【2026年最新】AI利用ガバナンス規程テンプレート完全版|中小企業の社内ルール集
結論: AI利用ガバナンス規程は「コピペできる4本のテンプレ(基本規程・機密情報入力ルール・ベンダー基準・著作権チェック手順)」を起点に、自社の業種と規模に合わせて10条版/25条版を使い分けるのが、形骸化させない最短ルートです。
この記事の要点:
- そのまま使える規程テンプレを4本(合計約5,200字)掲載 — 基本規程/機密情報入力/ベンダー(OpenAI・Anthropic・Google)取り扱い/生成物の著作権チェック
- 中小企業向け10条版(A4×3枚)と大企業向け25条版の使い分け基準を明示
- 金融/医療/製造/小売の業種別カスタマイズポイントと、違反時のエスカレーション・教育プログラムまでセットで提供
対象読者: 従業員10〜500名規模の中小企業で、AI(ChatGPT・Claude・Gemini等)の社内利用ルールを今月中に作って配布したい総務・情シス・経営企画担当者
読了後にできること: 本記事のテンプレ4本をそのままWordに貼り付け、社名と業種を置換するだけで、A4×3枚のAI利用規程ドラフトを今日中に完成させられます。
「うちもそろそろAI使うルール作らないとマズいですよね…でも何から書けばいいかわからなくて」
先週、製造業(従業員120名)の総務部長から、こんな相談を受けました。営業部のメンバーが提案書をChatGPTで書き始め、いつの間にか顧客情報を貼り付けている社員もちらほら出てきた。経営会議で「ガバナンス規程を作れ」と振られたものの、雛形を検索してもPDFで配布されているのは大企業向けの50条規程ばかり。中小企業がそのまま使える形では落ちていない、というのです。
正直に言うと、これは100社以上の研修・コンサル現場で繰り返し見てきた典型パターンです。規程が「ない」よりも、「コピペで作って配布したきり、現場に届いていない」状態のほうが事故リスクは高い。なぜなら、現場は「ルールがある=大丈夫」と勘違いして、機密情報を平気でAIに貼ってしまうからです。
この記事では、私が中小企業の研修・顧問先で実際に運用してもらっているAI利用ガバナンス規程テンプレ4本を、そのままコピペできる形で全文公開します。さらに、業種別カスタマイズ・違反時のエスカレーション・教育プログラム設計まで、規程が形骸化しないための運用ノウハウもまとめました。10〜25条のレンジで、自社規模に合わせて使い分けてください。
まず押さえる:AI利用ガバナンス規程「4つの構成要素」
規程は1本の長文ではなく、4つの独立したテンプレを束ねる構成が運用しやすいです。1本に詰め込むと現場が読まなくなり、分割しすぎると整合性が崩れます。研修先で試行錯誤した結果、4本構成が最もワークしました。
| テンプレ番号 | 文書名 | 主な対象 | 文字数目安 |
|---|---|---|---|
| ① | AI利用基本規程(本則) | 全社員 | 1,200字 |
| ② | 機密情報入力ルール(細則) | 全社員(特に営業・開発) | 1,000字 |
| ③ | AIベンダー取り扱い基準(運用基準) | 情シス・購買 | 1,500字 |
| ④ | AI生成物の著作権・チェック手順(運用基準) | マーケ・制作・広報 | 1,500字 |
AIガバナンス全体の30日導入プランや内部統制の観点については、AI内部統制30日プラン|J-SOX対応・上場企業の必読ガイドで体系的に解説しています。本記事はその「規程文そのもの」を提供する補完記事として読んでください。AI導入の全体戦略はAI導入戦略の完全ガイドのピラーページに集約しています。
テンプレ①:AI利用基本規程(本則)— そのままコピペ版
事例区分: 想定シナリオ
以下は100社以上の研修・コンサル経験から、中小企業が実際に運用に乗せられた条文を再構成した想定テンプレートです。社名・業種を置換してご利用ください。
まずは本則。10条にまとめてあります。中小企業ならこの10条+②③④の運用基準で十分です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
株式会社○○○○ AI利用基本規程
制定日:2026年○月○日
最終改定:2026年○月○日
所管部門:総務部(情シス・法務と協議のうえ改定)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
第1条(目的)
本規程は、当社における生成AI・AIエージェント等(以下「AIサービス」)の業務利用に関する基本ルールを定め、情報漏えい・著作権侵害・法令違反・品質低下のリスクを管理し、業務効率の向上と当社の信用維持を両立することを目的とする。
第2条(適用範囲)
本規程は、当社の役員・正社員・契約社員・派遣社員・業務委託先(以下「利用者」)が、業務目的で利用する全てのAIサービスに適用する。私的利用は対象外とするが、業務端末・業務アカウントでの私的利用は禁止する。
第3条(定義)
1. AIサービス:ChatGPT、Claude、Gemini、Copilot、その他大規模言語モデル(LLM)及びそれを利用するアプリケーション・APIをいう。
