Coded Chords - Governance

中小規模組織向け生成AIガイドラインサンプル

2026-02-15T11:38:57+09:00

Table of Contents</summary> </details>

TL;DR</h2>

以前公開した生成AIガイドラインチェックリスト</a> に基づき、具体例として参考にできるサンプルガイドラインを作成し追加した</li>
IT専門部署のない中小規模組織を想定した大事故を防ぐ最低限を身の丈に合わせて整えた60点ガイドライン</strong></li>
サンプルガイドラインの組織プロファイル・要件定義など設計背景の文書もすべてリポジトリで公開。カスタマイズの判断材料として使える</li> </ul> </iframe>
なぜサンプルを作ったのか</h2>
チェックリスト公開後、「チェック項目の意図はわかったが、具体的な書き方がわからないので実物を見せてほしい」という声を多くいただきました。</p>
チェックリストは「何を書くべきか」を示すものですが、「どう書くか」は組織の規模・業種・リスク許容度によって大きく異なります。前提が異なる例を見て意味があるのかという疑問は大いにありますが、「サンプルを見せて」というセリフは確かによく聞きます。そこで特定の組織像を明確に設定したうえで、そのまま実例として参照できるレベルのサンプルガイドラインを作成しました。</p>
前提がリテラシー・ガバナンスの低い組織なので、完璧な例を作成しても実行不能でしょう。当サンプルガイドラインは、大事故を防ぐ最低限を身の丈に合わせて整えた 60点を目指しています。</p>
前提条件</h2>
このサンプルには明確な前提条件があります。</p>
想定する組織は、専門のIT部門を持たない中小規模の組織です。 `organization-profile.md</code> に記載した通り、一般社団法人を想定しています。</p>`
`こういった組織では独自に生成AIを組み込んだシステムを構築しづらいと考えます。したがって、理事長などが無邪気に「なんか生成AIいいらしいから、 ChatGPTを導入しよう」みたいな担当者にとっては地獄のようなシーンを想定しています。</p>`
`こうした組織ではガイドラインをまじめに一から作ることは稀で、どこかから持ってきたものをそのまま使う傾向があります。だからこそ具体例として参考にできる水準のサンプルを提供しています。</p>`
`自組織への適用を検討する際は、以下の前提が合致するかを必ず確認してください。</p>`
ChatGPT Team、Claude、Geminiなど組織向け有料プランを利用する。無料・個人プランは対象外</li> 自社システムやSaaSに組み込まれるような生成AIは想定していない</li> セキュリティやシステム管理の規定が存在しないか、実効性がない</li> リテラシーが低く、かなり一般的なレベルから説明が必要</li> AI専任の管理者は置けず、総務担当者などが兼務する運用体制</li> </ul> サンプルガイドラインの概要</h2> リポジトリの docs/guideline-sample/</code> にはサンプル本文だけでなく、その背景となる文書も一式公開しています。</p> organization-profile.md</code> — 想定組織の規模、業種、体制、現在のAI利用状況、懸念事項を定義した組織プロファイル</li> requirements-for-guideline.md</code> — 対象読者、文書設計の方針、チェックリストとの対応方針を記載したガイドライン要件</li> guideline-sample.md</code> — 全10章構成のサンプルガイドライン本文</li> guideline-sample.html</code> — pandocで変換済みのHTML版</li> Makefile</code> — MarkdownからHTMLへの変換スクリプト。 pandocがあれば make</code> で再生成できる</li> </ul> 「なぜこの内容になったのか」を追跡できるようにすることで、自組織向けにカスタマイズする際の判断材料にしていただくことが狙いです。</p> サンプルはチェックリストの必須74項目と推奨19項目、合計93項目をカバーしています。全10章の構成は以下の通りです。</p> 組織体制と役割</li> 利用が許可されるAIサービス</li> 利用が許可される範囲</li> データ入力の制限</li> AI出力の利用上の注意</li> リスク管理</li> 教育・研修</li> インシデント対応</li> 違反時の対応</li> ガイドラインの運用</li> </ol> 特に第4章「データ入力の制限」では、個人情報・機密情報・顧客情報・認証情報・財務情報・人事情報・法的保護情報の7分類について具体例とともに禁止事項を定めています。また匿名化の手順も示しており、「何がダメで、どうすればいいのか」を非エンジニアにも伝わるように記述しました。</p> カスタマイズのポイント</h2> サンプルをそのまま使うのではなく、自組織の状況に合わせた調整を推奨します。</p> 許可するAIサービスの種類、禁止情報の分類と具体例、インシデント時の報告先と連絡体制は最低限見直してください。業種固有の規制がある場合（医療、金融、教育など）は、該当する法令への対応を追加する必要があります。</p> リポジトリの組織プロファイルと要件定義を自組織版に書き換えるところから始めることをお勧めします。前提を整理すれば、ガイドライン本文の修正ポイントが自ずと明確になります。</p> </div> 免責事項</strong> 本サンプルは情報提供を目的としており、法的助言を構成するものではありません。実際のガイドライン策定にあたっては、自組織の法務担当者や外部の専門家に確認のうえご利用ください。組織の業種、規模、取り扱う情報の性質によって必要な対策は異なります。本サンプルの利用によって生じた損害について、筆者は一切の責任を負いません。</p> </div> </div> まとめ</h2> 正直に書きます。</p> チェックリストを公開後、「ガイドラインのサンプルがあれば」と言われました。そこで組織プロファイルから要件定義まで丁寧に文書化し、93項目をカバーしたサンプルガイドラインを提供しました。 HTML版や変換スクリプトまで付けました。</p> 結果どうなったか。結局、サンプル活用の労力すら惜しんでまともな検討もなく、出来合いの他組織のガイドラインをコピーしたものが採用されました。</p> そもそもの発端を振り返れば、組織としてAIで何を実現したいかというビジョンがあったわけではありません。組織トップの「なんか生成AIいいらしいから導入しよう」という思いつきです。導入によって何を実現したいのかが不明確なまま、具体的な計画もなく号令だけが降ってくる。よくある話ですが、そんな動機で降ってきた仕事に担当者がやる気を出せないのはむしろ当然でしょう。</p> それでもこのサンプルを公開するのは、同じような状況で困っている担当者が他にもいると確信しているからです。組織のトップが思いつきで「生成AIのガイドライン作って」と言い出すシーンは、いまこの瞬間も日本中で起きているはずです。</p> チェックリストとサンプルを組み合わせて使っていただければ、少なくとも60点のガイドラインは作れます。 60点で始めて、運用しながら改善していく。完璧を待つより、はるかに良い選択だと考えています。</p>