生成AI利用規程の作り方｜就業規則に追加できるテンプレートと法的注意点

「会社でChatGPTを使っていいのか、ルールを決めないと何かマズい気がする……」

こう感じている総務・法務・情報システムの担当者は少なくないはずです。

2026年現在、多くの企業で生成AIの業務利用が日常になってきました。ところが従業員の使い方は「なんとなく」に委ねられているケースがまだまだ目立ちます。口頭での注意やガイドラインはあっても、就業規則や社内規程として明文化されていない企業がほとんどです。

この記事では、中小企業の法務・総務・情報システム担当者に向けて、生成AI利用規程の作り方を解説します。条文形式のテンプレート、業種別の追加条項例、法的注意点まで一気に押さえられる構成にしました。

生成AI利用規程とは？　なぜ今整備が急がれるのか
利用規程に盛り込むべき7つの項目
すぐ使える利用規程テンプレート（条文形式）
業種別の追加条項例
法的注意点：3つの法律で押さえておくべきこと
Before/After：規程がある会社とない会社の差
利用規程の運用定着化のポイント
よくある質問（FAQ）
本記事のまとめ
1. 社内のAI活用、ルールを整備して安心して使いたいですか？
関連記事

生成AI利用規程とは？　なぜ今整備が急がれるのか

生成AI利用規程とは、ChatGPT・Claude・Geminiなどの生成AIツールを業務で使う際のルールを定めた社内文書です。就業規則の付属規程として位置づけることも、情報セキュリティポリシーの一部として組み込むこともできます。

なぜ今、規程の整備が急ぎの課題になっているのか。主に3つの理由があります。

・情報漏洩リスク: 従業員がクライアントの個人情報や機密データをプロンプトに入力してしまうリスクがあります。ChatGPTの個人向け無料プランはデフォルトで会話履歴が学習に使われるため、入力内容が外部に露出する可能性があります。
・著作権・知財問題: AIが生成したコードや文章の著作権の帰属は、2026年現在も法律上グレーな部分が残っています。社内での取り扱い方針を先に決めておかないと、後のトラブルの原因になります。
・従業員間のスキル格差と不公平感: ルールがないまま放置すると、AIを積極的に使う従業員とそうでない従業員の間で成果に差が生まれ、評価の公平性にも影響します。

内閣府・経済産業省・個人情報保護委員会なども生成AIの業務利用に関するガイドラインを公開していますが、それはあくまで国の指針です。自社の業種・規模・扱う情報の機密性に応じた「自社版ルール」を作ることが、現場の法的リスクを下げる最短ルートです。

利用規程に盛り込むべき7つの項目

生成AI利用規程に含めるべき要素は、大きく7つに分かれます。順番に確認していきましょう。

1. 利用目的と対象ツール

まず「何のために、どのツールを対象とするか」を明確にします。

・利用目的の例: 文書作成の効率化、情報収集・調査の補助、コード生成の支援など
・対象ツールの明示: 「ChatGPT（OpenAI社）」「Claude（Anthropic社）」「Microsoft Copilot」など具体的なツール名を列挙する
・汎用条項の設置: ツールの追加・変更に備えて「会社が別途定めるツール」という包括条項を入れておく

ツールを列挙する際は「承認AIツールリスト」を別紙で管理すると、新しいAIが登場したときに規程本体を改定せずに済みます。リストは四半期ごとに見直すサイクルにするのが現実的です。

2. 禁止事項の明確化

規程の中で最も重要なのが禁止事項です。曖昧にすると「知らなかった」という言い訳が通用してしまいます。

・個人情報の入力禁止: 顧客の氏名・住所・電話番号・メールアドレスなど、個人を特定できる情報の入力を禁じる
・機密情報の入力禁止: 未発表の製品情報、取引先との契約内容、財務データなど
・未承認ツールの業務使用禁止: 会社が承認していないAIツールを業務に使うことを禁じる
・AIの出力をそのまま使用する行為の制限: 法的文書、医療情報、財務アドバイス等はAI出力のみに頼らない

禁止事項は「◯◯を入力してはならない」という形で、できる限り具体的に書くのがポイントです。「機密情報」だけでは解釈が人によって変わります。具体例を括弧書きで添えると理解しやすくなります。

3. 機密情報・個人情報の取り扱い

個人情報保護法（2022年改正施行）の観点から、「第三者提供」に該当しないかどうかを確認しておく必要があります。SaaS型の生成AIにデータを送信する行為が、法的にどう位置づけられるかを社内で明確にしておきます。