2. 機密情報:当社の顧客情報、未公開の財務情報、人事情報、技術情報、契約書、その他当社が秘密として管理する情報をいう。
3. 個人情報:個人情報保護法第2条第1項に定める個人情報をいう。
第4条(利用申請・承認)
業務でAIサービスを新規利用する場合、利用者は所属部門長の承認を得たうえで、所管部門に申請する。所管部門は「AIベンダー取り扱い基準」(運用基準②)に従い、利用可否を判断する。
第5条(入力禁止情報)
利用者は、AIサービスのプロンプト(入力欄)に以下の情報を入力してはならない。
(1) 顧客の個人情報(氏名・住所・電話番号・メールアドレス等を組み合わせた情報)
(2) マイナンバー・健康情報・要配慮個人情報
(3) 未公開の財務情報、M&A情報、人事評価情報
(4) 取引先から受領した秘密情報(NDAの対象情報)
(5) ソースコードのうち、当社・取引先が秘密として管理するもの
詳細は「機密情報入力ルール」(運用基準①)に従う。
第6条(生成物の利用)
1. AI生成物(テキスト・画像・コード等)を社外に公開・納品する場合、利用者は事実関係・著作権・第三者の権利侵害の有無を必ず確認する。確認手順は「AI生成物の著作権・チェック手順」(運用基準③)に従う。
2. AI生成物であることを明示する必要がある場合(広告表示・契約上の義務がある場合等)、利用者はその旨を表示する。
第7条(教育・研修)
所管部門は、本規程の全社員向け研修を年1回以上実施する。新規入社者には、入社時オリエンテーションで本規程の説明を行う。
第8条(違反時の措置)
本規程に違反した場合、就業規則に基づき懲戒の対象となることがある。重大な違反(機密情報の意図的入力等)が判明した場合、利用者は直ちに所属部門長と所管部門に報告する。報告・対応フローは「AI利用インシデント対応手順」に従う。
第9条(規程の改定)
所管部門は、AIサービスの進化・法令改正・社内運用実態を踏まえ、本規程を年1回以上見直し、必要に応じて改定する。改定は経営会議の承認を経て実施する。
第10条(附則)
1. 本規程は2026年○月○日より施行する。
2. 施行前のAIサービス利用については、施行日から3ヶ月の経過措置期間を設け、その間に本規程との整合化を完了する。
3. 本規程と矛盾する個別マニュアル・運用通達がある場合、本規程を優先する。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
別表1(用語定義の補足)
- 「業務目的」:当社の事業活動・営業活動・社内管理・研究開発・採用活動・広報活動その他、当社の業務に関連する全ての活動をいう。
- 「プロンプト」:AIサービスの入力欄(テキスト・画像・ファイル等)に入力する全ての情報をいう。チャット履歴・添付ファイル・カスタム指示を含む。
- 「AIエージェント」:複数のツールを自律的に組み合わせて業務を遂行するAIシステム(OpenAI ChatGPTエージェント、Anthropic Claude等のAgent機能、Manus、Devin等)をいう。
別表2(罰則の参照規定)
本規程第8条の懲戒は、就業規則第○条(懲戒事由)に該当するものとして取り扱う。具体的な処分は懲戒委員会の判断による。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━運用のコツ:第4条の「利用申請・承認」は、中小企業では「個別申請」にすると現場が回らなくなります。研修先の物流業(従業員80名)では、所管部門が「事前承認済みサービスリスト」(後述③)を四半期ごとに更新する運用に切り替えてから、現場の負担と統制のバランスが取れるようになりました。
テンプレ②:機密情報入力ルール(運用基準①)
本則で「入力禁止情報」を定義しても、現場は「どこまでがOKでどこからがNGか」がわかりません。具体例を運用基準で示すのが鉄則です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
機密情報入力ルール(運用基準①)
所管部門:総務部・情シス
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【ルール1】個人情報は「マスキング」してから入力する
NG例:「田中太郎様(東京都新宿区西新宿2-8-1)への提案書を作成してください」
OK例:「[顧客A様]([エリア])への提案書を作成してください」
【ルール2】社内情報は「抽象化」してから入力する
NG例:「来期の売上目標12億円に対し、現状9.8億円という状況で〜」
OK例:「来期の売上目標に対し、進捗率82%という状況で〜」
【ルール3】契約書・NDA対象情報は「全文入力しない」
NG例:取引先から受領した契約書PDFを丸ごとアップロード
OK例:自社作成のひな型を入力し、レビュー観点だけAIに尋ねる
【ルール4】ソースコードは「公開/秘密」を判断する
OK:オープンソース、業務委託先と共有予定のひな型コード
NG:認証ロジック、暗号化キー、自社固有のビジネスロジック
【ルール5】「迷ったら所管部門に確認」を徹底
