「ChatGPTは使っていいの？」「業務で生成AIを使っても問題ない？」——情シス担当者なら、こうした問い合わせが日々増えていることを肌で感じているのではないでしょうか。生成AIのツールは急速に普及し、社員の多くがすでに個人レベルで使い始めています。しかし、企業として明確なルールが存在しないまま、その利用が広がっているのが現状です。

情報漏洩のリスク、著作権侵害の懸念、ハルシネーションによる誤情報の拡散——放置すれば必ず問題が起きます。一方で「禁止」の一言で片付けることは、現場の生産性向上を阻害し、別のリスク（シャドーAIの横行）を生みます。

この記事では、情シスが主導して生成AI利用ポリシーを策定するための手順を、具体的なステップと必須項目とともに解説します。ポリシー文書のテンプレート構成も提示しますので、社内整備の出発点としてお使いください。

なぜ今すぐ生成AI利用ポリシーが必要か

生成AI利用ポリシーの整備を「検討中」のまま置いておくリスクが、2026年現在では看過できない水準に達しています。

シャドーAI・情報漏洩リスクが顕在化している現状

シャドーAIとは

2023年以降、ChatGPTをはじめとする生成AIサービスが急速に普及し、個人が無料・安価に利用できる環境が整いました。従業員が業務で生成AIを使うこと自体は自然な流れですが、企業としての管理が追いついていない状態が問題です。

特に深刻なのが、社内の機密情報が生成AIに入力されてしまうリスクです。顧客の個人情報、未公開の製品情報、社内の財務データ——こうした情報がプロンプトに含まれ、無料プランのAIサービスに送信されてしまえば、そのデータがAIの学習に利用される可能性があります。実際にいくつかの企業では、機密情報の意図しない外部送信が問題となり、生成AIの社内利用を緊急停止する事態になっています。

日本のナレッジワーカーの約78%が何らかの無許可AIツールを業務で使っているという調査結果がある中、ポリシーなしでの運用は企業にとって大きなリスクを抱え続けることを意味します。

利用ポリシー未整備のまま放置する3つのリスク

リスク1: 情報漏洩・データ外部送信従業員が個人の判断で生成AIを使う際、どのデータが学習に使われるかを把握していないケースが大半です。無料プランの多くは、入力データがモデル改善のために利用される可能性があります。

リスク2: 著作権・知的財産の侵害生成AIが出力するコンテンツには、他者の著作物に類似したものが含まれる可能性があります。ポリシーなしに生成AIの出力を社外に公開すると、著作権侵害のリスクが生じます。

リスク3: ハルシネーションによる業務上の誤り生成AIは自信を持って誤った情報を提供することがあります。ポリシーがなければ、従業員が生成AIの出力を確認なしに採用してしまい、法律の誤認識や数値の誤りが業務に影響を与えかねません。

情シスが主導すべき理由

生成AI利用ポリシーは、法務・コンプライアンス・人事など複数の部門が関わるテーマです。しかし、ツールの技術的な特性理解、セキュリティリスクの評価、承認済みツールの管理——これらは情シスの専門領域です。

情シスが主導してポリシーを策定し、他部門と連携して整備・運用する体制を作ることが、最も実効性の高いアプローチです。情シスが生成AIを「管理する側」として理解を深めることが、全社のガバナンス構築の第一歩になります。

参考: 生成AIを社内に導入するための「社内ポリシー」と運用ルール作り

生成AI利用ポリシーに含めるべき必須項目

ポリシー文書に最低限盛り込むべき内容を整理します。

利用許可・禁止ツールの定義

ポリシーの中核となるのが、「どのツールを使っていいか」の定義です。情シスが審査した上で「承認済みリスト」として具体的なツール名を明記する形式が最も明確です。

承認済みリストには、ツール名・プラン・利用目的・利用可能な範囲を記載します。たとえば「ChatGPT Enterprise：業務での文章作成・要約・コード補助に利用可。顧客情報・機密情報の入力禁止」のように具体的に記述することで、現場が判断に迷わなくなります。

