コンテンツへスキップ

media AI活用の最前線

AI導入戦略

【2026年最新】AI利用ガイドライン策定7ステップ|社内ルール雛形付き

【2026年最新】AI利用ガイドライン策定7ステップ|社内ルール雛形付き

中小企業のAI利用ガイドラインは「A4で2枚、7ステップ、2週間」で策定できる。100ページの規程は不要で、まず「入力禁止情報リスト」と「許可ツール一覧」の2つを決めるだけで、シャドーAIによる情報漏洩リスクを大幅に低減できる。

  • 要点1:AI利用ガイドライン未整備の中小企業は63%——シャドーAI関連の情報漏洩は平均19万ドル(約2,900万円)の追加コストを発生させる(IBM Cost of a Data Breach Report 2025)
  • 要点2:2026年3月公表のAI事業者ガイドラインv1.2でAIエージェント規制が明文化——中小企業も「利用者」として対応が必要
  • 要点3:本記事のプロンプト5選を使えば、ChatGPTで自社ガイドラインの草案を2時間で生成できる

対象読者:従業員10〜100名の中小企業で、社員が個人判断でChatGPTやCopilotを使い始めている状況に不安を感じている経営者・情シス担当・総務部門の方

今日やること:まず本記事のプロンプト①「AI利用実態アンケート」を社内Slackかメールで配信し、現状を把握する(所要5分)

最近、研修先で「うちの社員がChatGPTに顧客リストを貼り付けてたらしい」という相談が連続しました。3社続けてです。100社以上の研修・コンサル経験から構成した想定シナリオですが、このパターンは本当によく出てきます。

聞くと、どの会社も「AIの利用ルールはまだ決めていない」「個人の判断に任せている」とのこと。ただ、実は社員の半数以上がすでに何かしらの生成AIを業務で使っているんですよね。つまり「ルールがない=禁止」ではなく「ルールがない=無法地帯」になっている。

帝国データバンクの2026年3月調査(全国23,349社対象・有効回答10,312社)によると、生成AIを活用している企業は34.5%。一方で「トラブル時の責任所在などのルール整備」を課題に挙げた企業が25.5%。つまり3社に1社はAIを使っているのに、4社に1社はルールが追いついていないわけです。

この記事では、100社以上の研修・コンサル経験から構成した想定シナリオをベースに、中小企業が「2週間で策定・運用開始」できるAI利用ガイドラインの作り方を7ステップで解説します。コピペ可能なプロンプト5選付きなので、ChatGPTで草案生成まで一気に進められます。

そもそもAI利用ガイドラインとは?策定しないとどうなるのか

シャドーAIの実態——あなたの会社でも起きている

シャドーAIとは、IT部門やセキュリティ部門が把握・承認していないAIツールを従業員が業務利用している状態のことです。IPA「情報セキュリティ10大脅威 2026」で初めてランクインした「AIの利用をめぐるサイバーリスク」の中核がこれです(IPA 2026年1月29日発表・解説書PDF 2026年7月7日参照)。

Gartnerの調査では、69%の組織が未承認のAI利用を検知しています(Gartner 2025年調査)。ただし検知できているのは氷山の一角で、実際にはもっと多い。100社以上の研修・コンサル経験から構成した想定シナリオでいうと、20名規模の会社でも「社長は知らないけど、経理担当がChatGPTに請求書の数字を入力している」ケースは珍しくありません。

ガイドライン未整備企業の3大リスク

リスク1:情報漏洩——IBM「Cost of a Data Breach Report 2025」によれば、シャドーAIが関与したデータ侵害は平均19万ドル(約2,900万円)の追加コストを発生させます(IBM 2025年版・対象604組織・17業種・16か国)。2023年にはサムスン電子のエンジニアが機密ソースコードをChatGPTにアップロードした事例が広く報道されました。

リスク2:著作権・個情法違反——従業員が顧客データをAIに入力した場合、改正個人情報保護法の「第三者提供」に該当する可能性があります。詳しくは生成AI×個情法 完全対応ガイド|改正対応チェックリスト50を参照してください。

リスク3:品質事故——AIが生成した誤情報をそのまま顧客に送付し、クレームや損害賠償に発展するケース。帝国データバンクの同調査では「情報の正確性」を懸念する企業が50.4%で最多でした。「AIが書いたから正しいはず」という過信が原因です。

