生成AIの社内ガイドラインの作り方｜そのまま使える「入力禁止10項目」テンプレ付き

生成AIを社員が使い始めたのに「ルールがない」状態は、非常に危険です。実際、サムスン電子ではChatGPTの業務利用を許可した直後のわずか20日間で機密ソースコード等の入力が3件発生し、全社禁止に追い込まれました。セキュリティ企業Cyberhavenの分析では、従業員がAIに貼り付けるデータの約11%が機密情報です。

国もこれを重視しており、総務省・経済産業省の「AI事業者ガイドライン」は、ハルシネーションや情報漏洩のリスクを示し、企業にファクトチェック体制やルール整備を求めています。逆に言えば、明確なガイドラインさえあれば、リスクの大半は防げます。この記事では、そのまま使えるテンプレつきで作り方を解説します（2026年6月時点）。

ガイドラインに必ず入れる5要素

1. 目的と適用範囲：なぜ作るのか、誰・どの業務に適用するか。
2. 入力してはいけない情報（最重要・後述のテンプレ）。
3. 使ってよいツールと設定：許可するツール、学習に使われない法人プランの利用、履歴オフの徹底。
4. 出力の扱い：必ず人がファクトチェックし、最終責任は人が持つ（→生成AIが苦手なこと）。
5. 相談窓口と違反時の対応：迷ったら誰に聞くか。

【テンプレ】入力禁止情報 10項目

以下をそのまま社内ルールに転記して使えます。「迷ったら入れない」が原則です。

1. 氏名・住所・電話番号・生年月日などを組み合わせた個人情報
2. マイナンバー、運転免許証・パスポート・保険証などの本人確認情報
3. クレジットカード番号・銀行口座・ID/パスワードなどの認証・決済情報
4. 顧客リスト・取引先の連絡先、実名つきの問い合わせ内容
5. 病歴・信条・前科などの要配慮個人情報（採用候補者の履歴書・人事評価を含む）
6. 社外秘の経営・財務・売上データ、未公開の決算数値
7. 未公開の契約金額・見積・取引条件、M&A等の未公表情報
8. 自社のソースコード・設計データ（サムスンの流出原因はこれ）
9. 未発表の製品情報・プレスリリース・社内議事録
10. 他人の著作物の全文転載や、他人の画像・イラストの無断アップロード

運用のコツ：どうしても扱う場合は「氏名→Aさん」「自社→X社」のようにマスキングしてから入力します。

使ってよいツールと設定のルール例

• 業務では個人の無料アカウントではなく、入力が学習に使われない法人向けプラン（ChatGPT Enterprise/Team、Microsoft Copilot、各社法人プラン等）を使う。
• 機密を扱う会話は履歴オフ・一時チャットを使い、不要な履歴は削除する。
• 利用してよいツールを社内で指定・周知する（野良ツールの乱立を防ぐ）。各ツールの違いはChatGPT・Gemini・Claude・Copilotの比較を参照。

運用：作って終わりにしない

ガイドラインは配布するだけでは守られません。研修で周知し、定期的に見直すことが重要です。とくにCyberhavenの計測では、機密流出はコピー&ペースト経由で起きるため従来の漏洩対策では検知しづらく、最後の砦は「社員一人ひとりの判断」になります。だからこそ、ルールの理解とリテラシーを社員に根づかせることが鍵です。

社員のリテラシーを「証明」できる形に

ルールを渡すだけでなく、社員が正しく理解しているかを可視化できれば、運用は一段安定します。AI PASSPORTは、安全な使い方を含む生成AIの基礎を学び、**5段階認定（ブロンズ〜ブラック）**でリテラシーを証明できる仕組みです。法人での育成・ガイドライン定着とあわせてご活用ください。研修の進め方は生成AIの法人研修の進め方もどうぞ。

導入のご相談は料金プラン、まずは無料で始めるから。

※本記事の事例・数値は各社発表およびCyberhaven・総務省/経済産業省「AI事業者ガイドライン」等の公開情報に基づく2026年6月時点の内容です。ツールの学習ポリシー・設定や法令は変わるため、最新は各公式でご確認ください。