リストに載っていないツールについては「利用前に情シスへ申請」というフローを設けることで、シャドーAIの発生を抑制できます。

入力禁止情報の範囲

生成AIへの入力を禁止する情報の範囲を明確に定義することが、情報漏洩リスクの核心的な対策です。一般的に入力禁止とすべき情報の例を挙げます。

• 個人情報（氏名・住所・電話番号・メールアドレス・マイナンバーなど）
• 顧客の業務情報・契約情報
• 社内の財務データ・未公開の事業計画
• セキュリティ設定情報・システムの脆弱性情報
• 従業員の評価・給与情報

「機密情報」という曖昧な定義では現場が判断できません。具体的な情報の種類をリストアップした上で、「判断に迷ったら情シスに確認する」という行動指針とセットで示すことが重要です。

生成物の取り扱いルール

生成AIが出力したコンテンツをそのまま使用することを禁止し、必ず人が確認・編集するプロセスを定めます。特に以下の場面では確認が必須です。

• 社外に公開するコンテンツ（ウェブサイト、プレスリリース、メールマガジンなど）
• 法律・規約・契約に関連する文書
• 数値・統計を含む報告書・分析資料

生成AIの出力を「素材」として扱い、最終的な判断と責任は人が持つという原則を明文化します。

違反時の対応フロー

ポリシーに実効性を持たせるためには、違反が発生した際の対応フローを定めておく必要があります。ただし、最初から厳罰的な内容にすると、違反の隠蔽につながる可能性があります。

「まず情シスへ報告」という軽い入口を設け、情シスが状況を把握した上で、必要に応じてセキュリティ対応・法務確認・経営報告を行うフローが実態に合っています。違反を責めるより、問題を早期に発見して対処することを優先する文化を作ることが大切です。

参考: 生成AIガイドラインの作り方と事例11選・必須項目（テンプレート付き）

生成AI利用ポリシー作成の4ステップ

ポリシーは「完璧なものを時間をかけて作る」より「速く公開して運用しながら改善する」アプローチが現実的です。以下の4ステップで進めることを推奨します。

Step1: 現状把握（社内の生成AI利用実態の調査）

ポリシー策定の前に、まず社内でどんな生成AIがどのように使われているかを把握します。調査方法としては以下が有効です。

アンケート調査: 全従業員に対して「業務で使っている生成AIツール・利用頻度・利用目的」を回答してもらいます。匿名方式にすることで正直な回答を得やすくなります。

SaaS管理ツールによる検出: ジョーシスなどのSaaS管理ツールを使えば、社内ネットワーク上での生成AIサービスへのアクセスを自動検出できます。アンケートでは把握できないシャドーAIも発見できます。

生成AI 情シス 活用 方法

経費精算・クレジットカード明細の確認: 部門の経費として計上されている生成AIサービスの契約を把握します。

現状調査の結果を整理することで、ポリシーに盛り込むべきリスクの優先順位と、制限すべきツールの候補が明確になります。調査で発見されたシャドーAIの種類と数は、経営層への状況説明にも説得力をもたらします。

Step2: リスクアセスメントと方針決定

現状調査の結果をもとに、リスクを評価して方針を決定します。主に以下の観点でアセスメントを行います。

ツール別リスク評価社内で使われている各生成AIツールについて、データ処理ポリシー（入力データが学習に使われるか）、セキュリティ認証（SOC2、ISO27001など）、日本の個人情報保護法・GDPRへの対応状況を確認します。

業務用途別リスク評価生成AIを活用する業務の種類（文章作成、コード生成、データ分析など）と、その業務で扱われる情報の機密性を照らし合わせて、高リスク・低リスクを分類します。

方針の選択肢

• 全社一律で特定のエンタープライズプランのみを許可する（管理のシンプルさを優先）
• 用途・部門ごとに承認ツールを設ける（柔軟性を重視）
• まず試験期間として制限付きで広く許可し、問題があれば絞り込む（速度を優先）

どの方針を選ぶかは、自社のセキュリティ要件と現場ニーズのバランスによって判断します。

Step3: ポリシー文書の作成

方針が固まったら、ポリシー文書を作成します。文書の構成例を示します。

【生成AI利用ポリシー 構成例】

1. 目的
2. 適用範囲（全従業員・社外委託先を含む）
3. 承認済みツールリスト
4. 利用上のルール
  4-1. 入力禁止情報の定義
  4-2. 生成物の取り扱い
  4-3. 著作権・知的財産への配慮
5. 新規ツール申請手続き
6. 違反時の対応フロー
7. 改訂履歴・次回レビュー日


