AI人材育成の前に必要な社内ルールとは？中小企業が情報漏えいを防ぐ基本

はじめに

AIを使い始めると、最初は多くの人が感動します。

文章がすぐにできる。

表の整理が早い。

アイデアも出してくれる。

ツールの作り方まで教えてくれる。

しかし、使い方のルールがないまま広がると、会社の中で見えないリスクが増えていきます。

誰が、どのAIを、どんな目的で、どんな情報を入れて使っているのか。

これが分からない状態は、とても危険です。

IPAの「情報セキュリティ10大脅威2026［組織編］」でも、職場で許可なくAIを業務利用する「シャドーAI」による情報漏えいの可能性が指摘されています。

1. AI活用で最初に必要なのはルール

AI人材を育てるとき、多くの会社は「使い方」から教えようとします。

しかし、本当に最初に必要なのは「使い方」ではなく「使う範囲」です。

たとえば、次のようなことを決めておく必要があります。

• 会社として利用を認めるAIサービス


• 入力してよい情報


• 入力してはいけない情報


• AIの出力を確認する人


• AIで作ったツールの管理方法


• 問題が起きたときの相談先

これがないまま使い始めると、社員や外注先がそれぞれの判断でAIを使い、会社が実態を把握できなくなります。

特に中小零細企業では、人数が少ない分、1人の判断が会社全体に影響します。
「ちょっと便利だから」という軽い気持ちで使ったAIが、顧客情報や社内情報の流出につながることもあります。

だからこそ、AI人材を育てる前に、まず会社としての基本ルールを決めることが大切です。

2. シャドーAIが危険な理由

シャドーAIとは、会社が許可していないAIサービスを、従業員や関係者が勝手に業務で使っている状態です。

本人に悪気があるとは限りません。

「早く仕事を終わらせたい」

「文章を整えたい」

「資料を分かりやすくしたい」

「便利だから使っただけ」

このような理由で、顧客情報や社内資料をAIに入力してしまうことがあります。

問題は、会社がそれを把握できないことです。

何の情報が、どのAIサービスに、いつ入力されたのか。

それが分からなければ、情報漏えいが起きても原因を追えません。

さらに、個人アカウントで使われているAIサービスは、会社の管理外になりやすいです。
利用履歴、入力内容、設定、データの扱いを会社が確認できないため、問題が表面化したときには対応が遅れてしまいます。

AI活用を止める必要はありません。
しかし、会社が知らないところでAIが使われている状態は、早めに見直す必要があります。

3. 入力してよい情報・いけない情報を分ける

AI利用ルールで最も大切なのは、情報の分類です。

すべての情報を同じように扱うと、判断に迷います。
その結果、「これくらいなら大丈夫だろう」という自己判断が増えてしまいます。

まずは、入力してよい情報と、入力してはいけない情報を分けて考えます。

入力してよい情報の例

• 公開済みの会社情報


• 一般的な文章の下書き


• 個人名を含まないアイデア


• すでに公開されている商品説明


• 個人情報や機密情報を含まない社内メモ

入力してはいけない情報の例

• 顧客名


• 住所


• 電話番号


• メールアドレス


• 契約内容


• 見積金額


• 未公開の事業計画


• 社内のパスワード


• 取引先から受け取った非公開資料


• 従業員の個人情報

判断に迷う情報は、入力しない。
この基準を作るだけでも、リスクを減らせます。

また、AIに入力する前に、個人名や会社名、住所、金額などを削除する方法もあります。
ただし、削除したつもりでも文脈から相手が分かる場合があるため、過信は禁物です。

情報を守るためには、「何を入れてよいか」よりも、「何を入れてはいけないか」を先に決めることが重要です。

4. AIで作ったツールを配る前に確認すべきこと

最近は、AIに相談しながら簡単なツールを作ることができます。

たとえば、次のようなものです。

• フォルダ整理ツール


• ファイル名変更ツール


• 顧客情報の一覧化ツール


• 社内データの検索ツール


• 問い合わせ管理ツール

しかし、こうしたツールには注意が必要です。

特に危険なのは、ファイルやフォルダを扱うツールです。

どのフォルダにアクセスするのか。

誰がそのファイルを見られるのか。

外部通信をしていないか。

ログに個人情報が残らないか。

誤操作でファイルを削除しないか。

これらを確認しないまま配布すると、社内の情報が意図せず見える、消える、送られるといった問題につながります。

便利なツールほど、広がるスピードも早くなります。

だからこそ、配る前の確認が必要です。

特に、外部で配布されているツールや、誰かがAIで作ったコードをそのまま使う場合は慎重になる必要があります。
見た目は単純なツールでも、裏側で何をしているか分からない場合があるからです。

社内で使う場合も、いきなり本番データで試すのではなく、テスト用のデータで動作を確認することが大切です。

5. 小さな会社でもできるAI利用ルール

難しい規程を作る必要はありません。

まずは、A4用紙1枚程度で十分です。

内容は、次のようなもので構いません。

• 会社で使ってよいAIサービス


• 入力禁止の情報


• AIで作った文章は必ず人が確認する


• AIで作ったツールは勝手に配布しない


• 顧客情報を扱う場合は事前に相談する


• 問題が起きたらすぐ報告する

大切なのは、完璧なルールを作ることではありません。

「何となく使う状態」をなくすことです。

ルールがあると、社員や外注先も安心してAIを使えます。
「これは使ってよい」「これは相談が必要」と分かるだけで、現場の迷いは減ります。

AI活用は、禁止するよりも、正しい使い方を決めて広げる方が現実的です。
そのためにも、最初の一歩として、会社に合ったシンプルなルールを作ることから始めましょう。

まとめ＋要約

AI人材を育てる前に、まず社内ルールを作ることが大切です。

特に注意すべきなのは、許可されていないAIを業務で使うシャドーAIです。
本人に悪気がなくても、顧客情報や社内資料を入力すれば、情報漏えいにつながる可能性があります。

また、AIで作った業務ツールを配布する場合は、ファイルやフォルダへのアクセス、外部通信、権限設定を確認する必要があります。

AI活用は、ルールがあるほど安心して広げられます。

中小零細企業や個人事業主に必要なのは、難しい規程ではなく、「何をしてよいか」「何をしてはいけないか」が分かるシンプルな基準です。

FAQ