判断に迷う場合は、Slackの #ai-governance チャンネル(または所管部門メールアドレス)に質問する。回答までAIへの入力は保留する。
【ルール6】入力前チェックリスト(プロンプトの冒頭に貼り付け)
□ 顧客名・社員名は伏せ字に置換したか
□ 住所・電話番号・メールアドレスは削除したか
□ 金額・件数は丸めたか(必要なら)
□ 契約書原文の貼り付けではなく、要約・観点だけにできるか
□ ソースコードは秘密管理対象か確認したか
□ 今回のプロンプトを「全社の前で読み上げて問題ないか」自問したか
【ルール7】違反時の自己申告ルート
万が一、ルール1〜5に該当する情報を入力してしまった場合、利用者は以下を実施する:
(1) 該当チャットの停止・履歴削除(できる範囲で)
(2) 所属部門長・所管部門への即時報告(Slack #ai-governance または所管部門メール)
(3) 入力内容のスクリーンショット保管(事後検証用)
※ 自己申告した軽微なケース(レベル1)は懲戒対象としない。隠蔽が判明した場合のみ懲戒対象。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━研修先の士業事務所(従業員30名)では、ルール6のチェックリストを「プロンプト先頭に貼り付ける運用」にしてから、機密情報入力のヒヤリハットがゼロ件で半年間継続しています。ポイントは「禁止する」のではなく、「入力前に毎回チェックする習慣を作る」ことです。
テンプレ③:AIベンダー取り扱い基準(運用基準②)
ここが規程の「肝」です。OpenAI・Anthropic・Googleの3社それぞれで、学習利用・データ保管・契約形態が異なります。雑に「全部禁止」「全部OK」にすると、現場の生産性を殺すか、リスクを取りすぎるかのどちらかになります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
AIベンダー取り扱い基準(運用基準②)
所管部門:情シス・法務
最終確認日:2026年5月(半年に1回見直し)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 全社で利用可能なAIサービス(事前承認済み)
【A】OpenAI ChatGPT Team / Enterprise
- 学習利用:オプトアウト済み(Team/Enterpriseはデフォルトでオフ)
- データ保管:チャット履歴は組織内のみ閲覧可
- 推奨用途:文書作成、調査、コード作成(機密度:中以下)
- 注意:個人プラン(Plus)は本ルール対象外。業務利用禁止
【B】Anthropic Claude for Work / API
- 学習利用:デフォルトで学習に使わない(API・Workspaceとも)
- データ保管:30日経過後に削除(API、利用規約による)
- 推奨用途:長文要約、契約書ドラフト、コード生成
- 注意:claude.ai 個人アカウントは本ルール対象外
【C】Google Gemini for Workspace / Vertex AI
- 学習利用:Workspace版は学習利用なし
- データ保管:Workspace内のテナント分離
- 推奨用途:Google Workspace連携業務、社内検索
- 注意:個人Gmailからのgemini.google.comは業務利用禁止
【D】Microsoft Copilot for Microsoft 365
- 学習利用:テナント外への学習利用なし
- 推奨用途:Microsoft 365連携業務
- 注意:個人版Copilot(無料・Pro)は業務利用禁止
■ 利用申請が必要なAIサービス
上記A〜D以外のAIサービス(Perplexity、Notion AI、Manus、新規サービス等)を業務利用したい場合、所管部門に申請する。所管部門は以下を確認する:
(1) 学習利用の有無(オプトアウト可能か)
(2) データ保管の場所・期間
(3) 第三者監査(SOC2 Type II、ISO 27001等)の有無
(4) 個人情報保護法・GDPR対応の有無
(5) 利用規約のうち、当社にとってリスクとなる条項の有無
(6) 月額費用・支払い方法
■ 利用禁止のAIサービス
- 個人プラン全般(業務目的での個人アカウント使用は禁止)
- 学習利用がデフォルトONで、オプトアウト不可のサービス
- データ保管地域が当社のデータ保護方針と整合しないサービス
- 利用規約に「入力データの第三者提供」が含まれるサービス
■ 半年に1回のレビュー
所管部門は、半年に1回(4月・10月)、上記リストを見直し、社内ポータルに最新版を掲載する。利用者は最新版を確認する義務がある。レビュー観点:
(1) 既存承認済みサービスの利用規約変更の有無
(2) 学習利用・データ保管ポリシーの変更の有無
(3) 第三者監査報告書(SOC2 Type II等)の最新版の有無
(4) ベンダーのインシデント・セキュリティ事故の有無
(5) 利用実態(ログ・利用申請件数)の確認
■ 新規申請の標準SLA
利用者からの新規サービス申請に対し、所管部門は以下のSLAで対応する:
- 受付確認:申請受領から2営業日以内