文書は専門用語を避け、現場の担当者が読んで迷わない平易な表現にすることが重要です。「よくある質問（FAQ）」を付録として添付すると、ポリシーへの理解が深まる。

Step4: 周知・教育と運用開始

ポリシーが完成したら、全従業員への周知と教育を実施して運用を開始します。周知の方法については次のH2で詳述します。

参考: 社内で使えるAI利用ルールの作り方｜チェックリストと雛形付きで徹底解説

部門別・役割別の利用ルール設計

従業員全員に同じルールを適用するだけでは不十分な場合があります。役割や業務内容に応じた細分化が、ポリシーの実効性を高めます。

全従業員共通ルール

すべての従業員に適用する基本ルールは、シンプルかつ明確にします。

• 承認済みリストにあるツールのみを業務に使用すること
• 入力禁止情報を生成AIに入力しないこと
• 生成AIの出力を確認なしに社外に公開しないこと
• 新しいAIツールを使いたい場合は情シスへ申請すること

このレベルのルールは、研修や社内説明会で20〜30分で伝えられる内容にまとめることが理想です。

利用許可・承認者向けルール

部門で新しいAIツールの導入を検討する際の承認責任、部下の生成AI利用状況の把握義務、チーム内でのポリシー遵守促進の責任を明記します。

管理職が「うちの部門ではAIを使ってもよい」と独自判断する形での運用は、ガバナンスの空白を生みます。すべての新規導入は情シスを通じた承認プロセスを経ることを徹底します。

情シス・IT担当者向けルール

情シス担当者は、ポリシーの運用管理者として以下の責任を担います。

• 承認済みツールリストの定期的な更新と情報提供
• 新規ツール申請の審査と回答（SLA：5営業日以内など）
• シャドーAIの検出・対応
• セキュリティインシデントが発生した際の窓口対応

情シス内でAI利用の申請・承認フローを担当するメンバーを明確にしておくと、運用がスムーズになります。

外部委託・ベンダー向けルール

外部の委託先・ベンダーが業務の中で生成AIを使用する場合についても、ポリシーの適用範囲に含めます。特に、自社の機密情報を扱う委託先については、契約書の中に生成AI利用に関する規定を盛り込むことを検討してください。

参考: 生成AI利用ルールとは？ 安全な運用に役立つガイドラインの作り方

生成AIツールのセキュリティ評価ポイント

承認済みツールリストに掲載するツールを審査する際の評価観点を整理します。

データ処理・学習利用の確認

最初に確認すべきは、ユーザーが入力したデータがAIの学習に利用されるかどうかです。

無料プランの場合: 多くのサービスでは、無料プランでは入力データがモデル改善のために使用される設定がデフォルトになっています。業務利用では無料プランの使用を原則禁止とすることを推奨します。

エンタープライズ・有料プランの場合: 入力データを学習に使用しないことをSLAや利用規約で保証しているか確認します。OpenAI（ChatGPT Enterprise）、Microsoft（Copilot for Microsoft 365）、Google（Gemini for Google Workspace Business/Enterprise）などの主要サービスはエンタープライズプランでこの保証を提供しています。

データの保管場所: 入力データがどのリージョンのサーバーで処理・保管されるかも確認が必要です。特に個人情報を扱う場合、GDPR対応状況（EU域内保管の有無）が重要です。

SOC2・ISO27001等の認証確認

生成AIサービスのセキュリティ水準を客観的に評価するために、以下の認証取得状況を確認します。

• SOC2 Type2: 情報セキュリティの管理体制の有効性を外部監査で証明
• ISO/IEC 27001: 情報セキュリティマネジメントシステムの国際規格
• ISO/IEC 27017: クラウドサービス情報セキュリティの国際規格
• CSA STAR: クラウドセキュリティ評価の業界標準

主要な生成AIサービスはこれらの認証を取得していますが、新興サービスや特化型ツールは未取得のケースがあります。

アクセス管理・監査ログ取得

企業としての管理に不可欠な機能として、以下を確認します。

• SSO（シングルサインオン）対応: 自社のIDプロバイダー（Microsoft Entra ID、Oktaなど）と連携できるか
• 多要素認証（MFA）の強制: 利用者へのMFA義務付けが可能か
• 管理者ダッシュボード: 誰がいつ何を使ったかのログを管理者が確認できるか
• 監査ログのエクスポート: コンプライアンス対応のためのログ保管・出力機能

