COLUMN

2025.06.26 ｜ Writer：NTT東日本　アベ

生成AI活用の第一歩：企業が策定すべきガイドラインとは？

生成AIは、業務効率化に寄与する一方で、情報漏えいやハルシネーションなどのリスクも指摘されており、現場では「どう活用すべきか」に悩む声が多く聞かれます。そうした中、組織として生成AIを安全かつ効果的に導入するためには、「生成AIガイドライン」の策定が不可欠です。

本コラムでは、生成AIガイドラインが求められる背景や基本的な構成要素、策定手順、また国や自治体、企業の事例を交えて解説します。

NTT東日本の生成AIサービスの詳細はこちら！

1. 生成AIガイドラインが求められる理由: 1-1. 生成AIを安全かつ倫理的に利用するため; 1-2. 法的コンプライアンスの確保のため; 1-3. 企業・自治体の信頼性向上のため
2. 生成AIガイドラインの構成要素: 2-1. 利用可能な生成AIツールの定義; 2-2. 利用時の禁止事項・注意事項; 2-3. 入力データの取り扱いルールの明示; 2-4. 生成物の利用方法と責任範囲の明確化; 2-5. 利用ログの記録・監査; 2-6. 誤作動時の対応方法; 2-7. 情報セキュリティ対策方針の明示
3. 生成AIガイドライン策定のステップとポイント: 3-1. 利用実態のヒアリング; 3-2. リスク評価と対象範囲の決定; 3-3. 法務・情報セキュリティ部門との連携; 3-4. 全社的な承認と周知; 3-5. 定期的なモニタリングと改善
4. 生成AIガイドライン策定の事例: 4-1. 政府の取り組み; 4-2. 自治体の取り組み; 4-3. 企業の取り組み
5. 生成AIサービス選びにお悩みならNTT東日本の「生成AIサービス」
6. まとめ

1. 生成AIガイドラインが求められる理由

生成AIの導入が進む一方で、誤った使い方による情報漏えいや倫理的問題も懸念されており、組織としての責任ある対応が求められています。生成AIガイドラインの整備が急務となっている理由を3つの観点から解説します。

1-1. 生成AIを安全かつ倫理的に利用するため

生成AIはハルシネーションを起こすリスクを含んでいるため、出力結果が必ずしも正確であるとは限りません。また、生成物が差別的・攻撃的な表現を含む場合、組織としての社会的信頼を損なうリスクもあります。これらを防ぐためには、どのような情報を入力してよいか、生成された内容の確認は誰が行うべきかなどを明文化し、従業員や職員が共通のルールのもとで活用できる体制が必要です。

ハルシネーションとは？生成AI利用のリスクと対策を解説！

1-2. 法的コンプライアンスの確保のため

生成AIの利用には、著作権法や個人情報保護法などの法令遵守が欠かせません。例えば、生成AIが出力したコンテンツが第三者の著作物を不適切に模倣している場合や、個人情報が含まれたまま外部に送信されてしまうような場合は、企業・自治体にとって重大なコンプライアンス違反につながります。また、法令だけでなく、業界ごとに存在するガイドラインや社内規程との整合性を保つ意識も重要です。

1-3. 企業・自治体の信頼性向上のため

信頼を得るためには、テクノロジーを「責任を持って活用している」ことを対外的に示すことが重要です。生成AIガイドラインを整備し、その内容を公開することで、組織としての姿勢やポリシーを可視化できます。特に、公共性の高い自治体や企業では、透明性と説明責任が強く求められます。先進的な取り組みをしながらも、安全性と倫理性を両立させる姿勢は、組織ブランドや顧客・市民からの信頼向上に直結します。

NTT東日本の生成AIサービスの詳細はこちら！

2. 生成AIガイドラインの構成要素

生成AIを組織で安全かつ効果的に活用するためには、単に「利用可否」を判断するだけでなく、具体的なルールと実行可能な運用基準をガイドラインとして整備することが重要です。ガイドラインに盛り込むべき標準的な構成要素をご紹介します。

2-1. 利用可能な生成AIツールの定義

業務利用を許可する生成AIツールの種類を明示します。生成AIツールはそれぞれ機能やセキュリティレベルが異なるため、利用するツールを限定しておくことで、情報漏えいなどのリスクを低減できます。

