結論からお伝えすると、AI利用規程づくりで先に決めるべきなのは条文の文言ではなく、「個人情報」「秘密情報」「著作権」「労務」という4つの論点それぞれについて、誰の確認を経てから社内決裁に回すかという確認ルートです。ひな形を入手して穴埋めするだけでは、自社のデータの持ち方や取引先との契約関係と矛盾した規程ができあがるおそれがあります。
確認先の目安はこうなります。個人情報の取り扱いや契約との整合は法律判断を伴うため弁護士の領域で、必要な場合は日本弁護士連合会や各地の弁護士会が設けている法律相談窓口から探せます。服務規律や懲戒との関係は社会保険労務士、規程文書の整備や社内手続きの書面化は行政書士、経理業務でのAI利用や利用料の処理は税理士が相談相手の候補になります。
本記事では、この4論点について「規程に何を書くか」ではなく「決裁前に専門家へ何を質問するか」という視点で整理します。どの士業に当たればよいか迷う場合は、はたらく士業さんの相談先診断で論点の切り分けから始めてください。
ひな形の流用だけで済ませてはいけない理由
公開されているAI利用規程のひな形は出発点として有用ですが、そのまま採用すると2つの問題が起きやすくなります。1つ目は、自社が実際に扱うデータの種類と規程の想定がずれることです。たとえば顧客から預かった図面や検査データを扱う製造業と、応募者の履歴書を扱う人材業では、AIに入力してはいけない情報の中身がまったく違います。
2つ目は、既存の社内規程や取引先との契約と衝突することです。就業規則、情報管理規程、秘密保持契約に別の定めがあるのに、AI規程だけが独立して存在すると、現場はどちらに従えばよいか判断できません。専門家への確認は、この「既存ルールとの整合チェック」を依頼する場だと考えると質問を組み立てやすくなります。
つまり専門家に見せるべきは規程の草案だけではありません。自社で使っているAIサービスの一覧、利用規約、既存規程、主要な取引先との契約書をセットで示すことで、確認の精度が大きく変わります。
論点1:個人情報――入力の可否と漏えい時の備え
生成AIに個人情報を入力する行為については、個人情報保護委員会が2023年に生成AIサービスの利用に関する注意喚起を公表しており、利用目的の範囲や入力内容の扱いに注意を促しています。規程を作る際は、この注意喚起の内容と自社の運用が食い違っていないかを最初に照合してください。
専門家へ確認したい具体的な質問は、「顧客の氏名や連絡先を入力してよい業務はあるか」「AIサービス事業者への入力は委託に当たる構成になっていないか」「海外サーバで処理されるサービスの利用に追加の手当てが要るか」「誤って入力してしまった場合に漏えいとして報告が必要になり得るか」の4点です。いずれも法解釈が関わるため、社内だけで結論を出さず、弁護士会の法律相談窓口などで確認することをおすすめします。
なお、個人データを扱う業務システムの権限設計や運用ルールの整備といった実務面は、法務・個人情報に対応する士業の特集ページで扱っている領域です。法律判断と日常運用を切り分けて相談すると費用も抑えやすくなります。
論点2:秘密情報――自社と取引先の情報を分けて考える
秘密情報は「自社の営業秘密」と「取引先から預かった情報」の2層で考える必要があります。前者は、AIへの入力によって秘密として管理している状態が崩れないかという管理体制の問題です。後者は、秘密保持契約でAIサービスへの入力が制限されていないかという契約の問題で、違反すれば取引停止や損害賠償請求につながるおそれがあります。
確認すべき質問は、「NDAの『第三者開示の禁止』にAIサービスへの入力が含まれると読める契約はどれか」「入力を許容する場合にオプトアウト設定などの条件を付けるべきか」「営業秘密としての管理性を保つために規程へ何を書くべきか」です。契約解釈は弁護士領域ですが、社内の情報管理体制づくり自体は、情報処理推進機構(IPA)の中小企業の情報セキュリティ対策ガイドラインが体系的な参考資料になります。
論点3:著作権――生成物を社外に出す前の確認体制
AIが生成した文章や画像を提案書、広告、Webサイトに使う場合、既存の著作物と似てしまうリスクをどう管理するかが論点になります。文化庁はAIと著作権についてという公式ページで考え方や関連資料を公開しており、規程の検討時に一読する価値があります。
