ChatGPT社内利用ルール——決めるべき5項目
「chatgpt 社内利用 ルール」で検索する読者に向けて、ChatGPT社内利用ルール——決めるべき5項目を切り口に、実務で確認すべき使い方・注意点・導入判断を整理します。中小企業で無理なく試すための論点も解説します。
「chatgpt 社内利用 ルール」で検索している人が知りたいのは、単語の定義だけではなく、自社で使える業務、避けるべきリスク、導入順序です。この記事では、ChatGPT社内利用ルール——決めるべき5項目を切り口に、中小企業が実務で確認すべき判断材料を整理します。
1. なぜ社長が今、社内利用ルールを決めるべきなのか
ITに強い若手社員ほど、便利だからという理由で個人のChatGPTを業務に使い始めています。契約書のドラフト、顧客対応の返信案、見積書の文面、議事録の要約——どれもChatGPTに頼めば30分の作業が5分で終わるため、本人にとって自然な選択です。社長や上司が「使うな」と言わない限り、止まる理由はありません。
社員はすでに個人版を業務で使っている前提から始める
中小企業向けの実務支援で目にする現実は、「社員が使っているかどうか」ではなく「社員がすでに使っていて、何を入れているか経営者が知らない」という状態がほとんどです。経営者が「うちはまだ使っていないはず」と認識している会社でも、社員に匿名で聞くと半数以上が業務に使っていた、という結果になります。最初の問いは「使わせるかどうか」ではなく、「いま入っている内容を把握できているか」になります。
ルールがないと判断が社員ごとにバラバラになる
ルールがない状態で社員が判断すると、「顧客の名前は入れないけど契約金額は入れる」「契約書本文は入れないけど条文の解釈は聞く」「自社のレシピは入れないけど価格表は入れる」と、社員ごとに線引きが分かれます。線引きが揃わないと、漏洩リスクの大きさを会社として測れません。社長が決めるべきは「個別の○×判定」ではなく、「迷ったときに参照する原則」を5項目程度に絞って提示することです。
改正個人情報保護法とAI事業者ガイドラインの2026年動向
2026年4月、個人情報保護法の改正案が閣議決定されました。不正取得・不適正利用・違法な第三者提供の3類型に対して課徴金制度を導入する内容で、対象は1,000人を超える個人情報に関わる違反です。あわせて経済産業省と総務省は2025年3月、「AI事業者ガイドライン」を第1.1版に更新し、生成AI関連の記載を拡充しました。どちらも「中小企業を含む全事業者の自主的取り組み」を促す位置づけで、罰則の直接対象になる中小企業は限られますが、取引先や顧客から「貴社の社内ルールを見せてほしい」と求められる時期は近づいています。
出典:日本経済新聞「個人情報保護、違反企業に課徴金 法改正案を閣議決定」/経済産業省「AI事業者ガイドライン(第1.0版)」/総務省・経済産業省「AI事業者ガイドライン(第1.1版)」。2. 社長が今日決める5つのルール
社内利用ルールを30ページの規程として整備する前に、A4一枚に書ける5項目だけを今日決めてください。残りは運用しながら追記すれば足ります。順序が大事なので、上から順に確定していくのが効率的です。
ルール1:入れていい情報と、入れていけない情報の線引き
最初に決めるのは「ChatGPTに入れていけない情報は何か」を社員に伝わる形で言語化することです。次の7項目は、業種を問わず入れないと決めるべき内容です。お客様の氏名・電話番号・住所、取引先との契約金額や取引条件、社員の給与や人事評価や健康情報、自社のソースコードや設計図やレシピや営業秘密、未公開の決算数値や経営判断資料、パスワードや社内システムのURLやアクセスキー、取引先から預かった機密扱いの資料や図面やデータ。判断に迷う情報が出てきたら、「公開しても困らないか」を社員が自問するルールにします。迷う時点で入れない、を原則にすると現場が動きやすくなります。
ルール2:個人版で業務利用するかどうかを決める
個人版(Free・Plus・Pro)と会社契約版(Business・Enterprise)では、データの取り扱いが大きく違います。個人版は初期設定で入力した会話がOpenAIのモデル学習に使われる仕様で、社員一人ひとりがアカウント設定でオフにする必要があります。会社契約版は契約した時点で組織全体の会話が学習に使われない設定で、管理者が一括で管理できます。30名以下の会社で社員に業務利用させるなら、原則として会社契約版(Business)を契約し、個人版での業務利用は禁止する、というシンプルな線引きが管理工数の少ない選択になります。
ルール3:成果物を社外に出す前のダブルチェック担当を決める
ChatGPTが書いた文章や数字をそのまま社外に出すと、事実誤認や著作権上の問題、敬語の崩れが残ったまま提出される事故が起きます。営業メール、提案書、見積書、契約書ドラフトなど社外に出す成果物は、必ず人間がチェックしてから送信する、という原則をルール3として明文化します。チェック担当は、案件の責任者または上長です。チェックなしで送ってよい範囲(社内向けの議事録要約や下調べメモなど)も同時に決めておくと、現場の判断が早くなります。
