中小企業のためのAIガバナンス実務ハンドブック:EU AI Actと日本のAI事業者ガイドラインを踏まえた社内規程の組み立て方
EU AI Act(2024年8月発効)と経済産業省・総務省「AI事業者ガイドライン」を踏まえ、中小企業がAI利用の社内規程をゼロから組むための実務手順。リスク評価・利用範囲・データ取扱・著作権・違反対応の5領域を、規程骨子と稟議1ページサマリーとして体系化する。
このホワイトペーパーで分かること
- EU AI Act(2024年8月発効)と経済産業省・総務省「AI事業者ガイドライン」(2024年4月公表)のうち、中小企業が押さえるべき範囲を5領域に分解する読み方
- 自社の役割(開発/提供/利用)とAIリスク区分の2軸で、規制対象になる業務を見極める実務ステップ
- AI利用規程の骨子を「禁止リスト」ではなく「正規ルートカタログ」として書く7条構成のテンプレート
- 経営・営業・CS・開発・総務の5部署別に、業務例と境界条件を設計する別表の作り方
- 個人情報・社外秘・公開可の三層×AI利用シナリオの象限マッピングと、生成物の著作権論点の整理
- 違反時の報告→調査→是正→再発防止の4ステップと、四半期見直しサイクルの運用設計
- 役員会・顧問弁護士に通る稟議用1ページサマリー(規程ギャップ/骨子/運用体制/見直し/同規模事例)の書き方
対象読者
- BtoB SaaS・士業(会計/労務/法律/特許)・人材・医療法人本部・教育・商社・卸・製造・不動産・専門サービスなど、機密情報を扱うホワイトカラー比率が高い中小企業の法務・コンプラ・情シス兼任の責任者
- 従業員50〜300名規模で法務専任が0〜1名、情シス専任が0〜2名、コンプラ担当が総務・経営企画と兼任になっており、AI専任部署を置けていない経営者直下クラス
- 顧問弁護士から「AI利用規程を整備したほうがよい」と指摘されたが、契約書テンプレ集にひな形がなく、自社用にカスタマイズする論点が見えない管理本部長
- 現場社員がChatGPT・Claude・Gemini・Copilotを使い始めているのに、何をどこまで許可するかの線引きが組織として未定で、判断が止まっている情シス兼任の責任者
- 経営者・役員会から「他社はどうしているか」を問われるが、業界横断の実例を体系化した資料が見当たらず、上申素材に困っている法務担当
このWPの結論(Executive Summary)
— 課題と緊急性 —
2024年は規制環境の転換点となった。同年4月に経済産業省・総務省「AI事業者ガイドライン」が公表され、AI開発者・提供者・利用者の3区分でソフトローとして整備された。
続く同年8月にEU AI Actが発効し、リスクベースの規制が段階適用に入った。日本企業であってもEU域内向けにAIシステム・AI出力を提供する場合、域外適用の対象になり得る。
一方で、中小企業の現場ではChatGPT・Claude・Gemini・Copilotなどの利用が静かに広がる。社内規程が現場の実態に追いついていない状態が常態化している。
— アプローチ —
本WPは「規制対応のため」ではなく「現場の生産性と組織のリスクを同時に管理する経営判断」として規程を位置づける。規程は5領域(リスク評価/利用範囲/データ取扱/著作権・知財/違反対応)の骨子で組み立てる。
全社一律の禁止規程ではなく、業務区分(経営/営業/CS/開発/総務)ごとの正規ルートと境界条件を別表で持つ設計に寄せる。規程は一度作って終わりではなく、四半期見直しを前提に「初稿→運用→改訂」のサイクルで運用する。
— 主要発見 —
- EU AI Actの中小企業への直接影響は限定的だが、「高リスクAIシステムの提供者・配備者」に該当する業務(採用スクリーニング、与信スコアリング、教育評価など)を扱う中小企業は域外適用の対象になり得る
- 日本のAI事業者ガイドラインは法令ではないが、業界団体・取引先・公共調達の場面で実質的な基準として参照され始めており、ソフトローの拘束力は強まる傾向にある
- 社内規程は「禁止リスト」ではなく「業務別の正規ルートカタログ+境界条件」で書くと現場で機能する。禁止偏重の規程は短期間で形骸化する観察が、相談事例で繰り返し確認できる
- 規程策定の難所は「条文の文言」ではなく「運用体制(誰が窓口で、誰が違反審査をするか)」の合意形成。条文より体制設計を先に固めると規程が定着する
目次
- AI規制の現在地:EU AI Actと日本ガイドラインの位置関係
- 中小企業が押さえる範囲:規制対象の見極め方
- 社内規程に書くべき5領域:骨子の組み立て方
- 規程骨子テンプレート:条文単位の論点と書き分け
- 部署別の利用ルール:経営・営業・CS・開発・総務
- データ取扱とリスク評価:個人情報・社外秘・顧客データの三層
- 著作権・知財・コンプラ:生成物の権利と責任の整理
- 違反時の対応プロセス:報告・調査・是正・再発防止
- 運用と見直し:四半期サイクルで規程を腐らせない
- 稟議用1ページサマリー:規程ギャップ→骨子→運用体制→見直し
