生成AI利用ガイドラインの作り方(前編)|ゼロから作るための3つの軸 【今すぐ使えるテンプレート付き】
2026/5/29
リンクをコピー
CEOがClaude Codeを使って中長期の事業計画を練り始めている、役員がCursorでゼロから面接評価エージェントを構築している——こうした話を、ここ3ヶ月で急速に耳にするようになりました。
AIの活用方針は、もともと経営層の判断から始まるトップダウンが基本でした。ただ、これまでは「経営がGoサインを出し、現場が実装・活用を担う」という役割分担が前提にあり、推進担当者がその橋渡し役を担っていました。
最近はその構造が変わっています。経営層自身がツールを手に取り、日常業務の中で使い始めているのです。推進担当者がルールを整備する前に、経営層の手元ではすでに実務が動いている——という状況が広がっています。
こうした組織で、推進担当者には必ずと言っていいほど一言が届きます。「AI利用のルールを作ってほしい」と。
整備しようとすると、すぐに壁にぶつかります。ChatGPTとClaudeとCursorでは、入力内容がモデルの学習に使われるのか、データがどこに保存されるのか、管理者がどこまで制御できるのか——それぞれに違いがあるのに、それを一覧にした社内ドキュメントが手元にない。
「機密情報は入力禁止」と書きたくても、どこからが禁止でどこからが条件付きOKなのか、判断軸が言語化できていない。経営戦略の壁打ちと採用評価支援では扱うデータも法的リスクも違うはずなのに、部門別に整理された基準もない。
本記事は、こうした状況に直面しているAI/DX推進担当者のために、生成AI利用ガイドラインを整備するうえで最初に揃えるべき3つの軸を、具体的な比較表とすぐに使えるテンプレートまで含めて整理したものです。
経営層がルールより先にAIを使い始めている
この変化が起きている背景
AI/DX推進担当者が「ルール化の依頼」を受けた際、従来の進め方は「現場の利用実態を把握しながら、段階的にルールを整えていく」というものでした。
しかし今は、その進め方が成立する前提が崩れているケースが増えています。経営層・役員クラスが、推進部門より先に各種 AI ツールを自ら使い始めているからです。
ここ3ヶ月で「経営層が推進担当者より先にツールを使い始めている」という状況は顕著になっています。CEOが生成AIで経営戦略のシナリオを練る、役員がClaude CodeやCursorを使って自前のエージェントを組む、といったケースが実際に起きています。
こうした動きは、2025年に主要AIツールの品質・操作性が急速に向上し、エンジニアリングの専門知識なしでも実務に使える水準に達したことが背景にあります。
そして推進担当者の立ち位置が変わります。「現場の活用を後押しする推進者」であるとともに、「すでに使い始めた経営層に対しても、根拠を持って説明できる役割」を担う必要が生じます。
経営層が先に動いている組織では、「ルールを整備してください」という依頼の重さが、以前とは違っています。
積み残しになっている3つの課題
推進担当者が「ルール化」に着手しようとしたとき、具体的に何が未整理かを見てみると、次の3点が同時に積み残しになっていることが多いようです。
第一に、ツールごとのデータポリシーが一覧化されていません。
ChatGPT、Claude、Cursor、Claude Code、GitHub Copilot、それぞれで「入力内容がモデルの学習に使われるかどうか」「データをどこに保存するか」「管理者がどこまで制御できるか」が異なりますが、社内でこれを比較したドキュメントを持っている組織は、まだ少ないのが現状です。
第二に、「機密情報」の判断軸が言語化されていません。
「個人情報は入れてはいけない」という認識はあっても、どこからが個人情報で、どこからが条件付きでOKな情報なのかを、社内で明文化できている組織はほとんどありません。現場は個人の判断で動くことになり、ばらつきが生じます。
第三に、業務・部門単位での整理がありません。
経営戦略の壁打ちで未公開の事業計画を入力するリスクと、開発部門でソースコードを補完させるリスクでは、性質が異なります。同一のルールで管理しようとすると、どこかに無理が生じます。
本記事では、これら3つの課題を整理できる構造として、「データ分類・ツール設定・適用業務の順で考える」アプローチを提案します。
まず「データを3つに分ける」ところから始める
なぜデータ分類が最初の一手なのか
