01
AI利用ルール
利用可能なAI、入力してよい情報、禁止事項、出力確認、社外利用時の注意点を整理します。
AI Governance
AIを安全に経営へ組み込むための、ルールと統制を整える。
ChatGPT・Claude・Gemini・Copilotなど、生成AIの利用が広がるほど、情報漏洩、シャドーAI、権限管理、ログ、監査、責任分界の課題が重要になります。KYMは、中小企業・専門事務所が実務で運用できるAIガバナンスの整備を支援します。
AI活用の前提は、目標を設定し「何を入力してよいか」「誰が確認するか」を決めることです。
AIの利用は、業務効率化だけでなく、情報管理、権限管理、意思決定、顧客対応、契約、知的財産にも関わります。便利だから使う、という段階から、組織として安全に使う段階へ移行するには、現場で守れるルールと運用設計が必要です。
- 社員が個別に生成AIを利用している
- 機密情報・個人情報の入力判断が曖昧
- CopilotなどのAIで見えてはいけない情報が参照される可能性がある
- AI出力を誰が確認するか決まっていない
- AI利用記録やログを確認していない
- 社内ネットワーク上でどのAIサービスと通信しているか把握していない
- AI機能を搭載したIoT機器・スマートデバイスの管理ルールがない
Governance Areas
KYMが整備するAIガバナンス領域
大企業向けの複雑な制度ではなく、中小企業・専門事務所でも現実的に運用できる形へ落とし込みます。
02
情報分類
公開情報、社内情報、社外秘、個人情報、機密情報などを分け、AI利用可否を明確にします。
03
シャドーAI対策
会社が把握していないAI利用を可視化し、禁止ではなく安全な利用ルートへ誘導します。
04
クラウドAI・M365統制
SharePoint、Teams、OneDrive、ラベル、アクセス権限を確認し、CopilotをはじめとするクラウドAI活用前の情報整理を行います。
05
ログ・監査
AI利用状況、アクセス、権限変更、異常利用を確認できるよう、記録と点検の仕組みを整えます。
06
教育・定着
経営者、管理者、社員が同じ基準でAIを使えるよう、教育資料やチェックリストを整備します。
07
ネットワーク・IoT統制
AIツールへの通信経路の可視化、業務系ネットワークとゲスト・IoTの分離、AI機能を搭載したスマートデバイスの管理ルールを整備します。
08
インシデント対応・初動調査
AI関連の情報漏洩・不正利用が疑われる際の初動対応手順、ログ保全、原因の絞り込み(フォレンジック的初期調査)の体制を整備します。
Governance Layers
AIガバナンスは3つの層で成り立ちます
「ルールを作る」だけでは不十分です。ネットワーク・IoTという技術的な土台と、インシデントが起きたときの対応層まで合わせて整備することで、AIを安全に使える環境が整います。
なぜネットワーク・IoTがAIガバナンスに含まれるのか
生成AIは社内ネットワークを通じてクラウドと通信します。ネットワークの可視化・分離ができていなければ、どの端末が・どのAIサービスに・何を送信したか把握できません。また会議室のスマートスピーカー、工場センサー、スマートカメラなどAI機能を持つIoT機器も「AIガバナンスの管理対象」です。ルールと教育だけでは防げないリスクは、ネットワーク層で対処します。
ルール層(01〜03・06)
AI利用ルール・情報分類・シャドーAI対策・教育。人が判断・行動するための基準を定めます。
技術層(04・05・07)
クラウドAI統制・ログ・ネットワーク分離・IoT管理。ルールを物理的・技術的に支える基盤です。
対応層(08)
インシデント対応・初動調査。万一の際に事実を確認し、原因を特定して再発を防ぐ仕組みです。
3層が揃って初めて機能する
ルールだけ、ツールだけでは不完全です。KYMは3層を一体で設計・整備します。
Policy Design
AI利用ルールで最低限決めること
AIガバナンスは、抽象的な理念だけでは機能しません。日常業務で判断できる粒度まで落とし込むことが重要です。
禁止ではなく、安心して使える基準を作る。
AI利用を全面的に禁止すると、現場では隠れて使われる可能性があります。KYMでは、業務効率化とリスク管理を両立するために、「使ってよい範囲」「確認すべき範囲」「禁止すべき範囲」を整理します。
入力してよい情報・いけない情報
判断には「①情報の重要度」「②AIツールのデータ扱い」「③法令・契約上の制約」の3つが必要です。個人情報、顧客情報、契約情報、図面、未公開情報などを対象に整理します。
AI出力の説明責任
文章、契約、見積、技術判断、顧客回答など、人が確認すべき範囲を定めます。
利用可能なAIツール
会社として利用を認めるAI、業務利用不可のAI、個人利用との境界を整理します。
記録・相談・例外対応
