【2026年版】生成AI 社内ルール ひな形・テンプレート｜企業ですぐ使える全7条サンプルと作成5ステップ

企業が生成AIを安全に業務活用するには、「何を使ってよいか」「何を入力してはいけないか」「問題が起きたら誰に連絡するか」を社内で明文化した**ひな形（テンプレート）**が不可欠です。本記事では、全7条のサンプルひな形をそのまま使える形で公開します。自社の業種・規模に合わせてカスタマイズしてください。

この記事では次の3点を解説します。

• 企業がすぐ使える生成AI社内ルール・全7条のひな形（テンプレート）
• 社内ルールを5ステップで作る手順と各ステップの所要時間目安
• 入力禁止情報の分類表・承認フロー・インシデント対応フロー（実運用に必要な要素）

そのまま使える生成AI社内ルール・全7条ひな形

以下のテンプレートは一般社団法人日本ディープラーニング協会（JDLA）が公開するひな形（2023年5月公開、2023年10月第1.1版改訂）の構成要素を参考に、2026年時点の法的動向（AI事業者ガイドライン第1.2版、EU AI法2026年8月全面施行）に対応した内容として再構成したものです。第1条〜第7条をそのままコピーし、【　】内を自社情報に書き換えてください。

---

【生成AI 社内利用規程（ひな形）】

第1条（目的と適用範囲） 本規程は、【会社名】（以下「当社」）の業務に従事するすべての役員・正社員・契約社員・派遣社員・業務委託先が、生成AI（ChatGPT Business、Claude、Microsoft Copilot 等）を安全かつ効果的に活用するための基本ルールを定める。

第2条（利用を許可するサービス） 業務で使用できる生成AIサービスは、情報システム部門が承認した法人向けアカウント（入力データがAIの学習に使われないオプトアウト設定が確認済みのもの）に限る。個人アカウントでの業務利用（シャドーAI）は固く禁ずる。

第3条（入力禁止情報） 以下の情報は、いかなる生成AIサービスにも入力してはならない。

1. 顧客・取引先の個人情報（氏名・住所・連絡先・購買履歴等）
2. 未公開の財務情報・事業計画・人事情報・M&A関連情報
3. 取引先との守秘義務（NDA）対象情報
4. 自社または他社のソースコード・設計仕様（セキュリティポリシーで禁止する場合）
5. 権利者の許諾がない第三者の著作物

第4条（出力結果の利用と責任）

1. 生成AIの出力には虚偽・誤情報（ハルシネーション）が含まれる可能性があるため、利用者は必ず一次情報との照合（ファクトチェック）を行う。
2. 顧客向け資料・社外公開コンテンツ・プログラムコードとして使用する場合は、上長または第三者の承認を得る。
3. 出力結果を利用した成果物に関する最終的な責任は、利用者本人が負う。
4. 著作権侵害のリスクがある出力（他著作物と類似した文章・画像等）は、そのまま社外公開しない。

第5条（インシデント報告） 機密情報を誤って入力した場合、または出力結果による権利侵害・情報漏洩のおそれが生じた場合は、発覚後【24時間 / 営業日翌日正午まで等、自社規定を記入】以内に直属の上長および情報セキュリティ担当窓口（【メールアドレス or 内線番号】）へ報告する。報告の遅延・隠蔽は懲戒処分の対象となる。

第6条（教育・研修）

1. 当社は年【1〜2】回以上、生成AIの安全利用に関する社内研修（オンライン可）を実施する。
2. 新入社員・新たな派遣社員・業務委託先は、業務開始前に本規程および関連研修を受講する。
3. 生成AIリテラシー資格（JDLA G検定、生成AIパスポート等）の取得を奨励する。

第7条（規程の改訂） 本規程は、AI技術の進化・法令の変更・社内運用状況を踏まえ、半年に1回（毎年4月・10月）定期的に見直しを行う。大きな法改正（EU AI法の日本企業への影響確認など）が生じた場合は、臨時改訂を行う。

