「生成AIを社内で活用したいが、何から制度を整えればいいのかわからない」「シャドーAIが社内で広まっているが、禁止するだけでは解決しないと感じている」——こうした悩みを持つ情シス・IT企画担当者が急増しています。2026年現在、国内では経済産業省・総務省のAI事業者ガイドライン、欧州ではEU AI Actが本格的に適用されており、企業として生成AIガバナンスを整備する必要性はもはや疑いの余地がありません。

この記事では、企業が生成AIガバナンスポリシーをゼロから整備するために必要な、体制設計・ポリシー項目・リスク管理フレームワーク・運用手順を体系的に解説します。「何をどの順番で決めるか」という実務的な視点で整理していますので、担当者が社内起案の叩き台として活用できる内容を目指しています。

なぜ今、企業に生成AIガバナンスが必要なのか

多くの企業がすでにChatGPTやCopilotなどの生成AIを業務で使い始めていますが、その「使い方のルール」を整備できている企業はまだ少数にとどまっています。現場の活用が先行し、ガバナンスが追いついていない状態が続いています。

シャドーAI問題が示す「管理なき活用」のリスク

シャドーAIとはで解説したとおり、企業が承認していないAIツールを従業員が業務で使う「シャドーAI」は、日本のナレッジワーカーの78%に広がっていると言われています。生成AIへの業務データ入力による情報漏洩、ハルシネーションによる業務ミス、著作権侵害のリスクが「見えないところで」積み上がっている状態です。

特に深刻なのが情報漏洩リスクです。従業員が業務上の機密情報（顧客情報・未公開の財務数値・社内の人事情報など）を生成AIに入力した場合、そのデータがAIの学習データとして利用される可能性があります（サービスによって規約が異なるため確認が必要）。企業向けプランに切り替えることで学習利用を防げるサービスも多いですが、個人が個人アカウントで使用している場合は制御できません。

ガバナンスのない状態での生成AI活用は、「便利さのメリット」より「管理不能のリスク」の方が大きくなる可能性があります。

規制強化と経営責任の高まり

2026年時点で、生成AIに関する規制・ガイドラインは急速に整備されています。

• 経産省・総務省「AI事業者ガイドライン」: 国内企業のAI利用に関する基本的な考え方を示す
• EU AI Act（EU AI規則）: 欧州でのAIシステム利用に関する法的要件（リスク分類・透明性要件等）
• 個人情報保護法: AIサービスへの個人情報入力は「第三者提供」に該当する可能性
• 不正競争防止法・著作権法: AI生成物の著作権帰属・営業秘密の漏洩リスク

これらへの対応が不十分なまま生成AI利用が続くと、監督官庁からの指摘・行政処分リスクが高まります。経営者・CISOレベルでの意思決定と体制整備が求められています。特にEU AI Actは、欧州でビジネスを行う日本企業にも適用されるため、グローバルに事業展開する企業では早急な対応が必要です。

参考URL: https://www.nttdata.com/jp/ja/trends/data-insight/2026/0313/

生成AIガバナンスとは何か――定義と構成要素

「ガバナンス」という言葉は広義であるため、まず「生成AIガバナンス」が具体的に何を指すかを整理します。「禁止リストを作ること」でも「監視ツールを導入すること」でもなく、それらを統合した組織的な仕組みです。

生成AIガバナンスの定義

生成AIガバナンスとは、企業が生成AIを安全・適切・継続的に活用するために必要な、ポリシー・体制・プロセス・技術的管理の総体です。単に「禁止事項を決める」ことではなく、「どうすれば安全に使えるか」を組織として決め、運用し、改善し続ける仕組みです。

優れた生成AIガバナンスの特徴は、「禁止」ではなく「安全な活用の促進」を目的とすることです。禁止だけでは従業員のシャドーAI利用が増加し、管理がより困難になります。「使っていい方法・使ってはいけない方法」を明確にし、安全な使い方を推奨することで、利便性とセキュリティを両立できます。

生成AIガバナンスを構成する4つの要素

この4要素が揃ってはじめて「ガバナンスが機能している状態」と言えます。ポリシーだけ作って体制がなければ空文化し、技術的管理だけあってポリシーがなければルール基盤のない管理になります。

多くの企業では、最初に「ポリシー」を作ることに注力し、「体制・プロセス・技術的管理」が後回しになりがちです。しかし、ポリシーは「誰かが周知し・誰かが確認し・問題があれば誰かが対処する」という体制とセットでなければ機能しません。

