「ChatGPT に契約書を貼って要約させた社員がいるらしい」「Gemini で顧客リストの分析をしてみたが、これはマズかったのか」――生成AI を一度でも触った社員が増えるほど、現場ではこうした話が日常になります。
2026年5月22日に日本テレビが「機密情報入力も…意識調査『シャドーAIユーザー』増加の実態」を放送し、4人に1人が個人の生成AI アカウントに機密情報を入力している現実が報じられました。同月8日付の ITmedia 報道では、GRAS グループの調査として「機密情報を入力した人 23.1%、管理職の4割が業務でシャドーAI を使用」という数字が示されています。本記事は、経営層からの「中小企業向け初期対応」ではなく、現場の社員ユーザー目線で「何が問題か」「どう使えばいいか」「社員教育で何を伝えるか」「社員向け運用ルールをどう作るか」を実務的に整理します。読み終えた直後に、社内研修30分の台本と、ルール文書のひな形が手に入る構成です。
「シャドーAI」とは何か——現場で起きていることを言葉にする
シャドーAI とは、会社が公式に許可していない生成AI ツールを、従業員が業務で無断利用することを指します。多くの場合「個人のメールアドレス・電話番号で取得した個人アカウント」が使われます。ChatGPT・Claude・Gemini の無料版がほとんどで、社員自身は「便利だから使う」という素朴な動機で始めます。
なぜ社員はシャドーAI を使うのか
東洋経済の取材記事では、現場の声として「議事録要約くらいなら問題ないと思っていた」「会社の AI 環境がないので、自腹でも使うしかなかった」という声が紹介されています。社員側に「悪意」はほとんどなく、業務効率を上げたい・残業を減らしたいという正当な動機です。
4人に1人が機密情報を入れている、の中身
日テレ報道では、シャドーAI 利用者のうち4人に1人(25%)が機密情報を入力していると報じられました。GRAS 調査でも 23.1% という近い数字です。「機密情報」の中身は、顧客リスト・売上実績・契約書・社内会議の議事録・人事情報など、社外に出れば事業継続に影響する範囲です。総務省は無料版 ChatGPT のようなサービスについて「セキュリティ要件を満たすことが困難であり、原則として機密情報を取り扱うことはできない」と明確に表明しています。
「ルールがあれば守る」と思っている経営層との温度差
ITmedia 報道では「管理職の4割がシャドーAI を使用」とあります。つまり、ルールを作る側自身がシャドーAI ユーザーである確率も4割あるという構造です。「社員にだけ厳しいルールを守らせる」では現場が動きません。管理職を含めた全員が同じ基準で動く設計が、成功の前提になります。
現場社員が陥る「3つの典型パターン」
シャドーAI で機密情報が漏れる現場のシナリオを、頻度の高い順に3つ整理します。社員研修ではこの3パターンを具体例として使うと、理解が一気に進みます。
パターン1: 議事録を貼って要約させる
最も多いパターンです。社内会議の議事録テキストを ChatGPT の無料版に貼り付け、「要約して」「アクションアイテムを抽出して」と指示します。議事録には顧客名・取引価格・人事情報・経営戦略が含まれることが多く、無料版の利用規約では入力データが学習に使われる可能性があります。「個人情報を含む議事録は絶対に貼らない」を、まず最初のルールに据えます。
パターン2: 契約書・見積書を貼って整理させる
営業担当・法務担当がよくやる行動です。「この契約書のリスク点を箇条書きにして」「先方の見積書と自社の見積書を比較表にして」――いずれも顧客名・金額・条件が含まれており、漏れた場合の影響は重大です。法務的にも秘密保持義務違反になる可能性があります。
パターン3: 顧客リストを貼って分析させる
マーケティング担当に多いパターンです。「この顧客リストを業種別に分類して」「年商規模で並び替えて」と、Excel の顧客リストを丸ごとコピペします。個人情報保護法上の「個人データ」に該当することが多く、漏洩は法令違反のリスクと直結します。
3パターンに共通するのは、「会社のデータを社員が自分の判断で外部 AI に渡している」構造です。社員に悪意はなくても、データが外に出た瞬間、契約条件・利用規約・国の規制で「会社の責任」になります。「便利な使い方」と「危険な使い方」の境目を、社員自身が見分けられるように設計するのが、現場目線の出発点です。
PR
