生成AIの業務活用が広がる中、多くの企業が「生成AIガイドラインを作るべきか」「どう作ればいいのか」と悩んでいます。ひとえに生成AIといっても、情報漏洩のリスクや著作権の問題など、対処すべき課題は山積みです。
本記事では公的機関や大手企業の実例を交えながら、実務で使える生成AIガイドラインの作り方を解説します。
生成AIガイドラインとは
生成AIガイドラインは、ChatGPTなどのAIツールを安全かつ効果的に活用するための基本方針を示したガイドラインです。ここでは、生成AIガイドラインの基本的な構成要素と実際の策定事例について、以下2つの視点から解説します。
- 生成AIガイドラインの基本項目
- 生成AIガイドラインの作成事例
生成AIガイドラインの基本項目
生成AIガイドラインには、組織が安全にAIを活用するための要素を盛り込む必要があります。
| 項目 | 記載内容 |
| 利用目的と基本方針 | AI活用の目的と組織の基本姿勢 |
| 利用可能なサービス | 使用を許可するツールの明示 |
| 入力データのルール | 入力禁止データの具体的な範囲 |
| 生成物の取り扱い | 出力結果の確認・検証プロセス |
| セキュリティとガバナンス | アクセス管理と違反時の措置 |
| 教育・研修体制 | 従業員への教育方針と相談窓口 |
生成AIガイドラインの作成事例
国内では政府機関や自治体、民間企業において多様なガイドラインが策定されています。
民間では日本ディープラーニング協会が、企業向けに条文形式のガイドラインを公開しました。また、金融データ活用推進協会は金融業界特有のリスクに対応した専門的なガイドラインを策定しています。
参照:一般社団法人日本ディープラーニング協会|生成AI開発契約ガイドライン、一般社団法人金融データ活用推進協会(FDUA)|金融生成AIガイドライン
生成AIガイドラインを作成すべき4つの理由
ここからは、生成AIガイドラインを作成すべき以下4つの理由について解説します。
- 生成AIの業務利用が急速に拡大している
- 従業員による無秩序な利用が組織リスクを生む
- 国や自治体・企業でガイドライン策定が進んでいる
- 明確なルールにより生成AI活用を促進できる
生成AIの業務利用が急速に拡大している
生成AI市場は、世界規模で急成長を続けています。2021年を基準とすると、2025年には約4.4倍、2030年には約19.3倍に達する見込みです。一般財団法人JIPDECの調査では、全体の69.5%が生成AIを導入済みまたは導入予定と回答しました。
生成AIガイドラインの活用場面は企画立案・文書作成・要約・メール作成・コード生成・翻訳など多岐にわたります。組織として統一されたガイドラインがなければ、部署ごとに異なる使い方がされ、リスク管理が困難になるでしょう。
出典:IPA 独立行政法人 情報処理推進機構|テキスト生成AIの導入・運用ガイドライン
従業員による無秩序な利用が組織リスクを生む
明確なガイドラインがない状態では、従業員が個人判断で生成AIを利用するシャドーITが発生し、重大なリスクを引き起こします。2023年3月には大手電子メーカーで従業員が社内機密のソースコードをChatGPTに入力し、データがサーバーに保存される事態が発生しました。
同年5月には、米国の弁護士が実在しない6件の判例をChatGPTから取得し裁判所に提出する問題も起きています。従業員の善意や注意だけではリスクを防げないため、組織として明確なガイドラインを設定し、周知徹底することが不可欠です。
国や自治体・企業でガイドライン策定が進んでいる
生成AIをめぐる課題に対応するため、国内外でガイドラインや法規制の整備が急速に進んでいます。
日本では経済産業省と総務省がAI事業者ガイドラインを策定し、開発者・提供者・利用者の責務を明示しました。デジタル庁は、政府情報システムへの導入を想定したリスク対策ガイドブックを公表しています。
出典:経済産業省|AI事業者ガイドライン、デジタル庁|テキスト生成AI利活用におけるリスクへの対策ガイドブック(α版)
明確なルールにより生成AI活用を促進できる
生成AIガイドラインはリスク管理だけでなく、従業員がAIを積極的に活用するための指針としての役割も担います。明確なガイドラインがなければ、従業員は何をどこまで試して良いのか分からず、AI活用に萎縮してしまうでしょう。
生成AIガイドラインがあれば安全に使える範囲が明確になり、従業員は安心して活用できます。
生成AIの活用に関する詳細は、以下記事も参考にしてください。
生成AIガイドラインを作成しない場合のリスク
ここでは、生成AIガイドラインの未整備によって発生しうるリスクとして、以下の5点を紹介します。
- 機密情報や個人情報の漏洩
- 著作権侵害や知的財産権の問題
- AI生成物の誤情報による信頼性低下
- 秘密保持契約違反による取引先との関係悪化
- 法令違反やコンプライアンス上の問題
機密情報や個人情報の漏洩
