【完結編】生成AIを業務利用する際の社内規程とは？中小企業が今すぐ整備すべきルールを行政書士が解説

生成AIは、文章作成、議事録要約、メール文案、資料作成、企画立案、翻訳、データ整理など、 中小企業の業務効率化に大きな可能性をもたらしています。 一方で、何のルールもないまま従業員が自由に生成AIを使い始めると、 情報漏えい、著作権侵害、個人情報保護法違反、誤情報の外部発信、顧客トラブルなど、 企業経営に直結するリスクが生じます。

本記事は、これまで生成AIの業務利用について検討してきた企業向けの「完結編」として、 生成AIを安全に活用するための社内規程の考え方、具体的な条項、運用上の注意点を 行政書士の視点からわかりやすく解説します。

1. 生成AIは「便利な道具」だが、会社としてのルールが必要

生成AIは、使い方次第で中小企業の生産性を大きく高めるツールです。 たとえば、営業メールの下書き、採用ページの文章案、補助金申請書の構成案、 社内マニュアルのたたき台、議事録の要約、顧客対応文の作成など、 これまで時間がかかっていた業務を短時間で進められるようになります。

特に福井県や北陸地方の中小企業では、少人数で総務、経理、営業、人事、広報を兼務している会社も少なくありません。 そのような企業にとって、生成AIは人手不足を補う強力な業務補助ツールになり得ます。

しかし、生成AIは万能ではありません。 生成AIが出力する文章には、事実と異なる内容が含まれることがあります。 法令、制度、許認可、補助金、入管、労務、契約書などの分野では、 一見もっともらしい回答であっても、実務上は誤っている場合があります。

さらに、従業員が顧客情報、取引先情報、契約書、見積書、決算書、社内会議資料などを そのまま生成AIに入力してしまえば、重大な情報管理上の問題につながるおそれがあります。

つまり、生成AIを業務で使う会社に必要なのは、 「使うか、使わないか」という単純な判断ではありません。 重要なのは、会社として 「何に使ってよいのか」「何を入力してはいけないのか」「誰が確認するのか」「トラブル時にどう対応するのか」 を明確にすることです。

2. 社内規程がない会社で起こりやすいトラブル

生成AIの業務利用で問題が起きる会社の多くは、従業員の悪意によってトラブルが発生しているわけではありません。 むしろ、「便利だから使った」「早く仕事を終わらせたかった」「会社から禁止されていなかった」という理由で、 知らないうちにリスクの高い使い方をしてしまうケースが多いと考えられます。

2-1. 顧客情報を入力してしまうリスク

たとえば、顧客から届いた相談メールをそのまま生成AIに貼り付け、 「返信文を作ってください」と指示するケースがあります。 そのメールの中に、氏名、住所、電話番号、メールアドレス、会社名、契約内容、相談内容などが含まれていれば、 個人情報や機密情報を外部サービスに入力している可能性があります。

本人の同意、利用目的、第三者提供、委託先管理、外国にある第三者への提供など、 個人情報保護法上の論点が発生する場合もあります。 「文章を整えるだけだから問題ない」と考えてしまうと危険です。

2-2. 契約書や決算書をアップロードしてしまうリスク

生成AIには、PDFやWord、Excelファイルをアップロードして要約や分析を行えるものもあります。 便利な反面、契約書、決算書、請求書、給与情報、履歴書、営業資料などを不用意にアップロードすると、 会社の重要情報が外部に送信されることになります。

特に、取引先との契約で秘密保持義務が定められている場合、 取引先資料を生成AIに入力する行為が契約違反になる可能性もあります。

2-3. 誤った情報を顧客に伝えてしまうリスク

生成AIは、制度説明や法令説明を自然な文章で作ることができます。 しかし、自然な文章であることと、内容が正確であることは別問題です。 許認可、補助金、在留資格、建設業、産廃、古物商、酒類販売、飲食店営業などの分野では、 法令、通達、自治体運用、申請先の判断が関係します。

生成AIの回答を確認せずに顧客へ伝えた結果、 「申請できると思っていたのに要件を満たしていなかった」 「期限に間に合わなかった」 「必要書類が不足していた」 というトラブルが生じるおそれがあります。

