中小企業の生成AI社内ガイドラインの作り方｜必須項目とひな形【2026年版】

00結論
ANSWER

生成AIの社内ガイドラインは「禁止リスト」ではなく、社員が安心して使うための“地図”です。中小企業なら、最小で7つの必須項目（目的・対象ツール・使ってよい業務・入力禁止情報・出力物の扱い・インシデント報告・教育と見直し）を押さえ、運用に乗せれば十分機能します。ゼロから書く必要はなく、公的なひな形（経産省・総務省「AI事業者ガイドライン」やJDLAの雛形）をベースに、自社の言葉へ書き換えるのが近道。この記事のそのまま使えるひな形からコピーして始められます。

01目次
INDEX

02必要性
WHY

Why

なぜ中小企業こそガイドラインが要るのか

「ルールはまだ早い」と感じるかもしれません。ですが実際は逆で、専任の情報システム部門を持ちにくい中小企業ほど、判断が社員一人ひとりに委ねられます。明文化されたよりどころがないと、「この情報は入れていいのか」をその場の感覚で判断することになり、事故のリスクが上がります。

研修の現場でいちばん多い質問も、まさにこれです。「顧客名や見積もりをChatGPTに貼っていいんですか？」——ガイドラインがあれば、この迷いに即答でき、安心して使える範囲が広がります。ガイドラインは利用を縛るためではなく、安心して踏み込むために作る、と捉えるのが実務的です。

よくある誤解：「禁止事項を並べれば守ってくれる」——実際は、禁止だらけだと現場は読まず、結局シャドーAI（無断利用）が増えます。“使ってよい範囲”を具体的に示す方が、安全と活用の両方に効きます。

03必須項目
CHECKLIST

Checklist

盛り込むべき必須項目

網羅性より「現場が読んで動けること」を優先します。中小企業なら、まず次の7項目を押さえれば実用に足ります。下のチェックリストをそのまま要件定義に使ってください。

表：生成AIガイドラインの必須項目（最小セット）

#	項目	書くこと（例）
1	目的・適用範囲	なぜ作るか／誰に適用するか（雇用形態を問わず全員など）
2	利用してよいツール	会社が許可したツールのみ。無償版・個人アカウントの業務利用の可否
3	使ってよい業務	下書き・要約・アイデア出しは可、最終判断は人など“OKの範囲”を明示
4	入力禁止情報	個人情報・顧客/取引先の機密・未公開の経営情報・認証情報など（最重要）
5	出力物の取り扱い	必ず人が確認（ファクトチェック義務）／著作権・権利侵害の確認／最終責任の所在
6	インシデント報告	誤入力・漏えいの懸念が出たときの連絡先と初動
7	教育と見直し	新任時の周知／半年に1回など定期見直しのサイクル

※ ④の「入力禁止情報」が事故防止の要。ツールの設定で入力内容が学習に使われ得る場合は特に厳格に。

04手順
STEPS

How to Make

作り方 5ステップ

完璧な大作を目指すと、いつまでも公開できません。A4で1〜2枚の“動く最小版”をまず出し、運用しながら育てるのがコツです。

STEP 01

ひな形を用意

下記ひな形や公的雛形をコピーし、たたき台にする。ゼロから書かない。

STEP 02

ツールと範囲を決める

許可ツールと「使ってよい業務」を自社に合わせて記入する。

STEP 03

禁止情報を明確化

自社で特に守るべき情報（顧客名・原価など）を具体名で列挙。

STEP 04

運用体制を決める

相談・報告の窓口、見直しの頻度と担当を決める。

STEP 05

周知して運用開始

短い説明会で共有し、まず始める。実態に合わせて改定する。

05ひな形
TEMPLATE

Copy & Use

そのまま使えるひな形

下記をコピーして、〇〇や空欄を自社の内容に置き換えてください。まずはこの最小版で十分に機能します。

生成AI利用ガイドライン（ひな形・最小版）

コピーして、自社の言葉に書き換えてお使いください。

【生成AI利用ガイドライン】　〇〇（会社名）

1. 目的
　本ガイドラインは、〇〇における生成AIの安全で効果的な利用を目的とする。

2. 適用範囲
　全役職員（雇用形態を問わない）。業務での生成AI利用全般に適用する。

3. 利用してよいツール
　会社が許可したツールのみ利用する（例：　　　　　）。
　無償版・個人アカウントの業務利用：可 ／ 不可（いずれかに〇）。

4. 入力してはいけない情報（最重要）
　・個人情報（氏名・連絡先・マイナンバー 等）
　・顧客／取引先の機密情報、未公開の経営情報
　・パスワード等の認証情報、ソースコード（該当する場合）
　※入力内容が学習に使われ得る設定では特に厳守する。