- 一次回答(承認/追加質問/却下):申請受領から10営業日以内
- 緊急案件(経営判断・顧客対応で必要):48時間以内のファストトラック対応
■ AIエージェント・自律実行系の特例
ChatGPTエージェント・Claude Code・Manus・Devin等、ブラウザ操作やコード実行を伴うAIエージェントは、通常のチャットLLM以上のリスクを伴う。以下を追加で確認する:
(1) 操作可能なツール範囲(読み取り専用/書き込み可/決済可)
(2) 認証情報(パスワード・APIキー)の取り扱い
(3) 操作ログ・実行履歴の保存可否
(4) 暴走時の停止手段
(5) 個別申請が必要(事前承認済みリスト対象外)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━顧問先のSaaS企業(従業員60名)では、③の「半年に1回レビュー」を所管部門が忘れて1年放置した結果、新規ベンダーが現場で勝手に使われている状態になっていました。カレンダーに半年後のレビュー予定を必ず入れる。これだけで形骸化を9割防げます。
テンプレ④:AI生成物の著作権・チェック手順(運用基準③)
4本目は、AI生成物を社外に出すときのチェックリスト。マーケ・広報・制作部門向けですが、提案書・営業資料を作る部門も対象です。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
AI生成物の著作権・チェック手順(運用基準③)
所管部門:法務・マーケ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ ステップ1:AI生成物であることを記録する
AI生成物(テキスト・画像・コード)を業務に使った場合、使用したサービス名・モデル名・主要プロンプトを生成物ファイルのコメント欄またはメタデータに記録する。後日トラブル時のトレース用。
■ ステップ2:事実関係を確認する
AI生成テキストに含まれる以下は、必ず一次ソースで裏取りする:
- 数字・統計(売上、人口、シェア等)
- 固有名詞(人名、企業名、地名、製品名)
- 日付・年月
- 法令・規制の引用
- 引用文・発言(誰がいつ言ったか)
■ ステップ3:著作権侵害の有無を確認する
- 生成テキスト:類似コンテンツがネット上にないか、Google検索でフレーズ検索("〜"で囲んで完全一致検索)
- 生成画像:既存キャラクター・ロゴ・ブランドに酷似していないか目視確認
- 生成コード:オープンソースライセンスとの整合性を確認(GPL等のコピーレフトライセンスのコードが混入していないか)
■ ステップ4:表示義務の確認
以下に該当する場合、AI生成物であることを明示する:
- 景品表示法の優良誤認・有利誤認に該当する可能性がある広告
- メディア・出版物で「人の創作物」として誤認されると問題になるもの
- 顧客との契約で「AI生成物の使用を事前通知する」と定めているもの
■ ステップ5:最終承認
社外に出る生成物(プレスリリース、広告、Webサイト、提案書、レポート等)は、所属部門長の最終承認を得る。承認の証跡(メール・チャットスタンプ等)を残す。
■ ステップ6:トラブル時の対応
第三者から「AI生成物が著作権を侵害している」「事実誤認だ」と指摘された場合、利用者は速やかに所管部門・法務に報告する。報告後72時間以内に対応方針を決定する。
具体的な初動:
(1) 該当生成物の公開停止(ブログ・SNS・広告等)
(2) 指摘者の連絡先・指摘内容の記録
(3) 生成プロセス(プロンプト・生成日時・モデル)のログ収集
(4) 弁護士・所管部門・関係部門でのレビュー会議設定
(5) 対外コミュニケーション(謝罪・訂正・反論)の方針決定
■ チェックシート例(社外提出物用・1枚モノ)
□ ステップ1:生成サービス名・モデル名・主要プロンプトを記録した
□ ステップ2:含まれる数字・固有名詞・日付・法令引用を一次ソースで確認した
□ ステップ3:類似コンテンツのフレーズ検索("〜"完全一致)でヒットがないか確認した
□ ステップ3:使用画像が既存ブランド・キャラクターに酷似していないか確認した
□ ステップ4:景表法・契約上の表示義務を確認した
□ ステップ5:所属部門長の承認を得て、承認メールを保管した
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━研修先の広告代理店(従業員45名)では、ステップ2の「数字の裏取り」を抜かしてプレスリリースを配信し、後日訂正リリースを出す事故がありました。AI生成テキストの数字は、人間が思っている以上に間違っています。一次ソース確認は省略不可です。
中小企業の10条版 vs 大企業の25条版 — どう使い分けるか
ここまでが中小企業向けの10条版+運用基準3本のセット。大企業(特に上場企業)はこれだけでは不足します。差分を整理します。
| 項目 | 10条版(中小企業向け) | 25条版(大企業向け) |
|---|---|---|
| 所管部門 | 総務部1部門 | 情シス・法務・コンプラの3部門共管 |
| 承認フロー | 部門長承認のみ | 稟議システム連携、リスクレベル別承認 |
