生成AIの社内利用ルールの作り方|OWASP・IBM調査から見るリスク管理
生成AIの利用ルールを作る経営者・管理部門向けに、入力禁止情報、承認済みAI、ログ、教育、インシデント対応を整理します。AI活用と情報管理を両立したい企業向けの記事です。
生成AIの社内利用ルールの作り方|OWASP・IBM調査から見るリスク管理
生成AIルールは「使わせないため」ではなく「安全に使い切るため」に作る
生成AIの社内利用ルールは、禁止文を並べるだけでは機能しません。現場は便利なものを使います。だからこそ、会社として使えるAI、入力してはいけない情報、承認が必要な業務、出力の確認方法を決め、社員が迷わず使える状態を作る必要があります。
生成AI利用ルールの設計はCor.株式会社へ
私は、生成AIルールを作っていない会社は、AIを使っていない会社ではなく、見えないところで使われる会社になると見ています。これがいわゆるシャドーAIの問題です。
Cor.株式会社では、AIツールの業務利用を積極的に活用する一方で、顧客機密・個人情報・ソースコード・学習データ等を扱う場合は、学習利用されない契約・設定のAIツール、会社アカウント、承認済み環境を用いる方針を取っています。
この記事で前提にした客観データ
- IBMの2025年調査では、AI関連のセキュリティインシデントを報告した組織の97%が適切なAIアクセス制御を欠き、63%がAIガバナンスポリシーを欠いていたとされています。
- OWASPはLLMアプリケーションの主要リスクとして、Sensitive Information Disclosure、Excessive Agency、Overrelianceなどを挙げています。
- NISTの生成AIプロファイルは、AIの設計・開発・利用・評価にリスク管理を組み込むための参照資料として公開されています。
ルールに必ず入れるべき項目
- 利用可能なAIツール:会社として承認するAIサービス、アカウント、設定を明記する。
- 入力禁止情報:個人情報、顧客機密、契約条件、ソースコード、未公開財務情報などを分類する。
- 利用可能な業務:文章作成、要約、アイデア出し、検索補助など、まず使える領域を示す。
- 人間レビュー:AI出力を顧客提出・契約・法務・採用判断に使う場合の確認者を決める。
- ログと報告:問題が起きたときの連絡先と初動対応を決める。
この5つを決めれば、現場は「全部禁止」ではなく「ここまでは使える」と判断できます。
禁止だけではシャドーAIが増える
社員がAIを使いたい理由は、手を抜きたいからではありません。議事録、メール、資料作成、調査、コード確認など、日々の業務が重いからです。そこに「禁止」とだけ言えば、個人アカウントで使う人が出ます。
だから、ルールは現場の生産性を上げるために作るべきです。会社アカウント、学習利用されない設定、入力禁止情報、出力レビューを整え、使える道を用意することが本質です。
小さく始めて、運用で更新する
生成AIルールは一度作って終わりではありません。モデル、機能、契約条件、社内業務は変わります。月1回でもよいので、利用状況、ヒヤリハット、禁止情報の見直し、承認AIツールの更新を行うべきです。
AI活用で重要なのは、完璧な規程ではなく、改善され続ける運用です。ルールを現場に渡し、現場の反応で更新する。このサイクルを持つ会社だけが、安全にAIを使い続けられます。
生成AI利用ルールの設計はCor.株式会社へ
生成AIを使わせたいが、情報漏えいや社内ルール整備に不安がある場合はご相談ください。Cor.株式会社では、AI利用方針、入力禁止情報、承認済みAI、ローカルLLM活用、社員向け研修まで支援します。
よくある質問
生成AI利用ルールは何から作ればよいですか?
利用可能なAIツール、入力禁止情報、利用可能な業務、人間レビュー、ログと報告の5項目から始めるのが現実的です。
個人アカウントでのAI利用は禁止すべきですか?
顧客機密や個人情報を扱う業務では避けるべきです。会社アカウントや学習利用されない設定、承認済み環境を用意することが重要です。
ルールを作れば安全ですか?
ルールだけでは不十分です。教育、利用ログ、承認、定期見直し、インシデント対応まで運用することで初めて機能します。
生成AI利用ルールの設計はCor.株式会社へ
参考資料
- IBM: Cost of a Data Breach Report 2025 - AI関連インシデントで適切なアクセス制御がなかった組織が97%、AIガバナンスポリシーを欠く組織が63%。
- OWASP Top 10 for LLM Applications - Sensitive Information Disclosure、Excessive Agency、OverrelianceなどLLMアプリの代表的リスクを整理。
- NIST AI 600-1: Generative AI Profile - NIST AI RMF 1.0の生成AI向けプロファイル。信頼性・リスク管理を設計・開発・利用・評価に組み込むための参照。
- Cor. HP: セキュリティ - ローカルファースト、最小限のログ、機密度ティア、AI利用方針、ISMS整備中を確認。
関連記事
会社でChatGPTに入れていい情報・いけない情報〜機密データAI活用の判断基準
契約書、議事録、見積書、顧客情報を生成AIに入力してよいか迷う経営者・管理部門向けに、機密度の分け方、クラウドAIとローカルLLMの使い分け、社内ルール整備の要点を解説します。
中小企業のAI導入はなぜ進まないのか|総務・管理部門から始める現実的ロードマップ
中小企業のAI導入率20.4%という現状を踏まえ、総務・管理部門から無理なく始めるAI活用の進め方を解説します。AI活用の最初の一歩を検討する企業向けの記事です。
RAG・社内ナレッジAIが失敗する理由〜検索精度より先に整えるべきこと
社内文書検索・RAG導入で成果が出ない理由を、データ整理、権限、評価指標、運用設計の観点から解説します。社内ナレッジAIをPoCで終わらせないための実践ガイドです。