- 次のアクション:30分でできる規程ギャップ診断
1. AI規制の現在地:EU AI Actと日本ガイドラインの位置関係
2024年は中小企業のAI規制環境にとっての転換点だった。日本国内ではソフトローとしての「AI事業者ガイドライン」が公表され、EUでは初の包括的AI規制が発効した。両者は性格も拘束力も異なるが、中小企業の社内規程は両方を視野に入れて組み立てる必要がある。
中小企業の経営層がここで押さえておくべき構造は単純である。日本ガイドラインは「何を意識すべきか」を方針で示し、EU AI Actは「何を禁止・義務化するか」を法令で示す。両者は補完関係にあり、片方だけ参照しても規程の骨子は完成しない。
経済産業省・総務省「AI事業者ガイドライン」は2024年4月に公表された。AIの開発者・提供者・利用者の3区分で、各主体が遵守すべき重要要素を整理したソフトロー(自主原則)である。法的拘束力はないが、業界団体・取引先・公共調達の場面で参照される基準として定着しつつある。
EU AI Actは2024年8月に発効した。リスクベースで「禁止AI」「高リスクAI」「限定リスクAI」「最小リスクAI」の4区分に分け、段階的に義務が適用される。日本企業であってもEU域内の利用者・市場向けに提供する場合、域外適用の対象になり得る点が中小企業の論点になる。
ChatGPT・Claude・Geminiなどの生成AIが企業現場で広く使われ始めた時期。社内規程は未整備の状態が一般化した。
経済産業省・総務省が「AI事業者ガイドライン」を公表。開発者・提供者・利用者の3区分で重要要素を整理したソフトローとして示された。
EUが包括的AI規制を発効。リスクベースで4区分の義務が定義され、段階適用へ移行した。
禁止AIの規律から順次適用が進む。高リスクAIシステムの義務適用は、欧州委員会公表の段階スケジュールに沿って後続フェーズに置かれている。
中小企業の現場で混乱が起きる典型例は、「域外適用」の判断である。たとえば、欧州の求職者を含む採用スクリーニングをAIで補助する場合、EU AI Actの「高リスクAIシステム」に関わる可能性が出てくる。日本国内向けの業務しかしていないと考えていた企業でも、海外からの応募・取引が混じれば論点が発生する。
なぜ「中小企業も視野に入れるべき」と言えるかの構造的な根拠も整理しておく。第一に、ソフトロー(日本ガイドライン)は法的強制力こそないが、業界団体の自主基準や公共調達の要求項目に組み込まれ始めており、結果として取引条件に反映される。
第二に、EU AI Actは大企業だけを対象にしているわけではない。提供する業務がEU域内の個人に影響を及ぼせば、企業規模に関係なく規律の対象になる。中小企業ほど域外適用の論点を見落としやすく、後から発覚するリスクが大きい。
ガイドラインとEU AI Actの差を整理しておくと、規程設計の出発点が見えやすくなる。AI事業者ガイドラインは「何を意識して運用するか」の方針を示すが、規程の条文文言までは降りてこない。EU AI Actは「何を禁止し、何に義務を課すか」を法令として示すが、日本の中小企業の運用にそのまま当てはまる粒度ではない。
本WPで参照する規制・ガイドラインの正本は3つある。欧州委員会の公式公開文書(EU AI Act 本文)、経済産業省・総務省「AI事業者ガイドライン」、文化庁「AIと著作権に関する考え方について」(2024年3月、文化審議会著作権分科会)である。各章で個別判断に踏み込む論点は、顧問弁護士・社内法務との整合確認を別途経る前提とする。
中小企業の規程整備は、この2つのレイヤーの「隙間」を自前で埋める作業になる。次章で、自社が押さえるべき範囲をどう絞り込むかを整理する。
2. 中小企業が押さえる範囲:規制対象の見極め方
中小企業の大半は、EU AI Actの「禁止AI」「高リスクAI」を自ら開発する立場には立たない。しかし「域外提供者」「高リスク領域の利用者」として影響を受ける場面はある。自社の「役割(開発/提供/利用)」と「業務領域のリスク区分」の2軸で、押さえる範囲を絞り込むのが実務上の出発点になる。
なぜ「全部を押さえなくてよい」のかを最初に押さえておく。中小企業がEU AI Actの全条文・全附属書に対応しようとすると、本来の業務がコンプラ作業に飲み込まれる。規制対象の見極めは「絞り込み」が本質であり、自社に関係のない領域は規程の対象外と明示する設計が、運用負荷を抑える鍵になる。
日本のAI事業者ガイドラインも、開発者・提供者・利用者の3区分で整理されている。中小企業のほとんどは「利用者」または一部「提供者」に該当する。自社開発のAIプロダクトを外販する立場でなければ、「開発者」としての義務は対象外になる場面が多い。
SaaSベンダーが汎用AI機能を提供する場合や、社内ツールに生成AI機能を組み込む場合。透明性表示や利用規約の整備が論点になる。
中小企業が直接該当することは少ないが、採用評価・与信判定などのAI機能を自社製品として外販している場合は該当しうる。リスク管理体制と適合性評価が論点になる。