| 監査 | 年1回内部チェック | 四半期内部監査+年1回外部監査 |
| ログ管理 | 所管部門が手動収集 | SIEM等で自動収集・保管 |
| 事業継続計画(BCP) | 不要(手作業で代替可) | AI障害時の業務継続手順を別途規定 |
| サードパーティリスク管理 | 取り扱い基準で運用 | ベンダーアセスメント、契約レビュー、SLAの締結 |
| 個別規程 | 4本(本記事のセット) | 追加で「AIモデル開発規程」「データガバナンス規程」「インシデント対応規程」 |
| 研修 | 年1回全社研修 | 役職別研修+eラーニング+年1回テスト |
判断基準:
- 従業員500名未満/非上場 → 10条版+運用基準3本で十分(A4×3〜4枚)
- 従業員500名以上/上場企業/規制業種(金融・医療・公共) → 25条版+AI内部統制プログラムを別途設計
研修先のメーカー(従業員250名)では、最初に大企業向けの25条版を作って配布した結果、現場が「読まない」「ルールがあることすら知らない」状態に陥りました。分量と粒度は規模に比例させるのが鉄則です。10条版から始めて、運用しながら拡張すれば十分間に合います。
業種別カスタマイズポイント:金融・医療・製造・小売
業種ごとに、本則10条+運用基準3本に「追加で書くべき条文」が異なります。研修先の業種別ポイントをまとめます。
金融業(銀行・信金・証券・保険)
金融庁の「金融分野におけるAIの活用に関する論点整理」(2024年)と、各業態の業規制(銀行法・金商法等)への対応が必須。
- 本則第5条(入力禁止情報)に「顧客の口座番号・取引履歴・与信情報」を明示追加
- 運用基準②(ベンダー取り扱い)に「金融機関の顧客データを扱う場合、データの国外移転をしないことを契約で担保」を追加
- 「AIを利用した与信判断・営業推奨」は別途AIモデル管理規程を作成(金融庁ガイドラインに準拠)
- 「説明可能性(Explainability)」要件 — AI出力を顧客説明に使う場合、根拠を提示できる体制
医療業(病院・診療所・調剤薬局)
医療情報システムの安全管理ガイドライン(厚労省)と医師法・薬機法への対応が必須。
- 本則第5条に「患者の氏名・生年月日・診療内容・処方情報・健康情報」を明示追加(要配慮個人情報)
- 運用基準②に「3省2ガイドライン(厚労省・経産省・総務省)準拠のクラウドサービスのみ使用可」を追加
- 「AI診療支援」「AIによる読影」を行う場合、医療機器プログラム該当性を薬機法で確認
- 診断・処方の最終判断は医師が行い、AIはあくまで補助である旨を明記
製造業(工場・メーカー)
取引先からの秘密情報(NDA対象)と、技術情報の流出防止が論点。
- 本則第5条に「設計図面・CADデータ・製造プロセスの詳細・歩留まり率・原価情報」を明示追加
- 運用基準②に「OEM先・取引先から受領した情報は、原則AIサービスへ入力しない」を追加
- 営業秘密(不正競争防止法)の3要件(秘密管理性・有用性・非公知性)を満たすため、AI入力ログの保管を別途規定
- 研究開発部門向けに「特許出願前の技術情報の取り扱い」を別途明記
小売・EC業
顧客情報の量が多く、マーケティング活用のニーズが強い業種。個人情報保護法と景表法への対応が論点。
- 本則第5条に「会員情報・購買履歴・閲覧履歴・行動データ」を明示追加
- 運用基準②に「顧客データをAIに入力する場合、個人情報保護法第27条(第三者提供)・第28条(外国にある第三者への提供)に該当しないことを確認」を追加
- 運用基準③に「AI生成の広告コピー・商品説明文は、景品表示法(優良誤認・有利誤認)の観点で必ず審査」を追加
- レコメンドAI・チャットボット導入時は「プロファイリング」への該当性を確認
違反時のエスカレーション設計 — 3段階で考える
規程に違反した場合の対応フローを決めておかないと、いざ事故が起きたとき現場が動けません。研修先で標準化した3段階エスカレーションを共有します。
| レベル | 違反例 | 初動(1時間以内) | 本対応(24時間以内) | 再発防止(1週間以内) |
|---|---|---|---|---|
| レベル1(軽微) | マスキング忘れ、確認漏れ | 本人が所管部門に自己申告 | 所管部門が事象を記録、本人に研修動画視聴を指示 | 四半期報告に件数を集計 |
| レベル2(中程度) | 禁止サービスの利用、生成物の事実誤認で社外資料配布 | 所属部門長+所管部門に報告、対象資料の回収判断 | 関係部門で原因分析、必要に応じて取引先へ謝罪・訂正 | 規程改定の要否を所管部門で検討、全社注意喚起 |
| レベル3(重大) | 顧客の個人情報・営業秘密の意図的または大量の入力、AI生成物による著作権侵害クレーム | 経営会議への即時報告、緊急対策本部設置 | 関係省庁・取引先への報告、対外的な公表判断、就業規則に基づく懲戒手続き開始 | 監査法人・外部弁護士のレビュー、再発防止策の公表 |