中小企業こそ「軽量ルール」が必要な理由

「大企業の100ページ規程を真似しよう」——これは失敗します。人数が少ない会社ほど1人のミスが全社に波及するインパクトが大きい一方で、100ページの規程を運用する人員がいません。

商工中金「中小企業の生成AI利用にかかる調査」(2026年1月実施・2026年3月31日公表・PDF 2026年7月7日参照)でも、中小企業の生成AI導入率は14.9%にとどまり、「会社での導入はなく、使用は個人の判断に任せている」という回答が最多でした。

だからこそ「A4で2枚、週1回見直し」のシンプルなガイドラインが有効なんです。正直、5つの禁止事項と許可ツール名を1枚の紙にまとめるだけでも、何もない状態とは天と地の差があります。

国のAI事業者ガイドラインv1.2と中小企業の関係

10原則の中小企業向け要約

2026年3月31日、総務省・経済産業省が「AI事業者ガイドライン(第1.2版)」を公表しました(経産省公式ページ 2026年7月7日参照)。これはAIの開発者・提供者・利用者すべてに適用されます。中小企業がChatGPTを業務利用する場合は「AI利用者」として対象です。

10原則の中で、中小企業が特に押さえるべきは以下の3つです:

  • 原則4「安全性」——入力データの管理と出力の検証体制を構築する
  • 原則7「透明性」——AIを使っていることの社内外への説明責任を果たす
  • 原則9「プライバシー」——個人情報のAIへの入力を制限する仕組みを設ける

残りの7原則は主にAI開発者・提供者向けの技術要件が中心です。とはいえ利用者にも関わる部分があるため、詳細はAI規制ガイドラインv1.2完全解説で全原則を網羅しています。

AIエージェント規制とHuman-in-the-Loop

v1.2の最大の変更点はAIエージェント(自律的にタスクを実行するAI)への規制明文化です。「外部アクションの前に人間の判断を介在させる仕組み(Human-in-the-Loop)」が求められるようになりました(ガイドラインv1.2本文PDF 2026年7月7日参照)。

中小企業レベルでいえば、たとえば「AIが自動で顧客にメール送信する」「AIが発注書を自動生成して送る」といった場面では、必ず人間の確認ステップを挟む設計が必要ということです。今後AIエージェントの業務導入が進むにつれて、このルールの重要性は増していきます。

IPA 10大脅威2026「AIの利用をめぐるサイバーリスク」の位置づけ

IPA(独立行政法人 情報処理推進機構)が2026年1月29日に発表した「情報セキュリティ10大脅威 2026」で、「AIの利用をめぐるサイバーリスク」が組織向け脅威として初ランクインしました。

IPAの解説書では、具体的に3つのリスクカテゴリに分類されています:

  1. AIを悪用した攻撃——フィッシングメールの自動生成、ディープフェイクによるなりすましなど
  2. AI利用に伴う情報漏洩——シャドーAI問題、未承認ツールへの機密入力
  3. AI出力の過信による判断ミス——ハルシネーション(事実と異なる出力)を検証なしで採用

自社のガイドラインでは、特に2と3への対策を明文化することが最優先です。

AI利用ガイドライン策定7ステップ——2週間で完成する全体像

ここからが本題です。100社以上の研修・コンサル経験から構成した想定シナリオに基づいた、2週間で完成するロードマップを紹介します。

ステップ内容所要時間目安担当
1現状把握(利用実態の棚卸し)2日情シス or 総務
2リスク分類(入力情報の4段階)半日経営者 + 情シス
3許可ツール選定1日情シス
4禁止事項と例外ルール1日法務 or 顧問弁護士
5承認フロー設計半日情シス + 各部門長
6教育・研修計画1日人事 or 外部講師
7定期見直しサイクル半日経営者

Step 1:現状把握——利用実態の棚卸し

まず「社員が何のAIを、何の業務に使っているか」を把握します。ここを飛ばすと的外れなルールになります。

方法は簡単——全社員に5問のアンケートを送るだけ。後述のプロンプト①で質問項目を自動生成できます。

ポイントは匿名にすること。「会社に怒られるかも」と思うと正直に答えてくれません。「罰則なし・改善目的」と明記してください。また、IT資産管理ツール(LANSCOPE、SKYSEA等)を導入済みの企業は、アクセスログで実際のAIサービス利用状況を確認するのも有効です。