2-4. 著作権や商標権を侵害するリスク

生成AIを使えば、広告コピー、ブログ記事、画像、ロゴ案、商品名、キャッチフレーズなども簡単に作成できます。 しかし、生成物が既存の著作物、商標、キャラクター、デザイン、写真、文章に似ている場合、 そのまま商用利用すると権利侵害の問題が発生する可能性があります。

特に会社のホームページ、パンフレット、SNS広告、商品パッケージ、看板などに使用する場合は、 事前確認が不可欠です。

3. 生成AI社内規程で定めるべき基本項目

生成AIの社内規程は、難しい専門用語を並べるだけでは実務で機能しません。 従業員が読んで理解でき、実際の業務で迷ったときに判断基準として使える内容にすることが重要です。

最低限、次の項目は規程に盛り込むべきです。

• 規程の目的
• 適用対象者
• 生成AIの定義
• 利用可能な業務
• 承認が必要な業務
• 禁止事項
• 入力してはいけない情報
• 生成物の確認義務
• 外部公開前の確認手続
• アカウント管理
• 利用ログの取扱い
• 管理責任者の設置
• インシデント発生時の報告義務
• 違反時の対応
• 規程の見直し

特に中小企業では、規程を作っただけで終わらせず、 「従業員向けの簡易ルール」 「利用前チェックリスト」 「生成AI利用申請書」 までセットで整備すると、実務で運用しやすくなります。

4. 社内規程の基本方針は「禁止」ではなく「安全に使う」こと

生成AI規程を作るときに注意したいのは、 何でも禁止する内容にしないことです。 情報漏えいが怖いから、誤情報が怖いから、著作権が怖いからといって、 すべての利用を禁止してしまうと、業務効率化の機会を失ってしまいます。

生成AIは、適切なルールのもとで使えば、 中小企業にとって非常に有効な業務改善手段です。 そのため、社内規程では次のような考え方が重要になります。

• 公開情報や一般的な文章作成には積極的に活用する
• 個人情報や機密情報は原則として入力しない　ただし、会社が承認した安全な利用環境と手続がある場合は例外を設ける
• 専門判断はAIではなく人間が行う
• 外部に出す前に必ず確認する
• 利用状況を記録し、問題があれば改善する

つまり、生成AI規程の目的は、 従業員を縛ることではありません。 会社と従業員を守りながら、生成AIを安心して活用できる環境をつくることです。

5. 利用してよい業務を明確にする

社内規程では、まず「生成AIを使ってよい業務」を明確にする必要があります。 ここが曖昧なままだと、従業員は毎回判断に迷います。

一般的に、次のような業務は生成AIと相性がよいといえます。

• 社内文書の下書き作成
• メール文案の作成
• 議事録や報告書の要約
• 文章の校正、言い換え、表現改善
• ブログ記事やSNS投稿の構成案作成
• 社内マニュアルやFAQのたたき台作成
• アイデア出し
• 一般公開情報に基づく調査補助
• Excel関数や業務フローの案出し

ただし、これらの業務であっても、 入力する情報に個人情報や機密情報が含まれる場合は注意が必要です。 「業務の種類」だけでなく、「入力する情報の内容」によってリスクは変わります。

たとえば、単に「お礼メールの文案を作る」だけであれば低リスクです。 しかし、顧客名、契約内容、クレーム内容、金額、社内判断を含むメールをそのまま貼り付ける場合は、 高リスクになります。

6. 承認が必要な業務を定める

次に、生成AIの利用にあたって事前承認が必要な業務を定めます。 すべての利用に承認を求めると現場が回らなくなりますが、 会社に与える影響が大きい業務については、事前に上長や管理責任者の確認を受けるべきです。

たとえば、次のような業務は承認制にすることが望ましいです。

• 顧客に提出する契約書、申請書、報告書、提案書の作成
• 法務、税務、労務、許認可、補助金、会計、財務に関する業務
• 採用、人事評価、配置転換、懲戒に関する業務
• 与信判断、価格決定、契約条件決定に関する業務
• 個人情報や機密情報を扱う可能性がある業務
• 外部公開を予定する広告、記事、SNS投稿、プレスリリースの作成
• ロゴ、商品名、キャッチコピーなど知的財産権の確認が必要な業務

これらの業務は、生成AIを使うこと自体が悪いわけではありません。 問題は、AIの出力をそのまま信じたり、確認せずに外部へ出したりすることです。 規程では、「利用禁止」と「承認制」を分けて整理することが重要です。

