シャドーAI対策：社内の生成AI利用ルールの作り方

課題

生成AIを全面禁止しても、現場では個人アカウントで使われることがあります。これがシャドーAIです。入力してはいけない情報、使ってよい業務、成果物の確認方法が曖昧なままだと、情報漏えいや誤情報のリスクが残ります。

具体手順

最初に、社内で既に使われているAIサービスを把握します。次に、入力禁止情報を明文化します。個人情報、顧客情報、未公開の財務情報、契約書、ソースコードなど、会社として扱いを決めるべき情報を分類します。

そのうえで、使ってよい用途を定義します。文章の下書き、議事録の要約、社内FAQの草案、表計算の関数作成など、リスクが低く効果が見えやすい用途から始めます。

注意点

ルールは細かすぎると守られません。禁止事項だけでなく、具体的に使ってよい例をセットで示すと、現場が判断しやすくなります。また、AIの出力は必ず人が確認する前提を明記します。

相談導線

生成AIの社内ルールは、法務、情シス、現場業務の接点で作る必要があります。現状の使われ方を棚卸しし、実務で守れるルールへ落とし込めます。