ビジネス向けプランの多くは「データを学習に使わない」と明言していますが、無料プランや個人向けプランは取り扱いが異なります。会社のポリシーとして「ビジネス・エンタープライズプランのみ使用可」と定めることも有効な対策です。

また、クラウド型AIサービスにデータを送信する行為が「委託」にあたる場合は、委託先管理の義務が生じます。利用するサービスの利用規約・データ処理契約（DPA）を事前に確認してください。

4. AIが生成したコンテンツの著作権・知的財産の帰属

AIが生成した文章・画像・コードの著作権については、日本の著作権法上、まだ解釈が定まっていない部分があります（執筆時点：2026年4月）。現時点では「AI生成物には著作権が生じない」とされるケースが多いですが、人間がプロンプトを工夫することで著作権が認められる可能性も議論されています。

現時点でできる最善策は、「AI生成コンテンツは会社の業務成果物として管理し、著作権その他の知的財産権は会社に帰属する」という方針を規程に盛り込むことです。これにより、従業員が個人的にAI生成物を外部に公開・転用するリスクを防げます。

5. AI出力結果の取り扱いと最終責任の所在

「AIが言ったから正しい」という誤解を防ぐ条項です。最終的な判断・確認責任は人間（従業員）にあると明示します。

特に次の業務では必須の条項です。

・顧客への提案・報告書: AI出力をそのまま送付する行為は禁止し、必ず担当者が内容を確認・修正した上で使用する
・法的文書・契約書: AIが生成した文書は参考情報として活用し、法務部門または弁護士が内容を確認する
・医療・安全・金融に関する情報: 最終的な判断は専門資格者が行う

生成AIのハルシネーション（誤情報の生成）は、2026年現在も完全には解消されていません。「AIが確認した」という理由でそのまま納品・送付するリスクは常にあります。

6. セキュリティ対策の義務

従業員に課すセキュリティ上の義務を明記します。

・アカウント管理: AIツールの業務アカウントを個人アカウントと分け、会社のメールアドレスで登録する
・パスワード管理: パスワードの使い回し禁止。パスワードマネージャーの利用を推奨する
・APIキーの管理: 社内システムとAPIを連携する場合、キーをソースコードに直接記述することを禁止し、環境変数や専用の秘密管理ツールで管理する
・端末・ネットワーク制限: 会社の承認を得た端末・ネットワーク環境でのみ使用する（個人PCや公共WiFiからの業務利用の可否を定める）

7. 違反時の対処と報告義務

万が一、禁止行為が発生した場合の対処フローを定めます。

・報告義務: 誤入力・情報漏洩の可能性が生じたら、直ちに上長および情報システム部門に報告する
・懲戒処分の可能性: 故意の違反は就業規則の懲戒規定を適用することを明示する
・インシデント対応手順: 個人情報保護法の規定に従い、漏洩の可能性がある場合は速やかに調査・監督官庁への報告を行う

「罰則が怖くて報告できなかった」という状況が最も危険です。違反を報告したこと自体を責めない文化を意図的に作ることが、早期発見・早期対処につながります。

すぐ使える利用規程テンプレート（条文形式）

以下は、中小企業がそのまま使えるシンプルな構成のテンプレートです。自社の状況に合わせて加筆修正してください。

生成AI利用規程第1条（目的）本規程は、従業員が業務において生成AIツールを利用する際のルールを定め、情報セキュリティの確保および適正な業務遂行を目的とする。第2条（適用範囲）本規程は、会社のすべての従業員（正社員、契約社員、派遣社員、業務委託先を含む）に適用する。第3条（利用可能なツール）業務に利用できる生成AIツールは、会社が別途定める「承認AIツールリスト」に記載されたものに限る。リストに記載のないツールの業務使用は禁止する。第4条（禁止事項）従業員は、生成AIの利用にあたり以下の行為を禁止する。一顧客・取引先の個人情報（氏名・住所・電話番号・メールアドレス等）をAIに入力すること二社内機密情報・未公開情報（未発表製品情報・財務データ・契約内容等）をAIに入力すること三会社が承認していないAIツールを業務に使用すること四 AIが生成した文章・コードを内容を確認せずにそのまま業務に使用すること五個人のAIアカウントを業務目的で使用すること第5条（出力結果の取り扱い） 1. AIが生成したコンテンツの著作権その他の知的財産権は、会社に帰属するものとする。 2. AIの出力結果は必ず担当者が内容を確認・検証した上で業務に使用すること。 3. 法的文書・医療情報・財務アドバイス等については、専門家または担当部門が最終確認を行うものとする。第6条（アカウント・セキュリティ管理） 1. 業務で使用するAIツールのアカウントは、会社が指定するメールアドレスで登録し、個人アカウントと分けて管理すること。 2. APIキー等の認証情報は、ソースコード等に直接記述せず、適切な方法で管理すること。第7条（報告義務）禁止事項に違反した場合、または違反の可能性が生じた場合は、直ちに上長および情報システム担当に報告しなければならない。第8条（違反時の処分）本規程に違反した従業員は、就業規則の懲戒規定に基づき処分の対象となる場合がある。ただし、自主的かつ速やかな報告を行った場合は、情状を考慮するものとする。第9条（規程の見直し）本規程は、生成AI技術の進展および法令の改正に合わせて、年1回以上見直しを行うものとする。附則本規程は　　年　　月　　日から施行する。