2-2. 利用時の禁止事項・注意事項

生成された内容を無確認で社外に共有する行為などは、意図せぬ情報流出の原因となりかねません。生成AIを業務で活用する際には、「やってはいけないこと」や「気を付けること」をあらかじめ定義しておくことがトラブルの回避につながります。

2-3. 入力データの取り扱いルールの明示

生成AIに入力するデータの種類を明文化します。個人情報や未公開の業務資料、顧客データといった機密性の高い情報は、原則として入力を禁止するという方針が一般的です。これに加え、「プロンプトの中に、特定の個人や顧客を識別できる情報や、内部文書の構造を明かすような表現を含めない」など、具体的な判断基準を盛り込むことで、利用者の意識を高める効果が期待できます。

2-4. 生成物の利用方法と責任範囲の明確化

生成AIによって出力されたテキストや画像などの生成物については、適切に取り扱う責任が人間側にあることを明示しておきます。また、誰がその内容の妥当性を判断するのかといった責任の所在も、あらかじめ整理しておくことが望ましいです。

2-5. 利用ログの記録・監査

生成AIの利用履歴を残すことは、不適切な利用を抑止するだけでなく、後から問題が発生した場合に原因を特定するためにも重要です。そのために、ツール側のログ機能を活用したり、業務システムと連携して記録を残したりするなど、継続的に監査可能な仕組みを導入しておくことが推奨されます。

2-6. 誤作動時の対応方法

生成AIの誤出力により誤解や損害が生じる事態に備えて、トラブル発生時の初動対応フローを定めておくことが重要です。また、発生原因の検証や再発防止策の策定を含めた一連の体制を整えることで、組織としての信頼を保つことができます。

2-7. 情報セキュリティ対策方針の明示

生成AIの利用が既存の情報セキュリティポリシーと整合するように、全体方針としてのセキュリティ基準をガイドライン内に盛り込みます。暗号化通信を行っているサービスのみを利用対象とする、業務データの保存が発生しない生成AIを選定する、といった要件がこれに該当します。また、ガイドライン全体が、組織内の情報セキュリティ管理体制（ISMS認証など）と整合しているかどうかも、策定時に確認しておきましょう。

NTT東日本の生成AIサービスの詳細はこちら！

3. 生成AIガイドライン策定のステップとポイント

生成AIガイドラインは、単にルールを羅列するだけでなく、現場の実態に即した実効性のある運用指針として設計される必要があります。ガイドライン策定時におさえておきたい5つのステップと、それに伴うポイントを解説します。

3-1. 利用実態のヒアリング

自組織における生成AIの利用実態を把握します。現場の判断で生成AIを試験的に使っているケースもあり、その実態を知らずにルールを策定してしまうと、現場とかけ離れた非現実的なガイドラインとなる恐れがあります。部門ごとにヒアリングやアンケートを実施し、どのようなツールがどのような業務で活用されているのか、また利用者がどのような課題や期待を感じているのかを丁寧に調査しましょう。

3-2. リスク評価と対象範囲の決定

実態を把握できたら、リスク評価と対象範囲の整理を行います。生成AIの活用に伴うリスクが、どの業務で発生し得るのかを評価した上で、ガイドラインの適用範囲を明確にします。すべての部門を対象とするのか、特定業務から段階的に導入していくのかといった運用方針を定めましょう。

3-3. 法務・情報セキュリティ部門との連携

ガイドラインの内容を具体化するフェーズでは、法務部門や情報セキュリティ部門との密な連携が不可欠です。生成AIの利用には、著作権や個人情報保護など、法的な観点からの整合性が強く求められるため、専門の知見を取り入れることがリスク回避につながります。また、すでに運用している社内規程や情報管理ポリシーと矛盾しないように、既存のルールとの整合性を確認しながら設計を進めていきます。さらに、違反が発生した場合の対応方針や責任の所在についても、事前に整理しておくことが重要です。

3-4. 全社的な承認と周知

ガイドラインの原案がまとまったら、経営層などによる承認を経て、全社的に周知していきます。多くの場合、ガイドラインは文書として整備されても、現場に正しく伝わらずに形骸化するリスクがあります。そのため、単にメールや社内チャットで共有するだけでなく、説明会や研修を通じて従業員・職員が内容を理解し、活用できる状態をつくることが重要です。