---

このひな形は出発点です。次章の5ステップで自社に最適な内容に肉付けしてください。

社内ルール作成5ステップ｜所要時間の目安と担当部門

生成AIの社内ルールをゼロから作ると数ヶ月かかる場合もありますが、上記ひな形をベースにすれば、中小企業なら約1ヶ月、大企業でも2〜3ヶ月で初版を策定できます。

ステップ1の棚卸しのポイント: 「使っているサービス一覧を各部署に申告させる」だけでは漏れが出ます。シャドーIT（無断利用）を検出するには、ネットワーク通信のログ分析ツールや、クラウドアクセスセキュリティブローカー（CASB）の導入も検討してください。シャドーITが実際に情報漏洩につながる経路については、シャドーITのリスクと情報漏洩事件を防ぐ対策ガイド｜Claude安全導入手順も参照してください。

入力禁止情報の3段階分類表

「機密情報を入力しないこと」という一文だけでは現場で判断できません。以下の表を社内規程に貼り付け、担当者が迷わず判断できる基準を作ってください。

実務での運用ポイント:

• 「社内限定情報」を入力する場合は、固有名詞（顧客名・社員名・案件名）を伏字にしてからプロンプトに貼る
• 法人向けサービスを選定する際は、「入力データがモデルの学習に使われない」「データがサービス提供国外に転送されない」「DPA（データ処理契約）が締結できる」の3点を必ず確認する
• サービスごとに設定が異なる。たとえばChatGPT Businessは標準でオプトアウト済みだが、OpenAI APIは設定次第で異なる

生成AIに社内ソースコードや個人情報を入力すると何が起きるかを実際の事例から理解したい場合は、【2026年版】生成AIの情報漏洩リスクとは？サムスン3件流出に学ぶ5つの対策と実例で詳しく解説しています。サムスン電子が導入わずか20日で3件の機密情報を流出させた経緯と、法人プラン選定のチェックリストが参照できます。

承認フローとインシデント対応フロー

社外公開前の承認フロー（3段階）

生成AIの出力を顧客向け資料・Webコンテンツ・プレスリリースとして使う場合は、以下の3段階の確認を義務付けてください。

1. 作成者本人のファクトチェック: 数値・固有名詞・法令名を一次ソースと照合。確認できない数字は削除または明記不要の形に書き直す
2. 上長または編集責任者のレビュー: 意図しない著作物の引用・競合他社への誤解を招く表現がないか確認。AI著作権の詳細ルールは【2026年版】AI著作権の基本ルール｜生成AIのリスク問題と企業が取るべき5つの対策を参照
3. 法務（必要に応じて）: 規制業種（金融・医療・法律）または影響範囲が大きいコンテンツは法務確認を必須にする

インシデント対応フロー

インシデントが起きた際に現場が迷わないよう、以下のフローをそのまま社内規程に転記してください。

【インシデント発生時の行動フロー】

発生・発覚
   ↓
利用者：直属の上長に口頭 or チャットで即報告（24時間以内）
   ↓
上長：情報セキュリティ担当窓口に報告・初動対応の指示
   ↓
情報セキュリティ担当：
  ① 何を、どのAIサービスに入力したか記録
  ② サービス提供会社に問い合わせ（データ削除・隔離の可否確認）
  ③ 影響範囲の特定（個人情報なら個人情報保護法の開示義務を確認）
  ④ 再発防止策の立案・周知
   ↓
経営層への報告（影響が重大な場合は24時間以内）

報告をためらわせない文化の醸成が最も重要です。「違反したら即懲戒」の姿勢はインシデントの隠蔽を招きます。「報告してくれれば一緒に解決する」という心理的安全性が、被害の最小化につながります。

大企業の実際の社内ガイドライン運用実例

社内ルールの「粒度感」の参考として、実在企業の公開情報から運用実例を整理します。

パナソニック コネクト（ConnectAI） 約1.2万人にChatGPTをベースとした社内AI「ConnectAI」を展開。2024年の削減効果は年間44.8万時間（出典: パナソニック コネクト公式プレスリリース 2025年7月7日公表 news.panasonic.com/jp/press/jn250707-2）。全社員向けに「入力してよい情報・禁止情報」のガイドラインを整備し、情報システム部門が法人向けAPIを一元管理するアーキテクチャで情報漏洩リスクをコントロールしています。

