結論から言えば、生成AIは「使うか止めるか」ではなく「どの条件なら使えるか」を先に決める段階に入った。今週、業界で話題になっている調査である読売新聞×帝国データバンク共同調査では、国内企業の3割が文章作成や情報収集に生成AIを使う一方、3割超で正式ルールが未整備とされた。事業会社の論点は導入率ではなく、利用拡大に耐える最低限のガバナンスである。導入推進だけを評価すると、後で停止コストを抱える。判断を急ぎたい。
なぜ「3割利用」より「3割超未整備」が危ないのか
生成AIの利用率が3割を超えたというニュースは前向きに見える。だが管理本部長や情シス課長が見るべき数字は、利用率そのものより、ルール未整備のまま業務利用が進む割合だ。社員が顧客名、見積条件、未公開の人事情報を「少しだけ」と入力する確率を月1%と置いても、従業員150名なら年間18件のヒヤリハット候補になる。ここでいうガバナンスとは「使い方を縛るための規則」ではなく、「安心して使える範囲を会社として決める仕組み」のことだ。ルールがない企業ほど、事故後に全社停止、調査、再教育、顧客説明が発生し、再発防止コストが200万〜800万円規模に膨らみやすい。コアネストはこう見る。生成AIの失敗は、AIの精度不足より、承認前に使われる運用の空白から起きる。特に事業会社は、担当者の善意に依存したまま利用が広がるほど、後から統制を戻す負荷が重くなる。
最低限決めるべき4要素:入力、用途、承認、記録
事業会社が最初に作るべきガバナンスは、分厚い規程集ではない。第一に入力禁止データを決める。個人情報、顧客固有情報、未公開の財務・人事情報、契約交渉の詳細は原則入力しない。第二に用途を分ける。議事録要約、社内文書の下書き、FAQ案などは低リスク、契約判断や採用評価の自動化は高リスクとする。第三に承認者を置く。部門長が週1回、利用業務と例外申請を見るだけでも野良利用は減る。第四に記録を残す。誰が、どの業務で、どのツールを使ったかを月次で棚卸しする。専門用語でいうログ管理は「後から利用状況を説明できるメモを残すこと」と言い換えられる。最初の1枚はA4で十分だが、4要素が欠けると現場判断に戻ってしまう。この段階では、全社員に同じ長文規程を読ませるより、営業、管理、開発など部門別に「よくある入力例」を3つずつ示す方が定着しやすい。
ケース:年商72億の建材商社G社で起きた分岐点
従業員185名、年商72億円の建材商社G社では、営業企画部が生成AIで商品説明文と展示会メールを作り始めた。月間120本の文案作成が約90時間から55時間に減り、現場評価は高かった。一方、営業担当が見積履歴を貼り付けて価格交渉の返答案を作る例が見つかり、管理本部は利用停止を検討した。ここでG社が全社禁止に振らなかった点が分岐点である。低リスク業務は継続し、顧客別単価や契約条件を含む入力だけを禁止、例外利用は部門長と情シスの2名承認にした。30日後、利用継続率は68%、差戻し率は15%、ヒヤリハット報告は6件から1件へ減った。全社一律ルール化は逆効果のケースもある。研究開発、法務、営業では扱う情報が違うため、同じ禁止文だけでは現場が止まり、個人利用へ戻る恐れがある。G社のように業務を色分けすれば、効率化と統制を同時に進めやすい。
ルール作成を「再発防止設計」として進める
生成AIガバナンスは、法務文書を作って終わりではない。今が分岐点だ。再発防止設計として、事故が起きた時の連絡順、判断者、顧客説明の要否まで決めておく必要がある。入力禁止違反が1件出た場合、24時間以内に情シスへ報告、48時間以内に部門長が影響範囲を確認、5営業日以内に教育を更新する、といった時間軸を持つ。違反率0%を前提にすると形骸化するため、初月は利用者の5〜10%が迷う前提でFAQを増やす方が現実的だ。KPIも「研修受講率100%」だけでは足りない。対象業務の利用率60%、月30時間以上の削減、例外申請の処理3営業日以内、攻めと守りの数字を並べる。コアネストは、禁止より分類、分類より運用会議を重視すべきだと考える。この運用があると、経営会議で投資継続か縮小かを説明しやすく、監査時の説明材料にもなる。
生成AIの普及は止まりにくい。だからこそ事業会社は、完璧な規程を半年かけて作るより、4要素を決めて30日単位で直す方が現実的である。ITコンサルは、現場の業務、情報分類、承認フローをつなぎ、使えるルールに落とす役割を担える。AI BPOやClaude研修へ広げる前の土台づくりにもなる。自社の未整備リスクと優先順位を確認したい場合は、無料診断(/diagnosis)で現在地を見てほしい。早めの点検が有効だ。
