# 生成AI社内規程のひな形——コピーして使える条文例と業種別カスタマイズガイド > 生成AI社内規程のひな形(条文例)を解説。ChatGPT・Claude等の業務利用に対応したコピー可能な条文例と、製造・医療・士業向けカスタマイズポイントを紹介します。 - Canonical: https://kuucorp.com/blog/generative-ai-internal-policy-guide/ - Date: 2026-05-26 - Last modified: 2026-05-26 - Publisher: Kuu株式会社 (https://kuucorp.com) --- 「生成AI社内規程を整備せよ」と指示されたが、条文のひな形がどこにもない。法務担当も「AI規程は前例がない」と困惑し、IT担当が作ろうとしても文言が決まらないまま数週間が過ぎる——そんな状況は珍しくない。 この記事では、中小企業がそのまま流用できる条文例のひな形と、製造業・医療機関・士業事務所への業種別カスタマイズポイントを解説する。[生成AI利用規程に含める7条項](/blog/ai-usage-policy-template-sme/)を既に把握している場合は、この記事の条文例で具体的な文言を補完してほしい。 ## ひな形を使う前に決める3つの前提事項 > 生成AI社内規程のひな形を使う前に、適用範囲・対象サービス・責任者の3点を確認し、条文の空欄を埋める手順で整備を進める。 ひな形はあくまで出発点だ。条文の空欄に自社の情報を埋める前に、以下の3点を担当者間で合意する。 **①適用範囲**: 全従業員・正社員のみ・特定部門のみ——対象範囲で条文の表現が変わる。中小企業では「全従業員(派遣・業務委託含む)」として一本化する企業が多い。外部委託先が自社の生成AI環境を使う場合は、業務委託契約でも遵守を義務付ける条項を設ける。 **②対象AIサービス**: ChatGPT(どのプラン?)・Claude for Work・Microsoft Copilot——会社として業務利用を認めるサービスをプランまで特定して列挙する。プランを明示しないと個人アカウントと混同される原因になる。承認済みサービスの一覧は第2条に落とし込む。 **③運用責任者**: 規程の改定権限・違反の判断・インシデント対応の窓口を担う担当者を決める。「情報管理責任者」のような役職を設けるか、既存のIT担当者に権限を付与するかを規程に明記することで、発生時の対応が迷走しなくなる。 ## コピーして使える条文例(5か条) > 生成AI社内規程の条文例は禁止事項・承認ツール・検証義務・インシデント対応・改定の5か条で構成するのが中小企業の標準だ。 以下の条文例を自社の状況に合わせて編集して使用する。【 】の部分は自社情報で置き換える。 ### 第1条(禁止入力情報) ``` 従業員は以下の情報を生成AIサービスに入力してはならない。 (1)個人情報(氏名・住所・電話番号・マイナンバー・顔写真等) (2)顧客の非公開情報(取引条件・未発表の契約内容・価格情報) (3)未公開の財務情報(決算前の数値・M&A検討内容等) (4)【自社業種固有の機密情報(下記「業種別カスタマイズ」参照)】 ``` ### 第2条(承認済みサービス) ``` 業務利用を認める生成AIサービスは以下に限る。 ・【ChatGPT Team(法人契約版)】 ・【Claude for Work】 ・【Microsoft Copilot for M365】 上記以外のサービスの業務利用を禁止する。 新たなサービスの追加は第5条の承認手続きによる。 ``` ### 第3条(出力の確認義務) ``` 生成AIの出力を社外文書・メール・報告書に使用する場合、 担当者は送付前に以下を確認する義務を負う。 (1)事実関係の正確性(ハルシネーションの有無) (2)個人情報・機密情報が含まれていないこと (3)第三者の著作物への類似がないこと ``` ### 第4条(インシデント報告) ``` 禁止入力情報を誤って送信した場合、発覚後24時間以内に 【情報管理責任者(氏名または役職)】に報告する。 報告内容:使用サービス名・入力した情報の種類・発生日時 報告を行った従業員は本件に起因する不利益を受けない。 ``` ### 第5条(改定手続き) ``` 本規程は【四半期 / 半年 / 年1回】の頻度で改定を行う。 改定権限者:【情報管理責任者(氏名または役職)】 改定内容は改定後5営業日以内に全従業員に周知する。 ``` ## 業種別カスタマイズポイント > 製造・医療・士業の3業種は取り扱う情報の性質が異なるため、禁止入力情報の定義を業種特性に合わせて修正することが必須だ。 ### 製造業 製造業では「図面・仕様書・材料配合比率」「下請けへの発注価格」「未発表の製品企画」を第1条の(4)に追加する。品質管理データに個人情報が混在していることがあるため、「記録データの入力前に個人情報を除外する」手順を運用ルールに付記するとよい。 ### 医療・クリニック 患者の診療情報・処方内容はすべて要配慮個人情報であり、生成AIへの入力は原則禁止とする。使用できる場面を「匿名化した症例をもとにした文書作成補助に限定する」と明記して用途を絞る。[医療機関のAI導入コンプライアンス](/blog/medical-healthcare-ai-compliance/)も合わせて参照してほしい。 ### 士業事務所 弁護士・税理士・社労士は守秘義務を負うため、「依頼人名・事件番号・顧問先の財務情報・労務データ」を第1条に明示する。業界団体のガイドラインが改訂された場合を第5条の改定トリガーとして「業界ガイドライン更新時は都度見直す」と追記することで形骸化を防げる。 Kuu株式会社では、[AIエージェントガバナンス支援](https://kuucorp.com/services/ai-ops/)として社内規程ひな形の業種別カスタマイズから、従業員への周知・定着支援まで一貫して提供している。 ## まとめ 生成AI社内規程のひな形は、禁止入力情報・承認済みサービス・出力確認義務・インシデント報告・改定手続きの5か条で構成し、【 】の空欄を自社情報で埋めるだけで最低限の規程が完成する。 業種ごとに禁止情報の範囲が異なるため、製造・医療・士業はそれぞれ第1条を中心に調整が必要だ。規程策定の後は、[エージェントガバナンス](/glossary/agent-governance/)の体制整備を次のステップとして検討してほしい。まずは[無料相談](https://kuucorp.com/services/ai-ops/)から現状を共有してほしい。