ルール4:違反したときの動き方を決めておく
社員がうっかり機密情報を入れてしまったとき、最初の対応で会社の損失が決まります。決めておくべきは「責めずに聞き取る」「何を入れたか紙に書き出す」「取引先や本人への通知が必要かを判断する」「再発防止策を全員に共有する」の4ステップです。罰則を先に出すと、社員は次から「使ったこと自体を隠す」方向に動き、会社としてリスクを把握できなくなります。最初の数ヶ月は申告を優先し、ルールが浸透した段階で就業規則に明記する、という順序が現実的です。
ルール5:3ヶ月ごとに見直す日を決める
ChatGPTは仕様変更が早く、3ヶ月で料金体系や学習設定の場所が変わることもあります。社内ルールも3ヶ月に一度、見直す日をカレンダーに入れてください。見直すのは、新しいプランの登場、社員から出てきた質問、社外で起きた事故、改正法の動向の4点です。「決めて終わり」にせず、月次のチェックポイントとして社内で扱う体制が、ルールを生かす最短ルートです。
出典:経済産業省「AI事業者ガイドライン(第1.0版)」/Uravation「2026年最新 生成AI×個情法 完全対応ガイド」。3. Free・Plus・Business・Enterpriseの選び方
プラン名で迷う前に、「社員何人で、何の業務に使うか」で逆引きするのが早道です。中小企業のほとんどはBusinessプランで足り、Enterpriseは100人を超える組織や高度な監査要件がある業界に限られます。
4つのプランの料金とデータ学習の違い
2026年5月時点の主要プランを表にすると次のとおりです。月額料金、データ学習の有無、管理機能の3軸で見比べると判断しやすくなります。
| プラン | 月額(1名あたり) | データを学習に使うか | 管理者画面・使用履歴 | 想定される使い方 |
|---|---|---|---|---|
| Free | 0円 | 初期設定で使う(オフ可) | なし | 個人での試用、業務利用は非推奨 |
| Plus | 約3,000円($20) | 初期設定で使う(オフ可) | なし | 個人事業主や1人での業務試用 |
| Business(旧Team) | 約3,800円($25、年払い・最低2席) | 既定で使わない | あり | 2〜100名の中小企業の標準解 |
| Enterprise | 要問い合わせ(数千万円規模) | 既定で使わない | あり(詳細監査ログ・SAML SSO) | 100名超または高度な監査要件 |
Businessプランは2025年に旧Businessプランから名称が変わり、機能も強化されました。月払いの場合は1席$30、年払いの場合は$25と差額は小さく、まず月払いで2〜3ヶ月試してから年払いに切り替える進め方が安全です。
「何人で・何に使うか」で選ぶ逆引きマトリクス
プラン選びは、社員の人数と業務内容の組み合わせで決めると迷いが減ります。1人で個人業務の試用ならPlus、2〜30人で業務利用するならBusiness、100人を超えるか高度な監査が必要ならEnterprise、というのが基本パターンです。具体的には次のように整理できます。
| 状況 | 推奨プラン | 理由 |
|---|---|---|
| 社長1人で試したい | Plus | 個人の試用なら$20で十分、ただし機密情報は入れない |
| 社員2〜10人で日常業務に使う | Business | 学習に使われない設定が既定、管理者画面で把握できる |
| 社員10〜30人で業務全般に使う | Business | 同上、追加コストは1席あたり月$25程度 |
| 社員50人超または金融・医療・士業 | Enterprise検討 | 詳細監査ログ、SAML SSO、高度なセキュリティが必要な場合 |
| 全社員に配るが、まずは試用したい | Plus 数人で開始→Business切替 | 1ヶ月試してから本契約、月払いから始めるのが安全 |
月20ドル払う・払わないの境界はどこにあるか
社長から多く受ける質問のひとつが「無料版で足りるか、Plusに課金するか」です。判断基準は3つあります。ひとつは、業務でChatGPTを月10時間以上使うか。10時間を超えると無料版の応答制限(GPT-4oの利用回数制限など)に頻繁にぶつかり、作業効率が落ちます。ふたつめは、画像生成や音声入力、ファイルアップロードを使うか。これらは無料版では制限が大きく、Plusで快適に使える機能です。みっつめは、機密情報を扱う可能性があるか。扱う可能性が少しでもあるなら、Plusではなく最初からBusinessを選ぶのが安全です。月3,000円と月3,800円の差なら、Businessを選んだほうが社員一人あたりの設定確認の手間が消えます。