Step 2:リスク分類——入力情報の4段階

棚卸し結果をもとに、社内情報を4段階に分類します。この分類がガイドラインの根幹です。

レベル情報区分AI入力可否具体例
A(最高機密)個人情報・財務非公開情報完全禁止顧客氏名・住所・電話番号、未公表決算、マイナンバー、パスワード
B(機密)社内限定の業務情報上長承認制社内議事録、人事評価、取引先単価、製品原価
C(社内公開)社内で広く共有される情報自由利用可社内マニュアル、過去の営業資料(固有名消去済み)、社内研修資料
D(公開情報)外部に公開済みの情報自由利用可自社HP掲載情報、プレスリリース、公開統計データ

「レベルAは絶対禁止、レベルBは上長承認が必要、CとDは自由に使ってOK」——この3行だけでもシャドーAIの被害を大幅に抑えられます。プロンプト②で自社の業種に合わせた分類マトリクスを生成できます。

Step 3:許可ツール選定

全社員に「この法人プランだけ使ってね」と指定するのが最もシンプルです。選定のポイントは3つ:

  • データ学習オプトアウト——入力データがモデルの学習に使われない設定がデフォルトか。ChatGPT Team/Enterprise、Microsoft 365 Copilot、Claude for Businessはいずれもデフォルトで学習に使われません(各社利用規約 2026年5月時点)
  • 管理者ダッシュボード——誰がいつ何を使ったか、利用状況を一元管理できるか
  • SOC 2 / ISO 27001認証——情報セキュリティの第三者認証を取得しているか

無料版(個人アカウント)は学習に使われる可能性があるため、業務利用は禁止を推奨します。ツール比較の詳細は生成AI社内導入 90日で全社展開する5フェーズ実践ガイドで解説しています。

Step 4:禁止事項と例外ルール

禁止事項は「短く・具体的に」がコツ。以下の5項目がベースラインです:

  1. 個人情報(氏名・住所・電話番号・マイナンバー・生年月日)をAIに入力しない
  2. 未公表の財務数値(売上速報・予算案・M&A情報)をAIに入力しない
  3. 会社が許可していないAIツール・個人アカウントを業務利用しない
  4. AIの出力をそのまま社外に送信しない(必ず人間が事実確認してから送付)
  5. AI生成物を自分の著作物として虚偽表示しない

例外ルールも必ず書いてください。「上長が書面(メール可)で承認した場合はレベルB情報もAI入力可」「匿名化処理(固有名詞の除去・仮名置換)を施した情報はレベルCとして扱う」など、正式な抜け道を作ることで「隠れて使う」動機を減らせます。

Step 5:承認フロー設計

20名以下の企業なら「社長に一声かける」で十分です。50名以上なら、部門長承認→情シス確認の2段階がベターです。

重要なのはスピード。「申請書を書いて、3日待つ」ではAIのメリットが消えます。Slackで「@部門長 レベルB情報をAI入力します。用途: ○○の提案書ドラフト作成」→ スタンプ1つで承認——これくらいの軽さが理想です。

承認の記録(スクリーンショットやログ)は残してください。後から「誰が何を承認したか」を追跡できるようにしておくことが、万が一のインシデント時に重要になります。

Step 6:教育・研修計画

ガイドラインを配布しただけでは定着しません。最低限、以下の3つを実施してください:

  1. 全社説明会(30分)——策定の背景(シャドーAIのリスク・AI事業者ガイドラインv1.2の要点)とルールの要点を説明。経営者自身が「なぜ作ったか」を語ると浸透率が段違いに上がる
  2. ハンズオン研修(2時間)——許可ツールの基本操作と「やってはいけないこと」を実機で体験。「個人情報を入力するとどうなるか」を見せるのが効果的
  3. 月1回のTips共有——社内Slackやメールで「今月のAI活用ベストプラクティス」を1つ紹介。成功事例を共有することで、ルールの「面倒さ」より「便利さ」が前面に出る

外部の生成AI研修プログラムを活用する場合は、自社ガイドラインの内容を研修カリキュラムに組み込めるかどうかを事前に確認しましょう。汎用的な「ChatGPTの使い方」研修だけでは、自社ルールの定着には不十分です。