社内文書の要約、議事録の生成、提案書ドラフトの作成など、定型業務の補助としての利用。中小企業の利用シーンの大半がここに入る。
採用スクリーニング、与信スコアリング、教育評価、人事評価補助、顧客の信用調査など、人の権利・機会に影響するAI利用。中小企業でも該当しうるセルで、規程上の重点領域になる。
EU AI Actの「高リスクAI」の典型例には、雇用・労働者管理(採用、評価、解雇判断の補助)、教育機会の決定(試験採点、入学判断)、与信評価、公共サービスの受給判断などが挙げられる(欧州委員会公開文書)。中小企業が直接これらを開発するケースは限定的だが、SaaSとして提供されるAI機能を利用する場面では論点になる。
自社の業務を棚卸しする際は、次の3問を順に確認する。第一に、AIを使う業務の中に「人の権利・機会に影響する判断」が含まれるか。第二に、その判断のうち、AIの出力がそのまま採用されるか、人手レビューが介在するか。第三に、対象者にEU域内の個人が含まれるか。
ここで言う「人の権利・機会に影響する判断」とは、採用合否、与信判定、人事評価、教育評価、契約解除の判断などを指す。社内文書の要約や議事録作成のような業務補助は通常これに当たらない。判断の重みで線を引くと、規程の優先順位が見えやすくなる。
中小企業の規程設計では、「自社は主に利用者の立場、ただし採用・与信・人事評価の領域でのみ高リスク利用に該当する可能性あり」という整理にたどり着くケースが多い。この整理ができれば、規程の重点を「利用者としての一般ルール」+「高リスク領域の例外ルール」の二層で書ける。
3. 社内規程に書くべき5領域:骨子の組み立て方
中小企業のAI利用規程は、5領域で組み立てると過不足が出にくい。リスク評価/利用範囲/データ取扱/著作権・知財/違反対応の5つである。経済産業省・総務省「AI事業者ガイドライン」の重要要素とおおむね対応するが、中小企業向けに粒度を再編成した区分になる。
5領域はそれぞれが独立した条文を持つのではなく、規程の全体構造を貫く軸として機能する。たとえば「採用補助でのAI利用」を考えるとき、リスク評価(高リスクに該当するか)、利用範囲(誰がどの工程で使うか)、データ取扱(候補者情報をAIに入れていいか)、著作権(生成物の扱い)、違反対応(誤判定が起きたときの是正)が同時に検討される。
業務をAIに任せる前に、対象業務のリスク区分(高リスク/限定リスク/最小リスク)を判定する仕組み。判定者・判定基準・記録方法を規程に明記する。
誰が、どの業務で、どのAIサービスを使ってよいかの定義。部署別・業務別の境界条件を別表として持ち、規程本体は原則のみを定める。
AIに入力してよいデータの区分(個人情報/社外秘/公開可)と、各区分での利用シナリオ別の許可・条件付き許可・禁止の判定。学習データへの取り込み可否、ログ保持、削除権の確認も含む。
AI生成物の権利帰属、二次利用の可否、入力プロンプトと学習データの著作権論点、出力の人手レビュー義務の有無。文化庁の考え方を参照しつつ、業務ユースケース別に方針を定める。
規程違反が発覚した場合の報告経路・調査手順・是正措置・再発防止の枠組み。重大度の事前定義と、エスカレーション基準を含む。
各領域に含めるべき典型論点を、中小企業の現場感で言い換えると次のようになる。リスク評価の論点は「人事評価でのAIスコアをそのまま採用するか、人手レビューを必ず挟むか」のような具体的判定基準である。利用範囲の論点は「営業が顧客提案書のドラフトをAIで作るのは可、顧客の機密情報を貼り付けるのは不可」のような境界線である。
データ取扱の論点は「社外秘の社内会議録をAI要約に流す場合、学習に使われない設定が確認されているか」である。著作権・知財の論点は「顧客向け提案書の生成物をそのまま納品物として使ってよいか、人手で書き直すか」である。違反対応の論点は「個人情報をAIに貼り付けたことが発覚した場合、誰に何時間以内に報告し、どこまでをインシデントとして記録するか」である。
5領域の骨子が見えれば、規程の章立ては自ずと決まる。次章で、条文単位の具体的なテンプレートを示す。
4. 規程骨子テンプレート:条文単位の論点と書き分け
規程は「禁止リスト型」ではなく「正規ルートカタログ型」で書くと現場で機能する。前者は「〜してはならない」の列挙で、現場が動ける範囲を狭めて生産性を落とす。後者は「業務別に推奨ツールと境界条件を明示する」形式で、現場が安心して使える経路を示す。
中小企業のAI利用規程の条文構成は、次の7条で組むと過不足が出にくい。第1条:目的・定義、第2条:適用範囲、第3条:利用原則、第4条:データ取扱、第5条:著作権・責任、第6条:違反時対応、第7条:運用・見直し。これに別表として部署別の利用ルール表を添える二段構成が、運用上扱いやすい。
「顧客情報をAIに入力してはならない」「業務外利用は禁止する」「無許可ツールの使用を禁ずる」のような禁止条項の列挙。現場の判断軸が「禁止されていないか」に偏り、グレーゾーンの判断が止まる。結果として、隠匿化と形骸化が進む。
