ある朝、現場の社員が「便利だから」と、顧客の名簿をまるごと無料のAIに貼り付けて分類させていた、と知ってヒヤッとしました。別の日には、AIが作った提案文をそのまま客先に送りかけたところ、実際にはやっていない導入実績が書かれていました。幸い直前で気づいて大事には至りませんでしたが、背筋が寒くなります。だからといって全面禁止にすれば、現場は「使えないと仕事にならない」と反発します。広めたい気持ちと、事故への不安のあいだで、身動きが取れません。
生成AIの推進を任された方から、わたしたちはこうした声をよく聞きます。しかし、事故も全面禁止も避けられます。最初に最小限のルールを決めれば、現場は安心して使えます。必要なのは分厚い規程ではありません。先に3つのルールを示すことです。全体の進め方は生成AIを業務に効かせる進め方でお伝えしていますが、ここでは「守り」だけを具体的に掘り下げます。
怖いのは4つ。でも対策はシンプル
こわがりすぎても、油断しても危険です。まずは主要な4つのリスクを、対になる「最初のルール」とセットで押さえます。さきほどの名簿の件は情報漏えい、架空の実績はハルシネーションにあたります。
| リスク | 何が起きるか | 最初のルール |
|---|---|---|
| 情報漏えい | 機密や個人情報を入力し、社外やモデルに渡る恐れ | 入れてよいデータの線引き |
| ハルシネーション | もっともらしい誤情報を、そのまま使ってしまう | 出力は人が確認する |
| 著作権・コンプラ | 生成物が他者の権利を侵害したり、規約に触れる | 用途と出典を確認する |
| シャドーAI | 現場が無断で無料ツールに機密を入れる | 使ってよいツールを指定する |
経営企画が最初に決める3つのルール
細かな規程を作り込む前に、次の3つだけ先に決めて全社に示します。これだけで、リスクの大半は抑えられます。
- 入れてよいデータの線引き:「顧客名簿・契約書・人事評価・未公開の財務は入れない/公開済みの製品情報や自分で書いた文章は入れてよい」と、具体例で示します。「迷ったら入れない」を合言葉にします。
- 出力は人が確認する:そのまま使わず、必ず人が目を通します。用途で確認レベルを変え、社内メモは軽く、社外に出す文書や数値は必ずダブルチェック、と決めます。
- 使ってよいツールを指定する:入力が学習に使われない設定の法人契約などを会社で用意し、それを使ってもらいます。安全な選択肢があることが、無断利用を防ぎます。
どれも抽象的な禁止文では伝わりません。「機密は入れない」ではなく、上のように具体例で示すから、現場は迷わず守れます。
そのまま配れる「生成AI利用 早見表」
3つのルールは、分厚い文書にせず、1枚の早見表にして配るのが現実的です。下の記入例をたたき台に、自社の言葉とツール名に差し替えれば、そのまま使えます。
| 区分 | 記入例 |
|---|---|
| 入れてOKなデータ | 公開済みの製品情報、自分で書いた文章、社外に出してよい資料 |
| 入れてはダメなデータ | 顧客の個人情報・名簿、契約書、人事評価、未公開の財務 |
| 確認レベル:社内メモ | ざっと目を通せばOK |
| 確認レベル:社外文書・数値 | 必ず別の人がダブルチェック |
| 使ってよいツール | 会社契約の◯◯(学習に使われない設定で利用) |
| 困ったときの窓口 | 情シス/DX推進担当(担当者名・連絡先) |
この1枚があれば、現場は「何を入れてよくて、どこまで確認すればよいか」を迷いません。配って終わりにせず、新しい使い方が増えたら追記していくと、生きたルールになります。
「禁止一辺倒」が招くシャドーAI
不安だからと全面禁止にすると、かえって危険になります。便利さを知った現場は、会社のチェックが及ばない個人のスマホや無料ツールで、こっそり使い始めるからです。これがいちばん管理できない「シャドーAI」の状態で、冒頭の名簿の件もここから生まれます。守るコツは、禁止することではなく「ここまでは安全に使える」という範囲を明示し、安全な道を用意することです。逃げ道でなく安全な本道を示すほうが、人は逸脱しません。
「人が確認」を仕組みで担保する
「出力は人が確認」と言うだけでは、忙しい現場ではいつか飛ばされます。確認を仕組みに埋め込むと、自然に守られます。たとえば、社外に出す文書のテンプレートに「AI下書きを使った場合は別の人が確認」のチェック欄を1つ足します。あるいは、AIで作った文章には「AI下書き・要確認」と一言つける運用にします。チェック欄の文言は「□ AI下書きを使用 → □ 別の担当が確認済み」の2つで十分です。こうした小さな一手間が、架空の実績をそのまま送るような事故を防ぎます。ルールを根性で守らせるのではなく、守らざるをえない形にするのがコツです。
ルールづくりでやりがちな失敗
守りのルールも、作り方を誤ると守られません。次の3つは避けます。
- 分厚い規程を作って配って終わり:読まれず、更新もされません。1枚の早見表にして、使い方が増えたら追記します。
- 禁止だけ伝えてツールを示さない:安全な選択肢がないと、現場は無料ツールに逃げます。会社公認のツールを必ずセットで示します。
- 「機密は入れない」だけで具体例がない:何が機密かは人によって違います。入れてよい例・ダメな例を必ず並べます。
まとめ
- 主要リスクは情報漏えい・ハルシネーション・著作権・シャドーAIの4つ。
- 分厚い規程より、データの線引き・人の確認・ツール指定の3ルールを先に決める。
- 3つを1枚の早見表にして配る。すべて具体例で示す。
- 禁止一辺倒は逆効果。安全な範囲を明示し、確認は仕組みで担保する。
まずは「入れてよいデータ・ダメなデータ」を3つずつ書き出し、今日の早見表をたたき台に1枚作ってみてください。最初に試す業務の選び方は最初のユースケースの選び方、全体像は生成AIを業務に効かせる進め方にまとめています。「広めたいが事故が怖い」という板挟みを抜ける最初のルールづくりだけでも、DE-STKの初回スポット相談を壁打ち相手に使っていただけたらうれしいです。
よくある質問(FAQ)
Q. 無料版のChatGPTを業務で使わせてもよいですか?
A. 機密や個人情報を入れないことが前提です。入力が学習に使われない設定や法人向けの契約を選ぶと、より安全です。会社として認めるツールを指定し、無料の個人利用に機密を入れない線引きを早見表で示すのがおすすめです。
Q. 入力したデータは学習に使われてしまうのですか?
A. サービスや契約によります。法人向けのプランやAPI利用では、入力を学習に使わない設定が用意されていることが多いです。導入前に各サービスの設定と規約を確認し、学習に使われない構成を選んでください。
Q. 規程はどこまで作り込むべきですか?
A. 最初から作り込む必要はありません。データの線引き・人の確認・ツール指定の3つを1枚の早見表にまとめれば十分に始められます。運用しながら、現場で迷った点を追記していくほうが、読まれて守られるルールになります。
Q. すでに現場が勝手に使っているようです。どうすれば?
A. 責めて取り上げると、さらに地下に潜ります。まず早見表と会社公認の安全なツールを用意し、「こちらを使えば安全」と乗り換えてもらうのが先決です。実態を聞き取り、よく使われている業務から正式なルールに載せていくと、無理なく健全化できます。