Step 7:定期見直しサイクル

AIの進化速度は異常です。2025年のルールが2026年には陳腐化します。四半期に1回(1月・4月・7月・10月)、以下の4項目を確認してください:

  • 法令・ガイドライン更新——AI事業者ガイドラインの改定、個情法の解釈変更、IPA注意喚起の有無
  • ツール側の変更——許可ツールの料金改定・新機能追加・利用規約変更がないか
  • インシデント振り返り——社内でヒヤリハットや違反事例が発生していないか
  • 現場フィードバック——ルールが現場の実態とかけ離れていないか、運用しにくい条項はないか

見直しの結果は全社にアナウンスし、ガイドラインのバージョン番号を更新します(v1.0→v1.1→v1.2…)。プロンプト⑤で見直し用チェックリストを生成できます。

コピペで使えるプロンプト5選——ChatGPTでガイドライン草案を2時間で作る

以下のプロンプトはChatGPT(GPT-4o以上推奨)またはClaude(Fable 5 / Sonnet 5以上)で使えます。自社の業種・規模に合わせて【】部分を書き換えてください。

重要な前提:プロンプトの出力はあくまで草案です。法的拘束力のある規程として施行する前に、顧問弁護士または社労士の確認を必ず受けてください。AIの出力には誤りが含まれる可能性があります。

プロンプト①:AI利用実態アンケート生成

あなたは中小企業の情報セキュリティ担当です。
以下の条件で、社内のAI利用実態を把握するための匿名アンケート(5問)を作成してください。

■ 条件
- 回答時間: 3分以内
- 対象: 全社員(ITリテラシー問わず)
- 目的: AI利用ガイドライン策定のための現状把握(罰則なし)
- 業種: 【自社の業種を入力】
- 従業員数: 【人数を入力】

■ 出力形式
- Google Forms にそのまま貼れる形式
- 各質問に選択肢(4-5個)+ 自由記述欄
- 最後に「回答は匿名で処理され、個人を特定しません」の文言

⚠️ このプロンプトの出力はアンケート草案です。実施前に人事・法務部門の確認を推奨します。

プロンプト②:情報分類マトリクス作成

あなたは情報セキュリティコンサルタントです。
以下の条件で、自社の情報をAI入力可否の4段階(A:最高機密/B:機密/C:社内公開/D:公開情報)に分類するマトリクスを作成してください。

■ 条件
- 業種: 【自社の業種】
- 主な取扱情報: 【例: 顧客リスト、見積書、契約書、社内マニュアル等】
- 準拠法令: 個人情報保護法、不正競争防止法
- AI事業者ガイドラインv1.2の原則4「安全性」・原則9「プライバシー」を考慮

■ 出力形式
- 表形式(レベル / 情報区分 / AI入力可否 / 具体例5つ以上 / 判断根拠)
- 各レベルの判断に迷う「グレーゾーン例」を2つずつ追記
- 最後に「判断に迷った場合は上長に確認」の注意文

⚠️ このプロンプトの出力は分類の参考例です。自社の営業秘密管理規程との整合性を必ず確認してください。

プロンプト③:ガイドライン草案の全文生成

あなたは中小企業の法務・コンプライアンス担当です。
以下の条件で「生成AI利用ガイドライン(社内規程)」の全文を作成してください。

■ 条件
- 対象企業: 従業員【人数】名、業種【業種】
- 許可ツール: 【例: ChatGPT Team、Microsoft Copilot】
- 情報分類: A(完全禁止)/ B(承認制)/ C・D(自由)の4段階
- 承認フロー: 【例: 部門長承認→情シス確認】
- 準拠: AI事業者ガイドラインv1.2(2026年3月)、個人情報保護法、IPA 10大脅威2026

■ 出力形式
- A4で2枚以内(2,000字以内)
- 章立て: 目的 / 適用範囲 / 定義 / 許可ツール / 入力禁止情報 / 承認フロー / 出力確認ルール / 違反時の対応 / 見直し頻度
- 各条文に【カスタマイズポイント】を注記
- 文末に「本規程はv1.0として施行し、四半期ごとに見直す」