「顧客提案書の下書きは別表1のツールで作成し、人手レビュー後に納品する」「議事録の要約は別表2の手順で機密度区分を確認したうえで実行する」のような正規経路の明示。現場が「どう動けばよいか」を判断できる構造になる。境界条件は別表で部署別に持つ。
各条文の論点を中小企業向けに具体化すると、次のようになる。第1条「目的・定義」では、規程が対象とする「AI」「生成AI」「業務利用」の定義を明示する。生成AIに限定するか、機械学習を含む広義のAIまで対象にするかで、適用範囲が大きく変わる。
第2条「適用範囲」では、対象者(正社員・契約社員・業務委託・派遣の扱い)と対象業務(社内業務・顧客業務・社外発信業務)の境界を定める。業務委託の社外パートナーをどこまで規程の対象に含めるかは、契約書の付属書面との整合確認が要る論点になる。
第3条「利用原則」では、AIをどのような原則で使うかを定める。判断責任は人間が持つこと、生成物には人手レビューを介在させること、外部開示前に事実確認をすることなど、原則レベルの3〜5項目を置く。具体的な「どう動くか」は別表に逃がす。
第4条「データ取扱」では、入力してよいデータの区分と、各区分での利用条件を定める。次章の三層モデルで詳述する。第5条「著作権・責任」では、生成物の権利帰属、二次利用の可否、出力に対する責任の所在を整理する。第7章で詳述する。
第6条「違反時対応」では、報告経路・調査手順・是正措置・再発防止の枠組みを定める。第8章で詳述する。第7条「運用・見直し」では、四半期見直しサイクル、見直し起点の定義、改訂の決裁ルートを定める。第9章で詳述する。
ある士業事務所(従業員80名規模、法人向け契約書レビュー業務を中心とする事業)での観察を1つ共有する。最初は「機密情報のAI入力禁止」の一文だけで運用を始めたが、現場が「どこまでが機密か」の判断に迷い、運用開始から約3ヶ月でAI利用そのものが止まった。
その後、規程を別表で「契約書の条項単位での機密度区分」を示す形に書き換えたところ、利用が正規ルートに戻った。条文の抽象度が高すぎると、現場は安全側に倒して何もしなくなる。観察期間は約9ヶ月で、別表追加から3ヶ月程度で正規ルート利用が定着した。
5. 部署別の利用ルール:経営・営業・CS・開発・総務
規程本体に細かな業務ルールを書き込みすぎると、業務の変化に追従できず短期間で形骸化する。全社共通の原則は本体に置き、部署別の業務特性に応じた境界条件は別表として持つのが運用上の定石である。経営・営業・CS・開発・総務の5区分が中小企業の標準的な分け方になる。
各部署の代表的な業務とAI利用の境界条件を整理すると、規程の別表に落とし込む論点が見えてくる。次の表は、中小企業のAI利用規程の別表として最初に書くべき内容の骨子である。
| 部署 | 代表的なAI利用業務 | 推奨範囲 | 境界条件(やってはならない) |
|---|---|---|---|
| 経営 | 議事録要約、市場調査の一次まとめ、社内通達のドラフト | 公開情報の整理・社内情報の構造化 | 未公開M&A情報・人事情報の入力、最終判断のAI委任 |
| 営業 | 提案書下書き、顧客向けメール下書き、商談録要約 | 自社情報・公開情報の編集 | 顧客の機密情報・契約条件の貼り付け、生成物の無修正納品 |
| CS | FAQ生成、問い合わせ一次回答案、解約予兆の分析 | 一般化された問い合わせパターンの処理 | 個人情報を含む問い合わせの外部AIへの送信、人手レビューなしの回答返信 |
| 開発 | コード生成、ドキュメント整備、テストケースの作成 | 自社コードベースの整理・テスト補助 | 機密コード・APIキー・顧客環境情報のAI入力、生成コードの無レビュー本番投入 |
| 総務 | 社内文書生成、規程ドラフト、人事評価補助の素案 | 公開規程・テンプレートの整備 | 個別人事評価のAI判定、健康情報・労務記録の外部AIへの送信 |
別表の書き方で重要なのは、「推奨範囲」と「境界条件」を必ず対にすることである。境界条件だけを並べると禁止リスト型に戻ってしまい、現場の生産性が下がる。推奨範囲を先に書いて、「ここまではやってよい」を明示したうえで、その外側の禁止事項を境界として置く。
CS部門の論点も中小企業で見落とされやすい。顧客からの問い合わせメールには個人情報が含まれることが多く、これを外部のAIサービスに転送して回答案を作る運用は、個人情報保護法上の「第三者提供」の論点に踏み込む可能性がある。社内環境内で処理されるAI(既存契約のCopilotやGemini for Workspaceなど)と、個人アカウントの外部AIサービスでは、規程上の扱いを分ける必要がある。
部署別の別表は、規程の本体(7条構成)と分離して管理すると改訂が楽になる。本体は年1回の改訂、別表は四半期改訂のサイクルで分けると、業務の変化に追従しつつ規程の安定性も保てる。