生成AIサービスの多くは、ユーザーが入力したデータを学習に利用する可能性があります。従業員が業務効率化を図る過程で、ガイドラインがないと機密情報を誤って入力してしまうリスクが高まります。
プロンプトに入力した社内機密のソースコードや顧客情報が学習データに組み込まれれば、第三者の回答に企業機密が含まれるかもしれません。
なお、ガイドラインに記載すべき入力禁止項目の例は、以下のとおりです。
- 顧客情報
- 社外秘の技術情報
- 未公開の研究開発データ
- 取引先との契約内容
- 従業員の個人情報
- システムのパスワード
著作権侵害や知的財産権の問題
生成AIは既存のコンテンツから学習して回答を生成するため、出力内容が既存コンテンツと酷似し、著作権侵害を疑われるリスクがあります。学習データには著作権で保護されたコンテンツが含まれている可能性があり、2023年には大手写真提供サービスが自社コンテンツの無断使用を理由にAI開発企業を提訴した事例も発生しました。
ガイドラインを通じた生成物の商用利用の可否と条件の明確化、利用するAIツールの規約確認義務の設定、社外向けコンテンツ利用時の人間による最終チェックの義務化が必要です。
AI生成物の誤情報による信頼性低下
生成AIはハルシネーションと呼ばれる現象を起こし、嘘や誤った情報を生成します。AIが生成した誤った情報を鵜呑みにして重要な判断を下してしまえば、ビジネス上の損失や法的問題に発展するでしょう。
顧客向け資料や公式発表にAI生成の誤情報が含まれれば、企業の信頼性が低下しブランドイメージが毀損されるので、ガイドラインの作成が必須です。
ハルシネーションも含めた生成AIの注意点は、以下の記事も参考にしてください。
秘密保持契約違反による取引先との関係悪化
生成AIに取引先の情報を入力すれば、秘密保持契約に違反してしまうリスクがあります。取引先から受領した機密情報をプロンプトに入力すればNDAで禁止されている第三者への開示に該当し、損害賠償請求や取引停止のリスクが生じるでしょう。
パートナー企業との共同研究開発の情報を生成AIで処理すれば、競合他社が同じAIサービスを利用している場合に間接的に情報が漏れる可能性があるのでガイドラインを作成しましょう。
法令違反やコンプライアンス上の問題
生成AIの不適切な利用は、以下の法令違反につながる可能性があるためガイドラインが必須です。
- 個人情報保護法
- 不正競争防止法
- 著作権法
個人情報を含むデータを本人の同意なく生成AIに入力すれば、個人情報の第三者提供に該当する可能性があります。
【6ステップ】生成AIガイドライン作成の流れ
ここからは、生成AIガイドライン作成の流れを以下6つのステップに分けて解説します。
- 現状把握と目的の明確化を行う
- 部門横断的な策定体制を確立する
- 生成AI特有のリスクを分析して基本方針を定める
- 雛形を参考にガイドライン文書を設計する
- 社内レビューと承認を経て従業員へ周知する
- 運用開始後も定期的な見直しを実施する
1.現状把握と目的の明確化を行う
生成AIガイドライン策定時はまず、組織の現状を正確に把握のうえ導入目的を明確にしましょう。どの生成AIサービスを誰がどのように利用しているか、全社アンケートや部門ごとのヒアリングで実態を調査します。
情報漏洩・著作権侵害・誤情報などのリスクや生成AIガイドラインを策定すべき理由、達成したいゴールや対象範囲も明確にしておきましょう。
2.部門横断的な策定体制を確立する
生成AIガイドラインの策定は単独の部署では完結しないため、関連部署を横断したプロジェクトチームを組みましょう。例えば経営企画部門であれば全社方針との整合性確保と経営層への報告を担当し、法務部門は法的リスクの評価と契約書ひな形作成を行います。
IT部門は技術的観点からのセキュリティリスク評価を担い、事業部門代表は現場の業務実態を共有します。
3.生成AI特有のリスクを分析して基本方針を定める
ガイドライン作成時は構築したチームで生成AI特有のリスクを整理し、対応する原則や基本方針を定めましょう。シャドーAIのリスクに対しては利用可能なサービスを明確に指定し、未承認サービスの利用を原則禁止とします。
機密情報入力のリスクに対しては入力禁止データの具体的なリスト化を行い、誤情報生成のリスクに対してはファクトチェックを義務化しましょう。
4.雛形を参考にガイドライン文書を設計する
生成AIガイドラインはゼロから作成すると抜け漏れが生じやすいため、公開されている雛形を活用しましょう。生成AIガイドラインに含めるべき項目の例は、以下のとおりです。
- 目的・適用範囲
- 基本方針
- 利用禁止事項
- 入力データのルール
- 出力結果の取り扱い
- 業務活用ルール
- セキュリティ
- 教育体制
- 法令との整合性
- 見直し方針
雛形を参考にしながら自社の実態に合わせてカスタマイズすれば、実用性の高いガイドラインが完成するでしょう。
5.社内レビューと承認を経て従業員へ周知する