⚠️ このプロンプトの出力は草案です。施行前に顧問弁護士のリーガルチェックを必ず受けてください。

プロンプト④:社内FAQ作成

あなたは中小企業のAI推進担当です。
以下の条件で「AI利用ガイドラインに関する社内FAQ」を15問作成してください。

■ 条件
- 対象: 全社員(AI初心者〜中級者)
- ガイドラインの要点:
  ・許可ツール: 【ツール名】
  ・入力禁止: 個人情報、未公表財務情報
  ・承認制: レベルB情報は上長承認が必要
  ・出力確認: AI生成物は必ず人間が確認してから社外送信
- よくある質問シーン: 営業資料作成、議事録要約、メール下書き、翻訳

■ 出力形式
- Q&A形式、各回答200字以内
- カテゴリ分け: 基本ルール / ツール操作 / トラブル対応 / グレーゾーン
- 具体例を必ず含む(「たとえば○○の場合は...」)

⚠️ このプロンプトの出力はFAQ草案です。自社の就業規則・情報管理規程との整合性を確認してから社内展開してください。

プロンプト⑤:定期見直しチェックリスト

あなたは情報セキュリティマネージャーです。
以下の条件で「AI利用ガイドライン 四半期見直しチェックリスト」を作成してください。

■ 条件
- 見直し頻度: 四半期(1月/4月/7月/10月)
- 確認観点: 法令改正 / ツール機能変更 / インシデント振り返り / 現場ヒアリング / 他社事例
- 参照すべき情報源: 経産省AI事業者ガイドライン更新、IPA注意喚起、許可ツールのリリースノート

■ 出力形式
- チェックリスト形式(□ で始まる項目、20個程度)
- 各項目に確認方法(URLや担当者の確認先)を併記
- 最後に「見直し結果サマリーテンプレート」(A4半ページ)を追加

⚠️ このプロンプトの出力は見直しの参考フレームです。自社のPDCAサイクルに合わせてカスタマイズしてください。

【要注意】よくある失敗パターンと回避策

100社以上の研修・コンサル経験から構成した想定シナリオとして、AI利用ガイドライン策定でよく見る失敗を4つ紹介します。

❌ 失敗1:全面禁止にしたらシャドーAIが横行した

❌ 「生成AIの業務利用を一切禁止する」と社内通達を出した
⭕ 「許可ツールを指定し、入力情報のレベルだけ制限する」に変更

全面禁止は最悪の選択肢です。社員は便利なツールを使いたいので、会社にバレないように個人アカウントで使い始めます。これがシャドーAIです。IBM調査ではシャドーAI関連のセキュリティ事故を経験した企業は20%に達しています(IBM 2024年調査)。全面禁止が逆にリスクを高めているんです。「使わせない」ではなく「安全に使わせる」が正解です。

❌ 失敗2:100ページの規程を作ったら誰も読まなかった

❌ 大企業のテンプレートをそのまま導入(50〜100ページ)
⭕ A4で2枚の「やっていいこと/ダメなこと」リスト + 詳細はFAQに分離

20名の会社に100ページの規程は過剰です。「え、これ全部読むんですか?」で終わります。全社員が5分で読める分量が理想。細かいケースバイケースの判断は「FAQ」に逃がし、本体は禁止事項5つ+許可ツール一覧+承認フローだけにする。これが「読まれる規程」のコツです。

❌ 失敗3:IT部門だけで策定して現場に無視された

❌ 情シスが単独でルール策定→営業部「この承認フロー、商談の合間にやるの無理です」
⭕ 各部門から1名ずつ「AI利用推進委員」を選出→現場の声を反映した実用的なルールに

ルールを守るのは現場の社員です。営業が毎日使う場面、経理が月次決算で使う場面、人事が採用で使う場面——それぞれの業務フローを知らないIT部門だけで作ると「そんな運用、うちの部署では無理」と一蹴されます。策定段階から営業・経理・人事の代表者を巻き込むのが鉄則。巻き込むコストは、ルールが形骸化して事故が起きるコストに比べれば微々たるものです。

❌ 失敗4:策定して終わりにしたら半年で陳腐化した

❌ 2025年12月に策定→2026年3月にAI事業者ガイドラインv1.2公表→対応できず放置→社員「このルール古くない?」
⭕ 四半期見直しサイクルをガイドライン本文に明記→バージョン管理で更新を見える化

AIの進化速度は3ヶ月で景色が変わります。2026年だけでもAI事業者ガイドラインv1.2の公表(3月)、GPT-5のリリース、各社のAIエージェント機能強化が相次ぎました。「作って終わり」は半年後に役に立たない文書になります。Step 7の定期見直しサイクルを必ず組み込み、更新のたびにバージョン番号を上げてください。

AI活用、何から始めればいい?