開発部門では、コード生成AIの利用が日常化している組織で、機密コード・APIキー・顧客環境情報の混入が論点になる。社内向けのコーディング規約に「AI入力前のサニタイズ」を組み込み、規程の別表からコーディング規約に参照を貼ると、二重管理を避けられる。
総務部門では、人事評価補助でのAI利用が高リスク領域に該当する可能性がある(章2で触れたEU AI Actの高リスク区分)。日本国内利用に限られる場合でも、評価の透明性・説明可能性の確保は、AI事業者ガイドラインの重要要素として位置付けられている。人事評価でのAI利用は別途、社内の評価制度規程との整合確認が要る。
6. データ取扱とリスク評価:個人情報・社外秘・顧客データの三層
AI利用時のデータ取扱は、データの機密度を三層で区分し、AI利用シナリオごとに境界を定めるのが実務上扱いやすい。三層とは、個人情報(個人を識別できる情報)/社外秘(営業機密・顧客情報・未公開情報)/公開可能データ(既に公開済みの情報・社内向け定型文書)である。
AI利用シナリオは、要約・分析/コンテンツ生成/検索・問い合わせの3パターンに大別できる。要約・分析は既存文書の圧縮や構造化、コンテンツ生成は新規文書の作成、検索・問い合わせは情報抽出と回答生成である。データ機密度と利用シナリオの組み合わせで、許可・条件付き許可・禁止の三段階を割り当てる。
原則として禁止。やむを得ず行う場合は匿名化処理を前置し、AI側の学習除外設定を確認し、利用ログを保存する条件付きでのみ許可。
禁止。個人情報を入力としてコンテンツ生成や検索を行う運用は、規程上明確に不可とする。代替手段(匿名化/公開可データへの置換)を別表で提示する。
原則として許可。社内向け定型文書・公開済み資料の要約は、業務効率化の中核ユースケースとして正規ルートで案内する。
条件付き許可。テナント側の学習除外設定が確認されたAIサービスのみ使用可とし、社外秘のラベルが付いた文書は外部AIへの送信を禁ずる。
データ取扱の規程で必ず確認すべき設定項目が4つある。第一に、入力データが学習に使われるか(テナント管理者側で制御可能か)。第二に、ログの保持期間と削除権の有無。第三に、データの保管場所(リージョン)と越境移転の論点。第四に、サブプロセッサーの開示と二次利用の制限。
主要なエンタープライズ向けAIサービス(Microsoft 365 Copilot、Google Workspace のGemini、Anthropic Claude for WorkなどのBusiness/Enterpriseプラン)は、テナント側で学習除外設定が可能な構成で提供される。一方、個人プランや無料プランでは学習除外の制御が限定的なケースがあり、業務利用には不向きである。
規程の別表として「自社で承認済みのAIサービス一覧」と「各サービスの学習除外設定の確認結果」を持つと、現場の判断が早くなる。「Copilot for Microsoft 365(組織テナント・学習除外設定済)」「Gemini for Workspace(同上)」のような一覧を四半期ごとに更新する運用が、ベンダー側の仕様変更にも追従しやすい。
個人情報保護法(APPI)との接続も論点になる。生成AIに個人情報を入力する行為が「第三者提供」に該当するかは、AIサービス側のデータ取扱条件・学習利用の有無で判断が変わる。個人情報保護委員会も生成AIサービスの利用に関する注意喚起を公表しており、規程の別表で「外部AIサービスへの個人情報入力は原則禁止」を明記しておくのが安全側の運用になる。
社外秘のデータ取扱では、特に顧客情報の扱いが論点になる。秘密保持契約(NDA)を結んだ顧客から提供された情報をAIに入力する場合、契約上の「第三者開示禁止」条項に抵触する可能性がある。顧客情報のAI利用は、契約書の見直しと、規程での明示禁止または事前承認制を組み合わせて運用する。
リスク評価の運用面では、「迷ったら使わない/迷ったら相談する」を現場の標準動作として規程に明記しておくとよい。判断基準の細部を全て規程に書き切るのは不可能なため、判断窓口(例:法務・情シス兼任の担当者)と相談経路を明示し、グレーゾーンの判断を組織側に戻す経路を作る。
7. 著作権・知財・コンプラ:生成物の権利と責任の整理
生成AIの著作権論点は、入力(学習データ・プロンプト)、生成プロセス(人手寄与の程度)、出力(利用と二次配布)の3段階で整理すると論点が混ざらない。日本の著作権法30条の4(情報解析目的の著作物の利用)と、生成物の利用段階での権利侵害リスクは、別レイヤーの論点として扱う。
文化庁「AIと著作権に関する考え方について」(2024年3月、文化審議会著作権分科会)は、AIと著作権の論点を学習段階・生成段階・利用段階に分けて整理した文書である。中小企業の規程設計でも、この3段階の枠組みを踏襲すると論点の混在を避けられる。
学習データへの著作物の取り込みは、著作権法30条の4により情報解析目的では原則として権利者の許諾なく可能とされる。ただし「享受目的」が含まれる場合や、著作権者の利益を不当に害する場合は例外。社内利用のプロンプトに第三者著作物を含める場合の論点もここに含む。
