1 ルールを定めてますか? 生成AIの業務利用
生成AIとは、
プロンプト(実行してほしいタスク、質問、依頼内容を伝える命令文や指示文)を与えることで、テキスト・画像・動画・音声など多様な形式のコンテンツを新たにつくり出す人工知能の一種
です。
OpenAIのChatGPT、MicrosoftのCopilot、GoogleのGeminiなど、大規模言語モデル(LLM)を基盤とする自然言語対話型生成AIが身近になり、日常的に活用する人も増えています。さらに、AnthropicのClaudeをはじめ、生成AIは単にプロンプトに回答するだけの域を超え、問題解決や目標達成に向けて自律的に動作する「AIエージェント」として進化を遂げつつあります。
生成AIやAIエージェントをうまく活用すれば、これまでの業務・作業を劇的に変革し、圧倒的に効率化できます。一方で、
- 情報漏洩や回答の不正確性
- アンコンシャスバイアス(自分自身では気づかない「物事の捉え方の歪みや思い込み」)
- AIによる生成物が既存の著作物に類似し、意図せず著作権を侵害してしまうリスクや、著作物として保護されないリスク
など、様々な問題も指摘されており、AIが生成した回答の根拠や裏付けの確認など、適切な対応が求められます。
会社として、AI活用に向けた検討や取り組みを進めていく上で必要となるのが、組織としてのルールです。この記事では、社員にAIを適切に利用させていくために、専門家が監修した「生成AI利用規程」のひな型を紹介します。
2 生成AI利用規程のひな型
以降で紹介するひな型などは一般的な事項をまとめたものであり、個々の企業によって定めるべき内容が異なってきます。実際にこうした規程を作成する際は、必要に応じて専門家のアドバイスを受けることをお勧めします。
【生成AI利用規程】
第1章 総則
第1条(目的)
本規程は、〇〇株式会社(以下「会社」という)における生成AI(人工知能)ツールの業務利用に関する安全基準および利用ルールを定める。これにより、業務の効率化を図るとともに、情報漏洩、権利侵害、不当な差別やバイアスの発生等のAI固有のリスクを防止することを目的とする。
第2条(定義)
本規程において「生成AI」とは、文章、画像、プログラムコード、音声等を自動的に生成するAI技術およびそのサービス(ChatGPT、Copilot、Gemini、Claudeなど)をいう。
第3条(適用範囲)
本規程は、会社のすべての役員、正社員、契約社員、パート・アルバイト、および会社の指示に基づき業務に従事する者(以下「従業員等」という)に適用する。
第2章 利用体制および遵守事項
第4条(利用可能なツールと導入手続き)
1)従業員等は、会社が事前に承認し、指定した生成AIツール(以下「指定ツール」という)のみを業務に利用できる。個人契約のアカウントや未承認のツールを業務に利用してはならない。
2)新たな生成AIツールを業務に導入しようとする場合は、事前に「AIシステム影響評価」およびリスクアセスメントを行い、経営層または情報セキュリティ責任者の承認を得なければならない。
第5条(入力データの制限)
従業員等は、生成AIにプロンプト(指示文)を入力する際、次の情報を入力してはならない。
- 顧客、取引先、および自社の個人情報
- 会社の営業秘密、財務情報、未公開の技術情報、インサイダー情報、その他の機密情報
- 取引先との間で秘密保持義務を負っている情報
第6条(設定の義務)
指定ツールの利用にあたっては、入力したデータがAIの追加学習に利用されないよう、データ不保持(オプトアウト)の設定を必須とする。
第3章 成果物の検証と責任
第7条(権利侵害および不当なバイアスの防止)
1)従業員等は、生成AIの出力物(以下「成果物」という)を業務に利用する場合、第三者の著作権、商標権、意匠権等の知的財産権、および肖像権・プライバシー権を侵害していないことを確認しなければならない。
2)従業員等は、生成AIの出力結果に偏見や不公平な評価(アルゴリズムによるバイアス)が含まれていないかを確認し、特定の個人や集団を不当に差別・排除することのないよう配慮しなければならない。
第8条(ファクトチェックおよび説明可能性の確保)
1)生成AIは誤った情報を出力する可能性がある(ハルシネーション)ことを理解し、従業員等は成果物の内容について、必ず公的情報や信頼できるデータ等に基づき事実確認(ファクトチェック)を行わなければならない。
2)顧客や取引先から、AIを用いた判断や成果物について根拠の提示を求められた場合、その作成・出力プロセスについて合理的な説明ができる状態(説明可能性の確保)を維持するよう努めなければならない。
第9条(業務責任)
成果物を実際の業務(提案書、プログラム、外部公開記事等)に採用した場合、その内容に関する最終的な責任は当該業務を担当した従業員等およびその管理職が負う。生成AIが誤出力をしたことを理由に責任を免れることはできない。
第4章 禁止事項、外部委託、および運用
第10条(禁止される業務)
次の業務に関し、生成AIの単独、または主たる利用を禁止する。
- 法的効力を持つ契約書、規程類の最終確定
- 人事評価、採用合否の最終決定
- 安全性や人命に関わる重要システムのコード実装(人間のレビューがない場合)
第11条(外部ベンダーおよび第三者管理)
業務を外部に委託する際、委託先が生成AIを利用する場合は、本規程と同等のセキュリティ基準および倫理基準を満たしていることを契約等で明確に義務付け、必要に応じて管理・監査を行わなければならない。
第12条(教育・研修)
会社は、従業員等に対し、生成AIの安全な利用に関する教育や情報セキュリティ研修を定期的に実施する。従業員等はこれを受講しなければならない。
第13条(違反時の措置)
本規程に違反し、会社に損害を与えた場合、または情報漏洩等を引き起こした場合は、就業規則に基づき懲戒処分の対象とする。
附則
本規程は、2026年〇月〇日より施行する。
以上(2026年6月作成)
(監修 石原法律事務所 弁護士 磯田翔)
pj00822
画像:ESB Professional-shutterstock
<頼もしかった瞬間>