このテンプレートはあくまで出発点です。弁護士や社会保険労務士に確認した上で正式運用することを推奨します。特に常時10人以上の労働者を雇用する事業所は、就業規則の付属規程として位置づける場合、労働基準監督署への届出が必要になる場合があります。

業種別の追加条項例

業種によって追加すべき条項は異なります。以下の表を参考に、自社に該当するものを加えてください。

業種	追加すべき条項の例	根拠となる規制
医療・介護	患者情報・診療記録の入力は絶対禁止。医療判断の根拠にAI出力を単独使用しない	医療法・個人情報保護法・電子カルテガイドライン
士業（弁護士・税理士・社労士等）	依頼人の情報入力禁止。AI生成の法的見解・税務判断はそのまま提供しない	各士業法・守秘義務規定
製造業	設計仕様・製造ノウハウ・特許出願前情報の入力禁止。競合他社への流出リスクを明記	不正競争防止法（営業秘密保護）
教育機関	児童・生徒・保護者の個人情報の入力禁止。AI利用状況の記録義務。教育目的と業務目的を分けて管理	個人情報保護法・文部科学省ガイドライン
金融・保険	顧客の資産情報・取引情報の入力禁止。AI生成の金融アドバイスを独立して顧客提供しない	金融商品取引法・個人情報保護法
建設・不動産	物件情報・入居者情報の入力禁止。AI作成の重要事項説明書は必ず宅建士が確認する	宅地建物取引業法・個人情報保護法

法的注意点：3つの法律で押さえておくべきこと

生成AI利用規程を作る際には、以下の法律上の留意点を把握しておく必要があります。

1. 個人情報保護法

生成AIに個人情報を入力する行為が「第三者提供」または「委託」に該当するかどうかは、サービスの利用規約の内容によります。多くのビジネス向けサービスは「データを学習に使わない」旨の契約を結べますが、それは利用規約を精査して確認してからです。

また、自社の利用規約・プライバシーポリシーに「AIサービスへのデータ入力の可能性」を記載していない場合、顧客や取引先から問い合わせが来たときに説明できない状態になります。プライバシーポリシーの更新も合わせて検討してください。

2024年以降、複数の企業で「AIにデータを入力したことが発覚し、個人情報保護委員会への報告義務が生じた」というケースが国内でも報告されています。対岸の火事ではありません。

2. 著作権法

日本の著作権法では、AIが単独で生成した成果物は「著作権の対象外」とされるケースが多いです（AIに創作意思がないため）。一方、元になった学習データに既存の著作物が含まれている場合の二次利用リスクは別途存在します。

業務でAI生成画像を使う場合、その画像が既存の著作物に類似していないかを確認する手順を規程または運用フローに盛り込むことを推奨します。

3. 不正競争防止法（営業秘密）

自社の設計情報・製造ノウハウ・顧客リストなどは「営業秘密」として法的保護の対象になります。これらを生成AIのプロンプトに入力する行為は、管理方法によっては「秘密管理性」を失わせるリスクがあります。

「AIに入力した情報は外部サーバーに送信される」という事実を従業員全員に周知し、入力前に確認する習慣をつけさせることが重要です。「うっかり入力」が不正競争防止法上の保護を失わせる引き金になることがあります。