AI生成物が著作物として保護されるかは、人間の創作的寄与の程度で判断される。プロンプト入力のみで生成された出力は、著作物性が認められないことが多い。人手による修正・編集を経た生成物は、修正部分について著作物性が認められる可能性がある。
生成物が既存著作物と類似する場合、利用段階で著作権侵害が成立する可能性がある。「既存著作物への依拠性」と「表現上の類似性」の両方が要件となる。社内利用は問題なくても、対外発信や納品物として使う場合は類似性チェックが要る。
中小企業の典型ユースケースに当てはめて、規程に書くべき論点を整理する。営業提案書のドラフト生成では、生成物に既存提案書や競合資料の表現が混入していないか、納品前の人手レビューで確認する必要がある。マーケコピー・広告クリエイティブの生成では、既存キャッチコピーとの類似性チェックが論点になる。
コード生成では、生成コードに既存OSS(オープンソースソフトウェア)のライセンス対象コードが混入していないかが論点になる。GitHub Copilotなどのコード生成AIは、学習データに含まれるOSSの影響を受ける可能性があり、生成コードの商用利用前にライセンス整合性を確認する運用が要る。
責任の所在の整理も規程で必須の論点である。AI生成物に起因する損害が発生した場合、誰が責任を負うか(利用者・AIサービス提供者・自社のいずれか)の整理は、契約書とAIサービスの利用規約の重なりを確認する必要がある。
中小企業の規程では、原則として「AI生成物の最終責任は人間の利用者(および組織)にある」を明記する運用が一般的である。AIサービス提供者の利用規約も多くがこの方向で整理されている。生成物に対する人手レビューを義務化することで、責任の所在と整合する運用設計が可能になる。
知財管理の観点では、自社の機密情報・特許情報をAIに入力する行為が、機密性の喪失や新規性の喪失につながらないかも論点になる。特許出願前の発明情報を外部AIに入力すると、「公知化」のリスクが生じる可能性がある。研究開発部門を持つ中小企業では、別表に「特許関連情報のAI入力禁止」を明記しておくのが安全側の運用になる。
8. 違反時の対応プロセス:報告・調査・是正・再発防止
違反対応は、報告→調査→是正→再発防止の4ステップで設計するのが定石である。違反の重大度を3段階(軽微/中程度/重大)で事前定義し、各段階のエスカレーション基準と報告経路を規程に明記しておく。事後対応の手順が事前に決まっていないと、インシデント発生時に判断が止まり、被害が拡大する。
重大度の判定基準は、業種・取扱情報・契約条件で変わるが、中小企業の標準的な区分は次のようになる。軽微:社内文書の誤生成・社外秘でないデータの不適切入力。中程度:社外秘情報のAI入力・規程違反の繰り返し。重大:個人情報の外部漏洩・顧客機密情報の不正利用・法令違反の可能性。
違反を発見した者・本人・上長のいずれかが、定められた窓口(例:法務・コンプラ担当)に報告する。重大度に応じて報告期限(軽微は5営業日以内、重大は当日中など)を規程に明記する。
窓口担当が事実関係を調査する。違反の経緯・対象データ・影響範囲を記録に残し、調査記録を保管する。重大インシデントは外部の顧問弁護士・専門家への相談を並行する。
影響範囲に応じた是正措置を実施する。データの削除依頼・関係者への通知・サービス側へのログ削除要求・必要に応じた監督官庁への報告。是正措置の実施状況を記録に残す。
原因分析と再発防止策の設計。規程・別表・運用フローのどこに改善余地があったかを整理し、改訂提案を出す。次回の四半期見直しで反映する。重大インシデントは個別に緊急改訂を検討する。
報告窓口の設計は、規程の機能を決定づける論点である。窓口が1つしかないと、その人が不在のときに報告が滞る。窓口が多すぎると、報告先の判断に時間がかかる。中小企業の実務では、第一報告窓口(法務・コンプラ担当)と代替窓口(情シス兼任の管理本部長など)の二系統を規程に明記する運用が、現実的かつ機能しやすい。
報告のハードルを下げる工夫も必要である。違反者本人からの報告に対しては、軽微・中程度の場合に懲戒処分を直結させない運用(自主申告免責)を規程に組み込むと、隠匿が減る。重大な違反では別途処分の対象になるが、軽微〜中程度の自主申告を奨励することで、組織全体の可視性が上がる。
違反対応の手順は、規程本体に細かく書き込むよりも、別冊の「インシデント対応プレイブック」として持つほうが運用しやすい。規程本体には対応の枠組み(4ステップ・重大度区分・報告窓口)のみを置き、具体的な対応手順・連絡先・チェックリストはプレイブックに逃がす。
プレイブックは年次見直しではなく、インシデント発生のつど更新する運用が回しやすい。規程本体の改訂は決裁ルートが重くなりがちなため、運用上の知見はプレイブック側に蓄積するほうが現場の追従が早い。