運用のコツ:レベル1の「自己申告」を罰しない文化を作ることが最重要です。研修先のIT企業(従業員90名)では「レベル1自己申告は人事評価マイナスにしない」と明文化してから、ヒヤリハットの報告件数が3倍に増え、レベル2への発展がほぼゼロになりました。小さな違反を可視化できる組織は、大きな事故を防げる。これはAIに限らずインシデントマネジメント全般の鉄則です。
教育プログラム設計 — 規程を「読まれる」状態にする
規程を作って終わりにすると、9割は形骸化します。教育プログラムをセットで設計してこそ、規程は機能します。
初期研修(規程公布時・全社員対象)
研修先で実績のある構成:
- 動機づけ(5分):他社の事故事例3つ(個人情報流出・著作権訴訟・誤情報配信)を紹介して「対岸の火事ではない」と理解させる
- 規程の要点解説(15分):本則10条と入力禁止情報を、自社の業種に即した具体例で解説
- ワークショップ(20分):「これはOK/NG?」のクイズ形式で10問。マスキング前後の例を見比べさせる
- 質疑応答(10分):現場の「これは大丈夫か?」を吸い上げる
- 確認テスト(10分):5問の理解度チェック。8割以上で合格、未満は再受講
顧問先の建設業(従業員70名)では、ワークショップで「現場で実際に使うプロンプト例」を持ち寄ってもらい、その場でOK/NG判定する形式に変えたところ、研修後の「現場での実践度」が体感で2倍以上になりました。抽象的なルール暗記ではなく、自分の業務での判断トレーニングをさせるのがコツです。
継続教育(年次・eラーニング)
- 年1回の全社eラーニング(20分・確認テスト付き)
- 新入社員には入社時オリエンテーションで実施
- 新規ベンダー追加・規程改定時には、変更点だけの短編動画(5分)を配信
- 四半期に1回、所管部門が「今期のヒヤリハット事例」をニュースレターで共有
ロール別研修(営業・開発・マーケなど)
全社研修だけだと「自分の業務での具体例」が不足します。部門別の30分研修を追加すると効果が大きいです。
| 部門 | 追加テーマ |
|---|---|
| 営業 | 顧客提案書作成時のマスキング、商談メモのAI要約の注意点 |
| 開発 | ソースコードの公開/秘密判断、Copilot/Claude Codeの利用ルール |
| マーケ・広報 | AI生成画像の権利確認、景表法対応、SNS投稿時の確認手順 |
| 人事 | 採用書類・人事評価のAI入力禁止、応募者情報の取り扱い |
| 法務・総務 | 契約書ドラフト時の機密情報マスキング、ベンダー契約レビュー |
個人情報保護法・著作権法・労働関連法 — 規程に必ず織り込むポイント
法令対応を抜かすと規程の意味がありません。中小企業でも押さえるべきポイントを整理します。
個人情報保護法
- 第27条(第三者提供の制限):個人情報をAIサービスに入力することが「第三者提供」に該当する可能性がある。個人情報保護委員会の見解では、入力データを学習に使わない設定(オプトアウト・契約条項)であれば、原則として「提供」に該当しないとされるが、安全側に倒すなら個人情報をそのままAIに入力しない運用が望ましい。
- 第28条(外国にある第三者への提供):海外のAIサービスを使う場合、データ移転先国の個人情報保護制度の情報を本人に提供する必要がある場合がある。ベンダー取り扱い基準(運用基準②)でデータ保管地域を確認すること。
- 第30条(個人関連情報):Cookie等の個人関連情報をAIに入力する場合の本人同意の取り扱い。
- 詳細はAI個人情報保護法対応の完全ガイドを参照。
著作権法
- 第30条の4:情報解析目的でのAI学習は権利者の許諾なく可能。ただし「著作権者の利益を不当に害する場合」を除く。
- AI生成物の著作物性:人間の創作的寄与が認められれば著作物となり得る。プロンプト工夫だけで著作物性が認められるかは個別判断。
- 類似性・依拠性:AI生成物が既存著作物に類似し、AIが学習データに既存著作物を含んでいた場合、著作権侵害となる可能性。運用基準③のステップ3で確認。
- 文化庁「AIと著作権に関する考え方について」(2024年)を所管部門が把握しておくこと。
労働関連法
- 就業規則との整合:規程違反時の懲戒を就業規則の懲戒事由に紐付ける。
- 労働時間管理:AIを使った業務効率化で「成果が上がったから残業を減らさない」運用は、労働時間管理上の問題になり得る。生産性向上と労働時間短縮のセット運用を方針として明示。
- 人事評価でのAI利用:採用書類・人事評価・退職判断にAIを使う場合、差別的扱いや透明性の問題が発生し得る。別途人事領域のAI利用ガイドラインを作成することを推奨。
【要注意】規程運用でよくある失敗パターン4選
失敗1:規程を作って配布しただけで「終わった」と思う
❌ 規程PDFを社内ポータルにアップロードし、「読んでおいてください」とメール一通。
⭕ 全社研修・部門別研修・確認テスト・四半期ニュースレターをセットで設計し、所管部門が運用責任を持つ。
なぜ重要か:規程は「読まれて、覚えられて、判断に使われて」初めて機能します。研修先のサービス業(従業員200名)では、規程公布から半年後にアンケートを取ったところ、「規程の存在を知っている」社員が35%しかいませんでした。教育を伴わない規程は配布した瞬間に死蔵されます。