出典:OpenAI「ChatGPT Pricing」/OpenAI「ChatGPT Business Pricing」。料金は2026年5月時点、為替・改定により変動します。4. データが学習に使われないようにする設定の場所
会社契約版(Business・Enterprise)を契約した時点で組織全体の会話は学習に使われない設定になっていますが、個人版(Free・Plus・Pro)を使い続ける場合は、社員一人ひとりが設定をオフにする必要があります。ここでは設定の場所と、確認の仕方を説明します。
個人版で「会話を学習に使わせない」設定の場所
ChatGPTにログインしたあと、画面右上のアカウントアイコンをクリックすると、メニューから「設定(Settings)」が開けます。設定画面の左側に並ぶ項目から「データコントロール(Data controls)」を選び、その中の「すべての人のためにモデルを改善する(Improve the model for everyone)」というスイッチをオフにします。オフにすると、以降の会話はOpenAIの学習に使われなくなりますが、同時に会話履歴も保存されなくなる仕様です。過去の会話を残しておきたい社員は、別途エクスポート機能で書き出してから設定を変えるのが安心です。
過去に入れた会話を学習対象から外すには
過去に入力した会話をすでにモデル学習に使われていた場合、設定を変えるだけでは取り戻せません。OpenAIには「プライバシーリクエストフォーム」が用意されており、削除申請を出すことができますが、学習済みのモデルから個別データを完全に取り除くことは技術的に困難とされています。「設定を変えればすべて消える」と誤解せず、過去に入れてしまったものは取り戻せない前提で、これから入れないことに集中するのが現実的なリスク対応です。
会社契約版(Business)の場合の確認
Businessプランを契約すると、組織全体の会話が学習に使われない設定が初期状態で適用されます。管理者は管理画面(Admin console)から、組織のデータ設定、社員一人ひとりの利用状況、共有されたカスタムGPTの管理を一括で確認できます。社員側で個別に設定を変える必要はなく、新入社員のアカウントを発行すれば自動的に同じ設定が適用されます。これが「個人版で社員に任せる」運用との最大の違いで、管理工数を大幅に減らせる理由です。
出典:OpenAI Help Center「Data Controls FAQ」。5. 5つのルールを社員に守らせる運用設計
ルールを決めただけでは社員は守りません。守らせるための運用は、書面の整備よりも「定例で触れる仕組み」と「教育担当者を1人決める」の2つで決まります。
A4一枚に圧縮して全員に配る
5つのルールを30ページの規程に展開すると、誰も読まないものができあがります。30名以下の中小企業なら、A4一枚に「入れていい情報・いけない情報」「使ってよいプラン」「成果物の確認担当」「違反時の対応」「見直し時期」の5項目を箇条書きで載せ、印刷して全員に配るのが現実的です。1ページに収めると、新入社員に説明するときも30秒で終わります。質問が出てきた項目だけ、後から1〜2行追記する育て方で十分です。
月次の朝礼で30秒触れる
ルールが浸透するかどうかは、月に1回30秒触れるかで決まります。毎月の朝礼や全体会議の冒頭で、「今月、ChatGPTに入れていけない情報の確認をします。お客様の名前、契約金額、社員の評価、自社の機密、未公開の数字、パスワード、預かり資料の7つです」と社長が口頭で読み上げるだけで、社員の意識は維持されます。書面を貼り出すだけでは時間が経つと見られなくなるので、月1回の口頭リマインドを習慣化するのが効果的です。
教育担当者を1人決める(社長兼任で可)
社員から「これは入れていいですか」「あの機能は使っていいですか」と質問が出たとき、答える役を1人決めておきます。30名以下なら社長兼任で構いません。重要なのは「迷ったら誰に聞けばいいか」が全員に分かることで、これが決まっていないと社員は自分で判断するか、誰にも聞かずに使う、のどちらかになります。教育担当者は、月1回30分でいいので、ChatGPT公式のアップデート情報、競合の事故事例、改正法の動向に目を通す習慣を持つと、社内の質問に答えられます。
違反を見つけたときの動き方3ステップ
社員がルールに反して機密情報を入れていた、と社長が知ったとき、最初の30分の動き方が会社の損失を決めます。第一に、責めずに聞き取る。「何を入れたか、いつ、どの画面で」を紙に書き出します。第二に、入った内容ごとに実害を判定する。お客様や取引先の情報が含まれていた場合は、取引先への通知が必要かを顧問弁護士または顧問税理士に相談します。第三に、再発防止策を全社員に共有する。同じ失敗を別の社員が繰り返さないよう、「今後はこれを入れない」と具体的に伝えるのが事後対応の核です。罰則の判断は、ルールが浸透して数ヶ月経ってからで間に合います。
よくある質問
社員10人の会社ですが、いきなりBusinessプランは大げさではないですか?