100社以上の研修実績をもとに、30分の無料相談で貴社の課題を整理します。

無料相談はこちら

業種別カスタマイズのポイント

ガイドラインの骨格(7ステップ・4段階分類)は業種共通ですが、「何がレベルAに入るか」は業種ごとに異なります。ここでは3業種のカスタマイズ例を紹介します。

製造業——図面・設計データの保護が最優先

製造業では「CADデータ」「製造工程のノウハウ」「取引先から預かった図面」がレベルA(AI入力完全禁止)に該当します。不正競争防止法上の「営業秘密」として管理されている情報は特に注意が必要です。

一方で、作業手順書の要約、安全教育資料の多言語化、品質報告書のドラフト作成にはAIが非常に有効。「図面・設計データと工程ノウハウは絶対NG、手順書とマニュアル系はOK」という線引きを明示してください。

士業・コンサル——守秘義務との両立が鍵

弁護士・税理士・社労士は依頼者との守秘義務があります。「依頼者の固有名詞・事件名・係争相手の情報をAIに入力しない」は絶対ルールです。弁護士法23条、税理士法38条等の守秘義務違反は資格停止にもつながりかねません。

一方で、法令の条文要約、判例の論点整理、契約書テンプレートのドラフト作成は大いに活用できます。「固有名詞を全て仮名に置換したうえで、法的論点の整理に使う」のが現実的なラインです。

小売・飲食——顧客データとレシピ情報の分離

POSデータ、顧客の購買履歴、会員情報はレベルA。一方で、店舗のメニュー開発のブレスト、販促キャッチコピーの生成、SNS投稿文案の作成にはAIをフル活用できます。

「お客様の名前・電話番号・購買履歴は絶対に入力しない。メニューのアイデア出しや販促コピーには積極利用OK」——この1文をバックヤードに掲示するだけでも違います。飲食店のオリジナルレシピについては「企業秘密として扱うか否か」を事前に経営者が判断し、レベルA or Bを決めてください。

よくある質問(FAQ)

Q1:AI利用ガイドラインとは何ですか?

AI利用ガイドラインとは、企業が従業員の生成AI利用に関するルール(許可ツール・入力禁止情報・承認フロー・出力確認手順など)を定めた社内規程です。AI事業者ガイドラインv1.2(総務省・経産省 2026年3月公表)に基づき、AI「利用者」としての責任を果たすために策定します。法的義務ではありませんが、情報漏洩やコンプライアンス違反を予防する実務上の必須文書です。判断に迷う場合は、顧問弁護士や情報セキュリティの専門家に相談することを推奨します。

Q2:策定にかかる費用はいくらですか?

自社で策定する場合は実質0円(人件費のみ)です。本記事のプロンプトを使えば、ChatGPT Team(月額1ユーザーあたり25ドル・2026年7月時点の公式料金)で草案を生成し、顧問弁護士のリーガルチェック(相場3〜10万円)を受けて完成します。外部コンサルに全面委託する場合は30〜100万円が相場ですが、20〜50名規模の企業であれば自社策定で十分対応できます。

Q3:無料テンプレートはありますか?

本記事のプロンプト③で生成する草案が実質的な無料テンプレートとして機能します。また、経済産業省がAI事業者ガイドライン活用の手引き(チェックリスト・ワークシート付き)を公開しています(経産省公式 2026年5月時点)。ただし、テンプレートをそのまま使うと自社の業種特性が反映されないため、必ず情報分類マトリクス(プロンプト②)で自社版にカスタマイズしてください。

Q4:AI事業者ガイドラインv1.2と何が違いますか?

AI事業者ガイドラインv1.2は国が定めた「原則・考え方」であり、AIの開発者・提供者・利用者すべてを対象とした包括的な文書(全10原則)です。一方、本記事で解説する「AI利用ガイドライン」は自社の従業員向けに「やっていいこと/ダメなこと」を定めた社内規程です。国のガイドラインの原則を自社の業務に落とし込んだもの、と理解してください。

Q5:従業員10名以下の小規模企業でも必要ですか?

