生成AIを安心して使うために｜「入れちゃダメな情報」と「確認の流れ」を決めよう

このルールの対象

• 対象になる人：社員・業務委託先など、仕事で生成AIを使うすべての人
• 対象のツール：ChatGPTなどの外部AI、会社が用意した社内向けAI
• 対象の使い方：文章を書く・要約する・翻訳する・画像を作るなど、AIの結果を仕事に使う行為すべて

ご注意（免責）

このページは、社内ルールの考え方を整理したものです。法律・医療・金融などの個別の判断についてアドバイスするものではありません。契約、法律、医療、金融、セキュリティの判断が関わる場合は、社内の担当部署（法務・情報システム・広報など）や外部の専門家に必ず確認してください。

なぜルールが必要なのか

生成AIは、文章作成・要約・アイデア出しを大幅にラクにしてくれます。一方で、使い方を間違えると次のような事故につながります。

• 入力した情報が外に漏れる
• AIが作った文章をそのまま公開して、誤情報や炎上で信用を落とす

事故の多くは、技術的な問題ではなく「何を入れていいか分からない」「最終チェック担当が決まっていない」といった運用のあいまいさから起きます。だからこそ、まず「入れてはいけない情報」と「確認の手順」をはっきりさせることが先決です。

いますぐやることチェックリスト

• 入れてはいけない情報を「7つの分類」で文章に残す
  個人情報／パスワード類／お客様・取引先情報／社外秘／公開前のデータ・設定・ログ／他人の著作物（許可なし）／医療・金融・法律で慎重に扱うべき内容。
• 承認が必要な場面を決める
  社外公開、お客様対応、契約・法務、採用・人事、セキュリティ判断はチェック必須。
• 承認の流れをシンプルに固定する
  担当者 → 上司（一次確認）→ 必要に応じて情報システム・法務・広報（二次確認）→ 公開前チェック。
• 匿名化のルールを1枚にまとめる
  名前を別の言葉に置き換える／金額は「約○○万円」のようにぼかす／署名や連絡先は消す／ログのIPやIDは隠す。
• 使ってよいAIツールを限定する
  会社が認めたツール・アカウントだけ使い、個人アカウントや無断利用は禁止。
• 公開物にAIの文章をそのまま使わない
  ホームページ・SNS・メルマガに載せる前に、必ず人が読んで事実確認する。
• 使った記録を残す
  「いつ・誰が・どのツールで・何のために使ったか」を残し、万が一のときに原因をたどれるようにする。
• やりがちなNG例を全員に共有する
  契約書をそのまま貼る／お客様の名前を書く／ログをそのまま貼る／お金が動く文章をAI任せにする、など。

入れてはいけない情報（7分類）

• 1）個人情報
  氏名、住所、電話番号、メールアドレス、社員番号、顔写真、音声、履歴書、健康情報など。
• 2）パスワードや認証情報
  ID・パスワード、APIキー、秘密鍵、電子証明書、バックアップコード、ログイン情報など。
• 3）お客様・取引先の情報
  契約書、見積書、発注書、請求書、与信情報、商談の記録、担当者リストなど。
• 4）社外秘・機密情報
  公開前の売上・原価、経営戦略、M&A、採用評価、内部監査、事故報告書など。
• 5）公開前の技術情報
  社内のソースコード、サーバー構成、セキュリティ診断の結果、アクセスログ（IP含む）など。
• 6）他人の著作物（許可なし）
  書籍の全文、会員限定資料、購入したコンテンツの転載など。
• 7）医療・金融・法律の個別判断
  具体的な症状や金融商品、法的トラブルなど、専門家の判断が必要な内容。

入れてもよい情報（条件付き）

• すでに公開されている情報（自社サイト、公開資料、一般的な情報）
• 匿名化・抽象化した業務情報（例：「お客様A」、金額は「約1,200万円」など）
• 文章の校正や要約（ただし機密情報を含まないもの）
• アイデア出し、構成案、見出し案、一般的な手順の整理

匿名化の最低ライン

• 固有名詞（人名・会社名・製品名・案件名）を別の表現に置き換える
• 数値はざっくりした範囲にする（例：¥12,340,000 → 約1,200万円）
• メール文面は、署名・連絡先・識別番号を消す
• ログはIP・ユーザーID・URLの一部をマスクする