7. 入力禁止情報を具体的に列挙する

生成AI規程で最も重要な部分の一つが、 「何を入力してはいけないか」です。 ここが抽象的だと、従業員は判断できません。

「機密情報を入力してはならない」と書くだけでは不十分です。 実務上は、次のように具体例を挙げておく必要があります。

• 顧客の氏名、住所、電話番号、メールアドレス
• 顧客から受けた相談内容
• 契約書、見積書、請求書、発注書
• 決算書、試算表、資金繰り表
• 従業員の履歴書、人事評価、給与情報
• マイナンバー、健康情報、病歴、家族情報
• 取引先との未公開情報
• 社内会議資料、経営計画、営業戦略
• ID、パスワード、APIキー、認証情報
• 秘密保持契約の対象となる情報

ただし、ここでいう「入力禁止」は、あらゆる場合に絶対禁止という意味ではありません。企業向けの生成AIサービスや専用環境の中には、入力内容がAIの学習に利用されない設定にできるもの、社外の一般ユーザーから参照されないもの、利用ログや保存期間を管理できるもの、社内専用環境として運用できるものもあります。

そのため、会社が契約内容、サービス仕様、データの保存場所、学習利用の有無、アクセス権限、ログ管理、削除方法などを確認し、社内規程上も承認手続を定めたうえで利用する場合には、例外的に一定の機密情報を入力できるケースもあります。

もっとも、この場合でも「企業向けサービスだから何を入力してもよい」というわけではありません。取引先との秘密保持契約、個人情報保護法、社内の情報管理規程、顧客への説明義務などとの整合性を確認する必要があります。また、入力できる情報の範囲、利用できる担当者、承認者、記録方法、禁止される情報を明確にしておくことが重要です。

したがって、社内規程では、単に「機密情報は入力禁止」とするだけでなく、
「原則として機密情報は入力禁止。ただし、会社が承認した生成AIサービスを、会社が定めた条件および承認手続に従って利用する場合は、この限りでない」
という形で、原則と例外を分けて定めることが実務的です。

また、顧客情報や社内情報をどうしても利用したい場合は、 匿名化、仮名化、要約化、抽象化を行う方法があります。

たとえば、 「福井市の株式会社〇〇から、建設業許可について相談を受けた」 と入力するのではなく、 「地方の中小企業から、許認可申請について相談を受けた」 のように抽象化することで、リスクを下げることができます。

8. 生成物は必ず人が確認する

生成AIの出力は、あくまで「たたき台」です。 社内規程では、生成物を業務に使う前に人が確認する義務を明記する必要があります。

確認すべきポイントは、次のとおりです。

• 事実関係が正しいか
• 数値、日付、制度名、法令名に誤りがないか
• 古い情報に基づいていないか
• 顧客との契約内容に反していないか
• 著作権や商標権を侵害していないか
• 差別的、不適切、誤解を招く表現がないか
• 会社の方針やブランドに合っているか
• 専門家の確認が必要な内容ではないか

特に、外部に提出する文書については、 担当者本人だけでなく、上長、管理責任者、専門家による確認を組み合わせることが大切です。

行政書士業務に関連する分野でいえば、 許認可申請、補助金、在留資格、契約書、法人設立、建設業、産廃、古物商、風営法などは、 生成AIの回答だけで判断するべきではありません。 生成AIは論点整理や文章の下書きには役立ちますが、 最終判断は専門家が行う必要があります。

9. 管理責任者を決める

生成AIの社内規程では、管理責任者を明確にすることも重要です。 「誰が承認するのか」「誰に相談するのか」「トラブル時に誰へ報告するのか」が曖昧だと、 規程があっても実務で機能しません。

管理責任者は、次のような役割を担います。

• 承認済み生成AIサービスの選定
• 利用ルールの整備
• 利用申請の承認
• 社内研修の実施
• 利用ログの確認
• インシデント発生時の対応
• 規程の見直し
• 法令やガイドラインの確認