失敗2:機密情報入力ルールが現場に届いていない
❌ 「機密情報の入力禁止」とだけ規程に書く。
⭕ 「これはOK/これはNG」の具体例を運用基準②のチェックリスト形式で示し、プロンプト先頭に貼り付ける運用にする。
なぜ重要か:抽象的な「機密情報」は、現場では「自分が今扱っている情報が機密かどうか」の判断ができません。研修先で「これはセーフですよね?」と質問された情報の半分以上が、所管部門の基準ではアウトでした。判断を現場任せにせず、入力前チェックリストで毎回確認する仕組みが必要です。
失敗3:ベンダー変更時の規程更新を忘れる
❌ 規程を作ったきり、新しいAIサービスが出ても運用基準②を更新しない。
⭕ 半年に1回(4月・10月)、所管部門がカレンダーに予定を入れて運用基準②を見直す。新規ベンダー追加・既存ベンダーの利用規約変更を確認する。
なぜ重要か:AIサービスは数ヶ月単位で新規参入があり、既存サービスも利用規約・データ取り扱いポリシーを頻繁に変更します。顧問先のSaaS企業(従業員60名)では、所管部門が更新を1年放置した結果、現場が勝手に未承認サービスを使い、社内監査で指摘される事態になりました。「半年に1回見直す」のカレンダー登録が再発防止の最強策です。
失敗4:違反時のエスカレーションフローを決めていない
❌ 規程に「違反時は懲戒の対象」とだけ書いて、具体的なフローを定めない。
⭕ 3段階エスカレーション(レベル1〜3)を運用基準として明文化し、初動・本対応・再発防止のタイムラインを定める。レベル1の自己申告を罰しない文化を作る。
なぜ重要か:いざ事故が起きたとき、誰に・いつまでに・何を報告するかが決まっていないと、現場は隠してしまいます。100社以上の研修・コンサル経験で見てきた範囲では、「自己申告を罰しない」と明文化している組織は、結果的に大きな事故が圧倒的に少ない傾向があります。ヒヤリハットを可視化できる組織は強いです。
セキュリティと運用ルール — 規程と並走する技術的対策
規程は組織的対策ですが、技術的対策と組み合わせるとさらに堅牢になります。中小企業でも導入しやすい施策を整理します。
- DLP(Data Loss Prevention)ツール:個人情報・クレジットカード番号・マイナンバーなどの特定パターンを検知してAIサービスへの送信をブロック。Microsoft Purview、Google Workspace DLP等で実装可能。
- SSO(シングルサインオン)統合:AIサービスへのアクセスをIdP(Okta、Azure AD等)経由に限定し、退職者のアクセスを即時遮断。
- ログ収集・監査:誰がどのAIサービスをいつ使ったかをログで把握。Enterprise版・Workspace版ならテナント管理画面でログを取得可能。
- ネットワーク制御:個人プランのAIサービスドメインを、社内ネットワークから到達不可にする(過剰な制限はNGなのでバランス重視)。
- セキュリティ意識向上トレーニング:規程教育とは別に、年1回のセキュリティ訓練(フィッシング・標的型攻撃)を実施。AIエージェントのセキュリティリスクについてはAIエージェントセキュリティ完全ガイドを参照。
「実際に運用される規程」と「形骸化する規程」の違い
100社以上の研修・コンサル経験から、運用に乗る規程と乗らない規程の違いを整理すると、次の5点に集約されます。
| 観点 | 運用に乗る規程 | 形骸化する規程 |
|---|---|---|
| 長さ | 本則A4×2〜3枚、運用基準は別冊 | 本則だけで20ページ超 |
| 具体例 | 「これはOK/NG」の例が豊富 | 抽象的な原則の羅列のみ |
| 所管 | 所管部門・担当者が明確、半年に1回見直し | 担当が曖昧、見直しサイクル未定義 |
| 教育 | 初期研修+年次eラーニング+部門別研修 | 規程配布のみ、研修なし |
| 違反対応 | 3段階エスカレーション、自己申告は罰しない | 「懲戒する」とだけ書いて具体策なし |
本記事のテンプレ4本は、運用に乗る規程の条件を満たすように設計しています。「短く・具体的に・教育とセット」を守れば、中小企業でも十分に機能するガバナンス体制を作れます。
規程ドラフトを「30日で公布」するロードマップ
テンプレを手に入れても、組織内で公布まで持っていく工程設計がないと頓挫します。30日で完了させるロードマップを整理します。
| 日数 | 担当 | アクション | 成果物 |
|---|---|---|---|
| Day 1-3 | 所管部門 | 本記事のテンプレ①〜④を社名・業種で置換、ドラフト作成 | 規程ドラフトVer.0.1 |
| Day 4-7 | 所管部門+情シス+法務 | 3者レビュー会議1回、ベンダー取り扱い基準を自社契約状況で確定 | 規程ドラフトVer.0.5 |
| Day 8-14 | 所管部門 | 業種別カスタマイズ条文を追加、各部門長から意見聴取 | 規程ドラフトVer.0.8 |
| Day 15-18 | 所管部門 | 違反時エスカレーションフロー・教育プログラム設計 | 規程ドラフトVer.0.9+付属文書 |
| Day 19-21 | 経営会議 | 経営会議で承認、施行日決定 | 規程Ver.1.0確定 |