規程に落とす前に確認したいのは、「生成物を社外公開する前に誰がどのようなチェックをするか」「学習への利用を制限したい自社コンテンツはあるか」「生成物の権利関係について顧客へ何らかの説明義務を負う契約はあるか」です。個別の生成物が権利侵害に当たるかどうかの判断は専門性が高いため、断定を避け、迷うケースは弁護士会の相談窓口に持ち込むルールを規程側に組み込んでおくのが現実的です。
論点4:労務――服務規律と教育をどう位置づけるか
AI利用規程は従業員の行動を縛るルールなので、就業規則との関係を整理しないと実効性を持ちません。違反時に懲戒の対象とするなら就業規則側の根拠が必要になり得ますし、利用ログの取得は従業員のプライバシーとのバランスが問われます。この領域は社会保険労務士へ確認しやすい論点です。
質問の例としては、「規程違反を懲戒事由として運用するには就業規則の改定が必要か」「ログ確認の範囲と手続きをどう定めれば過度な監視と受け取られにくいか」「入社時・異動時の教育をどう義務づけるか」が挙げられます。勤怠・給与システムへのAI機能の組み込みを検討している場合は、勤怠・給与・人事労務の特集ページから労務系の相談先を探すこともできます。
確認を依頼するときの進め方と相談先の探し方
4論点すべてを1人の専門家がカバーすることはまれです。おすすめの進め方は、まず草案と資料一式をそろえ、法律判断が必要な部分(個人情報・契約・著作権)と運用整備の部分(労務・文書化・経理処理)を仕分けし、前者は弁護士会や法テラスなどの公的窓口へ、後者は社労士・行政書士・税理士へ、と並行して確認することです。
税理士・社労士・行政書士の相談先は、はたらく士業さんの事務所検索で地域や対応テーマから探せます。なお、規程づくりと並行してAIツールそのものの導入や社内システムとの連携開発を進める場合、その実装部分は士業ではなく開発会社の領域です。GXOでは規程運用を前提にしたシステム設計の相談も受けており、士業との役割分担を含めて整理できます。
- ・草案・AIサービス一覧・既存規程・主要契約書をセットで準備する
- ・法律判断(個人情報・契約・著作権)は弁護士会等の窓口へ
- ・運用整備(労務・文書化・経理)は社労士・行政書士・税理士へ
- ・判断に迷うケースを専門家へ回すルール自体を規程に組み込む
よくある質問
AI利用規程は必ず作らないといけないのですか。
法令で作成が一律に義務づけられているものではありません。ただし、従業員が業務で生成AIを使っている実態があるなら、個人情報や秘密情報の入力事故を防ぐ基準がない状態はリスクが高いといえます。規模の小さい会社なら、詳細な規程でなくA4一枚のルールから始める方法もあります。
個人情報の論点はどの士業に相談すればよいですか。
個人情報保護法の解釈や契約との整合といった法律判断は弁護士の領域です。当ポータルは弁護士を掲載していないため、日本弁護士連合会や各地の弁護士会の法律相談窓口の利用をご検討ください。一方、規程の文書化や社内運用の整備は行政書士や社労士に相談できる場合があります。
無料で使えるAIサービスと有料版で、規程の扱いを分けるべきですか。
分けて検討する価値があります。サービスやプランによって入力データが学習に使われるかどうかの扱いが異なる場合があるためです。各サービスの利用規約とデータ設定を一覧化し、業務利用を許可するサービスを規程で特定する方式が管理しやすいでしょう。
規程を作った後、何から着手すべきですか。
従業員への説明と教育です。規程は配布しただけでは読まれないことが多いため、業務別の具体例を使った研修と、迷ったときの相談窓口の明示が定着の鍵になります。運用面の設計は関連記事「中小企業のAI利用ルール作成チェックリスト」で詳しく扱っています。
出典・公式情報
- ・個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(生成AIへの個人情報入力に関する公式の注意喚起。)
- ・文化庁「AIと著作権について」(生成AIと著作権に関する公式の考え方・資料集。)
- ・IPA「中小企業の情報セキュリティ対策ガイドライン」(情報管理体制づくりの体系的な参考資料。)
- ・日本弁護士連合会「法律相談」(弁護士による法律相談の公式案内窓口。)
制度の要件・金額・期限は年度や公募回で変わります。最終更新日(2026-07-03)時点の公式情報に基づいて執筆していますが、申請・契約の前に必ず公式サイトで最新情報をご確認ください。