「うちもAI使っていいですか?」——その質問に、答えを用意しているか。
IPA 10大脅威でAIリスクが3位に入り、ISO 42001というAIガバナンスの規格があることも分かった。でも中小企業の現場で聞こえてくるのは、もっとシンプルな声だ。「結局、うちは何をやればいいんですか?」
認証を取る必要は今すぐにはない。でもAIを業務で使っているなら、最低限の利用ルールは「今日」決められる。僕が実際にコンサル先やブログ運営で使っている考え方をベースに、中小企業でも今日から始められる5つのアクションを書いていく。
目次
1. 使っていいAIサービスを「指定」する
最初にやるべきことは、「会社として使っていいAIサービス」を明確にすることだ。
ChatGPT、Claude、Gemini、Copilot——選択肢は増え続けている。従業員が各自の判断で好きなサービスを使い始めると、データの行き先がバラバラになり、管理が不可能になる。
僕のコンサル先では、まず「業務利用を認めるAIサービス」を2〜3つに絞るところから始めている。選定基準はシンプルだ。利用規約で入力データの学習利用をオプトアウトできるか。データの保存先はどこか(国内か海外か)。エンタープライズプランがあるか。この3点を確認するだけで、「使って大丈夫なサービス」の線引きができる。逆に言えば、この3点を確認せずに使っているサービスは、今すぐ確認した方がいい。
2. 入力してはいけない情報を「3つだけ」決める
「入力していい情報」をすべて列挙するのは現実的じゃない。逆に考える。「絶対に入力してはいけない情報」を3つだけ決める。
僕が推奨しているのは、顧客の個人情報(氏名・連絡先・取引履歴)、未公開の経営情報(売上・人事・契約条件)、パスワードやアクセスキー——この3カテゴリだ。
全従業員に「この3つだけはAIに入れるな」と伝える。シンプルなルールほど守られる。50ページの規程より、3行の禁止事項の方が現場では機能する。
規程の作り方については、以前AIで実際にドラフトした記事がある。あわせて読んでほしい。
→ セキュリティ規程、AIに書かせてみた——Claudeで半日完成したドラフトと正直な感想
3. AIの出力は「下書き」——検証ルールを決める
ハルシネーションは「バグ」ではなく「仕様」だと前回の記事でも書いた。この前提で、AIの出力をそのまま業務に使わない仕組みを作る。
具体的には「AIが出した文章・数値・法令の引用は、必ず一次ソースで確認してから使う」というルールだ。特に対外的な文書——提案書・契約書・プレスリリース——にAIの出力を使う場合は、複数名のチェックを必須にする。
僕自身、ブログ記事を書くときもClaude の出力をそのまま使うことはない。構成案や下書きとして活用し、ファクトチェックと文体の調整は自分でやる。「AIは優秀なアシスタントであって、最終判断者ではない」——この意識を組織で共有することが重要だ。
4. シャドーAIを「禁止」ではなく「可視化」する
シャドーAI——会社が認めていないAIサービスを従業員が勝手に使うこと。これを「禁止」するだけでは機能しない。
なぜなら、AIは便利だからだ。「使うな」と言われても、個人のスマホでこっそり使う。それなら最初から「使いたいサービスがあれば申請してくれ」という仕組みにした方がいい。実際、ある調査では企業の従業員の相当数が、会社に申告せずに業務で生成AIを使っているとされている。禁止令は「使わない」ではなく「隠れて使う」を生む。
実際にコンサル先で導入したのは、月1回のアンケートだ。「業務で使ったAIサービスがあれば教えてください」——たったこれだけ。禁止令ではなく、可視化の仕組みとして機能する。申告されたサービスを確認し、リスクが高ければ代替を提案し、問題なければ公認リストに追加する。
「上が理解してくれない」という壁がある場合は、伝え方の工夫が必要だ。
→ 社内セキュリティが進まない本当の理由——上司の知識不足という盲点
5. A4一枚でいい——ガイドラインを「文書化」する
ここまでの4つのアクションを、A4一枚にまとめて文書化する。それが最低限のガイドラインだ。
内容はシンプルでいい。利用可能なAIサービスの一覧、入力禁止情報の3カテゴリ、出力の検証ルール、未承認サービスの申請方法——この4項目を箇条書きにするだけで十分だ。
大事なのは「存在すること」だ。口頭ルールは忘れられるし、伝わらない。文書があれば、新入社員にも引き継げるし、何か問題が起きたときの判断基準になる。ISO 42001の管理策が38項目あると聞くと構えてしまうが、最初の一歩はA4一枚で始まる。
6. 正直に言う。ガイドラインだけでは足りない
ここまで「今日からできること」を5つ並べた。でも正直に書いておく。ガイドラインだけでは、AIのリスクは管理しきれない。
ルールを作っても、守られなければ意味がない。守られるためには研修が必要で、研修の効果を持続させるには定期的なリマインドが必要だ。そしてAIサービス自体が猛スピードで変化しているから、ガイドラインも定期的に見直さなければ陳腐化する。
ISO 42001が「マネジメントシステム」と名乗っているのはそういう理由だ。一枚の紙を作ったら終わりではなく、PDCAを回し続ける仕組みとして設計されている。A4一枚のガイドラインは「入口」であって「ゴール」ではない。半年に一度、ガイドラインの内容を見直す日を決めておくだけでも、「作って終わり」からは一歩前に進める。
でも、入口がなければ中には入れない。完璧を目指して何もしないより、不完全でも今日始める方がずっといい。
関連記事
・IPA「情報セキュリティ10大脅威2026」——AIリスクが3位に入った意味と中小企業の最低限の備え
AIリスクの全体像を整理した記事。本記事の前提となるリスク認識の話。
・ISO 42001とは何か?AIマネジメント規格を中小企業向けに現場目線で解説
ガイドラインの「次のステップ」にあたる国際規格の解説。
・セキュリティ規程、AIに書かせてみた——Claudeで半日完成したドラフトと正直な感想
AIを使って規程を作った実践記事。ガイドライン作成の参考に。
0 件のコメント:
新しいコメントは書き込めません。