生成AIで情報漏洩を起こさないための、ガバナンス設計テンプレート

「生成AIを使っていいか悪いかのルールがない」「個人のChatGPTアカウントで業務情報を入力している社員がいる」——事業会社の情シス担当者から聞くこの状況は、2026年時点でまだ珍しくない。

あわせて読みたい: 関連する判断軸は、Copilotを全社配布して失敗した事業会社が、Claudeに切り替えた理由でも整理しています。

ガバナンスの不在は、リスクの放置だ。 しかし、完璧なポリシーを半年かけて作るより、必要最低限のルールを2〜3週間で実装する方が、現実のリスクを大幅に下げられる。このテンプレートは、事業会社が最速でAIガバナンスを整備するための実装手順だ。

フレーム：AIガバナンスに必要な4つの構成要素

事業会社のAIガバナンスは、以下の4つの構成要素で成立する。

あわせて読みたい: 実装面のつまずきは、Claude Projects/Skillsを2週間で全社展開する、5つのステップをあわせて読むと把握しやすくなります。

①利用ポリシー（何を使ってよいか・何を入力してはいけないか）、②承認ツールリスト（会社が公式に認めた生成AIツールと、禁止ツールの明示）、③データ分類規程（AIに入力可能なデータと入力禁止データの分類ルール）、④違反時対応フロー（ポリシー違反が発覚した場合の報告・対応手順）。

この4つが揃えば、事業会社のAIガバナンスの基盤は完成する。完璧である必要はない。「存在すること」と「社員全員が知っていること」が最重要だ。

テンプレート①：生成AI利用ポリシーの骨格

以下が事業会社向けの利用ポリシー骨格だ。自社の状況に合わせて調整して使うことを前提にしている。

あわせて読みたい: 費用対効果を検討する際は、AI研修で成果が出る企業と、出ない企業も参考になります。

「生成AIサービス利用に関するガイドライン（骨格）」

1. 目的：業務効率化のために生成AIを活用する。ただし情報漏洩・著作権侵害・誤情報の外部提供を防止するため、以下のルールを定める。

2. 承認ツール：〔会社が承認した生成AIサービスのリスト〕のみ業務利用可とする。個人アカウントの生成AIサービス（無料版ChatGPT等）の業務利用は禁止とする。

3. 入力禁止データ：①個人情報（顧客・社員の氏名・住所・マイナンバー等）、②顧客固有情報（契約金額・交渉経緯・未公開取引情報等）、③社内未公開情報（経営計画・M&A情報・未発表決算等）、④競合情報の一次データ。これらを生成AIに入力することは、承認ツールであっても原則禁止とする。

4. 生成物の取り扱い：AIが生成したコンテンツは必ず人間が確認・編集してから使用する。AIの生成物をそのまま顧客・取引先・外部に提供することは禁止する。

5. 違反の報告：ポリシーに違反した場合、または違反の疑いがある場合は〔担当部署・連絡先〕に速やかに報告する。

テンプレート②：データ分類表（4段階）

データを4段階に分類し、各段階でAI利用の可否を定める。

レベル1（公開情報）：Webサイト掲載情報・プレスリリース・公開資料。AI入力→自由に利用可。

レベル2（社内一般情報）：業務マニュアル・議事録（機密内容除く）・一般的な社内資料。承認ツールへの入力→可。個人ツールへの入力→禁止。

レベル3（機密情報）：顧客固有情報・未公開財務情報・法的文書・人事情報。AI入力→原則禁止。必要な場合は情シス判断のうえ匿名化・マスキング処理後に限り可。

レベル4（超機密情報）：M&A情報・重要交渉情報・個人の機密情報。AI入力→完全禁止。

この4段階の分類を社内に示すだけで、社員の「これは入れていいのか？」という判断の精度が大幅に改善される。

テンプレート③：承認ツールリストの整備手順

承認ツールリストは、以下の判断軸でツールを評価して作成する。

判断軸1：データトレーニングへの利用可否。企業向けプラン（Claude Team・ChatGPT Team等）は、入力データをモデルトレーニングに使わない設計になっているものが多い。この確認を各ツールの利用規約・プライバシーポリシーで行う。

判断軸2：データの保存場所と期間。国内法令（個人情報保護法等）との適合性を確認する。EU圏のサーバーを使うツールは、GDPR対応の観点で別途確認が必要なケースがある。

判断軸3：SSOとアクセス管理の可否。企業向けプランでは、社内のSSO（シングルサインオン）との連携やアクセスログの取得ができるものが多い。これにより、「誰がいつ何を入力したか」のトレースが可能になる。

実装スケジュール：2〜3週間でゼロから完成させる

Week 1：情シス担当者が現状把握（社内で使われている生成AIツールのヒアリング）とポリシー骨格の起草。

Week 2：法務・人事・経営企画と1〜2時間のレビュー会議。修正・承認。承認ツールリストの選定完了。

Week 3：全社周知（社内メール＋Slackでの告知）。管理職向けの10分説明動画または資料配布。Slackのpinned postへの掲出。

このスケジュールで、最低限のAIガバナンスが2〜3週間で整備できる。完璧を目指して3ヶ月かけるより、80%の完成度でまず動かすことが、リスク低減の観点では圧倒的に重要だ。

ガバナンスの整備と同時に、承認ツールへの移行支援も必要であれば、コアネストのITコンサルと研修サービスを組み合わせた支援が活用できる。まずは現状のガバナンス整備状況の診断から始めることを推奨する。

関連記事

• Copilotを全社配布して失敗した事業会社が、Claudeに切り替えた理由 — Copilotを全社展開したが利用率が上がらない——事業会社の情シスが直面するこの課題の根本原因と、Claudeへの切り替えで業務定着した企業の設計手順を詳細に解説。
• Claude Projects/Skillsを2週間で全社展開する、5つのステップ — Claude Projectsを活用した全社展開を2週間で完了した事業会社の実装ステップを公開。部門別プロジェクト設計、カスタム指示の書き方、定着のためのフォロー設計まで詳解。
• AI研修で成果が出る企業と、出ない企業。たった1つの違い — AI研修を実施した企業の多くが「研修後に現場で使われない」という課題に直面する。成果が出る研修と出ない研修を分ける唯一の設計判断と、定着を生む研修設計の実装方法を解説。
• 生成AIで情報漏洩を起こす事業会社の共通点 — 生成AIの業務利用が広がる中、情報漏洩リスクも増大している。漏洩事故を起こした企業に共通する3つのパターンと、経営層が最初に取るべきガバナンス設計を解説。