ChatGPTに機密情報を入れた時の対応——禁止事項と初動

「chatgpt 機密情報」で検索している人が知りたいのは、単語の定義だけではなく、自社で使える業務、避けるべきリスク、導入順序です。この記事では、ChatGPTに機密情報を入れた時の対応——禁止事項と初動を切り口に、中小企業が実務で確認すべき判断材料を整理します。

011. なぜ今、社長がこの話を知らないといけないのか

Samsung Electronicsは2023年4月、半導体部門の社員3名がChatGPTに機密情報を入力した事案を社内で確認し、同年5月1日付で社内デバイスからの生成AI利用を全面的に禁止しました。入力されたのは、バグ修正のために貼り付けたソースコード、社内会議を文字起こしして要約させた議事内容、半導体の歩留まりを上げるためのテストシーケンスの3件です。Samsungが特に問題視したのは、外部のサーバーに送信されたデータは取り出すことも完全に削除することも難しく、他のユーザーへの開示につながる可能性が残ること、でした。

「うちの会社では起きない」と言えない理由

Samsungのような大企業で起きたことは、中小企業ではもっと起きやすい構造があります。大企業は情報セキュリティの研修・規程・監査の仕組みを持っており、それでも3名が入れてしまった。中小企業の多くは、規程も研修もない状態で社員がChatGPTを業務で使い始めています。ITに詳しい若手社員ほど、便利だからという理由で、契約書のドラフト、顧客対応の返信案、見積書の文面、社内会議の要約に、躊躇なく実データを貼り付けて使っているのが実態です。

個人版ChatGPTは「会話が学習に使われる」前提

無料版・Plus版・Pro版という個人向けのChatGPTは、初期設定で入力した会話がOpenAIのモデル改善に使われる仕様です。これは「悪意ある会社が悪用している」のではなく、AIを賢くする学習データとして使われるという意味で、契約条項に明記されています。設定画面でオフにすることはできますが、社員一人ひとりが個人の設定で対応している前提なので、会社として「全員がオフにしている」と保証できる仕組みは個人版にはありません。

知らなかったでは済まないリスクの輪郭

ChatGPTに入った機密情報は、技術的にはOpenAIの学習データに混ざる可能性があり、別のユーザーへの回答として出てくる可能性も理論上はゼロではありません。実害として顕在化するケースは多くないとされますが、より現実的なリスクは、取引先から「あなたの会社の社員が、うちの契約書をChatGPTに入れていた」と指摘される事態、そして改正個人情報保護法（2026年4月閣議決定で課徴金制度の導入が予定）の課徴金リスクです。中小企業の経営者が「知らなかった」と言える時間は、もう残っていません。

出典：TechCrunch「Samsung bans use of generative AI tools like ChatGPT after April internal data leak」／Bloomberg「Samsung Bans Generative AI Use by Staff After ChatGPT Data Leak」／Cybernews「Lessons learned from ChatGPT's Samsung leak」。

022. すでに社員が入れていた想定で、今日からやる3つの対応

「うちの社員はもう入れているかもしれない」と気づいた段階で、社長がやるべきことは3つです。順番が重要なので、上から順にこなしてください。新しいルールを作る前に、まず「今どうなっているか」を把握し、止めるべきものを止めるのが先になります。

対応1：責めずに「何を入れたか」を聞き取る

最初の30分で、社員に対して責任追及ではなく聞き取りの姿勢で確認します。聞くべきは「ChatGPTを業務で使っていますか」「使っているなら、どんな内容を入れていますか」「過去にお客様の名前や契約金額、社員の情報を入れたことはありますか」の3点です。責められると社員は「使っていません」「機密は入れていません」と答える傾向が出るので、最初に「責めるためではなく、会社としてリスクを把握するため」と前置きします。聞き取りはチームごとに分けて、紙やExcelに「誰が・いつ・どんな内容を・どのChatGPTで」入力したかを書き出します。

対応2：入った内容ごとに実害判定、必要なら取引先に連絡

書き出した内容を、3つの段階に分類します。第一段階は「公開情報のみ」で、これは継続使用してかまいません。第二段階は「社内情報だが第三者の被害が出ない」で、再発防止だけ徹底します。第三段階は「お客様・取引先・社員個人の情報が含まれる」で、これは取引先や本人への通知が必要かを判断します。取引先との契約書に「機密情報の第三者への提供禁止」条項がある場合、ChatGPTへの入力は条項違反になる可能性があるため、顧問弁護士または顧問税理士に相談したうえで、誠実に経緯を伝えるのが望ましい対応です。

