社内で生成AIを使うときの最低限のルール|超入門
こんにちは!Legal Agent代表弁護士の朝戸です。
社内で生成AIを使い始めるとき、「自由に使ってよい」とも「全面禁止」とも言いきれず、迷う会社は多いと思います。現場からは「契約書のたたき台づくりに使いたい」という声が上がり、一方で経営層からは「秘密情報が漏れないか心配だ」という声が出る。どちらももっともで、板挟みになりがちです。
よくある場面を挙げると、担当者が取引先名や金額の入った業務委託契約書の本文を、そのまま無料の生成AIサービスに貼り付けて要約させてしまう、ということが起こり得ます。悪気はなく、便利だから使っただけなのですが、その情報が外部のサーバーに送られ、場合によっては再利用される可能性まで考えると、見過ごせない使い方です。こうした事故は、ルールがないことから起きます。
最初から完璧なルールをつくるのは難しくても、最低限の約束ごとを決めておくだけで、こうした事故はかなり防げます。この記事では、まず押さえておきたい社内ルールの基本を、具体例とサンプルを交えて整理します。
この記事で分かること
最低限決めておきたいルールの項目、なぜそれが必要なのか、ルールづくりの進め方、そしてたたき台を作るためのサンプルプロンプトを整理します。最後によくある失敗もまとめます。
まず決めたい3つのこと
細かいルールを作り込む前に、次の3つだけでも決めておくと安心です。生成AIの主なリスクである「情報漏れ」と「誤情報」に直結する項目だからです。
- 入れてよい情報・ダメな情報:秘密情報や個人情報を入力してよいかの線引き
- 使ってよいサービス:会社が認めたサービス・プランに限定するか
- 最終確認の義務:AIの出力は、人が確認してから使うこと
たとえば一つ目について、「取引先名・個人名・未公表の金額・契約書の本文そのものは入力しない」と決めておくだけで、先ほどのような事故はかなり減らせます。NDA(秘密保持契約)を結んでいる相手の情報を外部サービスに入力することは、秘密保持義務違反につながるおそれもあるため、特に注意したい点です。この3点は最初に決める価値が高いと考えています。
なぜこの3点なのか
3つの項目を、もう少しかみ砕いて説明します。
一つ目の「入れてよい情報」は、情報漏れを防ぐための線引きです。生成AIサービスの中には、入力された内容を学習に使ったり、サーバーに保存したりするものがあります。秘密情報や個人情報を入れてしまうと、自社の管理の外に情報が出ていくおそれがあります。
二つ目の「使ってよいサービス」は、入口を管理する考え方です。同じ生成AIでも、入力内容を学習に使わない設定がある法人向けプランと、無料の個人向けサービスとでは、情報の扱いが違います。会社として認めたサービスやプランに限定すれば、リスクをそろえて管理しやすくなります。
三つ目の「最終確認の義務」は、誤情報を防ぐためのものです。AIは条文番号や数字を誤ることがあるため、出力をそのまま使わず、人が確認してから使うルールにしておくことが大切だと考えています。
「禁止」より「使い方を決める」
ルールを考えるとき、つい「全面禁止」にしたくなることがあります。しかし、全面禁止にすると、かえって個人のスマートフォンなどで隠れて使われ、会社の管理が効かなくなることがあります。これは「シャドーIT」と呼ばれ、かえってリスクが見えなくなる点で厄介です。
禁止ではなく、「安全に使うための条件」を決める方が、現実的なことが多いです。たとえば「秘密情報は入れない」「認めたサービスを使う」「出力は確認する」という条件を満たせば使ってよい、とする方が、現場も従いやすく、結果として管理が効きます。
小さく始めて、育てる
最初から分厚いルールブックを作る必要はありません。むしろ、現場が読まない厚いマニュアルより、A4一枚で要点が分かるルールの方が機能します。
まずはA4一枚程度の基本ルールから始め、運用しながら「こういう場面はどうするか」という具体例を足していくと、実態に合ったものになります。たとえば、最初は3つの基本ルールだけで始め、後から「議事録の要約はよいが、人事評価の文章作成は要相談」といった個別の運用を追記していく、という育て方です。
サンプル:基本ルールのたたき台を作る(基本形)
ルールづくりの第一歩として、たたき台をAIに作らせると着手しやすくなります。まずは基本形のプロンプトです。
当社で生成AIを業務利用する際の、A4一枚程度の基本ルールのたたき台を作ってください。
次の観点を含めてください。
・入力してよい情報/してはいけない情報
・利用してよいサービスの範囲
・出力を使う前の確認義務
・困ったときの相談先
法律事務所の監修が必要な点には「要法務確認」と注記してください。
出てきたたたき台は、あくまで出発点です。自社の実情に合わせ、法務が監修して仕上げることが大切だと考えています。
サンプル:入力してよい情報の具体例を整理する(応用形)
応用形として、線引きをより具体的にするためのプロンプトです。抽象的な「秘密情報は入れない」を、現場が判断しやすい具体例に落とし込みます。
当社の業務を前提に、生成AIに「入力してよい情報」と「入力してはいけない情報」を、
それぞれ具体例を5つずつ挙げて整理してください。
・判断に迷いやすい境界の例(例:公開済みか未公開か)も示すこと
・個人情報や取引先の秘密情報にあたりうるものは、明確に「入力不可」に分類すること
・最終的な分類は法務が確認する前提で作成すること
【当社の業種や扱う情報の概要をここに記入】
ここで作った具体例の一覧を、基本ルールに添える「Q&A」や「判断例」として使うと、現場が迷ったときの拠り所になります。なお、このプロンプトに自社の機微な情報を入れすぎないよう、概要レベルにとどめることが大切です。
よくある失敗
ルールづくりでありがちな失敗も挙げておきます。
一つ目は、ルールを作っただけで満足してしまい、現場に周知されないことです。誰も知らないルールは、無いのと同じです。配布と説明までをセットで考えたいところです。
二つ目は、細かすぎるルールを一度に作り込んでしまい、誰も読まなくなることです。最初はA4一枚に絞り、運用しながら育てる方がうまくいきやすいです。
最後に多いのが、ルールを作ったきり見直さないことです。生成AIのサービス内容や法令は変わっていくため、定期的な見直しを前提にしておくことが大切だと考えています。
使うときの注意点
- ルールは作って終わりではなく、社内に周知し、定期的に見直すことが大切です
- 秘密情報・個人情報を入力してよいかの線引きは、特に明確にしておくことが大切です
- AIの出力は、人が最終確認してから使う運用にしておくことが望ましいです
- 業種や扱う情報によって必要なルールは変わるため、自社の実情に合わせて調整することが大切だと考えています