AI技術解説2026/6/23著者: AI-KNOW編集部

その生成AIガイドライン、社員に責任を押しつけていませんか?

2026年6月のデジタル庁ガイドライン第2.0版を入口に、生成AIガイドラインを禁止事項ではなく業務設計として考える重要性を解説します。

#生成AI研修#AIリテラシー#AIガイドライン#AIガバナンス#DX人材育成
その生成AIガイドライン、社員に責任を押しつけていませんか?

その生成AIガイドライン、社員に責任を押しつけていませんか?

2026年6月12日、デジタル庁は「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン(第2.0版)」を策定しました。

行政向けの文書ですが、企業にとっても無関係ではありません。

要旨はシンプルです。生成AIの利活用促進とリスク管理を、別々ではなく表裏一体で進める。
政府におけるAIガバナンス体制だけでなく、各府省庁の調達・開発・運用・利活用時のルールまで扱う。
技術進展、ユースケース拡大、国内外の制度・政策動向を踏まえ、生成AIを継続的に見直す対象として位置づける。

つまり、生成AIは「使うか使わないか」の段階を越え、どう調達し、どう業務に組み込み、どう止めるかを設計する段階に入っています。

その一方で、企業の社内ガイドラインは、まだ「注意事項」で止まっていることが少なくありません。

「機密情報を入力しない」
「出力結果は人間が確認する」
「著作権に注意する」
「最終責任は利用者が負う」

一見、まともなルールに見えます。

しかし現場から見ると、これはガイドラインというより「事故が起きたときに社員のせいにするための注意書き」になっていることがあります。

本当に必要なのは、社員に気をつけさせる文書ではありません。生成AIを業務に組み込むための設計図です。

「人間が確認する」は、何も決めていないのと同じ

生成AIガイドラインで最も危険な言葉は、「人間が確認すること」です。

なぜなら、この一文だけでは何も決まらないからです。

誰が確認するのか。
何を確認するのか。
どの基準なら差し戻すのか。
確認できない情報が含まれていたらどうするのか。
AIが作った文章を顧客に送る前に、誰が責任を持つのか。

ここまで決まっていなければ、「人間が確認する」は単なる責任逃れになりかねません。

たとえば営業担当者が、生成AIで提案メールを作ったとします。

AIはそれらしい文章を作ります。でも、価格条件、納期、導入実績、競合比較、契約上の約束まで混ざっていたらどうでしょうか。

営業担当者は文章の自然さを見ます。
上司はトーンを見ます。
法務は契約表現を見ます。

しかし、誰も「AIが作った事実らしき情報」を確認していないかもしれません。

この状態で「人間が確認済み」と言えるでしょうか。

問題は社員のリテラシー不足ではない

生成AIの事故が起きると、よく「社員のAIリテラシーが足りなかった」と言われます。

もちろん教育は必要です。

EU AI Actでは、AIリテラシー義務が2025年2月2日から適用されています。日本でも、総務省・経済産業省の「AI事業者ガイドライン」は、チェックリストやワークシートを含む実務寄りの形に更新されています。

しかし、社員教育だけでは足りません。

なぜなら、現場の社員は毎回、こうした判断を迫られるからです。

この顧客情報は入力していいのか。
このAIツールは会社が認めているのか。
この出力は社外に出していいのか。
この文章は著作権的に問題ないのか。
この判断をAIに任せていいのか。

これを個人の注意力に任せるのは、設計ミスです。

生成AI時代に必要なのは、「社員が気をつけること」ではなく、「社員が迷わず止まれる仕組み」です。

生成AIガイドラインは、禁止事項リストではなく業務設計書である

これからの生成AIガイドラインには、少なくとも5つの設計が必要です。

1つ目は、業務別の利用範囲です。

営業、広報、人事、経理、開発、カスタマーサポートでは、AI利用のリスクがまったく違います。全社員共通の一枚紙で済ませるほど、現場は迷います。

2つ目は、入力データの分類です。

「機密情報を入れない」では不十分です。顧客名、個人情報、契約情報、社内議事録、売上データ、未公開資料を、それぞれどのAI環境に入力してよいのかを決める必要があります。

3つ目は、AIに任せてはいけない判断です。

採用評価、人事評価、契約条件、与信、医療・法務・財務に関わる助言など、人に大きな影響を与える判断は、AIの出力をそのまま採用してはいけません。

4つ目は、レビュー基準です。

「確認する」ではなく、「事実」「権利」「個人情報」「契約条件」「社外公開可否」を誰が見るのかを分けるべきです。

5つ目は、事故対応です。

個人情報を入力してしまった。AIが作った誤情報を公開した。著作権上あやしい画像を広告に使った。顧客に間違った回答を送った。

そのとき、誰に報告し、誰が止め、誰が修正し、誰が再発防止を決めるのか。ここまでなければ、ガイドラインは事故時に役に立ちません。

「禁止」より危険なのは、使えるふりをした放置

生成AIを全面禁止にする会社は、現実的ではありません。

多くの現場では、会社が明確に認めていなくても、個人アカウントや無料ツールでAIが使われる可能性があります。

一方で、「便利だから自由に使っていい」も危険です。

最も危ないのは、その中間です。

表向きはAI活用を推進しているのに、現場には「自己責任で使ってください」とだけ伝えている状態です。

これはAI活用ではありません。シャドーAIを増やしているだけです。

本当に必要なのは、禁止ではなく「ここまでなら使える」を増やすことです。

たとえば、こう決めます。

議事録の要約は、会社が承認したAIツールなら利用可能。
顧客名や個人情報を含む場合は、法人契約環境に限定。
社外向け文書は、担当者確認と責任者確認を必須。
価格、契約条件、法務判断はAIに作らせない。
AI生成画像を広告に使う場合は、権利確認を必須にする。