必要です。むしろ小規模企業のほうが1人の情報漏洩インシデントのインパクトが大きい。ただし、策定する分量はA4で1枚(禁止事項5つ+許可ツール名)で十分です。10名以下なら承認フローも「社長に口頭確認」レベルでOK。複雑にしすぎないことが継続の秘訣です。

まとめ:今日から始める3つのアクション

  1. 今日やること(5分)——プロンプト①を使って「AI利用実態アンケート」をChatGPTで生成し、社内Slackかメールで全社員に配信する。「匿名・罰則なし・改善目的」と必ず明記すること
  2. 今週中にやること(2時間)——アンケート結果を集計し、プロンプト②で自社の情報分類マトリクス、プロンプト③でガイドライン草案を作成する。この段階で各部門の代表者にレビューを依頼
  3. 2週間以内にやること(半日)——草案を顧問弁護士に確認依頼→修正→全社説明会を開催→v1.0として施行。四半期見直しの初回日程(次の1月/4月/7月/10月)をカレンダーに入れる

「完璧なガイドライン」を目指す必要はありません。まず60点の軽量版を2週間で走らせ、四半期ごとに80点→90点と改善していく。この「走りながら直す」スタイルが中小企業のAIガバナンスには合っています。最初の一歩が一番重い——今日のアンケート配信が、その一歩です。

次に読むべき記事

参考・出典

  1. 帝国データバンク「生成AIに関する企業の動向調査(2026年3月)」全国23,349社対象・有効回答10,312社・回答率44.2%。https://www.tdb.co.jp/report/economic/20260514-genai/(2026年7月7日参照)
  2. 総務省・経済産業省「AI事業者ガイドライン(第1.2版)」2026年3月31日公表。https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html(2026年7月7日参照)
  3. IPA「情報セキュリティ10大脅威 2026」解説書(組織編)2026年1月29日発表・2026年3月公開。https://www.ipa.go.jp/security/10threats/omgdg50000008fi8-att/kaisetsu_2026_soshiki.pdf(2026年7月7日参照)
  4. 商工中金「中小企業の生成AIの利用にかかる調査(2026年1月調査)」2026年3月31日公表。https://www.shokochukin.co.jp/report/data/assets/pdf/futai202603.pdf(2026年7月7日参照)
  5. IBM「Cost of a Data Breach Report 2025」対象604組織・17業種・16か国。シャドーAI関連データ侵害の追加コスト19万ドル。https://www.ibm.com/reports/data-breach(2026年7月7日参照)
  6. Gartner「69% of organizations detected unauthorized AI usage」2025年調査。https://www.gartner.com/en/newsroom(2026年7月7日参照)

著者プロフィール

佐藤傑(さとう・すぐる)
株式会社Uravation代表取締役。X(@SuguruKun_ai)フォロワー約10万人。
100社以上の企業向けAI研修・導入支援。著書『AIエージェント仕事術』(SBクリエイティブ)。
SoftBank IT連載7回執筆(NewsPicks最大1,125ピックス)。

無料・初回相談

100社以上の支援実績|30分の無料相談で導入設計を一緒に組みます

Claude Code / Codex の社内展開・チーム導入・セキュリティ設計まで、貴社の業務と組織に合わせて伴走支援します。

  • 100社以上の企業支援実績
  • 初回30分無料・即日返信
  • 導入後3ヶ月の伴走付き

お問い合わせフォームから24時間以内にUravation担当者がご返信します。

佐藤傑
この記事を書いた人 佐藤傑

株式会社Uravation 代表取締役CEO/生成AIエバンジェリスト。法人向けAI研修・コンサルティングを手がけ、日経・SBクリエイティブ・GMO等のメディアで生成AIについて執筆。

この記事をシェア

Claude Codeを本格的に使いこなしたい方へ

業務に合わせたマンツーマン指導で、Claude Codeを実務に組み込める状態まで伴走します。
現役エンジニアが貴方の業務に合わせてカリキュラムをカスタマイズ。

✓ 1対1のマンツーマン ✓ 業務に合わせた設計 ✓ 実務ベースの指導
Claude Code 個別指導の詳細を見る まずは無料相談

Contact お問い合わせ

生成AI研修や開発のご依頼、お見積りなど、
お気軽にご相談ください。

Claude Code 個別指導(1対1・12セッション)をご希望の方はこちらから別途お申し込みください

Claude Code 個別指導 無料相談