AIガバナンス入門 リスクマネジメントから社会設計まで(羽深宏樹 著、ハヤカワ新書)
AI ガバナンスの基本概念と、社内ルール作り・リスクマネジメントの考え方を1冊で押さえる新書。社員研修の教科書として配布しやすい価格帯で、本記事の運用ルール作りの足場固めに使えます。
社員向け「OK / NG」現場基準——A4一枚で全員に配る
禁止一辺倒のルールは現場が動きません。代わりに「OK / 注意 / NG」の3段階で具体例を示すと、社員が自分で判断できるようになります。下表をベースに、自社の業務に合わせて調整します。
| シーン | OK | 注意(要承認) | NG(絶対禁止) |
|---|---|---|---|
| 議事録要約 | 固有名詞を抜いた版を要約 | 顧客名のみ匿名化して要約 | 顧客名・金額付きの議事録を丸ごと貼る |
| メール文作成 | 「丁寧なお詫びメール文を作って」と一般指示 | 業務文脈を抽象化して入力 | 顧客のメールアドレス・電話番号を含む文面を貼る |
| 契約書整理 | 条文の一般的解説を聞く | ― | 自社が締結中の契約書を貼る |
| 翻訳 | 社外公開済み資料の翻訳 | 取引先名を仮名にして翻訳 | 未公開資料の翻訳 |
| コード生成 | 汎用的なロジックの相談 | 変数名・テーブル名を仮名にして相談 | 本番DBのスキーマや顧客IDを含むコード |
| 顧客リスト分析 | 架空データで分析手法を聞く | ― | 実顧客リストを丸ごとコピペ |
| 人事情報 | ― | ― | 個人名・年収・評価情報の入力 |
大事なのは、NG だけでなく OK の例を必ず示すことです。「これはやっていいんだ」が分かると、社員は自分で安全な使い方を考え始めます。「全部禁止」よりも、現場の AI 活用は10倍速くなります。
30分でできる社員研修プログラム——明日からそのまま使える台本
社員研修を「専門の外部講師に丸投げ」では効果が薄く、現場の課題も拾えません。社内で30分の研修を回す台本を、5パートに分けて用意します。
パート1(5分): シャドーAI とは何かを言語化
「シャドーAI とは、会社が許可していない AI ツールを業務で使うこと」と定義を明示します。日テレ報道の「4人に1人が機密情報入力」と GRAS 調査の数字を共有し、「これは他社の話ではなく、うちの社内でも起きている可能性が高い」と冒頭で結びつけます。
パート2(10分): 3つの典型パターンを実例で見せる
本記事の「議事録要約」「契約書整理」「顧客リスト分析」の3パターンを、自社業務に置き換えてシナリオで紹介します。「実際にこの会社で起きたら、どのような影響があるか」を社員と一緒に考えます。具体例は、社員自身の業務に近いほど効果が出ます。
パート3(10分): OK / 注意 / NG の現場基準を共有
本記事の表をスライド化し、社員の業務シーン別に「これは OK」「これは要承認」「これは絶対 NG」を読み合わせます。質疑応答の時間を3分は確保し、「議事録要約は本当に NG ですか?」のような実務質問に、その場で答えます。
パート4(3分): 公式に使える AI 環境を案内
シャドーAI を減らす最大の方法は「公式に使える環境を社員に示す」ことです。ChatGPT Enterprise・Claude for Business・Microsoft Copilot for Business など、自社で契約している AI 環境があれば、その使い方とアクセス方法を明示します。「個人アカウントは禁止、公式アカウントはこちらから」が一番効きます。
パート5(2分): 困ったときの相談窓口を明示
「この使い方は OK か、判断に迷ったら誰に聞けばいいか」を1人決めます。情シス担当・法務担当・経営企画担当など、社員数が少ない場合は社長直通でも構いません。「迷ったら聞く」のルートを明示するだけで、独断でリスキーな使い方をする社員が大幅に減ります。
PR
生成AI法務・ガバナンス 未来を形作る規範(中崎尚 著、商事法務)
生成AI 法務とガバナンスの体系書。著作権・個人情報・会社経営・AI 倫理までを章別に整理しており、Chapter 12 ではユーザ事業者目線の社内ルール準備が具体的に解説されています。社員研修プログラムの設計時にそばに置きたい1冊。
運用ルール文書のひな形——A4 1枚に収める
社内文書を A4 1枚で作ります。長くすると誰も読まないので、本当に必要なことだけを残します。下記をベースにコピペし、社名と相談窓口を埋めれば完成します。
