昨今、ChatGPTをはじめとする生成AIの進化は目覚ましく、多くの企業が業務効率化のために導入を検討しています。人事労務部門の皆様にとっても、社員の生産性向上は大きなテーマである一方、「情報漏洩は起きないか」「著作権侵害などのトラブルに巻き込まれないか」といった不安を抱えているのではないでしょうか。
AIは強力なツールですが、社員が安全に、かつ最大限にAIの恩恵を受けられるようにするためには、会社としての明確なルール、すなわち「生成AI利用規程」の策定が不可欠です。
本記事では、人事労務担当者が知っておくべき生成AI利用規程の必要性と根拠を解説するとともに、そのまま自社向けにアレンジして使える「利用規程」のサンプルをご紹介します。
- 機密情報・個人情報の漏洩や著作権侵害、ハルシネーションなどのリスクを防ぎ、社員が安心して業務に活用できるようにするためには、会社としての明確なルール(生成AI利用規程)の策定が不可欠。
- 規程内には利用可能なAIサービスや入力情報の制限を明記する。
- AIの業務利用を全面的に禁止するのではなく、学習に利用されない法人プランの導入など安全な環境を整備した上で、ルールを守って組織全体で前向きに活用していく姿勢が重要。
なぜ「生成AI利用規程」が必要なのか
AIを社内に導入する際、ルールなしに「自由に使っていいよ」と現場に丸投げするのは危険です。規程を設ける根拠と必要性は、主に以下の3つのリスクマネジメントにあります。
機密情報・個人情報の漏洩リスクを防ぐため
プロンプト(指示文)を通じたAIへのデータ入力は、クラウド側での学習データとしての二次利用や、予期せぬデータ流出のリスクを伴います。個人情報保護委員会からも、生成AIサービスの利用にあたり「個人情報を含むプロンプト入力に関する注意喚起」が発出されています。
未発表の事業計画、顧客データ、ソースコード等の営業秘密(不正競争防止法上の保護対象)がAIの学習モデルに組み込まれる事態を防ぐため、規程において「入力情報の機密レベル(情報分類)別の可否」や「オプトアウト(学習利用の拒否)設定の義務付け」を明確に定義し、情報漏洩の経路を物理的・システム的に遮断する必要があります。
なお、無料版でも設定画面からオプトアウト可能な場合もありますが、ヒューマンエラーを防ぐために法人プランの導入が推奨されます。
参考:個人情報保護委員会:「生成AIサービスの利用に関する注意喚起等について」
著作権侵害やハルシネーション(虚偽情報)への対策
AIが生成した文章や画像が、既存の著作物と類似しており、知らずに自社のコンテンツとして発表してしまうと著作権侵害に問われる可能性があります。
また、AIはハルシネーション(もっともらしい嘘)をつくことがあります。「生成物をそのまま鵜呑みにせず、必ず人間が事実確認をする」という義務をルール化しなければなりません。
生成AIの出力結果には、既存の著作物と類似していることで発生する著作権法違反のリスクや、ハルシネーション(もっともらしい虚偽情報の生成)による誤情報の拡散や業務上の重大な判断ミスのリスクが常に内在しています。
文化庁の「AIと著作権に関する考え方について」でも示されている通り、生成物の利用が他者の著作権侵害に該当した場合、企業は損害賠償や差止請求を受ける可能性があります。
生成AIによる成果物を外部へ公開する場合は、規程において、「既存著作物との類似性チェックの義務化」や「人間による最終的な事実確認(ヒューマン・イン・ザ・ループ)」を制度化することも検討しましょう。
参考:文化庁「AIと著作権に関する考え方について」
社員の心理的安全性と責任所在の明確化
規程が整備されていない状態でトラブルが発生すると、その責任が社員個人に押し付けられかねず、結果として現場はAI活用に慎重になってしまいます。「ここまでの範囲なら使ってOK」「このルールを守れば安全」という基準を明示することで、会社としてのリスクを最小限に抑えながら、社員が安心して業務効率化に挑戦できる環境を整えることができます。
なお、経済産業省などが示す各種ガイドラインでも、AI利用における組織的な責任体制(AIガバナンス)の構築が推奨されています。具体的には、経営層のリーダーシップのもとでリスク管理の方針を策定し、関係者間の責任の所在を契約や社内規程によって明確化することが求められています。
社内に生成AI利用規程を整備することは、単なる社内ルールづくりにとどまらず、会社として対外的な説明責任を果たすためにもなります。
【サンプル】生成AI利用規程
下記は「生成AI利用規程」のサンプルです。
生成AI利用規程
第1条(目的)