3-5. 定期的なモニタリングと改善

ガイドラインは策定して終わりではなく、技術進化や法制度の変化に応じて、定期的な見直しと改善が必要です。生成AIは変化の早い分野であるため、一定の期間を設けてレビューを行い、必要に応じて内容を更新する体制を整えておくとよいでしょう。また、見直しを担当する部門や相談窓口を明確にしておくことで、継続的な運用が現場に定着しやすくなります。

NTT東日本の生成AIサービスの詳細はこちら！

4. 生成AIガイドライン策定の事例

生成AIの活用が進む中、国・自治体・民間企業の各セクターでは、すでにガイドラインや利用方針の策定が進んでいます。それぞれの取り組みの特徴を紹介します。

4-1. 政府の取り組み

政府では、生成AIの積極的な活用と公共部門でのリスク対策を両立させる方針を掲げ、指針を策定しています。デジタル庁では、2025年5月、「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」を公表しました^※1。行政機関が生成AIを調達・利活用する際の基本方針やリスク管理、ガバナンス体制、実務ルールなどを明示しています。

1 出典：「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」を策定しました（デジタル庁）

4-2. 自治体の取り組み

自治体でも生成AIの導入とルール整備が進んでおり、ガイドライン策定の事例が増えています。東京都は、2023年8月に「文章生成AI利活用ガイドライン」を策定^※2。自治体職員が新たなテクノロジーを正しい知識を持って使いこなすことで、行政サービスの質や都政のQOS（Quality Of Service）を向上させることを目的としています。具体的には、文章生成AIのリスクの認識や職員が守るべきルール、効果的な活用方法などが記載されています。

2 出典：「文章生成AI利活用ガイドライン」の策定について（東京都デジタルサービス局）

4-3. 企業の取り組み

民間企業では、生成AIの導入によるガバナンス構築に伴い、自社ガイドラインやAI倫理方針の整備が進められています。Adobeでは、Adobeの生成AI機能を利用するユーザー向けに「生成AIガイドライン」を策定しています^※3。生成AI機能で出力した成果物をAIや機械学習モデルのトレーニングに利用しないことや、差別的表現や他社に損害を与える目的で利用しないことなど、AI倫理と活用ポリシーに関する内容を明記し、正確性や安全性の担保に取り組んでいます。

また、NTTグループでは、AIリスクを共通的に定義し、管理するための「AIガバナンス規程類」を制定しました。AIの適切な利用を推進するためのポリシーや、リスク対策の考え方をまとめたガイドラインを通じて、AIリスクマネジメントに努めています^※4。

3 出典：「Adobe生成AIユーザーガイドライン」（Adobe Inc.）

4 出典：「NTTグループのAIガバナンス規程類の制定、およびAIガバナンスの推進体制について～お客様が安心して利用できるAIの提供に向けたCo-CAIO、AIガバナンス室の新設～」（日本電信電話株式会社（NTT））

NTT東日本の生成AIサービスの詳細はこちら！

5. 生成AIサービス選びにお悩みならNTT東日本の「生成AIサービス」

SaaS型で提供するNTT東日本の「生成AIサービス」では、社内の営業データを活用できるチャット型のAIアシスタントとして日々の業務を強力に支援します。外部のデータベースから情報を検索し、信頼性の高い回答を出力する「RAG」の構築も可能です。また、プロンプトのテンプレート化や、利用状況を可視化できるレポート機能なども提供しています。その他にも、生成AIを効率的に利用するためのサポートや知識・技術習得のための研修などをオプションにて実施できます。生成AIガイドラインの策定に関する伴走支援も可能です。適切な生成AI環境のカスタマイズをトータルでサポートいたしますので、生成AIサービス選びやAIアシスタントの導入などをご検討中の方は、NTT東日本にご相談ください。

NTT東日本の生成AIサービスの詳細はこちら！

6. まとめ

生成AIを安全かつ効果的に活用するためには、「生成AIガイドライン」の整備が不可欠です。ガイドラインは「策定したら終わり」ではなく、現場で実際に活用され、継続的に更新されることで初めて機能します。策定の進め方や内容に不安がある場合は、専門的な支援を活用するのも一つの選択肢です。生成AIの導入をお考えの方は、ぜひNTT東日本にお任せください！