1. 目的
「本ルールは、生成AI(ChatGPT・Claude・Gemini 等)を業務で利用する際の社員の判断基準を明確化し、情報漏洩・コンプライアンス違反・お客様の信頼喪失を防止することを目的とする」
2. 利用できる AI
「当社が公式に契約している AI 環境(例: ChatGPT Enterprise / Microsoft Copilot for Business)のみ業務利用を認める。個人アカウントによる業務利用は認めない」
3. 入力してよい情報・してはいけない情報
本記事の OK/NG 表を要約して箇条書き:
・OK: 公開情報・架空データ・固有名詞を抜いた一般化情報
・注意(要承認): 取引先名を仮名化した情報・社内向け文書
・NG: 顧客名・金額・契約書・人事情報・未公開の経営情報
4. 違反時の取り扱い
「故意の違反は就業規則の対象となる。意図せず違反した場合は、相談窓口に速やかに報告し、影響範囲の確認を行う」
5. 相談窓口
「迷ったら判断する前に窓口へ。担当: [氏名・連絡先]」
窓口は1人を「主担当」、もう1人を「副担当」と決めておきます。主担当が休暇・出張中でも質問の流れが止まらない設計です。月1回、窓口担当が「先月の質問件数と主要トピック」を経営層に共有すれば、現場の動きが経営にも見えるようになります。
この5項目をA4 1枚に収め、全社員に配布します。新入社員のオンボーディング資料にも組み込み、入社初日に説明する内容に含めるのが理想です。
導入後30日のチェックリスト——「ルールを作って終わり」にしない
ルール文書と研修だけで終わると、3か月後にはまた誰かが個人アカウントで業務利用を始めます。30日後に下記をチェックします。
・1. 利用棚卸し: 「誰がどの AI をどの業務で使っているか」のリストが最新版になっているか
・2. 公式環境のアクセス: 公式 AI 環境に全社員がアクセスできる状態になっているか
・3. 質問件数: 相談窓口に「使っていいですか」の質問が月1件以上来ているか(ゼロは形骸化の兆候)
・4. ルール文書の周知: 全社員が A4 1枚を読んだか(既読確認の仕組みが必要)
・5. 経営層の利用: 管理職・経営層も公式 AI 環境のみを使っているか(ITmedia 報道では管理職の4割がシャドーAI ユーザー)
5項目とも YES でなければ、追加施策(再研修・公式環境の拡充・窓口の見直し)が必要です。
規模別の運用パターン——10人~300人の組織でどう設計するか
会社規模で取り得る打ち手は変わります。3段階に整理し、自社が該当する規模で取り組むべき優先順位を示します。
| 規模 | 典型的な状況 | 最初の3か月で着手すべき施策 | 運用責任者 |
|---|---|---|---|
| 10~30人 | 誰が何を使っているかが顔で分かる | A4 1枚ルール + 30分研修 + 社長窓口 | 社長または管理部門長 |
| 30~100人 | 部署別に温度差が生まれる | 規模10~30人の施策+ 公式環境契約 + 部署別の OK/NG カスタマイズ | 情シス担当または管理部門長 |
| 100~300人 | シャドーAI 発生率が高い帯域 | 上記に加え、ログ取得・四半期研修・違反対応プロセスの正式化 | 情シス・法務の連携体制 |
注意点は、規模が大きいほど「ルールを作る人」と「現場で使う人」の距離が遠くなることです。30人を超えるあたりから、ルール作成段階で現場社員2~3人にヒアリングを入れる手間が、定着率を大きく左右します。
業界別の追加注意点——顧客が変われば NG ラインが変わる
業界ごとに「これは絶対 NG」のラインがズレます。代表的な業界の追加注意点を整理します。
・金融・保険: 取引履歴・残高・与信情報・約款解釈は全て NG。2026-05-22 の金融庁・日銀の「フロンティアAI 短期対応要請」も並走
・医療・介護: 患者氏名・診療内容・処方情報は NG。要配慮個人情報の扱いに該当
・士業(弁護士・税理士・社労士): 顧客企業の機密・契約案・係争情報は NG。守秘義務違反のリスク
・製造業: 設計図・原価・サプライヤー情報は NG。営業秘密に該当することが多い
・BtoC EC・小売: 顧客の購買履歴・属性データは NG。個人情報保護法の個人データに該当
自業界の「絶対NG」を本記事のA4ルールに1~2行追加するだけで、業界特化版のルール文書になります。
FAQ——よくある質問
Q1. 完全に禁止すれば安全ですか?