本規程は、会社における生成AI(以下「AIサービス」という)の適切な業務利用に関する基準を定めることにより、業務効率化および生産性の向上を促進するとともに、情報漏洩や権利侵害等のリスクを防止することを目的とする。
第2条(適用範囲)
- 本規程は、当社の役員、正社員、契約社員、パート社員、派遣社員、および業務委託先のうち当社業務に従事するすべての者(以下「利用者」という)に適用する。
- 派遣社員および業務委託先等、当社と雇用関係にない者については、当該委託契約等において本規程の遵守を義務付けるものとする。ただし、業務委託契約書等において本規程と異なる別途の定めがある場合は、当該個別の契約内容を優先して適用するものとする。
第3条(利用可能なAIサービスおよび未承認サービスの利用禁止)
- 利用者が業務において利用できるAIサービスは、会社が事前に承認し、別紙「承認済みAIサービス一覧」に定めるもののみとする。
- 利用者は、前項に定める以外のAIサービス(個人の無料・有料アカウントを含む)を業務において利用してはならない。新たなAIサービスの利用を希望する場合は、事前に所定の手続きにより{管理部門}の承認を得るものとする。
第4条(利用における遵守事項)
利用者は、AIサービスを利用するにあたり、以下の各号に掲げる行為をしてはならない。
(1) 私的利用その他業務遂行と無関係な目的での利用
(2) 公序良俗に反する内容、または他者を差別、誹謗中傷する内容を生成させる行為
(3) 第三者の著作権、商標権、意匠権等の知的財産権を侵害するおそれのある利用
(4) 会社の信用または名誉を毀損するおそれのある利用
(5) その他、法令または社内規程に違反する利用
第5条(入力情報の制限)
利用者は、AIサービスに対し、プロンプト(指示文)等として以下の各号に定める情報を入力してはならない。
(1) 個人情報および特定個人情報(マイナンバー等)
(2) 顧客、取引先等の第三者から秘密保持義務を負って開示を受けた情報。ただし、事前に会社の承認を得た場合または当該第三者の書面による同意を得た場合を除く
(3) 会社の未公表の技術情報、ノウハウ、顧客リスト、財務情報、人事情報その他秘密として管理されている情報
(4) 第三者が著作権を有する文章、画像、プログラムコード等(著作権侵害に該当しない引用等の正当な範囲内の利用を除く)
第6条(出力情報の取扱いおよび権利帰属)
- 利用者は、AIサービスにより生成された情報(以下「生成物」という)に、事実と異なる情報や偏見が含まれる可能性(ハルシネーション)があることを認識し、業務に使用する前に自己の責任において内容の正確性および妥当性を検証しなければならない。
- 利用者が業務上AIサービスを利用して得た生成物、およびこれを利用して作成した成果物に関する著作権その他の知的財産権は、会社に帰属するものとする。
第7条(生成物の外部公開等の制限)
利用者は、生成物または成果物を以下の各号に該当する用途に使用する場合、事前に所属長および情報管理責任者の承認を得なければならない。
(1) ウェブサイト、SNS、プレスリリース等の外部への公開
(2) 会社が提供する商品またはサービス(プログラム等を含む)への組み込み
第8条(報告・相談窓口)
- 本規程の解釈や運用に関する相談窓口は、{管理部門}とする。
- 利用者は、誤って第5条に定める情報を入力した場合、または生成物が第三者の権利を侵害しているおそれがあることを発見した場合は、直ちに前項の窓口に報告し、その指示に従わなければならない。
第9条(違反時の措置)
- 会社は、利用者が本規程に違反した場合、または違反するおそれがあると認めた場合、当該利用者に対するAIサービスの利用権限の停止、または社内システムへのアクセス制限等の必要な措置を講じることがある。
- 前項のほか、本規程に違反し、情報漏洩、第三者の権利侵害その他の損害を会社または第三者に生じさせた場合、もしくは就業規則の懲戒事由に該当する場合は、就業規則の定めに従い懲戒処分を行うことがある。
- 利用者が業務委託先等の従業員以外の者である場合において、本規程に違反し、会社に前項の損害を生じさせたときは、会社は当該契約の解除および損害賠償の請求等の措置を講じることがある。
第10条(規程の見直し)
本規程は、生成AIサービスおよび関連法令の変化を踏まえ、四半期ごとに見直すものとする。
附則
本規程は、20XX年X月X日より施行する。
別紙 承認済みAIサービス一覧
20XX年X月X日
本一覧は、「生成AI業務利用規程(以下「本規程」という)」第3条第1項に基づき、利用者が業務において利用できるAIサービスおよびその利用条件を定めるものである。
