一般社団法人日本スマートフォンセキュリティ協会(JSSEC)は 2026 年 4 月 3 日、「生成 AI 利用ルールテンプレート」第 1 版を公開した。生成 AI の専門知識を持たない組織でも、自社の実情に合った利用ルールを策定できるよう設計された Microsoft Excel 形式のテンプレートで、CC0(クリエイティブ・コモンズ・ゼロ:パブリックドメイン=著作権放棄)として無償提供される。
同協会のセキュア AI 活用推進タスクフォースでリーダーを務める中村丈洋は、本テンプレート製作の背景について「生成 AI がスマートデバイスなどを介して『隣人』として常に存在する現在、あらゆる場面で生成 AI の活用が進んでいます」と語る。
隣人。中村が選んだこの言葉は、現状を正確に描写している。2026 年現在、主要なスマートフォン OS は標準で生成 AI 機能を搭載し、ビジネスチャットツールの多くが AI アシスタントを統合している。入力されたテキストがどのサーバに送信され、どの期間保持され、何の目的に利用されるか。その全容を把握している従業員は、おそらく少数だ。
ChatGPT、Gemini、Claude といった対話型生成 AI は、もはや一部の先進的な組織だけのものではない。スマートフォンのキーボードに、ウェアラブルデバイスに、業務アプリケーションの裏側に、この「隣人」は静かに、しかし確実に入り込んでいる。
● 厳しすぎるルールが生む逆説
組織がこの新しい同僚と付き合う上で、利用ルールの策定は避けて通れない。しかし、リスクを減らすためのルールが、別のリスクを招くことがある。
中村は「ルール策定では『あるべき』論から実態に合わない厳しすぎるルールを設定しがちです」と指摘する。個人情報の入力禁止、機密情報の入力禁止、業務利用の全面禁止等々、セキュリティ担当者の立場からすれば、リスクを最小化するために「とりあえず禁止」としたくなる心理は理解できる。
だが、その先に待つのは別種のリスクだ。
「各組織の実態に合わない厳しすぎるルールは AI 活用を阻害するだけでなく、シャドー AI 等の潜在的なリスクの温床ともなります」と中村は警告する。
シャドー AI とは IT 部門の許可を得ずに従業員が個人的に利用する生成AIサービスのことだ。社員へのノルマや生産性向上の圧力は変わらぬまま厳しいルールを課すと、当然のことながら従業員は「こっそり使う」方向に流れる。その結果、どのような情報がどの AI サービスに入力されているか、組織は把握すらできなくなる。禁止したはずのリスクが、より制御不能な形で地下に潜る。これまでもくり返されてきたおなじみのリスクである。
独立行政法人情報処理推進機構(IPA)が実施した「2024年度 中小企業における情報セキュリティ対策に関する実態調査」によれば、7 割近くの中小企業において組織的なセキュリティ対策が行えていないという。専任のセキュリティ担当者がいない組織が、生成AIのリスクを正確に把握し、バランスの取れたルールを独自に策定することは、現実的には極めて困難だ。
● 「採用しなくてよい理由」という逆転の発想
JSSEC が公開したテンプレートの最大の特徴は、逆説的だが「採用しなくてよい理由を示す」点にある。
通常のガイドラインは「なぜこのルールが必要か」を説明する。本テンプレートはそれに加えて、各ルールの「採用条件」を明示した。つまり「このルールが必要になるのは、こういう条件の組織です」と限定することで、該当しない組織は堂々とそのルールを採用しない判断ができる。
たとえば「AI に業務上のファイルをアップロードしないこと」というルールは、一見すると必須に思える。しかしテンプレートでは、このルールの推奨度は「任意」だ。ファイルの誤アップロードを防ぐ目的のルールであり、そもそも機密情報をデジタルデータやファイルとして扱う頻度が低い組織や、DLP ツール等を導入済みの組織などには、必ずしも必要ではない。
テンプレートは 4 つの利用シーンに分類された 18 のルールで構成される。
「AI を利用する前に」では、アクセス方法、利用上の制限、外部連携、設定、コンプライアンス、コストについて定める。フィッシングサイトへの誘導リスクや、無償版 AI を通じた情報漏洩リスクへの対応が含まれる。
「AI に入力する」では、機微情報の入力、入力データの権利、アップロード、公序良俗、正確性を扱う。要配慮個人情報や営業秘密の取り扱い、第三者の著作物入力に関するルールが並ぶ。
「AI の出力を利用する」では、責任の所在、機微情報の保護、出力データの権利を定める。ハルシネーション(AI が生成するもっともらしいウソ)への対応や、生成物の著作権確認が含まれる。
「スマートデバイスの利用」は、本テンプレートの独自性が際立つ領域だ。眼鏡型デバイスの業務中停止、私用スマートフォンでの文字起こし禁止など、AI が物理的なデバイスを通じて環境に溶け込む現実を踏まえたルールが用意されている。たとえば Meta Ray-Ban に代表される AI 連携スマートグラスは、装着者の視界と周囲の音声を常時取得することができる。
各ルールには「推奨度」が 3 段階(必須・推奨・任意)で設定され、具体的な行動についても「厳密さ」が 3 段階(最低限・中程度・厳密)で示される。組織はこれらの指標を参照しながら、自社に必要な項目だけを選択・カスタマイズできる。
さらに、東京都デジタルサービス局、日本ネットワークセキュリティ協会(JNSA)、経済産業省、日本ディープラーニング協会(JDLA)、IPA が公開する各種ガイドラインとの対応関係も明記されており、コンプライアンス対応状況の確認にも活用できる。
● ワークショップで「生きたルール」を
JSSEC は 2026 年 6 月 1 日 月曜日 15:00 ~ 17:30(受付開始 14:30)に本テンプレートを活用した実践ワークショップ「実践 生成 AI 利用ルール策定」を開催する。
「禁止事項ばかりで利便性が損なわれる」「具体的にどのようなリスクを想定すべきか分からない」といった現場の課題に対し、自社の業務形態やリスク許容度に合わせた「生きたルール」の策定を目指す内容だ。
会場は新宿文化クイントビル 株式会社SHIFT セミナールーム、オンライン配信も同時に行われる。参加費は無料、事前登録制。
このような実践の場が求められる背景には、ガイドライン乱立の問題がある。生成 AI の利用ルールに関する文書は、この 1 年で急増した。経済産業省、IPA、東京都、JNSA、JDLA 等の各機関がそれぞれの立場からガイドラインを公開している。しかし、各文書は発行主体の視点で書かれており、一企業のルール策定にすぐそのまま適用できる形式ではない。どの文書を参照すべきか、それぞれの文書間で矛盾はないか、自社の状況にはどれが適用されるのか。その判断自体が専門性を要求する。
さらに、企業の法務・コンプライアンス部門にとって、「どのガイドラインに準拠しているか」の説明責任は今後さらに重くなるだろう。本テンプレートは、それらのガイドラインを踏まえた取捨選択可能なルール集であると同時に、各ルールに対応する外部ガイドラインの項目を明記しており、策定したルールの根拠を外部に示す際の参照元としても機能する。
頼りになる同僚ほど、付き合い方を間違えると厄介な存在になる。このトリセツは、その境界を自社の言葉で定義するためのたたき台だ。テンプレートは JSSEC のウェブサイトから無償でダウンロードできる。ライセンスは CC0、改変・商用利用に制限はない。
