3 分で読めます

生成AI社内規程のひな形——コピーして使える条文例と業種別カスタマイズガイド

by Kuu株式会社 編集部
生成AI社内規程ガバナンステンプレート

「生成AI社内規程を整備せよ」と指示されたが、条文のひな形がどこにもない。法務担当も「AI規程は前例がない」と困惑し、IT担当が作ろうとしても文言が決まらないまま数週間が過ぎる——そんな状況は珍しくない。

この記事では、中小企業がそのまま流用できる条文例のひな形と、製造業・医療機関・士業事務所への業種別カスタマイズポイントを解説する。生成AI利用規程に含める7条項を既に把握している場合は、この記事の条文例で具体的な文言を補完してほしい。

ひな形を使う前に決める3つの前提事項

生成AI社内規程のひな形を使う前に、適用範囲・対象サービス・責任者の3点を確認し、条文の空欄を埋める手順で整備を進める。

ひな形はあくまで出発点だ。条文の空欄に自社の情報を埋める前に、以下の3点を担当者間で合意する。

①適用範囲: 全従業員・正社員のみ・特定部門のみ——対象範囲で条文の表現が変わる。中小企業では「全従業員(派遣・業務委託含む)」として一本化する企業が多い。外部委託先が自社の生成AI環境を使う場合は、業務委託契約でも遵守を義務付ける条項を設ける。

②対象AIサービス: ChatGPT(どのプラン?)・Claude for Work・Microsoft Copilot——会社として業務利用を認めるサービスをプランまで特定して列挙する。プランを明示しないと個人アカウントと混同される原因になる。承認済みサービスの一覧は第2条に落とし込む。

③運用責任者: 規程の改定権限・違反の判断・インシデント対応の窓口を担う担当者を決める。「情報管理責任者」のような役職を設けるか、既存のIT担当者に権限を付与するかを規程に明記することで、発生時の対応が迷走しなくなる。

コピーして使える条文例(5か条)

生成AI社内規程の条文例は禁止事項・承認ツール・検証義務・インシデント対応・改定の5か条で構成するのが中小企業の標準だ。

以下の条文例を自社の状況に合わせて編集して使用する。【 】の部分は自社情報で置き換える。

第1条(禁止入力情報)

``
従業員は以下の情報を生成AIサービスに入力してはならない。
(1)個人情報(氏名・住所・電話番号・マイナンバー・顔写真等)
(2)顧客の非公開情報(取引条件・未発表の契約内容・価格情報)
(3)未公開の財務情報(決算前の数値・M&A検討内容等)
(4)【自社業種固有の機密情報(下記「業種別カスタマイズ」参照)】
``

第2条(承認済みサービス)

``
業務利用を認める生成AIサービスは以下に限る。
・【ChatGPT Team(法人契約版)】
・【Claude for Work】
・【Microsoft Copilot for M365】
上記以外のサービスの業務利用を禁止する。
新たなサービスの追加は第5条の承認手続きによる。
``

第3条(出力の確認義務)

``
生成AIの出力を社外文書・メール・報告書に使用する場合、
担当者は送付前に以下を確認する義務を負う。
(1)事実関係の正確性(ハルシネーションの有無)
(2)個人情報・機密情報が含まれていないこと
(3)第三者の著作物への類似がないこと
``

第4条(インシデント報告)

``
禁止入力情報を誤って送信した場合、発覚後24時間以内に
【情報管理責任者(氏名または役職)】に報告する。
報告内容:使用サービス名・入力した情報の種類・発生日時
報告を行った従業員は本件に起因する不利益を受けない。
``

第5条(改定手続き)

``
本規程は【四半期 / 半年 / 年1回】の頻度で改定を行う。
改定権限者:【情報管理責任者(氏名または役職)】
改定内容は改定後5営業日以内に全従業員に周知する。
``

業種別カスタマイズポイント

製造・医療・士業の3業種は取り扱う情報の性質が異なるため、禁止入力情報の定義を業種特性に合わせて修正することが必須だ。

製造業

製造業では「図面・仕様書・材料配合比率」「下請けへの発注価格」「未発表の製品企画」を第1条の(4)に追加する。品質管理データに個人情報が混在していることがあるため、「記録データの入力前に個人情報を除外する」手順を運用ルールに付記するとよい。

医療・クリニック

患者の診療情報・処方内容はすべて要配慮個人情報であり、生成AIへの入力は原則禁止とする。使用できる場面を「匿名化した症例をもとにした文書作成補助に限定する」と明記して用途を絞る。医療機関のAI導入コンプライアンスも合わせて参照してほしい。

士業事務所

弁護士・税理士・社労士は守秘義務を負うため、「依頼人名・事件番号・顧問先の財務情報・労務データ」を第1条に明示する。業界団体のガイドラインが改訂された場合を第5条の改定トリガーとして「業界ガイドライン更新時は都度見直す」と追記することで形骸化を防げる。

Kuu株式会社では、AIエージェントガバナンス支援として社内規程ひな形の業種別カスタマイズから、従業員への周知・定着支援まで一貫して提供している。

まとめ

生成AI社内規程のひな形は、禁止入力情報・承認済みサービス・出力確認義務・インシデント報告・改定手続きの5か条で構成し、【 】の空欄を自社情報で埋めるだけで最低限の規程が完成する。

業種ごとに禁止情報の範囲が異なるため、製造・医療・士業はそれぞれ第1条を中心に調整が必要だ。規程策定の後は、エージェントガバナンスの体制整備を次のステップとして検討してほしい。まずは無料相談から現状を共有してほしい。

関連記事

生成AIで機密情報は漏洩するか——流出経路の実態と中小企業が今すぐ取れる5つの対策生成AI利用規程テンプレート——中小企業が今すぐ整備すべき7つの条項ChatGPT社内利用規程を今すぐ作る——中小企業向けテンプレートと3つの必須条項生成AIとデータクリーンルーム——機密情報を守りながら中小企業がAIを活用する3つの方法
← ブログ一覧へ戻る