1.全利用者が利用可能なAIサービス
以下のAIサービスは、業務上の必要性がある場合に限り、本規程の適用範囲に属するすべての利用者が利用できるものとする。ただし、指定されたプランおよび会社が付与するアカウントでの利用に限る。
| AIサービス名 | 提供元 | 利用条件および指定アカウント |
| ChatGPT | OpenAI | 会社が契約・貸与する法人向けアカウント(TeamまたはEnterpriseプラン)による利用に限る。 |
| Claude | Anthropic | 会社が契約・貸与する法人向けアカウント(Teamプラン等)による利用に限る。 |
| Google Gemini | 会社が付与する社内用Google Workspaceアカウントでログインした状態での利用に限る。 | |
| Microsoft Copilot | Microsoft | 会社が付与する社内用Microsoft 365アカウントでログインした状態での利用に限る。 |
2.特定部門のみ利用可能なAIサービス
以下のAIサービスは、外部システムとの連携や自律的なタスク実行を伴い、特段のセキュリティ管理を要するため、情報システム部およびAI推進部に所属する利用者に限り利用を承認する。
| AIサービス名 | 提供元 | 利用条件および留意事項 |
| Claude Code | Anthropic | ・開発、検証、および社内業務の自動化目的に限定する。・社内データベースや外部APIと連携させる場合は、事前に情報管理責任者の審査および承認を得ること。 |
3.アカウント管理および共通遵守事項
(1)私用アカウント利用の禁止
第1項および第2項に定めるAIサービスであっても、会社が付与するアカウント以外(個人の無料・有料アカウント等)において業務データを入力してはならない。
(2)アカウントの貸与等の禁止
利用者は、会社から付与されたAIサービスのアカウント情報(ID、パスワード等)を、社内外を問わず第三者に貸与、共有、または譲渡してはならない。
(3)一覧の更新および新規申請
本一覧に記載された承認済みAIサービスおよび利用条件は、本規程第10条に準じて定期的に見直しを行う。本一覧に記載のない新たなAIサービスの利用を希望する場合は、本規程第3条第2項の定めに従い事前申請を行うこと。
生成AI利用規程の作成時のポイント
本記事で掲載している生成AI利用規程について一つひとつポイントを解説します。
適用範囲
自社の社員には規程によって規制ができますが、派遣社員や業務委託先(フリーランス等)には直接的な懲戒権が及びません。
そのため、派遣契約や業務委託契約のひな型を見直し、「業務遂行にあたり当社の生成AI利用規程を遵守すること」という一文を盛り込む、あるいは別途覚書を交わすことも検討しましょう。
また、「業務委託先が自身のPC環境で独自に契約しているAIを使って成果物を作成する」というケースも現実的にはあり得ます。そのため、但し書きとして業務委託契約書を優先することを規定しています。
利用可能なAIサービスと未承認サービスの利用禁止
会社が許可したサービス(別紙に記載)のみを利用させ、いわゆる「シャドーAI(会社で許可されていないAIツールを無断利用すること)」を禁止するための条項です。
別紙にあるように、ChatGPTやClaudeなどを「会社が契約・貸与する法人向けアカウント」に限定している点が最大のポイントです。無料版のAIサービスは、入力したプロンプト(指示文)やデータがAIの学習に利用される懸念があります。一方、法人向け(Enterpriseプラン等)は学習に利用されない契約となっているため、この使い分けを社員に徹底させる必要があります。
ただし、「社員が私物のスマホで、個人で課金しているChatGPT Plusを使って業務の企画書を下書きした」というケースもあります。本人は「有料版だから学習されないし安全だ」と主張するかもしれませんが、会社の目が届かないところで個人アカウントに業務データを移管している時点で、情報持ち出し(セキュリティ違反)に該当するため、利用規程の周知だけではなく、社内教育も重要になります。
利用における遵守事項
AIはインターネット上の膨大なデータを学習しているため、出力された画像や文章が、意図せず既存のキャラクターや他社の著作物に酷似してしまうことがあります。社員には「AIが出力したからといって著作権フリーとは限らない」という教育を徹底することが大切です。
入力情報の制限