業務で使うなら、10人規模でもBusinessが現実解です。理由は2つあって、ひとつは個人版(Free・Plus)は初期設定で会話が学習に使われる仕様のため、社員一人ひとりが自分で設定をオフにしないと会社として保証できない点、もうひとつは管理者画面で誰が何を使っているかを把握できる点です。料金は年払いで1席あたり月20ドル(年契約)(約3,800円)、最低2席から契約できます。10人で月3万8千円程度なら、漏洩リスクの保険として割安です。
学習させない設定を個人版でオンにすれば、業務利用してもいいですか?
技術的には可能ですが、会社としては推奨しません。個人版の学習させない設定は、社員一人ひとりが自分のアカウント画面でオフにする必要があり、新入社員や異動者が設定し忘れるリスクが残ります。また、設定をオフにすると過去の会話履歴も保存されなくなる仕様のため、社員が「あとで見返したい」と感じて自分でオンに戻してしまうケースもあります。会社として全員が常にオフだと保証したいなら、最初からBusinessプランで契約するのが管理工数の少ない選択です。
社内ルールはA4一枚で足りますか?
30名以下の中小企業ならA4一枚で十分です。分厚いマニュアルは、誰も読まない・更新されない・現場の判断に使われないという3つの問題を抱えがちです。本記事では「入れていい情報・いけない情報」「使ってよいプラン」「成果物の確認担当」「違反時の対応」「見直し時期」の5項目を1ページにまとめる構成を提案しています。1ページ版を貼り出し、運用しながら現場の質問が出てきた項目だけ追記する、という育て方が現実的です。
違反した社員を罰するべきですか?
最初の数ヶ月は罰則よりも教育を優先したほうが結果的に守られます。罰則を前面に出すと、社員は使ったこと自体を隠す方向に動き、リスクの可視化ができなくなります。最初は「入れた内容を申告してくれたら責めない、入れていないと嘘をついた場合のみ問題視する」というスタンスで聞き取りに専念し、3ヶ月以上経って全員がルールを理解した段階で就業規則に明記するのが順序として安全です。違反の中身が悪質、たとえば顧客情報の意図的な持ち出しなどの場合は、社内ルールの問題ではなく就業規則違反として個別対応します。
改正個人情報保護法でChatGPT利用に何が変わりますか?
2026年4月に閣議決定された改正案では、不正取得・不適正利用・違法な第三者提供の3類型に対して課徴金制度の導入が予定されています。1,000人を超える個人情報に関わる違反が対象です。ChatGPTのように海外サーバーで処理されるサービスに顧客情報を入力する行為は、個情法第28条「外国にある第三者への提供」の規制が適用される可能性があり、本人同意なく入力すると違法な第三者提供に該当する余地があります。詳細な施行時期や運用は今後の動向次第ですが、社員に顧客情報を入れさせない運用は今日から徹底すべきです。
結論——社長が今日決める5項目をA4一枚に
社員にChatGPTを使わせる前に、社長が今日決めるべきことは次の5項目に集約されます。
- 入れていい情報と入れていけない情報の線引き(7項目リストを社員と共有)
- 個人版での業務利用の可否(推奨は会社契約版Business)
- 成果物を社外に出す前のダブルチェック担当
- 違反したときの動き方(責めない、聞き取り、必要なら取引先連絡)
- 3ヶ月ごとに見直す日
この5項目をA4一枚にまとめて全員に配り、月1回30秒だけ朝礼で触れる。これだけで、社員30名以下の会社の社内利用ルールは機能します。プラン選びはBusinessが基本解で、特殊な業界要件があるときだけEnterpriseを検討します。設定の場所は、個人版なら「設定→データコントロール→学習に使う」のスイッチをオフ、会社契約版なら最初から既定オフです。
ChatGPTの社内ルールづくりは、規程の分量ではなく「現場が迷わず動ける原則」の質で決まります。ルールを書いたあとに「社員に説明する場が作れていない」「教育担当者を決めていない」「3ヶ月後の見直しを忘れる」と、書面だけが残って運用されないパターンが頻発します。FULLFACTの業務診断では、貴社のChatGPT利用実態と既存規程の有無を棚卸しし、優先順位を整理してお返しします。軽い課題なら数週間で論点が見えることもあり、構造的な再設計が必要なら腰を据えて磨き込みます。スコープと進め方は貴社のペースで設計します。
関連記事として、機密情報を入れていた社員への対応の詳細は社員がChatGPTに機密情報を入れていたら——今日からやる3つの対応、社内ガイドラインの作り方は中小企業のAI業務利用ガイドライン、改正個人情報保護法とAI利用の関係は中小企業向けの改正個人情報保護法対応、業務活用の全体像は中小企業のChatGPT業務活用を参照してください。