中小企業の場合、情報システム部門がない会社も多いため、 総務担当者、管理部長、代表者、外部専門家が連携して管理する形でも問題ありません。

大切なのは、生成AIの利用を現場任せにしないことです。 会社として管理体制を決めておくことで、 従業員も安心して生成AIを使うことができます。

10. インシデント対応ルールを決めておく

どれだけ注意していても、誤入力や誤送信が起きる可能性はあります。 そのため、生成AI規程にはインシデント発生時の報告ルールを定めておく必要があります。

たとえば、次のような場合は速やかに報告するルールにします。

• 個人情報を誤って生成AIに入力した
• 顧客資料を誤ってアップロードした
• 社内の機密情報を入力した可能性がある
• AIの誤った出力を顧客に伝えてしまった
• 著作権侵害のおそれがある生成物を公開した
• 会社アカウントの不正利用が疑われる

報告を受けた会社は、事実確認、利用停止、関係者への連絡、 サービス提供事業者への確認、顧客や本人への通知、再発防止策の策定などを行います。

ここで重要なのは、従業員が「怒られるから報告しない」という状態を避けることです。 インシデント対応では、早期発見と早期対応が何より重要です。 規程では、速やかな報告を促す仕組みにすることが望ましいでしょう。

11. 従業員向けには「5原則」で伝える

社内規程は一定の分量になりますが、 従業員が日常業務で常に長い規程を読み返すわけではありません。 そのため、従業員向けには簡易ルールを作ることをおすすめします。

たとえば、次の「生成AI利用5原則」を社内に周知します。

1. 秘密情報を入れない
2. 個人情報を入れない
3. 出力結果をそのまま信じない
4. 外部提出前に必ず確認する
5. 迷ったら上司または管理責任者に相談する

この5原則を社内掲示、研修資料、チャットツール、入社時説明資料などに掲載しておけば、 従業員が最低限守るべきポイントを理解しやすくなります。

規程本文は会社を守るための正式ルール、 5原則は現場で使うための実践ルールと考えるとよいでしょう。

12. 生成AI利用チェックリストを用意する

生成AIの安全利用には、チェックリストも有効です。 特に、外部に提出する資料や顧客対応文を作成する場合、 利用前と利用後のチェックを仕組みにしておくとミスを減らせます。

入力前チェック

• 個人情報が含まれていないか
• 顧客情報が含まれていないか
• 取引先の機密情報が含まれていないか
• 社内の未公開情報が含まれていないか
• 契約上、外部提供が禁止されている情報が含まれていないか
• 匿名化または抽象化できる情報は処理したか
• 承認済みの生成AIサービスを使用しているか

出力後チェック

• 事実確認を行ったか
• 数値、日付、法令名、制度名を確認したか
• 誤解を招く表現がないか
• 著作権や商標権を侵害するおそれがないか
• 顧客提出前に上長確認を受けたか
• 専門判断が必要な場合、専門家に確認したか
• 必要に応じて生成AIを利用した記録を残したか

チェックリストは、紙でもExcelでも社内フォームでも構いません。 重要なのは、従業員の注意力だけに頼らず、確認の仕組みを作ることです。

13. 生成AI規程は就業規則や情報管理規程とも連動させる

生成AI規程は、単独で存在するものではありません。 会社の就業規則、個人情報保護規程、情報セキュリティ規程、秘密情報管理規程、 SNS利用規程、テレワーク規程などと関係します。

たとえば、生成AIに機密情報を入力する行為は、 生成AI規程違反であると同時に、秘密保持義務違反や情報セキュリティ規程違反になる可能性があります。

また、違反時に懲戒処分を行う可能性がある場合は、 就業規則との整合性も確認する必要があります。 生成AI規程だけに「懲戒する」と書いても、就業規則上の根拠が不十分であれば、 実務上問題になることがあります。

そのため、生成AI規程を作成する際は、 既存の社内規程全体を確認し、必要に応じて就業規則や情報管理規程の見直しも行うべきです。

14. 中小企業が生成AI規程を作るときの進め方

生成AI規程を整備するときは、いきなり完璧な規程を作ろうとする必要はありません。 まずは、自社の業務内容とリスクに合った実用的なルールを作ることが重要です。

おすすめの進め方は、次のとおりです。

1. 現在、従業員が生成AIを使っているか確認する
2. どの業務で使いたいかを整理する
3. 入力してはいけない情報を洗い出す
4. 承認済みサービスを決める
5. 利用可能業務、承認制業務、禁止業務を分類する
6. 生成物の確認フローを決める
7. 管理責任者を決める
8. インシデント報告ルールを決める
9. 従業員向けの簡易ルールを作る
10. 定期的に見直す