生成AI利用ルールを整備しようとするとき、多くの担当者はまず「どのツールを使ってよいか」「どのプランが必要か」といったツール側の整理から入ります。
しかしその前に、組織として「何を入力してよいか」という共通言語を作らないと、ツールを決めても設定を整えても、現場は「で、これは入れていいの?」という判断に迷い続けます。
最初に整えるべきは、データの分類です。
「入力NG」「入力注意(条件付きOK)」「入力OK」の3階層を組織として定義しておくことで、その後のツール選定・設定・部門別ルールの議論が、一貫した根拠のもとで進むようになります。
個人情報保護委員会も、2023年に公表した注意喚起(生成AIサービスの利用に関する注意喚起)の中で、生成AIへの入力に際した個人情報の取り扱い確認を求めています。法的な観点からも、この分類を先に定めることが出発点となります。
データ3階層の分類フレームと具体例
以下に、実務的に参照できるデータ分類の3階層を示します。「入力注意」に分類したデータについては、後述するツール設定と組み合わせることで、リスクを許容範囲に下げられる場合があります。
分類 | 該当するデータの例 | 分類の理由 |
|---|---|---|
入力NG | 特定個人の氏名・評価・給与・健康情報、未公開の財務予測・M&A計画・経営戦略文書、NDA締結中の取引先技術情報、APIキー・パスワードなどの認証情報 | 漏洩時に個人情報保護法・不正競争防止法の違反リスクが生じる。いかなるプランや設定のもとでも、原則として入力を禁止する |
入力注意(条件付きOK) | 匿名化・マスキング済みの顧客問い合わせ内容、汎用的な競合環境の分析素材、部署・役職名のみを用いた人事課題の整理、社内公開済みの業務フロー、機密情報を含まないソースコード | プラン・設定・匿名化処理を組み合わせることで、リスクを許容範囲に下げられる。後述の確認手順を経たうえで入力する |
入力OK | 社内公開済み資料の要約・議事録の整形、汎用的な文章の校正・翻訳、マーケティング用コピーのドラフト作成、公開済み情報をもとにしたリサーチ補助 | 個人情報・機密情報を実質的に含まない業務。ツール・プランを問わず利用できる |
この分類の考え方は、インターネットプライバシー研究所の整理(生成AIの業務利用と個人情報保護)や、不正競争防止法・個人情報保護法の観点からの解説(BusinessAndLaw)を参照しながら、実務的に使いやすい形で組み直しています。
「入力注意」に分類したデータを業務上どうしても扱う必要がある場合は、入力前に匿名化・マスキング処理を行う運用が現実的です。
具体的には、顧客の氏名を「A様」、社名を「X社」に置き換え、個人や組織を特定できる情報を除去してから入力します。
この手順を社内ガイドラインに明文化しておくことで、現場が判断に迷わなくなります。
主要AIツールの「データ取り扱い」を一覧で整理する
ツールごとに確認すべき4つの軸
主要AIツールのデータポリシーを比較するとき、確認すべき論点は主に4つあります。
学習利用の有無は、入力したプロンプトやコードが、AIモデルの学習・改善に使われるかどうかです。
「使われない」ことが企業利用の前提条件となります。
データ保存期間は、入力内容がサービス事業者側のサーバーに保存される期間です。ZDR(Zero Data Retention:入力されたデータをサービス事業者が一切保持しない契約条件)を選択できるサービスもあります。
管理者制御の有無は、組織の管理者が、利用できるツールや機能・データの取り扱い設定を一元的に管理できるかどうかです。
複数名での利用では、この管理コンソール(管理者用の設定画面)の有無が実務上大きく影響します。
UI版と API版での挙動差も重要です。
ブラウザやアプリから使うUI版と、プログラムから呼び出すAPI版(API:Application Programming Interface。他のシステムと連携するための接続口のこと)では、データポリシーが異なる場合があります。
個人アカウントからAPIを使っているケースと、法人契約でAPIを使っているケースでも挙動が変わります。
主要ツールの比較(2026年5月時点)
以下は、現時点での各ツールのデータポリシーを整理した比較表です。ポリシーは更新されることがあるため、重要な判断をする際には必ず各社の公式ページで最新情報をご確認ください。