生成AIガイドラインの草案が完成したら、関係部門や経営層によるレビューを経て最終稿を仕上げ、全従業員への周知を行います。ガイドライン作成時に確認すべき視点は、以下を参考にしてください。
- 法務部門:法令との整合性
- IT部門:技術的実現可能性
- 人事部門:就業規則との整合性
経営会議での説明と承認取得を行い、全社員向けのキックオフ説明会を開催のうえ社内ポータルへガイドラインとして掲載しましょう。
6.運用開始後も定期的な見直しを実施する
ガイドライン運用開始後は、定期的に内容を見直しましょう。生成AI技術は進歩が速く、関連法規も時代に応じて変化する可能性があるためです。
最低年1回は大規模な見直しを実施し、重大なインシデント発生時や法改正時には臨時見直しを行います。利用状況のログ分析や社内で発生したインシデント、従業員からのフィードバックや外部環境の変化を見直し、ガイドラインをブラッシュアップしましょう。
生成AIガイドライン作成時の注意点5つ
実効性の高い生成AIガイドラインを作成するためには、以下5つのポイントを押さえるべきです。
- 利用可能なツールと禁止ツールを明確に区別する
- 入力禁止データの具体例を詳しく示す
- 生成物の確認・検証プロセスを必須化する
- 現場が実践できる具体的な表現にする
- 技術進化や法改正に応じた更新体制を整える
利用可能なツールと禁止ツールを明確に区別する
生成AIサービスは数多く存在し、それぞれセキュリティレベルやデータ取り扱い方針が異なります。ガイドラインには「生成AI全般」という曖昧な表現ではなく、具体的なサービス名を明示しましょう。
利用可能なツールの選定基準としては、データが学習に利用されないことが保証されているか、エンタープライズ契約が可能か、データ削除の手続きが明確かが重要です。
入力禁止データの具体例を詳しく示す
機密情報を入力してはいけないという抽象的な表現では、従業員は何が該当するのか判断に迷います。入力禁止データを具体的にリスト化し、ガイドライン内での判断基準を明確にしましょう。
個人情報として氏名・生年月日・住所・電話番号・マイナンバーを明示し、企業機密情報として経営戦略・財務情報・研究開発データ・ソースコードを明示すべきです。
生成物の確認・検証プロセスを必須化する
生成AIの出力をそのまま使用すると、ハルシネーションや著作権侵害のリスクがあるため人間による確認・検証プロセスをガイドライン内で必須化しましょう。基本的な確認として数値データや統計情報の正確性、論理性・整合性、適切性を全員が実施します。
確認プロセスをフローチャートで可視化し、チェックリストを提供すれば、確認漏れを防ぎ生成AIの安全な利用を実現できます。
現場が実践できる具体的な表現にする
生成AIガイドラインが形骸化する最大の原因は、内容が抽象的で現場で実践できないことです。法務担当者や経営層の視点だけでなく、実際に生成AIを使う現場の視点で具体的で分かりやすい表現にしましょう。
営業資料作成やメール・文書作成、プログラミングやデータ分析など、業務シーン別に用意すべきです。
技術進化や法改正に応じた更新体制を整える
生成AI技術と関連法規制は急速に変化しているので、継続的にガイドラインを更新できる体制を整えましょう。
月次で利用状況をモニタリングのうえ、四半期ごとに利用実態の詳細分析を行ってください。また、年次で大規模な見直しを実施し、重大インシデント発生時には臨時見直しを行いましょう。
生成AIガイドライン作成に役立つセミナー
生成AIガイドラインを策定する際は、担当者自身が生成AIの仕組みやリスクを正しく理解していることが前提です。表面的な知識だけでは、実務に即した生成AIガイドラインは作成できません。
生成AIセミナーでは、大規模言語モデルの仕組みからChatGPTやCopilotの実践的な活用方法まで体系的に学べます。プロンプトエンジニアリングの技術や、生成AIで実現できる範囲と限界の見極め方も習得できるため、生成AIガイドライン作成時に重要な判断材料が得られるでしょう。
また、セミナーでは機械学習の基礎やAI活用のフローも扱います。知識があれば生成AIのリスクを正確に把握できるため、硬すぎず緩すぎないバランスの取れた生成AIガイドラインが策定できます。
未経験者でも理解できる内容になっており、策定プロジェクトのメンバー全員で受講すれば、チーム内で共通認識を持つことも可能です。自社に最適な生成AIガイドライン作成のためにも、ぜひご検討ください。
セミナー名 生成AIセミナー 運営元 GETT Proskill(ゲット プロスキル) 価格(税込) 27,500円〜 開催期間 2日間 受講形式 対面(東京・名古屋・大阪)・eラーニング
生成AIガイドラインについてまとめ
生成AIガイドラインは、組織が安全にAIを活用するための重要な指針です。情報漏洩や著作権侵害などのリスクを防ぎながらであれば、業務効率化のメリットを引き出せます。
本記事の内容を参考に自社の実情に合わせた生成AIガイドラインを作り、組織全体のAI活用を推進していきましょう。
