このノウハウで解決する課題
「AI 導入を決めたが、何のルールも作らず使い始めて事故になった」「スタッフごとに使い方がバラバラ」「外部審査・社内点検で問われた時に説明できない」。AI の 組織運用 に必要な土台です。
結論
最低 7 項目の AI 利用ガイドライン を文書化し、スタッフ全員に通達 + 同意取得。雛形があれば 1〜2 日で策定可能。完璧を目指さず Ver.1 を素早く作って育てる のが現実的です。
必要な準備
- ツール: Word / Notion などの社内文書管理ツール
- 想定環境: 推進者 1 名 + 経営層との合意
- 前提知識: 自組織・業界の AI 利用規制・ガイドライン(あれば)
手順
1. 7 項目の雛形
(本雛形は組織種別に応じて「本社」「当社」「当部門」等に読み替えてください)
第 1 条:利用可能な AI ツール一覧
本事務所で利用を許可する AI ツールは以下のとおり:
- Claude Pro / Claude Team(Anthropic 社)
- ChatGPT Plus / ChatGPT Team(OpenAI 社)
- Gemini Advanced(Google 社)
- 上記以外のツールを業務利用する場合は、所長の事前承認を要する。第 2 条:入力禁止情報
以下の情報を AI ツールに入力することを禁ずる:
1. マイナンバー
2. 銀行口座番号、クレジットカード番号
3. クライアント名・担当者名(マスキング前)
4. パスワード・認証情報
5. その他、機密扱いと判断される情報第 3 条:出力の最終責任
AI が生成した出力(仕訳・報告書・書面など)の最終責任は、
業務を担当する専門家・担当者にある。
AI 出力をそのままクライアント / 依頼者 / 第三者に提供してはならず、
必ず人間が内容を確認・修正の上、署名する責任を負う。第 4 条:利用ログの取得・保管
AI ツールの利用記録(プロンプト・出力・利用日時・利用者)は、
各ツールの管理機能で取得し、最低 3 年間保管する。
監査・調査に対応できる体制を維持する。第 5 条:エスカレーション手順
AI 利用に関連して以下の事象が発生した場合、
直ちに情報セキュリティ担当者([氏名])へ報告する:
- 機密情報を誤って入力した
- AI 出力がクライアントに不利益を与えた
- AI ツール側のセキュリティインシデントを確認した第 6 条:教育・更新
全所員は年 2 回(4 月・10 月)、AI 利用研修を受講する。
本ガイドラインは半年ごと(4 月・10 月)に見直し、
業界ガイドライン・AI 機能の進化に応じて改訂する。第 7 条:違反時の対応
本ガイドラインに違反した場合は、以下の対応を行う:
1. 軽微な違反:口頭注意 + 再教育
2. 機密情報入力等の重大な違反:始末書 + 原因究明 + 再発防止策
3. 故意・重過失による情報漏洩:就業規則に基づく処分2. 通達と同意取得
- 全スタッフに PDF 版を配布 + 説明会 30 分
- 同意書(紙 or 電子)を取得して人事ファイルに保管
- 新人入社時にも 入社オリエンで通達 + 同意取得
3. 半期レビューで Ver アップ
4 月・10 月に見直し:
- 新ツールの追加可否
- AI 機能の進化に応じた条文修正
- 違反事例があれば該当条項を強化
4. 業界ガイドラインとの整合性確認
- 自組織が属する業界団体・規制当局の AI 利用ガイドラインを参照
- 業界ガイドライン更新時は半期レビューを待たず即修正
5. 顧客・取引先への通知(業界による)
業界・契約形態によっては、顧問契約・委任契約・業務委託契約への AI 利用明示 が望ましい場合あり。守秘性の高い業務は特に相手方の同意を慎重に。
効果と限界
効果:
- スタッフの 共通認識 が形成され、属人的な事故を防止
- 外部審査・業界団体への説明責任を果たせる
- 顧客・取引先への信頼維持
限界:
- ガイドラインは 作るだけでは機能しない(教育・運用が必須)
- 厳しすぎると 使われなくなる(バランス重要)
- 業界・規制変更で 継続更新が必要
応用・派生
- 顧客向けガイドライン: 顧客企業の AI 導入時にも同様の枠組みを提案(例:顧客・依頼企業)
- 業界横断版: 公開して採用ブランディングにも寄与
- 小規模組織版: 5 名以下なら 7 項目のうち重要 3 項目(入力禁止 / 最終責任 / エスカレ)に絞っても可