対応3：今日中に「入れていけないものリスト」を口頭で共有

社内ルールの整備は1週間後で構いませんが、「今日からこの7項目は入れない」だけは今日のうちに全社員に口頭で伝えます。書面でなくてもいいので、社長から直接、朝礼や終礼で「お客様の名前、契約の金額、社員の評価、自社の設計図やレシピ、未公開の売上、パスワード、取引先から預かった資料の7つは、絶対にChatGPTに入れない」と伝えるのが最速の止血策です。詳しい背景説明や代替手段の提示はあとで構いません、まずは入力を止めることが優先です。

取り戻せない前提で動く

ChatGPTに一度入力した情報は、OpenAIに削除申請を出すことはできますが、学習に使われたあとのモデルから完全に取り除くことは現実的に困難です。「すべて削除したから大丈夫」と社員に伝えるのは事実と異なります。社長は「過去は取り戻せない、これから入れないことに集中する」と腹をくくり、再発防止と社内ルール整備に時間を使うのが、もっとも実効性のあるリスク対応です。

出典：サクサ「ChatGPTで情報漏洩はあり得る？中小企業がとるべき7つの対策と事例」／JMAM「ChatGPTによる情報漏洩リスクと企業がとるべき防止策」。

033. ChatGPTに入れていけない7項目のリスト

社員に口頭で伝える「入れていけない7項目」を、具体名で示します。中小企業の経営現場で日常的に飛び交う情報のうち、ChatGPTに入れた瞬間に取り戻せなくなるものを、業種を問わず共通するものに絞りました。それぞれに「なぜダメか」「代わりにどう聞けばよいか」を1〜2文添えます。

1. お客様の氏名・電話番号・住所・メールアドレス

個人情報保護法上の個人情報そのものなので、入れた時点で本人の同意なき第三者提供に該当する可能性があります。お客様の状況をChatGPTに相談したい場合は、「飲食店を経営するAさん」「年配の男性のお客様」のように仮名・属性に置き換えて入力します。

2. 取引先との契約金額・取引条件・見積内容

契約書には多くの場合「機密保持条項」が含まれており、第三者への開示は契約違反になる可能性があります。「100万円規模の取引」「月額契約」のように、特定企業を匿名化したうえで一般化した数字で相談するのが安全です。

3. 社員の人事情報（評価・給与・健康情報・家族構成）

人事情報は社員のプライバシーそのもので、加えて健康情報は要配慮個人情報として個人情報保護法でより厳格な扱いが求められます。社員Aさんの評価面談の準備をChatGPTに頼みたい場合は、「営業職の中堅社員に評価を伝える際の言い回しの相談」のように、個人を特定する情報を全部抜いて入力します。

4. 自社のソースコード・設計図面・レシピ・独自ノウハウ

Samsungの事案で漏れたのが、まさにこのカテゴリです。自社の競争力の源泉になる技術情報は、入れた瞬間に「外に出た」と考えます。コードのエラー解決を相談したいなら、エラーメッセージだけを抜き出して、自社固有の変数名や関数名を一般的なものに置き換えてから入力します。

5. 未公開の経営数字（売上・利益・資金繰り・人員計画）

上場企業では未公開数字の外部漏洩はインサイダー取引規制に抵触しますが、未上場の中小企業でも、取引先や金融機関の信頼を失う事態に直結します。経営判断の相談をChatGPTにしたい場合は、「年商10億円規模の製造業」のような業界平均値や仮置きの数字で相談します。

6. パスワード・社内システムのURL・APIキー・社員IDのフォーマット

ChatGPTに「このパスワードを安全に管理する方法を教えて」と聞いた瞬間、そのパスワードはOpenAIのサーバーに記録されます。仮にOpenAIが学習対象から外していても、サーバー側のログには残ります。パスワード・APIキーの類は、文字列そのものを伏せ字（「Pass****」）にしてから、運用方法だけを相談します。

7. 取引先から「機密」と明示されて受け取った資料

機密マーク付きの資料、メール本文に「機密」「社外秘」と書かれたファイル、契約書に「秘密保持」の文字が入った文書は、自社の判断で第三者（ChatGPTを含む）に渡せません。要約や読み込みをAIにやらせたい場合は、その文書をくれた相手に「ChatGPTで要約させてもよいか」を確認するか、社内環境でクローズドに動くツール（後述するBusinessプランや、Microsoft Copilotなど）に限定します。