LINEヤフー（SeekAI） グループ内専用生成AI基盤「SeekAI」で年間70〜80万時間削減見込み、社内ドキュメント検索の正答率98%を達成（出典: LY Corporation プレスリリース、lycos.jp/news）。シャドーAI対策として「公認外のAIサービスへの個人情報入力を明示的に禁止する社内規程」を整備し、違反者への教育プログラムを運用しています。

ZOZO（sweeep導入事例） 請求書AIサービス「sweeep」との組み合わせで、月初め締め処理を7営業日から3.5営業日へ短縮（出典: sweeep.ai/case/697）。AI利用規程で「経理部門が処理する請求書データは外部AIへの直接入力を禁止し、社内承認済みのAPI連携のみを使用する」と明文化することで、財務情報の漏洩リスクを抑制しています。

これらの企業に共通しているのは、**「禁止ルールを設けるだけでなく、安全に使える公認のルートを用意する」**という設計思想です。禁止だけでは現場がシャドーAIに流れます。

2026年の法的動向と社内ルールへの反映ポイント

政府ガイドラインや法規制の要点を社内ルールに取り込む際の確認ポイントを整理します。政府ガイドラインの詳細な解説は【2026年最新】総務省・生成AIガイドラインを5分で解説｜AIリスク4分類×社内ルール対応表をご参照ください（本記事は「企業内ひな形」に特化しているため、政府ガイドラインの解説は同記事に委ねます）。

よくある質問

Q. 社内ルールはどのくらいの分量が適切ですか？ 中小企業なら本記事のひな形（7条1〜2ページ）で十分です。従業員が実際に読んで使える簡潔さが最優先です。大企業は部門別付録（営業向け・IT向け・マーケ向けの判断例）を別途作成すると運用定着率が上がります。

Q. ひな形の「第3条 入力禁止情報」にソースコードを加えるべきですか？ 開発部門がある場合は必須です。サムスン電子の情報漏洩3件のうち1件はソースコードの貼り付けでした。「公認の法人向けAPIを使用するコード補助ツール（GitHub Copilot Business等）は別途許可」のように例外条項を設けると実務的です。

Q. 派遣社員・業務委託先にもルールを適用できますか？ 第1条で「業務委託先」を適用範囲に含めれば、契約上の義務として課すことができます。業務委託契約書に「甲の生成AI利用規程を遵守する義務」を条項として追加することを推奨します。

Q. 半年に1回の見直しは形式的になりがちですが、何を確認すればいいですか？ 以下の3点を確認するだけで形式化を防げます。①新しい生成AIサービスを社員が使い始めていないか（棚卸し）②インシデントの報告件数と内容（ゼロなら報告されていないだけかもしれない）③法令・政府ガイドラインの改訂有無（AI事業者ガイドライン、個人情報保護法通達等）。

Q. 政府のガイドライン（総務省・経産省・文科省）も参考にすべきですか？ 自社の社内ルール策定には、本記事のひな形が出発点として適しています。政府ガイドラインは「何を社内で禁止すべきか」の判断根拠として参照し、直接コピーするものではありません。政府ガイドラインの読み解き方は【2026年最新】総務省・生成AIガイドラインを5分で解説｜AIリスク4分類×社内ルール対応表をご参照ください。

まとめ

生成AI社内ルールのひな形作成で押さえるべき要点は以下の5点です。

1. 全7条のひな形（目的・適用範囲 / 許可サービス / 入力禁止情報 / 出力責任 / インシデント報告 / 教育 / 定期改訂）をそのまま転記してカスタマイズする
2. 入力禁止情報は3段階に分類（公開済み・社内限定・機密情報）し、現場が迷わない判断基準を提示する
3. 承認フローとインシデント対応フローを明文化し、報告しやすい心理的安全性を確保する
4. パナソニック コネクト・LINEヤフー等の実例に学び、「禁止するだけでなく安全に使えるルートを用意する」設計にする
5. 半年に1回の定期見直しを義務化し、AI事業者ガイドライン改訂やEU AI法の動向に対応する

法人向け生成AIサービスの選定ポイントや比較については、生成AIの法人向け導入ガイド：セキュリティと業務適合性で選ぶ6つのポイントも合わせてご参照ください。