参考URL: https://cloud-ace.jp/column/detail540/

生成AIポリシーに必ず盛り込むべき8つの項目

ポリシー文書は「誰が読んでも同じ行動ができる」レベルの具体性が求められます。「個人情報を入力しないこと」という禁止事項だけでは不十分で、「個人情報とは何か・具体的にどんな情報が対象か・例外はあるか」まで明記することで、実務で機能するポリシーになります。

1. 目的・適用範囲

このポリシーが何のために存在するか（情報セキュリティ・コンプライアンス・ブランド保護等）と、誰に適用されるか（全従業員・特定部門・委託業者等）を明記します。

目的の明確化は、従業員がポリシーの趣旨を理解して行動するために重要です。「なぜこのルールがあるのか」がわかると、ルールに書かれていないケースでも適切に判断できるようになります。「これは会社の都合ではなく、従業員自身を守るためのルールでもある」という観点から説明することで、ポリシーの受け入れが良くなります。

2. 承認済みAIツールのリスト（ホワイトリスト）

現時点で情シスが審査・承認したAIツールを明示します。「承認されていないツールは使ってはいけない」という原則を、具体的なリストで補完することで、グレーゾーンをなくします。

更新日付を必ず記載し、定期的なレビューで最新状態を維持することが重要です。ホワイトリストは固定したものではなく、新しいAIツールの申請に応じて随時更新される「生きた文書」として管理します。承認したツールの利用条件（「業務用アカウントのみ可」「機密情報の入力禁止」等）も合わせて明記すると、従業員の判断がしやすくなります。

3. 入力禁止情報の定義

AIツールに入力してはいけない情報のカテゴリーを具体的に列挙します。

入力禁止情報の例:

• 個人情報（顧客・従業員の氏名・住所・メールアドレス・電話番号等）
• 未公開の財務情報（決算数字・M&A情報等）
• 取引先との契約情報・NDA対象情報
• ソースコード・設計仕様（企業の知的財産）
• 採用候補者・社員の人事情報
• 国や業界が定める機密・秘密に分類される情報

「個人情報」だけでは判断が難しいケースがあるため、具体的な例を豊富に列挙することが重要です。また、「これはどうなの？」という判断に迷った場合の問い合わせ先を明記することで、従業員が抱えた疑問を解消しやすくなります。

4. 申請・承認フロー

新しいAIツールを業務で使いたい場合の申請手順と、承認基準・審査期間を明記します。「申請してから何営業日以内に回答」という期限を設けると、承認待ちの期間に個人ツールを使うシャドーAI化を防げます。

申請フローは「審査が通らないと困る」という従業員のプレッシャーを感じさせず、「申請すれば迅速に審査してもらえる」という安心感を提供することが大切です。申請フォームはシンプルにし、必要事項（ツール名・用途・使用するデータの種類・利用人数）のみを確認する形にすることで申請のハードルを下げます。

5. 生成コンテンツの取り扱いルール

AIが生成した文章・画像・コードを使用する際のルールを定めます。生成物の品質とリスクを管理するために必要な規定です。

• 外部公開前に人間がファクトチェック・編集することを義務づける（ハルシネーション対策）
• AI生成物である旨の表示が必要な場面を明記する（広告・報告書・公式文書等）
• 著作権確認の手順を定める（学習データに含まれる著作物の複製リスク）
• AIが生成したコードを本番環境に使用する場合の確認手順を定める

特にコードに関しては、AIが生成したコードに既知の脆弱性パターンが含まれているケースがあるため、セキュリティレビューのプロセスを定めておくことが重要です。

6. インシデント報告フロー

シャドーAI利用が発覚した場合や、情報漏洩が疑われる場合の報告先・報告方法・是正手順を定めます。懲罰ではなく「報告しやすい環境」を作ることで、問題の早期発見につながります。

インシデント報告フローには、「報告した結果どうなるか」を明記することが重要です。自己申告した場合の処分軽減措置や、改善への協力姿勢を示すことで、隠蔽よりも報告が選ばれる文化を作ります。報告されないインシデントは、発見が遅れて被害が拡大するリスクがあります。

7. ポリシーの見直しサイクル

生成AI技術は急速に変化するため、ポリシーの定期更新（最低年2回）を明記します。新しいリスクや規制変化に対応できる柔軟な更新体制が必要です。

更新のトリガーとして、「新しい規制・ガイドラインの公表」「重大なインシデントの発生」「主要なAIツールの機能変更」「業界での事例発生」なども明記しておくと、担当者が更新のタイミングを判断しやすくなります。見直しの結果「変更なし」でも、「○月○日に確認・変更なし」という記録を残すことで、ポリシー管理の証跡になります。