SaaS管理とは

参考: 生成AIガイドラインとは？企業に役立つひな型を公開！リスクや対策も解説

ポリシーの周知・定着化の方法

策定したポリシーは、全従業員に正しく理解してもらわなければ意味がありません。周知と定着化のための具体的な方法を紹介します。

部門別説明会と研修の実施

ポリシー公開時に、部門ごとの説明会を実施することで、現場の疑問を直接受け付けて解消できます。特に生成AIの活用意欲が高い営業・マーケティング部門や、機密情報を多く扱う法務・人事部門への丁寧な説明は優先度が高いです。

研修内容は「ルールの説明」だけでなく、「どんな使い方がOKで、どんな使い方がNGか」の具体例を豊富に盛り込むことで、現場での判断力が身につきます。15〜30分程度の動画研修をe-learningで実施し、受講記録を管理する方法も効果的です。

社内ポータル・Slackでの告知

ポリシー文書を社内ポータル（SharePoint、Notion、Confluenceなど）の分かりやすい場所に掲載し、全従業員がいつでも確認できる状態にします。

SlackやTeamsで全社向けに周知メッセージを発信する際は、ポリシーの全文ではなく「3行サマリー」と「よくある質問」を前面に出すことで、読んでもらいやすくなります。「AI利用について困ったことがあれば#ai-helpチャンネルへ」のような問い合わせ窓口も同時に設置しましょう。

定期レビューと改訂サイクル

生成AIの技術・サービスは急速に変化しており、半年前に策定したポリシーが陳腐化していることも珍しくありません。少なくとも年1回、できれば半年ごとにポリシーの見直しを実施することを、最初からスケジュールに組み込んでおくことを推奨します。

レビューのタイミングとしては、主要な生成AIサービスの利用規約変更時、社内でインシデントが発生した時、新しいリスクが明らかになった時なども見直しの契機になります。

参考: 【事例あり】生成 AI 社内ガイドライン策定ガイド。必須項目や手順を解説

運用フェーズで情シスが担う役割

ポリシーを策定して終わりではなく、運用フェーズでの継続的な管理が実効性を左右します。

承認済みツールリストの管理

情シスが承認済みツールリストを管理し、定期的に更新します。新しいツールの申請が来た際は、前述のセキュリティ評価基準に従って審査し、承認・否認の結果を申請者に返答します。

承認のスループットが遅いと、待ちきれない現場がシャドーAI的な使い方を始めます。申請から回答まで5営業日以内を目安としたSLAを設定し、審査の効率化を図ることが重要です。

利用状況のモニタリング

シャドーIT 対策

ジョーシスなどのSaaS管理ツールを活用することで、社内ネットワーク上での生成AIサービスへのアクセスを継続的にモニタリングできます。承認済みリストにないサービスへのアクセスを検出した場合は、利用者への確認と、必要に応じたポリシー違反対応を実施します。

月次でAI利用状況のサマリーレポートを作成し、経営層や関係部門に共有することで、ガバナンスの可視化と説明責任を果たす。

ポリシー違反の検知と対応

ポリシー違反が発覚した場合の対応フローを明確にしておくことで、担当者が迷わず動けます。

• 軽微な違反（承認前の新サービス試用など）: 当事者への情報提供とポリシー説明で解決
• 中程度の違反（入力禁止情報の誤入力など）: 上長・法務への報告、サービス側でのデータ削除申請
• 重大な違反（故意の機密情報漏洩など）: セキュリティインシデントとして対応、経営報告

違反対応は「罰則」より「再発防止」を優先する姿勢が、風通しの良い報告文化を育てます。

経営層への定期報告と予算確保

生成AIガバナンスを継続的に改善するためには、経営層の理解と予算確保が欠かせません。情シスが月次・四半期で生成AI利用状況のレポートを経営層に報告し、リスクの変化・対応状況・必要な投資を明確に伝えることが重要です。

経営層が「情シスが生成AIガバナンスをしっかり管理している」という実感を持てるようになることで、必要な予算や人員の確保がしやすくなります。ポリシーの運用状況を「見える化」することが、情シスの立場を社内で強化する機会にもなります。