困ったときの相談先、利用記録、例外申請、事故時の初動対応を決めます。
Information Input Rules
AIへの入力可否は、3つの前提が揃って初めて決まります
「この情報は重要か」だけでは判断できません。同じ情報でも、どのAIツールに入力するかによって可否が変わります。3つの柱をセットで整備することが必要です。
①
情報資産の重要度分類
何が機密か・誰が持つ情報か・公開可否を定義します。ここが整っていないと、社員は「入力してよいか」を自分では判断できません。重要度の分類は入力ルールの土台です。
②
AIツール側のデータ扱い
入力内容が学習されるか・保存されるか・管理者が閲覧できるかをツールごとに確認します。同じ「社内情報(一般)」でも、ツールによって入力の可否が変わります。
③
法令・契約上の制約
個人情報保護法・秘密保持契約・業種規制など、情報の重要度とは独立して入力を禁じる制約を確認します。重要度が低くても法令上アウトになるケースがあります。
同じ情報でも、ツールによって入力可否が変わる例
下表は「情報の種類 × AIツールの管理レベル」で入力可否がどう変わるかを示すサンプルです。
| 情報の種類 | 無料版AI (学習対象になりうる) |
有料版・組織管理AI (学習オフ・管理者あり) |
社内閉域AI (外部送信なし) |
|---|---|---|---|
| 公開情報・一般知識 | ○ 入力可 | ○ 入力可 | ○ 入力可 |
| 社内情報(一般業務) | × 入力不可 | △ 要確認 | ○ 入力可 |
| 個人情報(氏名・住所等) | × 法令上不可 | × 法令上不可 | △ 匿名化が必要 |
| 機密情報・未公開情報 | × 入力不可 | × 入力不可 | △ 要判断 |
| 顧客情報・取引先情報 | × 入力不可 | × 法令・契約上不可 | △ 目的・契約次第 |
※ 上表はあくまで判断の考え方を示すサンプルです。実際の可否は利用するAIツールの利用規約・データポリシー(2026年5月現在)および適用される法令・契約に基づいて判断してください。具体的な判断は法務部門または専門家にご相談ください。
整備の手順:3つの柱を順番に固める
STEP 1
情報資産の棚卸し・重要度分類 ①
社内にある情報を洗い出し、公開・社内・社外秘・個人情報・機密の5段階で重要度を定義します。「何が守るべき情報か」を全社で共通認識にします。
STEP 2
利用するAIツールのデータポリシー確認 ②
現在・今後使う予定のAIツールについて、学習・保存・管理者閲覧の有無を確認します。無料版と有料版・組織管理版で扱いが異なるため、ツールごとに整理します。
STEP 3
法令・契約上の制約の確認 ③
個人情報保護法・守秘義務契約・業種固有の規制(医療・金融・法律等)を確認します。重要度分類とは独立した制約として、入力禁止情報を特定します。
STEP 4
「情報 × ツール」の入力可否マトリクスを作成
①②③を組み合わせ、「この情報をこのツールに入力してよいか」を一覧化します。これが社員向けの判断基準の核となります。
STEP 5
チェックリストへの落とし込みと教育
マトリクスを「入力前に確認するチェックリスト」に変換し、社員が現場で即判断できる形にします。定期的な見直しサイクルも設定します。
Policy Structure
情報セキュリティポリシーに加え、AI固有の3つのポリシーが必要です
既存の情報セキュリティポリシーはAI登場以前に設計されており、生成AIが持つ固有のリスク(データ学習・出力の不確かさ・ベンダー依存等)をカバーしていません。3つのポリシーを下位規程として追加することで対応します。
既存ポリシーとの関係
情報セキュリティポリシー(基本方針)
├─ 情報資産管理規程
├─ アクセス制御規程
├─ インシデント対応規程
├─ 【新設】AI利用ポリシー
├─ 【新設】データ取扱いポリシー
└─ 【新設】AIベンダー管理ポリシー
既存ポリシーを上位方針として残し、AI関連の3つを下位規程・細則として追加します。一から全部作り直す必要はありません。
① AI利用ポリシー
「何に・どう使うか」のルール。承認済みツール一覧、禁止入力情報、出力の説明責任、違反時の報告手順を定めます。社員が日常判断できる粒度まで落とし込みます。
② データ取扱いポリシー
「AIに入力する情報の基準」。情報分類(C1〜C5)にAI入力可否・匿名化条件を追加したもの。既存の情報管理規程を拡張する形で整備します。
③ AIベンダー管理ポリシー
「外部AIサービスを承認する前の審査基準」。データ学習・保存場所・管理者閲覧・セキュリティ認証などを審査し、組織として使用を認めるプロセスを定めます。
3つが揃ってはじめて機能する
①だけでは「なぜ禁止か」が伝わりません。②で情報の基準を、③でツールの基準を定めることで、社員が自分で判断できる体制になります。
各ポリシーで定める主な項目
