AI利用ポリシーの作り方 — 社員に何を許可し、何を禁止するか

社員はすでにAIを使っています。 問題は、あなたがそれを知らないことです。

ポリシーのないAIは両極端に向かう

2つの状況を見かけます。

一方では、社員が顧客データをChatGPTに入力してレポートを作成しています。誰も指示していませんが、便利だから使っています。会社は知りません。

もう一方では、「AI使うな」という雰囲気のせいで誰も手を付けません。競合他社はAIで顧客対応時間を半分に減らしたのに、自社チームは従来のやり方のままです。

どちらもポリシーがないことが原因です。

ポリシーとは「禁止リスト」ではありません。「ここまでは自由に、ここからは確認を取れ」という境界線です。境界があるからこそ、中で自由に動けるのです。

3段階に分ければいい

複雑にする必要はありません。AI活用を3つの区間に分けましょう。

自由区間：承認不要。一般的な業務補助、公開情報ベースの作業、社内アイデア整理。

確認区間：チームリーダーまたは担当者の承認後に使用。顧客データを含む作業、外部発信コンテンツの生成、意思決定支援。

禁止区間：使用不可。個人情報（マイナンバー、医療記録）、契約書原文、未公開財務情報、営業秘密。

この3区間の境界は会社ごとに異なります。重要なのは境界が存在し、全員が知っていることです。

データ等級が核心

結局「何をAIに入れていいのか」の問題です。

公開データ：すでにウェブ上にある情報、一般的な業界知識。どのAIでも自由に使用可能。

社内データ：社内文書、会議録、プロセス説明。企業向けAI（データが学習に使われない有料プラン）で使用可能。

機密データ：顧客個人情報、契約条件、財務数値。承認後、またはオンプレミス/プライベートAIでのみ。

極秘データ：未公開M&A、コア技術、法的紛争資料。AI使用禁止。

セキュリティとプライバシー編で扱った原則を、ここで具体的に適用するものです。

ポリシー文書は1枚でいい

A4一枚、または社内Wikiの1ページ。長くなれば誰も読みません。

含めるべき内容：

目的：「AIを安全かつ積極的に活用するための基準です。」禁止が目的ではないことを明記。

許可ツールリスト：会社が公式に認めるAIツール。例：「ChatGPT Team、Claude Pro、Copilotは使用可。無料版はデータ学習リスクがあるため業務使用禁止。」

3段階区間表：自由/確認/禁止の区間と例示。

違反時の手順：罰則より「報告→影響評価→改善」の学習型手順。

更新サイクル：四半期に1回の見直し。AI環境は急速に変化するため、ポリシーも生きていなければなりません。

よくある3つの間違い

間違い1：厳しくしすぎる。「すべてのAI使用に事前承認が必要。」これでは誰も使いません。自由区間を広く開放し、問題が起きたら狭めるほうがいいです。

**間違い2：ポリシーを作っただけで教育しない。**文書配布だけでは不十分です。教育とオンボーディング編で述べたように、30分の説明セッションが必要です。

**間違い3：例外を認めない。**現実の業務は区間の間にまたがることが多いです。「迷ったら聞いてください」という窓口が必要です。質問そのものがデータです — 同じ質問が繰り返されたら、ポリシーを具体化すればいいのです。

ポリシーの本当の効果

良いAIポリシーは使用を制限するのではなく、使用を促進します。

「ここまでは大丈夫」が明確であれば、人々はその中で積極的に実験します。漠然とした不安（「これ使っていいのかな？」）が消えるからです。

AIが組織文化として定着するには、実験が安全でなければなりません。ポリシーはその安全の柵です。

柵があるから子どもたちが自由に走り回れるように、ポリシーがあるから社員はAIを自由に使えるのです。