8. 従業員教育・研修の要件

このポリシーを全従業員が理解・遵守するための教育手順を記載します。入社時研修・年次更新研修・新しいAIツール導入時の説明会など、教育機会を具体的に定めます。

教育の効果を測定するために、研修受講率・理解度テストの合格率・ポリシー違反件数などをKPIとして設定し、定期的にモニタリングすることが推奨されます。「教育した」という記録だけでなく、「教育の効果があったか」を確認する仕組みを持つことで、ガバナンスの実効性が向上します。

参考URL: https://self.systems/laboratry-generative-ai-governance/

ガバナンス体制の設計――誰が何を担うか

ポリシーは作るだけでは機能しません。「誰が何を決め、誰が何を管理するか」という体制設計が不可欠です。体制が曖昧なまま運用すると、「あの件は誰が判断するの？」という状況が頻発し、意思決定が遅滞します。

AIガバナンス委員会の設置

生成AIに関する意思決定を特定部門だけに委ねると、組織全体への浸透が難しくなります。以下の部門を巻き込んだ横断的な委員会を設置することを推奨します。

委員会は四半期ごとに開催し、新規AIツールの承認状況・インシデント発生状況・規制動向の変化を共有します。常設の委員会にすることで、「何か起きたら招集する」ではなく継続的なモニタリングの場として機能させます。

審査プロセスの標準化

AIツールの申請・審査フローは、担当者が変わっても同じ基準で判断できるよう標準化が必要です。

審査フローの例:

1. 申請者が審査チェックリストに回答（データの種類・ユーザー数・用途）
2. 情シスがセキュリティ評価を実施（サービス規約・データ保護条件の確認）
3. 法務が規約・コンプライアンス要件を確認
4. リスクスコアに基づいて承認・条件付き承認・却下を決定
5. 承認の場合はホワイトリストに追加・利用ガイドと合わせて申請者に通知

審査に使うチェックリストを標準化することで、「感覚」ではなく「基準」に基づいた判断ができるようになります。チェックリスト項目の例として、「データの保存先（国内・EU・米国）」「データの機械学習への利用可否」「SOC2 Type2または同等の認証取得状況」「オプトアウトの方法」「ベンダーへの連絡先・インシデント対応体制」などが挙げられます。

参考URL: https://aismiley.co.jp/ai_news/what-is-ai-governance-guideline/

生成AIリスクの分類と管理フレームワーク

すべての生成AIを同じレベルで管理しようとすると、情シスのリソースが枯渇します。リスクに応じた分類管理が実務上の鍵です。「重要度に応じた管理の濃淡」をつけることが、持続可能なガバナンス体制の設計です。

リスクレベル別の分類基準

リスクレベルの判断は、「入力するデータの機密性」と「利用規模（ユーザー数・頻度）」の2軸で評価することが基本です。高リスクに分類されるツールは、承認後も定期的なレビュー（半年ごと）と利用ログの確認が必要です。低リスクであれば、年1回の使用報告で管理を簡略化できます。

承認ツールの利用条件設計

ツールを承認する際に、「何を条件として承認するか」を明示することも重要です。同じツールでも、用途・データ・ユーザー属性によって条件を変えることができます。

例えば、ChatGPT（Enterprise版）を「承認」する際に、「入力禁止情報リストに従うこと」「生成コンテンツを外部公開前に人間がレビューすること」「業務アカウントのみで使用し個人アカウントは不可」という条件を付けます。条件付き承認の記録は、後から「なぜその条件をつけたか」を追跡できるよう保管します。

NIST AI RMFとの対応

米国国立標準技術研究所が公開したNIST AI Risk Management Framework（AI RMF）は、AIリスク管理の国際的な基準として活用が広がっています。

AIRMFの4機能（GOVERN・MAP・MEASURE・MANAGE）を自社の生成AIガバナンスに取り込むことで、国際的に通用するフレームワークを構築できます。ITガバナンスとはの観点でも、AI特化のガバナンス体制はIT全体のガバナンス強化と整合させて設計することが重要です。