ツール | 無料・個人版での学習利用 | 法人版での学習利用 | データ保存期間(目安) | 管理者制御 | 法人利用時の推奨対応 |
|---|---|---|---|---|---|
ChatGPT | あり(設定でオプトアウト可) | なし(Team/Enterpriseはデフォルト除外) | API:0〜∞の範囲で設定可能 | 管理コンソールあり | Teamまたは Enterpriseプランへ移行する |
ユーザーが選択(2025年9月以降) | なし(商用規約のもと除外) | API:7日間(2025年9月以降に短縮) | Claude for Workにて管理設定あり | Teamまたは Enterpriseプランへ移行する | |
Claude Code | コンシューマープランの設定に依存 | なし(API・商用規約は除外) | ローカル実行が基本。API経由のみサーバーを通過 | 組織設定あり。Bedrock・Vertex AI経由で強化可能 | APIまたは Enterprise経由での利用を推奨 |
Cursor | Privacy Modeオフで学習対象になる | なし(Businessプラン以上はデフォルトでPrivacy Modeがオン) | プロンプト:30日間(安全監視目的のみ) | 管理者によるPrivacy Modeの強制設定が可能 | Businessプラン以上で導入し、管理者がPrivacy Modeを組織全体に強制設定する |
GitHub Copilot | あり(2026年4月24日以降デフォルト。オプトアウト可) | なし(Business・Enterpriseは除外) | — | Enterprise管理コンソールあり | Businessまたは Enterpriseプランへ移行する |
Microsoft 365 Copilot | —(法人向けサービスのみ) | なし(EDP契約により除外) | Microsoft 365のデータと同等 | Microsoft Purviewで監査・制御 | EDP(Enterprise Data Protection)契約を確認する |
Gemini / Google Workspace | あり(設定でオプトアウト可) | なし(Google Workspace版は除外) | — | admin.google.com から管理 | Google Workspace版の利用であることを確認する |
出典:OpenAI Enterprise Privacy、Anthropic 利用規約更新(2025年8月発表)、Claude Code セキュリティドキュメント、Cursor Data Use、GitHub Copilot ポリシー更新、Microsoft 365 Copilot Privacy、Google Workspace AI Privacy
現場でよく起きる見落とし3パターン
この表を踏まえ、実際の現場でよく見かける見落としを3点補足します。
「有料プランを使っているから安全」という誤解が、最も広く見られます。ChatGPTの場合、個人のPlusプラン(有料の個人プラン)では、設定でオプトアウトしない限り、入力データが学習の対象になります。
この誤解は根強いため、推進担当者が明示的に伝えていく必要があります。法人契約(Team以上)への移行が必要です。
GitHub Copilot の2026年4月ポリシー変更の見落としも頻発しています。GitHub の公式発表(Updates to GitHub Copilot interaction data usage policy)によると、Copilot Free・Pro・Pro+ のユーザーは2026年4月24日以降、インタラクションデータ(プロンプト、コードスニペット、生成されたコードなど)がデフォルトで学習対象となっています。
開発チームで個人プランを使っている場合、この変更に気づかずにコードが学習対象になっている可能性があります。
Cursorのプライバシーモードの未設定も見逃されがちです。CursorはPrivacy Modeをオンにすれば、コードがモデルプロバイダー側でもゼロ保持になりますが(Cursor Data Use)、個人・無料プランのデフォルトはオフです。
開発者が個人アカウントでそのまま使っている場合、コードが学習対象になっています。
Businessプラン以上では管理者が全メンバーにPrivacy Modeを強制適用できるため、法人プランへの移行と合わせて管理者設定を整えることをお勧めします。