| ポリシー | 主な定義事項 | 情報セキュリティポリシーとの違い |
|---|---|---|
| ① AI利用ポリシー | 承認済みツール一覧/禁止入力情報/出力の説明責任/利用記録の義務/違反・事故時の報告手順 | 従来ポリシーは社内システムが対象。AI利用ポリシーは外部クラウドサービスとしてのAIの使い方を定める |
| ② データ取扱いポリシー | 情報分類定義(C1〜C5)/AI入力可否の基準/匿名化・抽象化の手順/ツール別の扱い差分 | 既存の情報資産管理規程に「AI入力可否」「ツールによる差分」の列を追加する拡張として整備できる |
| ③ AIベンダー管理ポリシー | 新規ツール申請手続き/審査項目(学習・保存・閲覧・認証等)/承認レベルの区分/定期見直しの手順 | 従来のシステム調達規程はオンプレ・SaaSを対象。AIツール固有のリスク(データ学習等)を審査する仕組みが必要 |
※ ポリシーの内容は業種・規模・適用される法令(個人情報保護法等)により異なります。具体的な策定は法務部門または専門家と連携することを推奨します。
Process
支援の進め方
現状の確認から始め、AI利用の実態、情報資産、権限、セキュリティ、教育まで段階的に整備します。
STEP 1
AI利用状況の確認
現在使っているAIツール、利用者、用途、入力情報、業務上の課題を確認します。
STEP 2
情報資産・権限・環境の整理
機密情報、個人情報、社内文書、共有フォルダ、Microsoft 365のアクセス権限に加え、ネットワーク構成・Wi-Fi分離の状況、AI機能を持つIoT機器の有無を確認します。
STEP 3
AI利用ルールの作成
利用範囲、禁止事項、確認手順、責任分界、事故時対応を実務に合わせて文書化します。
STEP 4
教育・チェックリスト化
社員向け説明資料、管理者向けチェックリスト、AI利用時の判断基準を整備します。
STEP 5
定期点検・改善
AI利用状況、ログ、権限、事故・ヒヤリハットを確認し、継続的に改善します。
Deliverables
主な成果物
社内説明、社員教育、監査対応、顧客説明に使いやすい形で整理します。
AI利用ポリシー
承認済みツール一覧・禁止入力情報・出力の説明責任・違反報告手順を含む、社員が日常判断できるAI利用ポリシーを作成します。
データ取扱いポリシー
情報分類(C1〜C5)にAI入力可否・匿名化条件を加えた「情報×ツール」の入力可否マトリクスを作成します。
AIベンダー管理ポリシー
新規AIツール申請・審査・承認のプロセスと、データ学習・保存・セキュリティ認証等の審査チェックリストを整備します。
情報分類表 + 入力可否マトリクス
情報資産の重要度分類・AIツールのデータポリシー・法令制約の3軸を組み合わせた「情報 × ツール」入力可否マトリクスを作成します。
AI利用チェックリスト
入力前、出力確認、社外提出前に確認すべき事項をチェックリスト化します。
Copilot導入前確認表
Microsoft 365の権限、共有範囲、ラベル、ログ、管理設定を確認します。
ネットワーク・AI環境確認表
AIツールへの通信経路、Wi-Fi・ネットワーク分離の状況、IoT機器のAI機能搭載状況と管理ルールを整理します。
インシデント対応手順書
AI関連の情報漏洩・不正利用が発覚した際の初動対応フロー、ログ保全手順、報告ルートを文書化します。
教育資料
経営者、管理者、社員向けに、AI利用時の注意点と判断基準を整理します。
改善提案書
現状の課題、リスク、優先対応事項、今後の運用方針をまとめます。
References
参照する主なフレームワーク・考え方
必要に応じて、公的ガイドラインや国際的なフレームワークの考え方を、中小企業の実務に合わせて整理します。
- NIST AI Risk Management Framework
- NIST Cybersecurity Framework
- ISMS / ISO/IEC 27001
- ISO/IEC 27017(クラウドセキュリティ)
- IPA 情報セキュリティ関連資料
- 経済産業省・デジタル庁のAI関連ガイドライン
- MITRE ATT&CK
- Microsoft 365 / Copilot 管理
- 総務省 IoTセキュリティガイドライン
- NIST SP 800-82(産業用制御システム・IoTセキュリティ)
First Step
AI利用ルールの整備から始めませんか。
まずは、現在のAI利用状況、情報分類、Microsoft 365の権限、社内ルールの有無を確認し、優先的に整備すべき項目を明確にします。
AIガバナンスを相談する- AI利用状況の確認
- 入力禁止情報の整理
- 社員向けAI利用ルール作成
- Copilot導入前の権限確認
- ネットワーク・IoT環境の確認
- インシデント対応手順の整備
- 教育資料・チェックリスト作成