判断に迷ったときの一言基準

7項目に入っていない情報でも、判断に迷う場面はあります。そのときは「これが新聞の一面に載っても困らないか」と自問してください。困るなら入れない、困らないなら入れてよい。乱暴ですが、ITに詳しくない経営者と社員でも共有できる、もっとも実用的な判定基準です。

出典：サクサ「ChatGPTで情報漏洩はあり得る？中小企業がとるべき7つの対策」／マネーフォワード「ChatGPTのセキュリティリスクと機密情報漏洩を防ぐ対策」／個人情報保護委員会。

044. 入れていい範囲の見極め——「公開しても困らない」が基準

7項目の禁止リストを伝えると、社員から「では何を入れていいんですか」という質問が必ず出ます。基本原則は「公開しても困らない情報」だけ、です。これだけだと抽象的なので、社員が日常で迷いがちな具体例を整理します。

入れてよいもの

第一に、自社のホームページや会社案内パンフレットに載っている情報は問題ありません。会社概要・サービス内容・営業時間・所在地などです。第二に、業界一般の知識として知られている内容、たとえば「飲食店の労務管理で気をつけるポイント」「建設業の請求書の書き方」「美容室のSNS運用のコツ」のような問い方は、まったく問題ありません。第三に、すでに公表されている自社の数字、上場企業なら公開決算、未上場でも対外発表したプレスリリースや展示会で配った資料に載っている数字は使えます。

迷ったときの聞き方の工夫

具体的な業務を相談したいが、特定の取引先や社員を出したくない場合は、「業種・規模・状況だけを伝えて、固有名詞は抜く」という置き換えで多くの場面は対応できます。たとえば「年商5億円の町工場で、ベテラン社員が辞めるという相談を受けたとき、引き継ぎ計画をどう設計すべきか」のような一般化した問い方なら、業務上の本質的な相談ができ、かつ実害のあるリスクは生じません。

「相手が見えない第三者」だと思って書く

社員に伝える比喩として有効なのが、「ChatGPTは社外の人間だと思って書く」です。社外の研修講師・取引先候補・新聞記者に同じ文面で相談するか、を頭の中で1秒考えてもらう。これだけで、思わず手が止まる回数が増えます。AIだから安心、ではなく、AIは社外の見ず知らずの人と同じ、というメタファーが、ITに詳しくない社員にもっとも伝わります。

出典：AI経営総合研究所「ChatGPT社内ルール作り方完全ガイド」。

055. 会話を学習させない設定の場所——個人版で必ずやる

個人版のChatGPT（無料・Plus・Pro）を業務で使う前に、社員一人ひとりに必ずやってもらう設定があります。会話の内容がOpenAIの学習データに使われないようにする、いわゆる「オプトアウト」の設定です。画面の操作で5分以内で終わりますが、知らないと永遠にオンのままになります。

設定の手順——画面の動きで説明

ChatGPTにログインしたら、画面の右上にあるアカウントアイコン（自分の名前の頭文字または画像が表示されている丸いボタン）をクリックします。出てきたメニューの中から「設定（Settings）」を選びます。設定画面の左側に「データコントロール（Data controls）」という項目があるので、これを選びます。右側に表示される画面の中に「すべての人のためにモデルを改善する（Improve the model for everyone）」というスイッチがあり、これがオンのままだと会話が学習に使われます。スイッチをオフにして、確認ダイアログで「確認（Confirm）」を押せば完了です。

オフにすると履歴も保存されなくなる

ここが注意点で、学習をオフにすると同時に、過去のチャット履歴も画面に表示されなくなります。仕様としてセットになっており、片方だけオフにすることはできません。業務で「先週相談した内容をまた見返したい」という使い方をしている社員には、説明が必要です。代わりに、重要な質問と回答は別途Wordやメモアプリにコピーして保存する運用にしてもらいます。

過去に入れた会話は別途削除申請

オフに切り替えても、それより前に入力した会話が学習対象から自動的に外れるわけではありません。過去の会話まで含めて削除したい場合は、OpenAIのプライバシーポータル（privacy.openai.com）から削除申請の手続きが必要です。手続き自体は英語のフォームですが、ブラウザの翻訳機能を使えば日本語表示で読めます。