是正措置の中で見落とされやすい論点が、AIサービス側へのログ削除要求である。誤って入力された機密情報・個人情報が、AIサービス側のログとして残る可能性があり、ベンダー側に削除を要求できる仕組みかどうかは、契約・利用規約の段階で確認しておく必要がある。エンタープライズ向けプランでは管理者側からのログ削除が可能な構成が一般的だが、個人プランでは制約があるケースが多い。
再発防止のステップで重要なのは、「個人の責任追及」ではなく「規程・運用フローの設計改善」に焦点を当てることである。違反が起きた背景には、規程が分かりにくい・正規ルートが用意されていない・教育が不足している、などの構造的要因があることが多い。インシデントを規程改訂の機会として位置づける文化を組織側で作ると、規程が腐らない運用に近づく。
9. 運用と見直し:四半期サイクルで規程を腐らせない
規程は一度作って終わりではない。AI技術・法規制・自社の業務はいずれも変化が早く、年1回の見直しでは追従が間に合わない。四半期見直しを前提に、「初稿→運用→改訂」のサイクルで運用するのが現実解になる。
見直しの起点は4つに整理できる。第一に、規制・ガイドラインの改訂(EU AI Actの段階適用、AI事業者ガイドラインの更新、文化庁の論点整理の追加など)。第二に、AI製品の機能追加・仕様変更(学習除外設定の変更、新機能のリリースなど)。第三に、社内インシデントの発生。第四に、業界事例・他社事例の参照価値(業界団体・公共調達の要求変化)。
規程の初版を運用開始する最初の四半期。各部署の現場担当者にヒアリングし、規程の解釈で迷う論点・別表の不足を洗い出す。インシデントの有無も確認する。
初期サイクルのヒアリング結果を反映した改訂版を出す。別表の追加・利用範囲の明確化・境界条件の追加が主な改訂対象になる。条文本体の改訂は最小限にとどめる。
AI利用ログ・違反対応記録・部署別の運用状況を監査する。規程通りに運用されているか、形骸化していないかを確認する。第三者監査(外部監査人)の導入は規模に応じて検討する。
次の年度の規程方針を策定する。規制環境の変化・AI製品の進化・自社の業務拡大を踏まえ、次年度の重点改訂領域を経営会議に上申する。
四半期見直しの体制は、専任部署を置けない中小企業では「規程委員会」を設けて運用するのが現実的である。委員会のメンバーは、法務・コンプラ担当(兼任可)、情シス担当(兼任可)、各部門の代表者1名、経営層からの代表(取締役または管理本部長)の構成が標準的になる。
規程委員会の運営でつまずきやすいのは、議題の準備不足である。委員会の30分前に資料を配布するような運用では、深い議論ができない。事前に「今四半期に検討すべき論点リスト」を起案担当(多くは法務・コンプラ兼任の責任者)が作成し、1週間前に配布する運用が機能しやすい。
「四半期見直しサイクル」は固定スケジュールというより運用リズムである。実務上は、規制改訂や重大インシデント発生時には四半期サイクルを待たずに緊急改訂する。逆に、運用が安定している期間は形式的な見直しを軽くして、次の議題準備に時間を割くほうが有効なことも多い。
ログレビューと監査の論点も、中小企業で見落とされやすい。AI利用のログを取っていても、定期的にレビューする運用がないと、違反の早期発見ができない。エンタープライズ向けプラン(Microsoft 365、Google Workspaceなど)では、管理者向けに利用状況レポートが提供されるケースが多く、月次または四半期のレビューを規程委員会の議題に組み込むと運用が回る。
規程の改訂履歴の管理も重要な論点である。改訂版のリリース日、改訂内容、改訂理由を「改訂履歴表」として規程の末尾に必ず保持する。改訂履歴があると、過去のインシデント時点の規程内容を後から再現でき、監査・調査・訴訟対応で参照できる。
四半期サイクルで運用した結果、何が変わるかを最後に示す。最初の四半期サイクルを一巡させると「規程の初稿運用→現場の解釈ズレの解消→監査による形骸化チェック→次年度方針」のフルサイクルを回し終え、規程が「机上の文書」から「現場で機能する基準」に変わる。二年目以降は、改訂幅が小さくなり、規程が組織のAI利用の標準動作として定着していく。
10. 稟議用1ページサマリー:規程ギャップ→骨子→運用体制→見直し
役員会・顧問弁護士に通る稟議は、「規程の必要性」を訴える形式より「規程の不在によるリスクと、規程整備による業務上の便益」を言語化する形式のほうが通りやすい。次のフォーマットは、AI利用規程の策定提案を稟議用1ページに落とし込む際の標準骨子である。
| 項目 | 内容 |
|---|---|
| 現状の規程ギャップ | 自社のAI利用状況(部署別の利用範囲)/既存の情報セキュリティ規程との重複と空白/EU AI Act・AI事業者ガイドラインの参照状況 |
| 規程骨子(5領域) | リスク評価/利用範囲/データ取扱/著作権・知財/違反対応の5領域。条文構成は7条+部署別別表の二段構成 |
| 運用体制 | 第一報告窓口・代替窓口・規程委員会のメンバー構成/四半期見直しサイクル/改訂履歴の管理方法 |