業務・部門ごとの判断軸
なぜ部門別に整理が必要なのか
データ分類とツール設定を整えても、もう一段の整理が必要です。
同じ「条件付き OK」に分類されるデータでも、どの部門がどういう目的で使うかによって、リスクの性質が異なるからです。
経営層が中長期計画の壁打ちに使う際に入力しうる未公開の事業情報は営業秘密に抵触し、開発者がコード補完に使う際に誤って認証情報を含めると情報セキュリティの問題に直結します。
同一のルールで一括管理しようとすると、厳しすぎて活用が止まるか、ゆるすぎてリスクが残るかのどちらかになります。
部門ごとに「どのデータを・どのツールで・どの設定で使ってよいか」を整理しておくことで、現場が個別に判断する場面が減り、「この範囲であれば自分で判断できる」という安心感が生まれます。
業務・部門別の判断軸一覧
部門・業務 | 主なAI活用場面 | 扱うデータの種類 | データ分類 | 推奨ツール・設定条件 | 想定リスク |
|---|---|---|---|---|---|
経営戦略 | 中長期計画の壁打ち、シナリオ分析、競合環境整理 | 未公開の事業計画・財務予測・M&A 検討内容 | 入力NG〜注意 | Enterprise版+ ZDR設定。または固有情報を取り除き、抽象的な問いに変換してから入力 | 営業秘密の漏洩、インサイダー情報の外部流出 |
人事 | 採用評価の補助、面接シートの設計、組織課題の整理 | 特定個人の氏名・評価結果・給与・健康情報 | 入力NG | 個人を特定できる情報は原則入力禁止。「ポジションの要件定義」「面接質問の設計」など、個人情報を含まない業務に限定する | 個人情報保護法違反、評価の透明性への影響 |
営業 | 提案書・メール文面の生成、顧客課題の整理、市場調査のドラフト | 顧客名・商談情報・契約内容 | 入力注意 | Team・Enterprise版を使用。顧客名・社名はマスキングのうえ入力 | 顧客情報の漏洩、守秘義務・NDA違反 |
開発 | コード生成、ドキュメント作成、コードレビューの補助 | ソースコード、システム構成、API キーなど認証情報 | 入力注意〜OK | Cursor:Privacy Modeをオン(管理者が強制設定)。GitHub Copilot:Business以上。認証情報は絶対に含めない | ソースコードの流出、認証情報の漏洩 |
経理・財務 | 仕訳サポート、レポートの整形、コスト分析のドラフト | 財務データ、未公開の決算情報・予算情報 | 入力NG〜注意 | 公開済みの財務情報に限定。または Enterprise版+ ZDR。未公開の決算・予算情報は原則NG | 未公開財務情報の漏洩、インサイダーリスク |
この表の「想定リスク」欄に挙げた事項は、実際に企業で発生しうるものです。特に不正競争防止法・個人情報保護法の観点からの整理(BusinessAndLaw)が、判断の根拠として参照できます。
経営層が先行使用しているケースでは、この表が説明の根拠になります
本記事の冒頭で触れた、経営層が先行してツールを使い始めているという状況を踏まえると、経営戦略の行のリスクは特に注意が必要です。
たとえばCEOが個人のClaude Proアカウントを使って中長期戦略を練っている場合、Anthropicが2025年8月28日に発表した利用規約更新(Updates to Consumer Terms:既存ユーザーは2025年10月8日までに学習利用の可否を選択する必要がある)によって、設定次第では入力内容が学習の対象になりえます。
こうした状況を経営層に伝えるとき、「危ないから止めてほしい」という制限の文脈ではなく、「使い方を変えれば安全に使い続けられる」という代替案の提示とセットにすることが重要です。
生成AI利用ガイドラインのテンプレート
ここまでで整理した3軸——データ分類・ツール設定・適用業務——を統合すると、生成AI利用ガイドラインの骨子が構成できます。
以下は、本記事に付属している「生成AI利用ガイドライン テンプレート(Word形式)」の章構成です。社内に提示する初版の出発点として、各社の状況に合わせてカスタマイズのうえご利用ください。
第1章 目的と適用範囲
1-1. 適用対象(全社員 / 業務委託・派遣含む)
1-2. 用語の定義(生成AIサービス、業務データ、入力、出力)