承認の流れ（誰がストップをかけるかまで決める）

承認が必要になる主な場面

• お客様への文章、プレスリリース、採用・人事、契約・法務関連の文書
• 社外公開（ホームページ・SNS・メルマガ）に使う文章や画像
• 仕様・設計・セキュリティの判断を含む内容
• 「入れてもよい情報」でも、判断が割れる、炎上の恐れがある、法的リスクがある場合

標準フロー（最小構成）

• Step 0：分類（担当者）
  入れる情報を「公開／社内／機密／個人情報」に分類。機密や個人情報が含まれていたらそこで終了（社内専用ツールや別の方法を使う）。
• Step 1：匿名化（担当者）
  名前を消す、金額をぼかすなどの処理を行う。
• Step 2：一次確認（上司またはプロジェクト責任者）
  目的、入れる内容、出力の使い道をチェック。
• Step 3：二次確認（条件付き／情報システム・セキュリティ担当）
  外部AIの利用、社外公開、契約・法務・広報案件はここを必須にする。
• Step 4：実行と記録（担当者）
  いつ、どのツールで、何の目的で使ったかを記録する。
• Step 5：公開前チェック（広報・法務・品質）
  誤情報、著作権、名誉毀損、誇大表現、機密が紛れていないかを確認。

1枚で回せる「申請テンプレート」

よくあるご質問（FAQ）

Q1. 生成AIに入れてはいけない情報は？

個人情報、パスワード類、お客様・取引先の機密、社外秘の資料、公開前の設計やログなどです。氏名・住所・電話・メール・履歴書・健康情報のような個人情報はもちろん、ID・パスワード・APIキー・認証コードといったパスワード類も厳禁。契約書・見積書・請求書・商談履歴・お客様リスト、公開前の売上や戦略、社内のソースコードや構成、セキュリティ診断結果、アクセスログ（IPや識別子を含む）も入力禁止としてはっきり決めておきましょう。

Q2. 会社名や人名を伏せれば、社内資料を入れてもいい？

原則として避けてください。名前を伏せても、数字や条件、文脈の組み合わせで案件や人物が特定されてしまうことがあります。どうしても使う場合は、固有名詞を完全に消し、金額は範囲表記にし、URL・ID・メール・IPなどの識別情報を隠して、「誰にも特定されない状態」にしたうえで承認を経てください。迷ったら入れない——これを社内の合言葉にするのが一番効果的です。

Q3. 生成AIの文章を、そのままサイトやSNSに載せてもいい？

そのままの掲載はおすすめしません。AIの出力には、事実誤認や根拠のない断定が混ざる可能性があります。著作権、引用ルール、第三者の権利、機密の混入といったリスクも残ります。ホームページ、SNS、メルマガ、プレスリリースなど社外向けに使うときは、必ず人が内容をチェックし、事実確認・表現・権利関係・誇大表現・機密の有無を確認してから公開してください。

Q4. 「承認」が必要になるのはどんなとき？

社外公開、お客様対応、契約・法務、採用・人事、セキュリティ判断を含む利用は承認必須にするのが現実的です。具体的には、ホームページ・SNS・メルマガ・プレスリリース、取引先への回答や提案、契約条文や法的判断を含む文章、採用評価や人事関連資料、仕様・設計・脆弱性対応などが当てはまります。上司またはPJ責任者の一次確認に加え、公開物は広報・法務、セキュリティ関連は情報システム部門の二次確認を組み合わせると、判断のブレや事故が大きく減ります。

Q5. 社内で安全に使うために、最低限やるべきことは？

ポイントは4つ。①入れてはいけない情報をはっきり書き出す、②承認の流れを整える、③利用記録を残す、④使ってよいツールを会社が決める。入力禁止があいまいだと、忙しい現場ほど誤って情報を入れがちです。承認の流れがないと、社外向けの文章にAIの出力がそのまま混ざり、信用・法務・炎上のリスクが高まります。利用記録があれば、事故対応や監査のときに原因をたどれます。最後に、使ってよいツールやアカウントを会社管理に絞り、個人アカウントや無断利用を禁じれば、運用のばらつきが抑えられて全社の安全性が底上げされます。