| 見直しサイクル | 四半期見直しの起点4種(規制改訂/AI製品仕様変更/社内インシデント/業界事例)/初期サイクル〜次年度方針の標準アジェンダ |
| 同規模事例 | 同業種・同規模の中小企業での規程整備事例(業種・従業員規模・整備期間・運用上の論点) |
| 想定工数(ROI参照値) | 規程初稿の起案:法務・コンプラ兼任で20〜40人時/顧問弁護士レビュー:5〜10人時/規程委員会の四半期運営:1回あたり6〜10人時(事前準備+会議2時間相当)/全社展開教育:部門代表者1名あたり1〜2人時 |
| 次のアクション | 規程骨子の起案/顧問弁護士レビュー/規程委員会の発足/全社展開のキックオフ |
稟議用サマリーで最も効くのは、「規程の不在によるリスク」の言語化である。経営層・役員会に伝わるリスク表現は、抽象的な「コンプラリスク」より具体的な「業務シナリオ」である。たとえば、「営業が顧客機密を外部AIに貼り付けて、顧客との秘密保持契約に抵触する事例が起きうる」「採用補助でのAI利用が、対象者から説明可能性の問い合わせを受けたときに対応できない」のような具体度で書く。
同規模事例の章は、稟議の説得力を大きく左右する。「他社はどうしているか」を経営層・役員会が必ず問うため、業界横断の事例を1〜2件用意しておくと議論が進む。相談事例の観察から、士業事務所・SaaS企業・人材紹介会社の3業種(過去1〜2年の観察)で規程整備の典型パターンが見えており、業種別に固有の論点を整理した情報は、社内の稟議資料としてそのまま参照できる。
運用体制の章は、規程委員会の発足と窓口の設計を中心に書く。「誰が窓口で、誰が違反審査をするか」が稟議で詰まる最大の論点であり、ここを曖昧にすると規程ができても運用されない。第一報告窓口(法務・コンプラ担当)、代替窓口(情シス兼任の管理本部長)、規程委員会の構成(5〜6名)、経営層からの代表の役割を、稟議サマリーの段階で具体化しておく。
次のアクションの章は、稟議承認後の最初の3〜4ステップを書く。規程骨子の起案担当の決定、顧問弁護士へのレビュー依頼、規程委員会の発足準備、全社展開のキックオフ日程の4点を、担当者名・期限とともに記載する。稟議で承認された後、最初の1〜2週間で何が動くかが見える状態にしておくと、規程整備が止まらない。
11. 次のアクション:30分でできる規程ギャップ診断
規程整備の起点として、30分で書ける「AI利用規程ギャップ診断」のステップを示す。法務・コンプラ・情シスの担当者会議に持ち込めば、規程策定に向けた最初の合意形成ができる。
各部署の代表者にヒアリングし、現在のAI利用状況を棚卸しする。利用中のAIサービス(Microsoft 365 Copilot、Google Workspace のGemini、ChatGPT、Claude、Geminiなど)、利用業務、利用頻度、機密情報の入力有無を10〜15分で収集する。
情報セキュリティ規程・個人情報保護規程・就業規則の中で、AI利用に関連する条項を抽出する。既存規程との重複・空白を整理し、新規規程として独立させる範囲と、既存規程に組み込む範囲を10分で判断する。
5領域(リスク評価/利用範囲/データ取扱/著作権・知財/違反対応)のうち、自社の業種・業務特性から優先度の高い領域を2〜3選び、最初の起案範囲を決める。残り5〜10分で次回会議のアジェンダと担当者を確定する。
この30分の診断を終えると、規程整備の最初の起案範囲・担当者・次回会議の論点が決まる。法務・コンプラ・情シスの担当者会議の冒頭で実施し、終わったら経営層への中間報告に進める設計にしておくと、規程整備が滞らない。
まとめ:次のステップ
自社のAI利用規程の骨子を5領域に分解し、運用体制(窓口・規程委員会・見直しサイクル)まで一気通貫で設計する局面では、戦略設計レーンの事業戦略 / 経営戦略(S01・1〜2ヶ月)またはAI 導入戦略 / ロードマップ(D02・1〜2ヶ月)が起点になる。
規程の整備と並行して業務側の棚卸しが必要な場合は業務診断パッケージ(B01・1ヶ月)を補完として組み合わせる。社内RAGや社内AIアシスタント上での規程運用に踏み込む場合はナレッジマネジメント基盤(B06・1〜2ヶ月)を補完として組み合わせる。
CTAは3階層で用意している。第一に、情報継続として「AI利用規程ギャップ診断」テンプレート(A4・1枚)を受け取り、自社の現状規程との重複・空白を1人で棚卸しする入口がある。
第二に、疑似体験として、自社の現状規程と業務に当てはめて「規程ギャップ」を30分で棚卸しする無料オンラインセッションがある。第三に、直接対話として、AI利用規程の策定と運用体制を一気通貫で設計する戦略レーン(S01・1〜2ヶ月/D02・1〜2ヶ月)への接続がある。読了直後の温度感に応じて、入口を選んでよい。
次のステップ: AI利用規程の策定と運用体制を一気通貫で設計する(S01・1〜2ヶ月/D02・1〜2ヶ月)。規程の骨子だけを起案して終わらせず、運用体制(窓口・規程委員会・四半期見直しサイクル)まで設計して稟議に乗せる局面で、戦略レーンの伴走が機能する。