参考: 生成AIの社内ルールはどう作る？今すぐ整備すべき7つの必須項目と実践ステップを解説

生成AI利用ポリシー整備で情シスが直面するよくある課題

ポリシーの策定・運用を進める中で、多くの情シス担当者が共通して直面する課題があります。あらかじめ対策を知っておくことで、スムーズに整備を進められます。

「使いたいのに禁止されている」という現場の不満

ポリシーを整備した直後、現場から「なぜ使えないのか」という不満が出ることは珍しくありません。この反発を最小化するには、「禁止するためのポリシー」ではなく「安全に使うためのルールと手段を提供するためのポリシー」として位置づけることが重要です。

ポリシーの公開と同時に、企業として承認した安全なAIツールを提供することで、「ルールができたから使えるようになった」という体験を現場に与えることができます。禁止一辺倒では現場の反発を招くだけですが、安全な代替手段を同時に用意することで、ポリシーへの協力を得やすくなります。

承認申請の処理が追いつかない問題

シャドーAIが蔓延する組織でポリシーを導入すると、一時的に申請件数が急増することがあります。情シスのリソースが限られている中で、すべての申請を丁寧に審査していると、承認まで何週間もかかる状況が生まれます。

対策としては、「事前承認済みツールリスト」を設けることが有効です。情シスが事前に審査した安全なツールをリストに掲載し、そこに含まれるツールについては申請なしに利用を開始できるようにします。リストの更新サイクルを月次で設けることで、新しいツールへの対応も継続的に行えます。

ポリシーの陳腐化への対応

生成AIの分野は変化が速く、半年前に策定したポリシーが現実に合わなくなることがあります。「利用規約が変わったサービスが承認済みリストに残ったまま」「新しいリスクが明らかになったが対応が追いついていない」——こうした陳腐化は、ポリシーへの信頼を損ないます。

ポリシーの改訂を「特別なイベント」ではなく「定期的なメンテナンス」として位置づけることが大切です。年2回の定期レビューを最初からカレンダーに登録し、担当者を固定しておくことで、改訂が継続的に実施されます。

まとめ：ジョーシスでシャドーAI・AI利用状況を管理する

生成AI利用ポリシーを実効性のあるものにするためには、「誰がどのAIツールを使っているか」を情シスが継続的に把握することが前提になります。ジョーシスはその課題を解決するためのプラットフォームです。

未承認AI利用の自動検出

ジョーシスのブラウザ拡張機能やネットワーク監視機能を使うことで、従業員が業務で利用している生成AIサービスを自動検出できます。承認済みリストにないサービスへのアクセスが検出された場合、情シスにアラートを通知する仕組みを構築できます。

これにより、シャドーAIの把握が「従業員のアンケート頼み」から「自動検出」に変わり、情シスがリアルタイムで実態を把握できるようになります。

承認済みツール一覧の一元管理

情シスが審査・承認した生成AIツールを、ジョーシスのプラットフォーム上でSaaSの一部として管理できます。ツールごとの契約状況、利用者数、コスト情報を一元的に把握することで、不要なライセンスの整理やコスト最適化も同時に進められます。

入退社に伴うアカウントのプロビジョニング・デプロビジョニングも自動化できるため、退職者の生成AIアカウントが削除されずに残り続けるリスクも防げます。

コストと利用状況のダッシュボード化

ジョーシスのダッシュボードで、生成AIサービスを含む全SaaSの利用状況とコストを一覧できます。「月次のAIツールコストが増えているが、どの部門でどのツールが使われているか」を素早く把握し、経営への報告材料として活用できます。

生成AI利用ポリシーの実効性を測るモニタリング指標（シャドーAI発生件数、承認申請数の推移など）もダッシュボード上で可視化することで、ポリシーの改善サイクルを回しやすくなります。

生成AI利用ポリシーは、完成させることが目標ではありません。策定して公開し、運用する中で浮かび上がる課題を一つひとつ解消しながら、組織の実態に合ったルールへと育てていくプロセスです。

情シスが「生成AIを禁止する番人」ではなく「安全に活用できる環境の整備者」として動くことで、現場の生産性向上とガバナンスの両立が実現できます。まずは「最低限のガードレール」を60〜80%の完成度で公開し、そこからPDCAを回すことが、今の時代に合った現実的なアプローチです。