「うちはAIを作っているわけじゃないから、AIの規制やガイドラインは関係ない」——そう考えている中小企業の経営者の方は多いのではないでしょうか。
しかし、2026年3月31日に経済産業省と総務省が公表した「AI事業者ガイドライン 第1.2版」では、ChatGPTやMicrosoft Copilot、Geminiを業務で使っているだけで「AI利用者」として対応が求められる ことが明確化されました。さらに同時期に総務省からは「AIのセキュリティ確保のための技術的対策に係るガイドライン」も公表され、IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2026」には、AI利用をめぐるサイバーリスクが初めて選出されています。
「AIで業務を楽にしよう」と動き出した矢先、知らないうちにルール違反になっていた——そんな事態を避けるために、本記事では2026年5月時点の最新動向を、中小企業の目線で整理します。
なぜ今、中小企業もAIガイドラインを意識する必要があるのか
AI事業者ガイドラインは、もともと2024年4月に経産省・総務省が共同で策定した日本国内のソフトロー(強制力のない指針)です。2026年3月31日に公表された第1.2版では、大きく次の3点が改訂されました。
- AIエージェント時代への対応:AIが外部システムに自律的にアクション(メール送信、購買、契約書ドラフト等)を取る場合の責任分担を明確化
- 学習データのトレーサビリティ:どのデータで学習したAIなのか、利用者側にも一定の確認責任
- リスク分類の拡充:誤情報・偏見・個人情報漏洩などのリスクを類型化し、対策テンプレを提示
注目すべきは、ガイドラインが「AI開発者」「AI提供者」「AI利用者」の3つの立場を分けて整理している 点です。AIを作る側だけでなく、業務でAIを使う側にも責務がある という構造です。
たとえば、社員が個人アカウントで無料版ChatGPTに顧客リストを貼り付けて「このリストを整形して」と依頼すれば、それは「AI利用者」としての義務違反になり得ます。経営者が「知らなかった」では済まない時代に入っているのです。
すでに 生成AIで地域中小企業のDXを加速する方法 や 中小企業のための「スモールDX」AIツール12選 でAI活用の入り口を解説してきましたが、今回はその「ガードレール」をどう設計するかという話です。
「AI利用者」として中小企業が対応すべき5つの観点
第1.2版では、AI利用者として押さえるべきチェックポイントが整理されています。すべてを完璧に対応する必要はありませんが、中小企業として最低限カバーしたい5つを抜き出しました。
1. 入力してはいけない情報を明文化する
無料版や個人プランの生成AIは、入力した内容がモデル学習に使われる可能性があります。次のような情報は 原則として入力禁止 とすべきです。
- 顧客の氏名・住所・電話番号・メールアドレス
- 取引先との契約書原本、見積書、請求書
- 社員の個人情報、評価情報、健康情報
- まだ公開していないプロダクトの仕様、ソースコード
- 自社の財務データ、未公表の経営数値
「ふんわり禁止」では現場は守れません。A4一枚の社内ガイドラインに、入力禁止情報の具体例を列挙する ことが第一歩です。
2. 業務用プランへの切り替えを検討する
ChatGPTやCopilotには、入力データを学習に使わない法人向けプランが用意されています。たとえばChatGPT Businessプランは2026年1月時点で1ユーザーあたり月額30ドル前後、Microsoft 365 Copilotは月額30ドル前後(為替変動あり)と、決して安くはありませんが、情報漏洩した場合の損害と比べれば現実的な投資です。
社員10名規模であれば月額3〜5万円程度。これは 中小企業がAIチャットボットを導入するメリットと現場効果 で触れた「投資対効果」の議論とも地続きの話です。
3. 利用ログと監査の運用
「誰が、いつ、どのAIに、何を入力したか」を後から振り返れる仕組みを用意しておくと、万一インシデントが起きたときの初動が大きく変わります。
- 法人プランの管理画面で利用ログを閲覧できるか確認
- 月1回、IT担当者または経営者がログを確認する運用ルールにする
- 異常な利用(深夜の大量入力、機密ファイルの貼り付け等)に気づける状態を作る