「迷ったら入力しない」「固有名詞はA社、B氏などに置き換えて入力する(マスキング処理)」という具体的な運用を現場に周知することが求められます。
ただし、例えば「自動車業界トップで愛知県に本社があるA社」と入力した場合、社名を伏せても文脈から特定の企業が容易に推測できてしまいます。AIに対するプロンプトでどこまで抽象化すれば安全なのかは、現場でも判断が分かれるグレーゾーンです。基本的には「推測可能な情報はすべて機密情報と同等に扱う」という保守的なスタンスをとりましょう。
生成物の外部公開等の制限
外部公開するものは、炎上リスクや著作権侵害リスクがあります。そのため、「所属長および情報管理責任者の承認」というフローを設けています。広報部門や法務部門と連携し、「AI生成物を含むコンテンツの外部公開ガイドライン」などを別途作成しておくと実務がスムーズに回ります。
報告・相談窓口・違反時の措置
人事労務として最も注意すべきは「心理的安全性の担保」です。第8条2項にあるように、社員が誤って機密情報を入力してしまった場合、懲戒処分を恐れて隠蔽されるのが会社にとって大きなリスクとなります。「すぐに報告する」といった運用方針を示すことが大切です。
違反時の措置については、自社の「就業規則」の懲戒規程と必ず整合性を取りましょう。ただし、現実的にはすぐには懲戒処分とせず、注意や教育を重視し、場合によっては入力情報の制限を見直しながら運用することが、生成AIの活用・浸透の促進につながります。
別紙「承認済みAIサービス一覧」を分ける意味と運用
サンプルでは、別添の「承認済みAIサービス一覧」を本規程から切り離して作成しました。これはAIサービスは「昨日まで安全だった機能がアップデートで仕様変更された」「新しい高機能な国産AIが登場した」といったことが日常茶飯事だからです。
そのため、具体的なサービス名や利用条件は「別紙」として切り出し、所管部門(情報システム部やAI推進部)の権限でスピーディに更新・追加ができる二段構えの構成にしておくことが、運用上スムーズに手続きが進む想定で作成しました。
第2条にあるような「特定部門のみ利用可能な高度なAI(自律型エージェントなど)」の要件も、別紙であれば柔軟に見直すことが可能です。
生成AI利用規程に関するQ&A
- 社員がどのようなプロンプト(指示文)を入力しているか、会社として監視・チェックすることは可能ですか?
-
法人契約(Enterpriseプラン等)のAIサービスを利用している場合、管理者が従業員の入力ログを取得・監視できる機能が備わっているのが一般的です。ただし、社員のプライバシー保護の観点から、無断で監視するのではなく、「不正の調査や監査の目的で、会社が利用ログを確認する場合がある」旨を、事前の研修や利用ガイドラインなどで周知しておきましょう。
- AIの利用を全面的に禁止してもよいでしょうか?
-
業種や業務にもよりますが、基本的には会社全体で全面的に禁止することは推奨しません。競合他社がAIを活用して業務時間を削減させている中、全面禁止は企業の競争力低下につながる可能性があります。また、全面的に禁止することでシャドーAI(会社で許可されていないAIツールを無断利用すること)を誘発するリスクもあります。
リスクを恐れて禁止するのではなく、「安全な環境(法人契約環境)を用意した上で、ルールを守って積極的に活用させる」ことが望ましいでしょう。
- 法人プランでAIに学習されないのに、なぜ個人情報を入れてはいけないのですか?
-
学習に使われなくても、入力したデータはAIサービスのサーバーに一時的、あるいは履歴として一定期間保存されます。万が一、AI提供元のシステムに脆弱性があったり、サイバー攻撃を受けたりした場合、または従業員のアカウントが乗っ取られた場合に個人情報が漏洩するリスクが残ります。
人事労務の業務で言えば、評価コメントの要約、採用面接の文字起こしデータの整理、労務相談の文章作成など、個人情報をAIに処理させたい場面が多く発生すると思います。
その場合は、「マスキング(匿名化)」を行ってからAIに入力する運用を原則とすることが大切です。
まとめ
生成AIの業務利用が進む中、情報漏洩や著作権侵害などのリスクを防ぎ、安全かつ効果的に活用するには「生成AI利用規程」の策定が不可欠です。
規程には適用範囲や入力制限、外部公開時の承認ルールなどを明記し、変化の激しい対象サービスの一覧は別紙で管理することで、柔軟に更新していく運用手法を推奨しています。
リスクを恐れて利用を全面的に禁止するのではなく、企業として適切なルールと安全な環境を整備し、組織全体で前向きにAIを活用していきましょう。
で有給休暇管理表を作る方法-300x200.jpg)