• GOVERN（統治）: AIガバナンスの組織的・文化的実践。委員会・ポリシー・責任体制の確立。
• MAP（マッピング）: AIシステムの文脈とリスクの特定。リスク分類・影響範囲の明確化。
• MEASURE（測定）: AIリスクの分析・評価・監視。KPIの設定とモニタリング。
• MANAGE（管理）: AIリスクへの対応・優先度付け・是正。インシデント対応と改善サイクル。

参考URL: https://www.optimax.co.jp/ai-information/ai-governance-guide/

‍国内外の規制・ガイドラインと企業への影響

2026年現在、生成AIに関する規制・ガイドラインは急速に整備されています。主要なものを把握しておくことが、ポリシー策定の基盤になります。「規制対応」という後ろ向きな動機ではなく、「法的リスクを最小化しながら適切に活用する」という前向きな観点で取り組むことが重要です。

国内：経済産業省・総務省「AI事業者ガイドライン」

2024年に策定されたAI事業者ガイドラインは、AIの開発・提供・利用における企業の基本的な責任と行動原則を示しています。

企業（AIの利用者）に求められる主な事項:

• AI利用時の目的・用途の明確化
• AIシステムのリスクアセスメントの実施
• 利用者（従業員）への説明と教育
• インシデント発生時の報告体制
• AIシステムの透明性確保（生成物がAIによるものである場合の明示）

法的強制力のないガイドラインですが、監督官庁や取引先からの信頼性評価に影響します。また、このガイドラインへの対応状況が、将来的な法規制の整備において自社の姿勢を示す証拠になります。

海外：EU AI Act（EU AI規則）

欧州連合が2024年に成立させたEU AI Actは、AIシステムのリスクレベルに応じた規制を定めています。2026年には主要条項が適用段階に入っており、欧州でビジネスを行う日本企業にとっても対応が必要です。

[Image describing the hierarchical risk levels of the EU AI Act: Unacceptable, High, Limited, and Minimal]

高リスクAIシステム（人事・採用・与信審査等に使うAI）への主な要件:

• リスクマネジメントシステムの構築
• 訓練データの品質管理文書化
• 人間による監視体制
• 透明性のある情報提供

禁止されるAIシステム:

EU AI Actでは、社会的スコアリング・リアルタイム生体認証（公共の場での使用）など、一定のAI利用が禁止されています。これらの禁止事項に該当するAIの使用計画がある場合は、法務部門への確認が不可欠です。

個人情報保護法との関係

AIサービスへの個人情報の入力は、個人情報保護法上の「第三者提供」に該当する可能性があります。企業向けプランであっても、サービス規約を精査し、個人情報の取り扱い方針を確認することが必要です。

サービス規約の確認ポイントとして、「入力データをAIの学習・改善に利用するか」「入力データを第三者に提供するか」「データの保存先・保存期間」「日本の個人情報保護法への準拠状況」の4点を必ず確認します。確認結果は審査記録として保管し、定期的に（規約変更時を含む）再確認することが推奨されます。

参考URL: https://www.e-guardian.co.jp/blog/20260204.html

SaaS管理との連携――シャドーAI管理の組み込み方

生成AIガバナンスは、SaaS管理の仕組みと連動させることで、管理コストを大幅に削減できます。AIツールを「特別なもの」として別管理するのではなく、SaaS管理の枠組みに組み込むことが実務上の現実的なアプローチです。

「AIツールもSaaSの一部」として管理する

生成AIツール（ChatGPT、Copilot、Gemini等）はすべてクラウドサービス（SaaS）の一形態です。SaaS管理とはの仕組みを拡張することで、AIツールの管理もSaaS管理の一部として取り込めます。

SaaSガバナンスとはの観点で言えば、AIツールのガバナンスはSaaS全体のガバナンスポリシーに「AI特化の補足ルール」を追加する形で設計するのが最も効率的です。「AI専用のガバナンスを別に作る」より、既存のSaaS管理・ガバナンスの枠組みを活用することで、管理の重複を避けられます。

シャドーAI検出を継続的に組み込む

シャドーAI リスクで解説したとおり、シャドーAIのリスク管理には「継続的な可視化」が不可欠です。一度棚卸しをして終わりではなく、新しいAIツールが従業員によって使われ始めた場合に即座に検出・対応できる仕組みが必要です。

SaaS可視化とはの機能を持つSaaS管理プラットフォームを活用することで、生成AIガバナンスの「監視・検出」フェーズを自動化できます。新しいAIツールのドメイン（openai.com、claude.ai、gemini.google.comなど）へのアクセスを検出し、未承認ツールの利用を自動的にアラートで通知する仕組みが有効です。