「完全禁止」は実務的に機能しません。社員は便利さを知ってしまった以上、隠れて使う方向に動きます。むしろ「公式環境を整える+OK/NG を明確化+相談窓口を作る」の3点セットが、結果的に最も漏洩リスクを下げる構成です。
Q2. 公式環境を契約する予算がない場合はどうしますか?
無料版でも、データを学習に使わない設定(Opt-out)が可能なものがあります。例えば ChatGPT は設定で履歴と学習を無効化できます。ただし契約条件で正式にデータ保護が約束されているわけではないため、機密情報の入力は依然 NG です。「無料版+設定強化+OK/NG ルール」の組み合わせで運用するのが現実的です。
Q3. 議事録要約は本当にダメですか?
議事録の「中身」次第です。固有名詞・金額・人事情報を抜いた版なら多くの場合 OK です。NG なのは「未匿名化のまま貼る」行為です。社員研修では「貼る前に名前と数字を伏字にする」一手間を癖づけるよう促します。
Q4. 個人スマホでこっそり使う社員をどう防ぎますか?
技術的に完全防止は困難です。代わりに「ルール違反は就業規則の対象」と明文化し、研修で繰り返し伝えるしかありません。同時に「公式環境がここまで便利になった」を示し、わざわざ個人スマホを使う必要性をなくしていく方向が王道です。
Q5. 違反者が出たらどうすればいいですか?
1回目は事実関係の確認と再教育、2回目は始末書、3回目以降は就業規則に従う、というルートを事前に決めておきます。重要なのは「初動の速さ」で、違反が見つかった瞬間に当該AI の利用履歴を確認し、漏洩した情報の範囲と影響を24時間以内に特定します。
Q6. 取引先から「あなたの会社は AI ガバナンスをどうしているか」と聞かれた場合は?
本記事で作った A4 1枚のルール文書と、研修記録(実施日・参加者・内容)の2点を出せれば、ほとんどの取引先からの質問には対応できます。金融機関や上場企業の取引先は、より詳細な質問をしてくる場合がありますが、その時は本格的な AI ガバナンスフレームワーク(NIST AI RMF など)の参照に踏み込みます。
Q7. 社員に「これは AI を使った仕事だ」と申告させるべきですか?
業務全件の申告は現実的ではありません。代わりに「重要文書を AI で作成した場合は、上司レビューを必ず通す」というルートを設けるのが現実解です。AI で作ったプレゼン資料・契約案・お客様向けメールは、人間が必ず1回見ます。
まとめ——「禁止」ではなく「賢く使わせる」が現場目線の解
シャドーAI への対応は、「経営層が止める」発想だけでは半分しか進みません。現場の社員が「便利だから使う」というポジティブな動機を持っている以上、その動機を「公式環境で安全に使う」方向に向け直すのが、現場目線の正解です。
具体的には、本記事で示した3つの組み合わせ――OK/NG の現場基準、30分の社員研修、A4 1枚のルール文書――を、来週中に着手します。1か月後に質問件数・利用棚卸し・公式環境のアクセス状況をチェックし、形骸化していなければ、それだけで他社の半歩前を行けます。
4人に1人が機密情報を入れている数字は、放置すれば年内に5人に1人にしかなりません。逆に、ルールと環境を整えれば10人に1人未満まで下げられます。「禁止」ではなく「賢く使わせる」設計が、現場の納得感と安全性を両立させます。
もう1点強調しておきたいのは、社員教育は「やったことを記録する」までがセットだという点です。実施日・参加者・配布資料・質疑応答の主要トピックを記録に残しておけば、後から取引先に問われた場合でも「いつ・誰に・何を伝えたか」を即答できます。記録の様式は社員数が30人以下なら Google ドキュメント1枚で十分で、それ以上の規模なら社内 LMS や Slack の専用チャンネルでの公開記録が向きます。記録を残す習慣は、形骸化の予防にも効きます。
AIマスターズでは、生成AI を社員に「賢く使わせる」運用ノウハウをメルマガで配信中です。OK/NG 基準のテンプレート、社員研修の事例、ルール文書のひな形を、月数回のペースで配布します。下記から無料登録できます。