1-3. 本ガイドラインの位置づけ(就業規則・情報セキュリティポリシーとの関係)
第2章 利用を認めるAIツールとプラン要件
2-1. 承認済みツール一覧(ツール名・必要プラン・管理担当)
2-2. 個人アカウントでの業務利用の禁止と直近の動向
第3章 入力データの3分類ルール
3-1. データ3分類の考え方
3-2. 入力NGデータの一覧と禁止理由
3-3. 入力注意(条件付きOK)の処理手順(匿名化・マスキング)
3-4. 入力OKデータの範囲
第4章 業務・部門別の利用判断軸
4-1. 部門別ルール一覧(経営・編集・営業・開発・管理・法務・人事)
4-2. 経営層が個人アカウントで先行利用しているケースへの対応
第5章 ツールごとの管理者設定チェックリスト
5-1. ChatGPT(OpenAI)
5-2. Claude.ai(Anthropic)
5-3. 追加ツールを導入する場合の参考
第6章 出力物を業務利用する際の注意点
6-1. 著作権・商標権・意匠権への配慮
6-2. ハルシネーション(誤情報生成)への対応
6-3. 各AIサービスの独自ポリシー遵守
6-4. AI生成物の表示・開示
第7章 契約・取引先対応における注意点
7-1. NDA締結中の情報の取り扱い
7-2. 新規NDA締結時の確認事項
7-3. 自社が委託元としてNDAを起草する場合
7-4. 顧客対応への活用(個人情報を含むケース)
第8章 インシデント対応
付録A:よくある質問(FAQ)
付録C:本ガイドラインの自社向けカスタマイズガイド
完璧なガイドラインより、動く骨子を先に出す
総務省・経済産業省が公表している「AI事業者ガイドライン」(総務省・経済産業省)では、AI利用事業者が自主的にガイドラインを整備することを推奨しています。規制対応の観点からも、整備の遅れは好ましくありません。
第4章(部門別判断軸)は初版公開後に追記していく形でも十分です。
改善を重ねていく姿勢を組織に示せるため、ガイドライン運用が定着しやすくなります。
まとめ
生成AI利用ガイドラインの整備に必要な3つの軸を、比較表とすぐに使えるテンプレートで整理しました。
経営層から「ルールを作ってほしい」と依頼されたとき、最初に動かすべきは「データを3つに分けること」です。
この共通言語が組織内にできると、その後のツール選定・プラン選定・管理者設定の議論が、一貫した根拠のもとで進むようになります。
主要AIツールのデータポリシーは、個人版と法人版で大きく異なります。
「有料プランを使っているから安全」という誤解を解くことも、推進担当者の重要な仕事のひとつです。
本記事の比較表が、経営層への説明や社内議論の材料としてご活用いただければ幸いです。
最後に一点。ガイドラインは、作った瞬間から陳腐化が始まります。AIツールのポリシーは頻繁に更新されます(GitHub Copilot の2026年4月変更がその典型例です)。四半期ごとのレビュー体制を、骨子の段階から組み込んでおくことが、長く機能するガイドラインの条件になります。
ゼロから書き始める前に、本記事の3軸をそのまま組み込んだWord形式のガイドラインテンプレートを、議論のたたき台としてご活用ください。
リンクをコピー
知見・コラム
コラム
全員アナリストの時代と、これからのデータ組織
これまでのデータ組織が引き受けてきた役割「データ組織」「データ分析チーム」「アナリティクスチーム」。社内でこういったデータ専門の組織を置くとき、多くの会社で、その役割や組織の作り方は似ていました。マネージャーがいて、その下にデータアナリスト、データエンジニア、データサイエンティストが並ぶ。BIチーム...
2026/6/8
コラム
「便利になったのに、営業は難しくなった」AI時代の営業の核を考える
2026/6/4
知見
ルールのないCRMにAIエージェントを入れると何が起きるか|起こりうる事故と、先に整備という近道
「うちもそろそろAIエージェントを入れて、商談記録の入力やフォロー、レポート作成を自動化したい」。営業の現場で、こうした声が当たり前に聞かれるようになりました。ところが、いざCRM(顧客管理システム)を開いてみると、同じ取引先が「株式会社○○」「○○(株)」「○○ホールディングス」と3通りで登録され...
2026/6/5
記事一覧へ
お役立ち資料
営業部門のAIエージェント活用ガイド|営業現場が変わる10の業務
ダウンロード
お役立ち資料一覧を見る
Contact
まずはお気軽にご相談ください