5. 出力物の取り扱い
　・内容は必ず人が確認する（ファクトチェック義務）。
　・著作権・権利侵害がないかを確認する。
　・利用・公開の最終責任は利用者（および承認者）にある。

6. 禁止事項
　・上記「入力禁止情報」の入力。
　・違法・差別的・誹謗中傷など不適切な利用。

7. インシデント時の対応
　・誤入力や情報漏えいの懸念が生じたら、ただちに　　　（窓口）へ報告する。

8. 教育と見直し
　・新任時に周知する。
　・半年に1回、および技術変化・事故発生時に見直す。

制定日：　　　　　／　改定日：　　　　　／　管理担当：

このひな形は出発点です。業種特有のリスク（医療・介護の要配慮個人情報、士業の守秘義務など）がある場合は、④と⑥を自社向けに厚くしてください。自社版づくりの相談はこちら。

06運用
TIPS

Make It Stick

形骸化させないコツ

作って配って終わり、では読まれません。研修・顧問で実際に伴走してきた経験から、効くのは次の3つです。

「禁止」より「推奨例」を見せる。使ってよい業務の具体例（議事録の下書き、メール文面の整えなど）を載せると、現場がすぐ動けます。
短く・1〜2枚に。長い規程は読まれない。詳細は別紙にし、本体は要点だけにします。
半年ごとに見直す。ツールも法令の整理も動き続けます。見直し日を最初から決めておくと、形骸化を防げます。

研修とセットで配ると定着が一気に進みます。ルールの理解と実際の使い方を同時に学べるからです（詳しくは生成AI研修の頼み方もどうぞ）。

07参考
REFERENCES

References

参考：公的ガイドライン

自社版を作るときは、次の公的資料を“上位の考え方”として参照すると、信頼性と整合性が高まります（いずれも2026年6月時点）。

AI事業者ガイドライン（総務省・経済産業省）：最新は第1.2版（2026年3月31日公表）。事業者が自主的に取り組むべき考え方を整理。第1.2版ではAIエージェントやHuman-in-the-Loop等が明確化されました。経済産業省の案内ページ
JDLA「生成AIの利用ガイドライン」：日本ディープラーニング協会が公開する雛形。自社用に書き換えて使えます。JDLA 資料室

公的ガイドラインは「あるべき方向性」を示すもので、そのままでは自社の現場に合いません。方向性は公的資料、具体は自社の実態——この二段構えで作るのが実務的です。

08FAQ
QUESTIONS

FAQ

よくある質問

小さな会社でもガイドラインは必要ですか？+

必要です。むしろ専任の情報システム部門を持ちにくい中小企業ほど、判断が社員個人に委ねられがちです。A4で1〜2枚の最小版からで構いません。まず作って運用し、育てていくのが現実的です。

ChatGPTの無料版を業務で使ってもいいですか？+

ツールの設定や契約によって、入力した内容が学習に使われ得るかが変わります。ガイドラインで「許可するツール」と「入力してはいけない情報」を明確にしたうえで、可否を会社として決めるのが安全です。判断に迷う場合はご相談ください。

ゼロから作らないといけませんか？+

いいえ。この記事のひな形や、JDLA・経済産業省などの公的雛形をたたき台にし、自社の言葉へ書き換えるのが効率的です。ゼロから書く必要はありません。

どのくらいの頻度で見直すべきですか？+

半年に1回の定期見直しを目安に、加えてツールの大きな変化やインシデント発生時には臨時で見直すのがおすすめです。見直し日を最初に決めておくと形骸化を防げます。

作成や社内浸透を手伝ってもらえますか？+

はい。自社の業種・業務に合わせたガイドラインの策定から、研修とセットでの社内浸透・定着まで伴走します。フルリモートで全国対応しています。ご相談の流れはこちら。

09相談
CONTACT

Contact

ガイドライン策定を相談する

「自社版に落とし込みたい」「研修とセットで浸透させたい」——そんなときは、最初の壁打ちから。売り込みはしません。お見積もり・ご相談は無料です。

ご依頼の流れ・お問い合わせ LinkedInでつながる

関連ページ：札幌で生成AI研修を頼むには／研修・サービスのご案内／コラム一覧