Before/After：規程がある会社とない会社の差

規程を整備することで、現場の判断がどう変わるかを具体的に示します。

状況	規程なし（Before）	規程あり（After）
新入社員がChatGPTを使い始める	個人判断で何でも入力してしまう可能性がある	オンボーディング時に規程を説明し、禁止事項を把握した状態でスタートできる
顧客データを含む資料を要約したい	「バレなければいい」という判断が生まれやすい	「個人情報の入力禁止」が明確なため、匿名化・削除してから入力する判断ができる
AI生成の提案書をそのまま顧客に送る	「AIが作ったから正しいはず」という誤解が起きやすい	「出力結果は必ず確認してから使用」というルールがあるため、担当者がチェックする習慣が定着する
情報漏洩が発覚した場合	対応手順が不明で混乱する。誰が報告するのかわからない	報告義務と対応フローが明確なため、速やかに動ける

利用規程の運用定着化のポイント

規程を作っただけでは意味がありません。実際に従業員に浸透させるための3つのポイントを紹介します。

【ポイント1】定期的な研修と確認テストを実施する

年1回以上、利用規程の内容に関する研修を実施し、簡単な確認テスト（オンライン可）を受講させます。特に新入社員・中途採用者はオンボーディング時に必ず実施します。Googleフォームで5問程度のチェックリストを作るだけでも十分です。

研修の内容は「禁止事項の暗記」ではなく「なぜそのルールがあるのか」の理解を優先してください。背景を理解した従業員は、想定外の状況でも正しく判断できます。

【ポイント2】承認AIツールリストを常に最新の状態に保つ

生成AIの世界は変化が速く、半年前に存在しなかったツールが職場に普及することも珍しくありません。承認リストは四半期ごとに見直し、従業員からの申請窓口（フォームでもメールでも可）を設けると現場との温度差が縮まります。

リストに載っていないツールを使いたい場合の申請フロー（申請→セキュリティ確認→承認→追加）を事前に決めておくと、現場のフラストレーションを防げます。

【ポイント3】違反を「罰する文化」ではなく「相談する文化」にする

規程の目的は罰則ではなく、安全な利用を促すことです。「入力してしまったかもしれない」と感じたら即報告できる空気を作ることが、インシデントの早期対処につながります。

「報告したら懲戒になるかも」という恐怖心が報告を遅らせ、被害を拡大させます。自主的な報告に対しては情状を考慮する旨を規程に明記することが、心理的安全性の確保につながります。

よくある質問（FAQ）

Q. ChatGPT EnterpriseやBusiness版を使えば個人情報を入力してもよいですか？
A. ChatGPT EnterpriseはOpenAIがデータ学習に使わないことを契約で保証していますが、「入力してよい」と「リスクがない」は別の話です。個人情報保護法上の「第三者提供」や「委託先管理」の問題は残るため、自社のプライバシーポリシーへの記載と委託先管理体制の整備が必要です。

Q. 中小企業が規程を作る場合、弁護士への依頼は必須ですか？
A. 本記事のテンプレートのような簡易規程であれば、弁護士なしで作成して運用を始めることは可能です。ただし、医療・金融・士業などの規制業種や、機密情報を大量に扱う企業は専門家のチェックを受けることを強く推奨します。費用は弁護士費用の目安として5〜15万円程度が一般的です。

Q. フリーランスや業務委託先にも規程を適用できますか？
A. 就業規則は直接雇用の労働者に適用されるため、業務委託先への適用には契約上の措置が必要です。業務委託契約書に「委託業務における生成AIの使用は甲（自社）が定める情報管理基準に従う」等の条項を追加することで対応できます。

Q. 規程を就業規則に組み込む場合、労働基準監督署への届出は必要ですか？
A. 常時10人以上の労働者を雇用する事業所では、就業規則の変更届を労働基準監督署に提出する必要があります。情報セキュリティポリシーの一部として運用する場合は届出不要なケースもあります。社会保険労務士に確認することを推奨します。

Q. 規程なしでも今のところ問題が起きていないのですが、作る必要はありますか？
A. 「問題が起きていない」のと「問題が起きても対応できる」は全く別の状態です。情報漏洩が発覚した際に規程がなければ、対応手順が定まらないまま混乱します。また、取引先から「AI利用規程はありますか？」と確認を求められるケースも増えており、BtoBビジネスでは信頼性の指標にもなっています。

本記事のまとめ

生成AI利用規程を整備する上での要点を整理します。

項目	ポイント
盛り込む7項目	利用目的・禁止事項・情報管理・著作権・出力責任・セキュリティ・違反対処
テンプレート構成	9条＋附則の基本形が出発点。業種に応じて条項を追加する
関連法律	個人情報保護法・著作権法・不正競争防止法の3本柱を押さえる
運用定着	研修・リスト更新・相談文化の3点セットが継続のカギ
見直しサイクル	年1回以上の定期改定をスケジュールに組み込む