中小企業では「専任のセキュリティ担当者がいない」のが普通です。だからこそ、完璧を目指さず、月1回30分の確認時間を予定に組み込む くらいの粒度から始めるのが現実的です。
4. 社員教育と「シャドーAI」対策
経営層の承認を得ずに従業員が個人判断で業務に使うAIツールを「シャドーAI」と呼びます。シャドーAIは、生成AI時代の新たな情報漏洩経路として急速に注目されています。
対策の核心はシンプルで、「使っていいAI」を明示すること です。「禁止」だけだと現場は隠れて使い続けるので、
- 公式に使ってよいAIサービスのリスト(ホワイトリスト)
- 各AIで「やっていい業務」「やってはいけない業務」の例示
- 困ったら誰に相談すればいいかの窓口
を一枚にまとめ、入社時研修や月1回の朝会で周知するのが効果的です。
5. AIエージェント導入時のHuman-in-the-Loop
v1.2版で最も大きな変更点は、AIエージェントが外部システムに自律的にアクションを取る場面でのHuman-in-the-Loop(人間の確認ステップ)義務化 です。
たとえば「AIが顧客リストを見て自動でメール送信」「AIが在庫を見て自動で発注」といった業務を組み込む場合、送信・発注の最終確認は人間が行う設計 にする必要があります。完全自動化を目指すのではなく、AIが下書きを作り、人間が承認するというフローが推奨されます。
これは AIエージェントで業務自動化を進める実装ガイド や 既存システムへのAI統合ガイド でも触れた話と地続きで、技術的にも経営的にも、当面は「AI+人のハイブリッド」が現実解になりそうです。
社内ガイドライン整備の進め方──6ステップで現実的に着手する
「ガイドラインを作りましょう」と言っても、中小企業では誰がやるのか、どこから手を付けるのかが見えず止まりがちです。次の6ステップで進めるのが現実的です。
ステップ1:現状把握(1週間)
社員にアンケートを取り、「今どのAIを使っているか」を洗い出します。匿名アンケートにすると本音が出やすく、シャドーAIの実態も見えてきます。
ステップ2:禁止情報リストの作成(1〜2週間)
業種ごとに「絶対に入力してはいけない情報」を列挙します。建設業なら現場図面、医療系なら患者情報、士業なら依頼者情報——業種特有の機微情報を必ず含めます。
ステップ3:使ってよいAIの選定(2〜3週間)
無料版を全面禁止にするのか、用途を限って許可するのか方針を決めます。少なくとも 顧客情報や取引情報を扱う業務は法人プランに限定 するのが安全です。
ステップ4:A4一枚のガイドラインに集約(1週間)
長い文書は読まれません。「入力してよいもの」「ダメなもの」「使ってよいAI」「困ったときの相談先」をA4一枚にまとめます。
ステップ5:社員説明会と運用開始(1週間)
朝会や全体会で、なぜルールを作ったか、違反するとどうなるかを丁寧に説明します。罰則よりも、「会社と社員を守るためのルール」 という位置付けを共有することが大切です。
ステップ6:3か月後の見直し
AIの世界は半年で常識が変わります。3か月運用してみて、現場の声を聞きながらアップデートします。
ここまでで合計2か月程度。専任担当者を立てるのが理想ですが、難しければ経営者または総務担当が片手間で進めても十分に形になります。
まとめ──ガードレールを作ってから、思い切りアクセルを踏む
AI活用の最大のリスクは、「使わないこと」でも「使いすぎること」でもなく、「ルールなく使い続けて、どこかで大事故になること」 です。
2026年5月時点で、日本の中小企業のAI活用は明らかに次のフェーズに入りました。経産省・総務省のガイドラインも、IPAの脅威ランキングも、「AIを使う側の責任」を明確に問い始めています。
裏を返せば、社内ガイドラインを整備して堂々とAIを使っている会社は、これから採用面でも取引面でも信頼を勝ち取りやすくなる、ということです。
身の丈に合った範囲で構いません。A4一枚から始めて、3か月ごとに見直す——それだけで、自社のAI活用は確実に「人に説明できるもの」へと変わっていきます。
ゼットリンカーでは、社内AI利用ガイドラインの策定支援から、業務に合わせたAIエージェントのフルスクラッチ開発まで、中小企業の段階に応じてご相談を承っています。「うちはどこから手を付ければいいのか」と迷われた段階で、お気軽にご相談ください。
この記事を書いた人
株式会社ゼットリンカー