------------------------------
6. 著作権について
----------------------------------------
- AIが生成した文章をそのまま公開する場合は、
  著作権の問題がないか確認すること
- 他者の著作物をAIに入力して加工する行為は、
  著作権法に違反する可能性があるため注意すること

----------------------------------------
7. 禁止事項
----------------------------------------
- 個人アカウントでの業務利用
- 入力禁止情報の入力
- AIの出力を検証せずに社外に送付すること
- AIの出力を自分の成果物と偽ること
- 違法・不適切な目的での利用

----------------------------------------
8. インシデント発生時の対応
----------------------------------------
誤って機密情報を入力した場合は、速やかに
〇〇部(内線:XXXX)に報告すること。

----------------------------------------
9. 本ガイドラインの見直し
----------------------------------------
本ガイドラインは、半年に一度を目安に
見直しを行うものとします。

========================================

ガイドラインを社内で浸透させるプロンプト

ガイドラインを作っただけでは、社員に浸透しません。以下のプロンプトで、社内周知用の資料を作りましょう。

以下の社内ガイドラインの内容を、全社員向けの説明資料(スライド用)に要約してください。

【条件】
- 5〜7枚のスライド構成
- 各スライドは見出し+箇条書き3〜5項目
- 専門用語を使わず、誰でも理解できる表現
- 「やっていいこと」「ダメなこと」を明確に分ける
- 最後にQ&A(よくある質問)を3つ

【ガイドライン】
(ここにガイドラインをペースト)

出力例

スライド1:生成AIを業務で使えるようになりました

  • 会社として生成AI(ChatGPT)の業務利用を開始します
  • ルールを守れば、日常業務の効率化に活用できます
  • このスライドで「やっていいこと」と「ダメなこと」を説明します

スライド2:やっていいこと

  • メールや文書の下書き作成
  • 文章の校正・要約
  • アイデア出し・調べもの
  • ※必ず会社アカウントを使うこと

スライド3:絶対にダメなこと

  • お客様の名前・住所・電話番号を入力
  • 取引先の情報や契約内容を入力
  • パスワードやログイン情報を入力
  • → 迷ったら入力しない! …

IPAガイドラインの要点

IPA(独立行政法人情報処理推進機構)は、生成AIの利用に関するガイドラインを公開しています。社内ルールを作る際の参考になるポイントをまとめます。

IPAが示す主な注意点

  1. 機密情報の入力リスク: 生成AIに入力したデータは、サービス提供者側でアクセス可能。機密性の高い情報は入力すべきでない
  2. 出力の信頼性: AIの回答には誤りが含まれる可能性がある。事実確認は必須
  3. 著作権への配慮: AIの出力が既存の著作物に類似する可能性がある
  4. 利用規約の確認: 各サービスの利用規約で、入力データの取り扱いを確認すべき
  5. 組織としてのルール整備: 個人の判断に任せず、組織としてルールを策定すべき

失敗例・NG例

失敗例1:ルールが厳しすぎて誰も使わない

「生成AIの利用は事前に上長の承認を得ること」「利用のたびにログを提出すること」など、ルールが厳しすぎると、面倒で誰も使わなくなります。

改善策: 日常的な利用(メールの下書き、文章校正など)は事前承認不要にし、入力禁止情報だけを明確にするほうが効果的です。

失敗例2:ルールが曖昧で判断できない

「機密情報を入力しないこと」だけでは、何が機密情報に当たるのか社員が判断できません。

改善策: 具体的な例(人名、金額、契約内容など)を列挙し、「迷ったら入力しない」をルールに含めましょう。

失敗例3:ルールを作ったが周知していない

社内イントラに掲載しただけでは読まれません。

改善策:

  • 全体朝礼やミーティングで5分間の説明
  • 初回利用時にチェックリストに同意する仕組み
  • 四半期に一度のリマインド

社内で使うときの注意点

段階的に導入する

一気に全社展開するのではなく、以下のように段階を踏むのがおすすめです。

フェーズ期間内容
1. 試験導入1ヶ月管理部門など1部署で試験運用
2. ルール策定2週間試験運用の結果を踏まえてルール整備
3. 段階展開1〜2ヶ月他部署に順次展開
4. 全社展開-全社員が利用可能に
5. 定期見直し半年ごとルールの見直しと更新

利用ログの管理

全てのやり取りをログに残す必要はありませんが、以下は記録しておくと安心です。

  • どの部署がどのような業務で利用しているか
  • インシデント(誤って機密情報を入力したなど)の記録
  • 社員からの質問・要望

定期的にルールを見直す

生成AIのサービスは頻繁にアップデートされます。半年に一度はルールの見直しを行い、以下を確認しましょう。

  • 利用しているサービスの利用規約に変更はないか
  • 新たなリスクや事例が出ていないか
  • 社員からのフィードバックを反映できるか

ルール策定を効率化するプロンプト

自社の状況に合わせたルールのたたき台を作るプロンプトです。

以下の条件で、生成AIの社内利用ガイドラインのたたき台を作成してください。

【会社の概要】
- 業種:(例:小売業)
- 社員数:(例:30名)
- 主に扱う情報:(例:顧客の個人情報、取引先の契約情報)
- 現在のAI利用状況:(例:一部社員が個人アカウントで非公式に利用中)

【ガイドラインの方針】
- 利用を促進したいが、セキュリティは確保したい
- 社員のITリテラシーはばらつきがある
- できるだけシンプルなルールにしたい

【必ず含めてほしい項目】
- 入力禁止情報の具体的リスト
- 利用可能業務の例
- インシデント発生時の連絡先

まとめ

生成AIの社内利用ルールは、「厳しすぎず、甘すぎず」がポイントです。全面禁止にすれば安全ですが、業務効率化の機会を失います。逆に、ルールなしで使わせるのはリスクが高すぎます。

最低限押さえるべき3つのルール:

  1. 入力禁止情報を明確にする(個人情報、機密情報、認証情報)
  2. 出力は必ず人間が検証する(事実確認、社内規定との照合)
  3. 会社が認めたアカウントで利用する(個人アカウントの業務利用は禁止)

この3つさえ守れば、まずは安全に使い始められます。完璧なルールを作ってから始めるのではなく、最低限のルールで始めて、運用しながら改善していくのが現実的なアプローチです。