プロビジョニング管理とAIアカウントの整合

承認済みAIツールについても、アカウント管理は適切に行う必要があります。退職者がCopilotやChatGPT Enterpriseのライセンスを保持したまま退職した場合、不必要なコストが発生するだけでなく、退職者がアクセスを継続できる状態が残ります。

SaaS管理ツールと連携した自動デプロビジョニングにより、退職時にAIツールのライセンスも自動的に回収する仕組みを整備することが、コスト管理とセキュリティの両面で有効です。

ジョーシスで生成AI利用を管理する方法

生成AIガバナンスの実運用において、ジョーシス（Josys）のSaaS管理プラットフォームは「可視化・管理・自動化」の面で大きく貢献します。

生成AIツールを含むSaaS利用の一元可視化

ジョーシスは、ブラウザ拡張とIDプロバイダー連携によって、従業員が業務で使っているすべてのSaaS・AIツールをリアルタイムで検出し、ダッシュボードに表示します。

「誰がどのAIツールをいつから使っているか」が可視化されることで、

• シャドーAIの早期発見（未承認ツールの検出とアラート）
• AIガバナンス委員会での実態報告の根拠データ（利用状況のエクスポート）
• ポリシー更新の優先度判断（多く使われているツールから順に審査）

のいずれにも活用できます。特に、「社内でどのAIツールが何人に使われているか」というデータは、ガバナンス委員会での優先度判断に非常に有効です。

プロビジョニング自動化によるアカウント管理

承認済みAIツールのアカウント管理も、ジョーシスの自動プロビジョニング・デプロビジョニング機能で効率化できます。入社時にはアクセス権の付与、退職・異動時にはアクセス権の即時無効化を自動で実行することで、情シスの手作業工数を大幅に削減しながら、退職者アカウントの放置リスクを排除します。

参考URL: https://josys.com/jp/blog/2024-05-23-with-the-rise-of-ai-is-your-it-team-taking-action

生成AIガバナンス整備のロードマップ

「何から始めればいいかわからない」という担当者のために、段階的な整備計画を提示します。完璧なガバナンスを一度に作ろうとするのではなく、まず基盤を作って運用しながら改善していくアプローチが実務的です。

フェーズ1（0〜1か月）: 現状把握

最初の一歩として最も重要なのは、「今自社でどんなAIツールが使われているか」を把握する可視化です。実態が見えないままポリシーを作っても、現場の実情と乖離したルールになりがちです。

• SaaS管理ツール等を活用して、社内のAIツール利用実態を把握する
• 部門ヒアリングで「どんな業務にAIを使いたいか」のニーズを収集する
• 他社の事例・業界のガイドライン・規制動向を調査する
• ガバナンス整備の推進体制（担当者・関与部門）を決定する

フェーズ2（1〜3か月）: 基盤ポリシーの整備

現状把握の結果をもとに、まず基本的なポリシーを策定します。最初から完璧なポリシーを目指すより、「まず動ける状態にする」ことを優先します。

• 生成AIポリシーの初版を策定する（8項目を含む）
• 承認済みAIツールのホワイトリストを作成する
• 簡易版の申請・承認フローを整備する
• 全社への周知と研修を実施する

フェーズ3（3か月以降）: 体制の高度化

基本体制が動き始めたら、継続的な改善の仕組みを整備します。

• AIガバナンス委員会を設置し、定例会議を開始する
• リスクレベル別の分類基準を精緻化する
• 技術的な監視・検出の自動化を強化する
• ポリシーの定期レビューサイクルを確立する
• インシデント事例を蓄積し、ポリシーの改善に活用する

まとめ

生成AIガバナンスポリシーの整備は、「禁止リストを作る」ことではなく、「安全に活用し続けるための仕組みを組織に根付かせる」ことです。ポリシー・体制・プロセス・技術的管理の4要素が揃ってはじめてガバナンスが機能します。

最初の一歩として最も重要なのは、「今自社でどんなAIツールが使われているか」を把握する可視化です。実態が見えないままポリシーを作っても、現場の実情と乖離したルールになりがちです。現状把握から始め、基本ポリシーを整備し、体制を構築して継続的に改善していく段階的アプローチが、実務で機能するガバナンスを作る道筋です。

シャドーAIの定義・種類についてはシャドーAIとはを、シャドーAIのリスク詳細についてはシャドーAI リスクをあわせてご覧ください。IT全体のガバナンス整備についてはITガバナンスとはも参考になります。