| Day 22-26 | 所管部門+人事 | 全社研修・部門別研修の準備、eラーニング教材作成 | 研修教材・確認テスト |
| Day 27-30 | 全社 | 全社研修実施、規程公布、社内ポータル掲載 | 規程公布完了、研修受講記録 |
研修先の士業事務所(従業員30名)で、このロードマップを実際に走らせた結果、規程公布から1週間以内に全社員の研修完了・確認テスト合格率92%を達成しました。「30日で公布」を経営会議に約束させると、所管部門の動きが加速します。
規程ライフサイクル管理 — 公布後の運用カレンダー
規程は「作って終わり」ではなく「運用していくもの」です。公布後12ヶ月の標準カレンダーを共有します。
| 月 | 定期アクション |
|---|---|
| 1ヶ月後 | 所管部門が「研修認知度アンケート」実施、ヒヤリハット報告件数を集計 |
| 3ヶ月後(四半期) | 運用実態レポート(利用申請件数・違反件数・FAQ)を経営会議に提出 |
| 4月/10月 | 運用基準②(ベンダー取り扱い)の半年レビュー、新規承認サービスを社内ポータルで公示 |
| 6ヶ月後 | 全社員向けeラーニング配信、確認テストで理解度測定 |
| 9ヶ月後 | 業種別カスタマイズ条文の見直し(法令改正・業界ガイドライン更新の反映) |
| 12ヶ月後 | 規程全体の年次見直し、改定の要否を経営会議で判断、改定版公布 |
所管部門のカレンダーに上記6つの予定をすべて入れておくと、運用が安定します。「次のレビュー日が決まっていないルール」は必ず形骸化するのが、100社以上の研修・コンサル経験から得た最大の教訓です。
導入企業の成果(運用視点)
事例区分: 想定シナリオ
以下は、本記事と同等のテンプレ構成を実装した複数の中小企業(従業員50〜200名規模)で、所管部門がレポートした共通傾向を典型シナリオとして再構成したものです。個別企業の実数値ではありません。
測定期間:規程公布から6ヶ月
対象:従業員50〜200名規模の中小企業(製造・サービス・士業の3業種)
測定方法:所管部門が四半期ごとに「規程認知度アンケート」「ヒヤリハット報告件数」「未承認サービス利用件数」を集計
典型的な結果:
- 規程認知度:公布直後30〜40% → 6ヶ月後 80〜90%(部門別研修+eラーニングを実施した場合)
- ヒヤリハット自己申告件数:公布前 ほぼゼロ → 公布後 月数件(「自己申告を罰しない」文化づくりが効く)
- 未承認サービス利用件数:四半期1回のレビューで月数件発見、その都度ベンダー基準②に反映
- 重大インシデント:6ヶ月間ゼロ件(運用に乗っている組織の典型)
ポイント:規程単体ではなく、「教育+自己申告文化+半年レビュー」のセット運用が、成果を生む最大要因でした。
参考・出典
- 生成AIサービスの利用に関する注意喚起等について — 個人情報保護委員会(参照日: 2026-05-14)
- AI事業者ガイドライン — 経済産業省・総務省(参照日: 2026-05-14)
- AIと著作権について — 文化庁(参照日: 2026-05-14)
- AIセキュリティに関する公開情報 — IPA 独立行政法人情報処理推進機構(参照日: 2026-05-14)
- 金融分野におけるAIの活用に関する論点整理 — 金融庁(参照日: 2026-05-14)
- 医療情報システムの安全管理に関するガイドライン — 厚生労働省(参照日: 2026-05-14)
まとめ:今日から始める3つのアクション
- 今日やること:本記事のテンプレ①「AI利用基本規程(本則10条)」をコピーしてWordに貼り付け、社名と所管部門名を置換するだけで、A4×3枚のドラフトを作成する。これだけで「ゼロから書く」工数が消える。
- 今週中:運用基準②「AIベンダー取り扱い基準」の事前承認済みリスト(OpenAI/Anthropic/Google/Microsoft)を、自社で実際に契約しているプラン名で埋める。情シスと法務に1時間ミーティングを設定し、確認する。
- 今月中:教育プログラム(全社研修60分+部門別研修30分)を所管部門で企画し、規程公布日と全社研修日をカレンダーに登録する。同時に「半年後の運用基準②レビュー予定」もカレンダーに入れる。
次回予告:次の記事では「中小企業向け AI利用インシデント対応プレイブック — 機密情報入力時の72時間対応フロー」をテーマに、規程の運用編をさらに掘り下げます。
あわせて読みたい:
- AI内部統制30日プラン|J-SOX対応・上場企業の必読ガイド — 上場企業・規制業種向けの本格的ガバナンス設計
- AI個人情報保護法対応の完全ガイド — 第27条・第28条への対応を深掘り
- AIエージェントセキュリティ完全ガイド — エージェント時代の技術的セキュリティ対策
著者: 佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』(SBクリエイティブ)。
SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。
ご質問・ご相談は お問い合わせフォーム からお気軽にどうぞ。