個人版での設定漏れを会社として確認する難しさ

社員10名が個人版のChatGPTを使っているとして、10名全員が確実にオフにしているかを会社として確認する手段は、個人版にはありません。社員のスマホ画面を社長が確認するのは現実的ではなく、申告制で「やりました」と言われても証跡が取れない。この構造的な弱さが、次章で扱う「Businessプラン」が中小企業の現実解になる理由でもあります。

出典：LanScope「ChatGPTに学習させない方法とは？画像付きでオプトアウト手順を解説」／マネーフォワード「ChatGPTに学習させない（オプトアウト）ための設定方法」／OpenAI Privacy Portal。

066. 個人版と会社契約版（Business）の違い——会社で使うなら Business が前提

社員が業務でChatGPTを使う前提に立った瞬間、選ぶべきプランは個人向けの無料版・Plus版ではなく、会社契約のBusiness版（旧称Team）になります。理由は1つで、Businessは契約した時点で会社全体の会話が学習に使われない設定が初期から有効になっているからです。社員一人ひとりに「ちゃんとオフにしてね」とお願いする運用から、会社として一括で保証できる運用に変わります。

5プランの比較表

中小企業の現実的な選択肢は、Plus（個人で月20ドル）かBusiness（会社契約で2席から年契約なら月40ドル、月契約なら月50ドル〜）の二択になります。

「便利」ではなく「責任分界」の差

Plus版とBusiness版の違いを社員に説明するときに、「機能が増える」「速い」と言うとピンと来ない経営者・社員が多いです。本質は「会社として責任を持てるか」の差です。Plus版で社員が業務情報を入れた場合、何かあったときに「個人がやったこと」になる可能性があり、会社としての統制が効きません。Business版は契約主体が会社で、データ非学習も会社の契約として保証されており、トラブル時に責任の所在が明確になります。

社員数3名以上なら Business が現実解

社員1〜2名の個人事業主規模では、社長と片腕の社員がPlus版でルールを守って使う運用も成立します。3名以上になると、誰がどう設定しているかを把握しきれなくなるので、最低2席のBusiness契約に切り替えるのが現実解です。年契約なら月40ドル、月契約なら月50ドル程度の支出は、機密情報漏洩のリスクと比べれば極めて安価な保険と考えられます。

Microsoft Copilot との並走も視野

すでにOffice 365を全社で使っている会社なら、Microsoft Copilotも選択肢に入ります。CopilotはWordやExcelやTeamsの中で動くAIで、Microsoftが自社のクラウド上で動かす設計のため、入力データはOpenAIに送られず、Microsoftの企業契約のもとで管理されます。議事録要約や社内検索はCopilot、独自プロンプトを使った調査・文書生成はChatGPT Business、という棲み分けも有効です。詳しい比較は、別記事のChatGPT BusinessとPlusの違いと社員定着の3条件で扱っています。

出典：ChatGPT 公式料金プラン／OpenAI「ChatGPT Business」公式／OpenAI「ChatGPT Enterprise」公式。

077. A4一枚で配れる社内ルールの作り方

社員に伝える内容が決まったら、書面化します。中小企業でやってはいけないのが、コンサル会社が作るような分厚いガバナンス規程を真似ることです。30名以下の会社で20ページの規程を作ると、誰も読まず、誰も更新しません。A4一枚で全員が見える形に圧縮するのが、中小企業の現実解です。

5項目テンプレート（コピペ可能）

以下のテンプレートを社内文書として配布し、紙で休憩室や事務所の壁に貼り出します。Wordなりメモ帳なりにコピーして、自社の内容に書き換えてください。

【ChatGPT 利用ルール】（◯◯株式会社）2026年◯月◯日 制定

1. 使ってよいツール
   - 会社契約のChatGPT Business（社長のメールアドレスで登録、各自にアカウント配布）
   - 個人版（Free・Plus・Pro）の業務利用は禁止
   - その他の生成AIサービスを業務で使う場合は社長に事前確認

2. 入れていけない情報（以下7項目は絶対に入れない）
   - お客様の氏名・電話番号・住所・メールアドレス
   - 取引先との契約金額・取引条件・見積内容
   - 社員の人事情報（評価・給与・健康情報・家族構成）
   - 自社のソースコード・設計図面・レシピ・独自ノウハウ
   - 未公開の経営数字（売上・利益・資金繰り・人員計画）
   - パスワード・社内システムのURL・APIキー
   - 取引先から「機密」と明示されて受け取った資料