生成AIは変化の速い分野です。 今年作ったルールが、来年もそのまま使えるとは限りません。 新しいサービス、機能、法令、ガイドライン、取引先からの要求に応じて、 定期的に見直すことが重要です。

15. 行政書士が支援できること

生成AIの社内規程は、ITの問題だけではありません。 個人情報保護、契約、秘密保持、許認可、補助金、社内文書、業務フロー、従業員教育など、 さまざまな実務分野と関係します。

行政書士は、企業の実情を踏まえながら、 社内規程、利用申請書、チェックリスト、従業員向け説明資料などの作成を支援できます。

特に次のような会社は、早めに生成AI規程を整備することをおすすめします。

• 従業員がすでにChatGPTなどを業務で使っている
• 顧客情報や個人情報を多く扱う
• 補助金、許認可、契約書、申請書類を扱う
• 営業資料や広告文を生成AIで作成している
• 社内でAI活用を進めたいが、ルールがない
• 情報漏えいや著作権侵害が心配
• 取引先からAI利用ルールの整備を求められている

福井県・北陸地方の中小企業においても、 生成AIの活用は今後ますます広がっていくと考えられます。 だからこそ、早い段階で社内規程を整備し、 安心して使える環境を作ることが大切です。

16. まとめ：生成AI規程は「会社を守り、活用を進める」ための土台

生成AIは、これからの中小企業経営において避けて通れないテーマです。 文章作成、資料作成、情報整理、業務改善、顧客対応など、 多くの場面で業務効率化に貢献します。

しかし、便利だからといって無制限に使えば、 個人情報漏えい、機密情報流出、誤情報の発信、著作権侵害、顧客トラブルなど、 企業の信用を損なう問題につながりかねません。

生成AIを安全に活用するためには、 社内規程によって次の点を明確にする必要があります。

• 生成AIを使ってよい業務
• 承認が必要な業務
• 入力してはいけない情報
• 生成物の確認方法
• 外部提出前の承認フロー
• 管理責任者
• トラブル時の報告ルール
• 違反時の対応

生成AI規程は、単なる禁止ルールではありません。 会社と従業員を守りながら、生成AIを前向きに活用するための土台です。

「まだ小さな会社だから必要ない」 「従業員を信頼しているから大丈夫」 「問題が起きてから考えればよい」 と考えている会社ほど、早めの整備が重要です。

生成AIの利用は、すでに一部の大企業だけの話ではありません。 地方の中小企業、個人事業主、士業事務所、建設業、製造業、サービス業、介護事業、飲食業など、 あらゆる業種で現実的なテーマになっています。

これから生成AIを本格的に業務へ取り入れるのであれば、 まずは自社に合った社内規程を整備し、 従業員が安心して使えるルールを作ることから始めましょう。

福井・北陸エリアで生成AIの業務利用、社内規程、情報管理、許認可業務のデジタル化にお悩みの企業は、 生成AIと企業法務・行政手続に詳しい行政書士へ相談することで、 自社の実情に合った実践的なルールづくりを進めることができます。

参考：生成AI社内規程に入れておきたい条項例

最後に、生成AI社内規程に盛り込むべき条項例を整理します。 実際に規程を作成する際は、自社の業種、規模、取り扱う情報、利用するAIサービスに合わせて調整してください。

条項例

• 第1条　目的
• 第2条　適用範囲
• 第3条　定義
• 第4条　利用の基本原則
• 第5条　利用可能な業務
• 第6条　承認を要する業務
• 第7条　禁止事項
• 第8条　入力情報の管理
• 第9条　個人情報の取扱い
• 第10条　機密情報の原則入力禁止および承認利用
• 第11条　生成物の確認義務
• 第12条　外部提供前の確認
• 第13条　著作権等の確認
• 第14条　承認済みサービス
• 第15条　アカウント管理
• 第16条　利用ログ
• 第17条　管理責任者
• 第18条　利用申請
• 第19条　教育研修
• 第20条　インシデント報告
• 第21条　違反時の措置
• 第22条　規程の見直し

生成AIを「なんとなく使う」段階から、 「会社として安全に活用する」段階へ進むためには、 ルール化と運用が欠かせません。 社内規程の整備は、その第一歩です。

特定行政書士　中川正明