これなら現場は動けます。

単なる禁止事項より、はるかに実務的です。

AIエージェント時代は「入力禁止」だけでは守れない

生成AIの利用は、文章作成や要約だけでは終わりません。

これからは、AIがメールを下書きし、社内文書を検索し、チケットを起票し、データを分析し、場合によっては外部サービスを操作するようになります。

この段階で重要になるのは、プロンプトの上手さではありません。AIに渡す権限です。

どのデータを読めるのか。
どのファイルを編集できるのか。
どのシステムにアクセスできるのか。
メール送信や顧客対応のような外部アクションを実行できるのか。
実行前に人間の承認を必要とするのか。

OWASPのLLM Top 10でも、プロンプトインジェクションや出力の不適切な処理など、LLMアプリケーション特有のリスクが整理されています。

AIが情報を「読む」だけなら、まだリスクは限定的です。しかし、AIが情報を読み、判断し、操作するようになると、社内ガイドラインはセキュリティ設計と一体になります。

「入力してはいけない情報」を決めるだけでは足りません。「AIに実行させてはいけない操作」を決める必要があります。

AI導入コンサルは、ガバナンスを「別紙」にしてはいけない

これは、AIを導入する企業だけの話ではありません。

AI活用を支援するコンサルタントや研修会社にも、そのまま返ってくる話です。

「ChatGPT研修をやります」
「プロンプト集を作ります」
「業務効率化のワークショップをします」
「あとは御社のルールに従って使ってください」

この提案は、もう弱い。

AI導入支援を名乗るなら、便利な使い方だけを教えて終わるべきではありません。どの業務で使うのか、どのデータを扱うのか、どこにレビューを入れるのか、AIにどの権限を渡すのか、事故が起きたらどこで止めるのか。そこまで含めて、初めて「業務にAIを入れる」提案になります。

もちろん、すべての研修会社や教育サービスが、法務・セキュリティ・ガバナンスの個別コンサルティングまで担うべきだという話ではありません。

AI KNOWは、企業ごとのAIガバナンス設計について個別に指導するサービスではありません。

しかし、生成AI研修を提供する立場として、AI活用とガバナンスを切り離して考える時代ではない、というトレンドを正しく伝えることには取り組んでいます。

AIを使える人材を増やすとは、ルールを無視して速く使う人を増やすことではありません。

業務の責任範囲を理解し、危ないところで止まれる人を増やすことです。

AI導入を支援する側こそ、「便利です」だけで終わらせてはいけません。これから問われるのは、AIの使い方を教えたあとに、現場が安全に使い続けられる設計思想を伝えているかです。

2026年の生成AIガイドラインに必要な問い

社内ガイドラインを作るなら、まず次の問いに答えるべきです。

  • その業務でAIに任せたい作業は何か
  • AIに任せてはいけない判断は何か
  • 入力してよいデータと、入力してはいけないデータは何か
  • 利用してよいAIツールはどれか
  • 個人アカウントでの利用を認めるのか
  • 出力結果の事実確認は誰が行うのか
  • 社外公開前の確認者は誰か
  • 顧客に送信する前の承認条件は何か
  • AIに渡してよい権限はどこまでか
  • 事故が起きたときの報告先はどこか
  • 職種ごとに必要なAIリテラシー研修は何か

この問いに答えられないガイドラインは、現場を守りません。

まとめ:社員に注意させる前に、会社が設計する

生成AIのリスクは、社員の不注意だけで起きるわけではありません。

むしろ多くの場合、会社が業務フローを設計していないことから起きます。

「人間が確認する」
「自己責任で使う」
「機密情報に注意する」

こうした言葉だけでは、AI時代の業務は回りません。

これからの生成AIガイドラインは、マナー集ではなく業務設計書です。

社員を縛るためではなく、社員が安全に使える範囲を広げるために作るものです。

AIを禁止する会社でも、無秩序に使わせる会社でもありません。

強いのは、AIを安全に使える業務フローを持つ会社です。

そして、その企業を支援する側もまた、AI活用を「便利な使い方」で終わらせず、業務設計とガバナンスの潮流まで伝える責任があります。

参考情報

AIスキルの現在地を確認する

記事で学んだ知識を、自分のAI活用レベルとして客観的に確認できます。無料診断は10問・約3分・登録不要です。

関連記事