3. 出力内容の確認
   - ChatGPTの回答は必ず人間が読んで確認する
   - 数字・固有名詞・法律名は別途裏取りする（そのままお客様に出さない）
   - 文章をそのままお客様に送るときは、必ず社長または上長の確認を取る

4. 違反時の対応
   - 入れてしまったと気づいた場合、即座に教育担当者に申告（責めない、隠さない）
   - 申告された内容ごとに、社内で実害判定し、必要なら取引先に連絡
   - 申告した本人を罰しない（隠す方が重い結果になる前提）

5. 教育担当者・見直し
   - 担当者：◯◯部長（◯◯◯-◯◯◯◯）
   - 見直し時期：6か月ごと（次回 2026年◯月）
   - 新人入社時に本ルールを必ず説明

「分厚いマニュアル」より「壁に貼れる1枚」

このテンプレートを基準にして、自社の業種や状況に応じて項目を増減します。製造業なら「設計図面・図面番号・部品番号」を具体名で追記し、士業なら「クライアントの相談内容・名前・案件番号」を追記する、というふうに、自社の禁止情報を具体名で書き足します。1ページに収まらなくなったら、収まる範囲に削るのが正解です。すべてを書き込む必要はなく、社員が日常で迷う上位7〜10項目を書ければ十分です。

紙で配るか、PDFで共有か

PDFやチャットツールで共有するだけでは、忙しい現場社員は見ません。紙に印刷して、休憩室・事務所・現場の入口など、社員が必ず通る場所に貼ります。PDFや社内チャットでも共有しつつ、紙が主、デジタルが副、の運用がもっとも定着率が高くなります。

出典：HEROZ ASK「ChatGPTの社内ルール作成の重要性とポイントを解説（テンプレート付き）」／AI経営総合研究所「ChatGPTの社内利用規程はこう作る」／経済産業省 AI事業者ガイドライン関連ページ。

088. 社員教育の最小カリキュラム——30分で1回、半年ごとに繰り返す

ルールを貼り出しただけでは、社員は読みません。読んでも、自分のこととしては理解しません。社長が30分の場を作って、1回だけ全員に直接説明する。これが中小企業でできる、もっとも実効性の高い教育です。

30分カリキュラムの中身

最初の15分は、社長から直接、なぜこのルールが必要なのかを説明します。Samsungの事案、改正個人情報保護法の課徴金リスク、取引先から指摘されるリスクの3つを、自社の言葉で話します。次の10分は実演で、社長または教育担当者の1名がパソコンの画面を皆に見せながら、ChatGPTの「学習させない設定」をその場で操作します。社員はそれを見て、自分のパソコンでも同じ操作をその場でやります。最後の5分は質疑で、「これは入れていいか」を社員から出してもらい、その場で判定して見せます。

1回でやり切らず、繰り返す

30分の説明会を1回だけやっても、3か月もすれば社員はルールを忘れます。新しい社員も入ってきます。ChatGPTの仕様も変わっていきます。半年ごとに同じ説明会を繰り返し、そのたびにルールも見直すという運用が、もっとも現実的です。長くて30分、短ければ15分の朝礼枠でも構いません、定期的に繰り返すことのほうが、1回の濃さより大事です。

教育担当者は社長兼任で構わない

「教育担当者」と書くと、専任の担当者を立てなければと身構える経営者がいますが、30名以下の会社では社長兼任で構いません。経済産業省と総務省が公表しているAI事業者ガイドライン1.2版でも、AIガバナンス責任者の役割は明文化されていますが、中小企業では兼任での運用が現実解として認められています。詳しくは別記事の中小企業がAI事業者ガイドラインに対応する3ステップを参照してください。

出典：経済産業省 AI事業者ガイドライン関連ページ／総務省 AI事業者ガイドライン公表ページ。

099. 今日中に決めること、来週までに整えること

ここまでの内容を、今日と来週の2軸でTODO化します。完璧を狙わず、止血と再発防止の優先順位で組み直しています。

1. 今日中（30分〜2時間で完了）

   1. 社員に「ChatGPTを業務で使っているか」を責めずに聞き取り、紙に書き出す
   2. 入っていた内容を3段階（公開情報／社内情報のみ／第三者情報含む）に分類する
   3. 第三者情報が含まれていた場合、顧問弁護士か顧問税理士に相談予約を入れる
   4. 朝礼または終礼で「7項目は入れない」を口頭で全社員に伝える

2. 来週まで（1〜5営業日）

   1. 本記事の5項目テンプレートを参考に、自社版の社内ルールをA4一枚で作る
   2. 紙に印刷して、休憩室と事務所と現場入口に貼り出す
   3. ChatGPT Businessの2席契約を検討（年契約なら月40ドル〜、社員3名以上なら推奨）
   4. 30分の社員説明会の日時を決め、社員カレンダーに登録する

3. 1か月以内

   1. 30分説明会を実施、その場で全社員にオプトアウト設定をやらせる
   2. 個人版ChatGPTの業務利用を全面停止し、Businessに切り替える
   3. 取引先との既存契約書を見直し、機密保持条項にAI利用に関する条文が必要かを確認

スコープは貴社のペースで

中小企業ごとに、社員数・業種・既存のITリテラシー・取引先との関係性は大きく異なります。本記事のフレームは標準形として提示していますが、すべてを一気にやる必要はありません。FULLFACTの業務診断では、貴社の現状を踏まえた優先順位付けと、AI関連のリスク評価・社内規程の整備までを一緒に設計します。軽い課題なら数週間で論点が見えることもあり、構造的な再設計が必要なら腰を据えて磨き込みます。スコープと進め方は貴社のペースで決めていきます。

関連記事として、AI事業者ガイドラインへの本格対応は中小企業がAI事業者ガイドライン1.2版に対応する3ステップ、ChatGPT Businessの導入詳細は中小企業がChatGPT BusinessをPlus月20ドルから切り替える判断、改正個人情報保護法は中小企業のための改正個人情報保護法対応、生成AIと個人情報の論点は中小企業の生成AIと個人情報の取扱いを参照してください。

1010. よくある質問

社員がChatGPTに機密情報を入れていたかもしれない、まず何をすればよいか？

責めずに聞き取るのが最初です。何を入れたか、いつ、どの画面で入れたかを紙に書き出し、入った情報の中身ごとに実害を判定します。顧客情報や契約金額が入っていた場合は、取引先・本人への通知が必要かを社内で判断し、同時に「今日からこの7項目は入れない」と全社に口頭で伝えます。出した情報を完全に取り戻すことはできない前提で、再発を止める方向に動くのが現実解です。

ChatGPTに入れていけない情報は具体的に何か？

本記事では7項目を挙げています。顧客の氏名や電話番号、取引先との契約金額、社員の人事情報、自社のソースコードや図面やレシピ、未公開の経営数字、パスワードや社内システムのURL、取引先から預かった機密扱いの資料です。判断に迷ったら「新聞の一面に載っても困らない情報か」を一度自問し、迷うなら入れない、を原則にします。

ChatGPTの会話を学習させない設定はどこにあるか？

ChatGPT画面の右上のアカウントアイコンから「設定」を開き、「データコントロール」の中にある「すべての人のためにモデルを改善する」のスイッチをオフにします。オフにすると以降の会話は学習に使われなくなりますが、同時に履歴も保存されなくなる仕様です。過去に入力した会話を学習対象から外したい場合は、別途OpenAIのプライバシーポータルから削除申請が必要です。

個人版ChatGPTと会社契約版（Business）は何が違うのか？

最大の違いは、Businessは契約した時点で会社全体の会話が学習に使われない設定になっていることです。個人版（無料・Plus・Pro）は社員一人ひとりが自分の設定でオフにする必要があり、誰がオフにしているかを会社として把握できません。Businessは1ユーザー月20ドル（年契約）（年払い・最低2席）から、組織での利用状況も管理者画面で見えます。社員が業務で使う前提なら、会社契約版が事実上の前提です。

社内ルールはどれくらいの分量にすればよいか？

A4一枚で十分です。30名以下の中小企業で分厚いマニュアルを作ると、誰も読まない・更新されないという結果になりがちです。本記事では「使ってよいツール」「入れていけない情報」「違反時の対応」「教育担当者」「見直し時期」の5項目を1ページにまとめるテンプレートを提示しています。まず1ページ版を貼り出し、運用しながら必要に応じて追記するのが現実的です。

出典：本記事中で引用した各出典に加え、個人情報保護委員会／経済産業省 AI事業者ガイドライン。