「うちはAIを作っているわけじゃないから、AIの規制やガイドラインは関係ない」——そう考えている中小企業の経営者の方は多いのではないでしょうか。
しかし、2026年3月31日に経済産業省と総務省が公表した「AI事業者ガイドライン 第1.2版」では、ChatGPTやMicrosoft Copilot、Geminiを業務で使っているだけで「AI利用者」として対応が求められる ことが明確化されました。さらに同時期に総務省からは「AIのセキュリティ確保のための技術的対策に係るガイドライン」も公表され、IPA(情報処理推進機構)の「情報セキュリティ10大脅威 2026」には、AI利用をめぐるサイバーリスクが初めて選出されています。
「AIで業務を楽にしよう」と動き出した矢先、知らないうちにルール違反になっていた——そんな事態を避けるために、本記事では2026年5月時点の最新動向を、中小企業の目線で整理します。
先に、要点をまとめます。
- AI事業者ガイドライン第1.2版では、ChatGPT等を業務で使うだけの企業も「AI利用者」として対応が求められます
- 第一歩は、入力禁止情報の具体例を列挙したA4一枚の社内ガイドラインです
- 整備は現状把握から見直しまで6ステップ・合計2か月程度。専任担当者がいなくても形になります
なぜ今、中小企業もAIガイドラインを意識する必要がある?
第1.2版で「AI利用者」の責務が明確化され、業務でAIを使うだけの企業にも対応が求められるようになったためです。
AI事業者ガイドラインは、もともと2024年4月に経産省・総務省が共同で策定した日本国内のソフトロー(強制力のない指針)です。2026年3月31日に公表された第1.2版では、大きく次の3点が改訂されました。
- AIエージェント時代への対応:AIが外部システムに自律的にアクション(メール送信、購買、契約書ドラフト等)を取る場合の責任分担を明確化
- 学習データのトレーサビリティ:どのデータで学習したAIなのか、利用者側にも一定の確認責任
- リスク分類の拡充:誤情報・偏見・個人情報漏洩などのリスクを類型化し、対策テンプレを提示
注目すべきは、ガイドラインが「AI開発者」「AI提供者」「AI利用者」の3つの立場を分けて整理している 点です。AIを作る側だけでなく、業務でAIを使う側にも責務がある という構造です。
たとえば、社員が個人アカウントで無料版ChatGPTに顧客リストを貼り付けて「このリストを整形して」と依頼すれば、それは「AI利用者」としての義務違反になり得ます。経営者が「知らなかった」では済まない時代に入っているのです。
すでに 生成AIで地域中小企業のDXを加速する方法 や 中小企業のための「スモールDX」AIツール12選 でAI活用の入り口を解説してきましたが、今回はその「ガードレール」をどう設計するかという話です。
「AI利用者」として、中小企業は何に対応すべき?
入力禁止情報の明文化、業務用プランへの切り替え、利用ログと監査、シャドーAI対策、Human-in-the-Loopの5つです。
第1.2版では、AI利用者として押さえるべきチェックポイントが整理されています。すべてを完璧に対応する必要はありませんが、中小企業として最低限カバーしたい5つを抜き出しました。
1. 入力してはいけない情報を明文化する
無料版や個人プランの生成AIは、入力した内容がモデル学習に使われる可能性があります。次のような情報は 原則として入力禁止 とすべきです。
- 顧客の氏名・住所・電話番号・メールアドレス
- 取引先との契約書原本、見積書、請求書
- 社員の個人情報、評価情報、健康情報
- まだ公開していないプロダクトの仕様、ソースコード
- 自社の財務データ、未公表の経営数値
「ふんわり禁止」では現場は守れません。A4一枚の社内ガイドラインに、入力禁止情報の具体例を列挙する ことが第一歩です。
2. 業務用プランへの切り替えを検討する
ChatGPTやCopilotには、入力データを学習に使わない法人向けプランが用意されています。たとえばChatGPT Businessプランは2026年1月時点で1ユーザーあたり月額30ドル前後、Microsoft 365 Copilotは月額30ドル前後(為替変動あり)と、決して安くはありませんが、情報漏洩した場合の損害と比べれば現実的な投資です。
社員10名規模であれば月額3〜5万円程度。これは 中小企業がAIチャットボットを導入するメリットと現場効果 で触れた「投資対効果」の議論とも地続きの話です。
3. 利用ログと監査の運用
「誰が、いつ、どのAIに、何を入力したか」を後から振り返れる仕組みを用意しておくと、万一インシデントが起きたときの初動が大きく変わります。
- 法人プランの管理画面で利用ログを閲覧できるか確認
- 月1回、IT担当者または経営者がログを確認する運用ルールにする
- 異常な利用(深夜の大量入力、機密ファイルの貼り付け等)に気づける状態を作る
中小企業では「専任のセキュリティ担当者がいない」のが普通です。だからこそ、完璧を目指さず、月1回30分の確認時間を予定に組み込む くらいの粒度から始めるのが現実的です。
4. 社員教育と「シャドーAI」対策
経営層の承認を得ずに従業員が個人判断で業務に使うAIツールを「シャドーAI」と呼びます。シャドーAIは、生成AI時代の新たな情報漏洩経路として急速に注目されています。
対策の核心はシンプルで、「使っていいAI」を明示すること です。「禁止」だけだと現場は隠れて使い続けるので、
- 公式に使ってよいAIサービスのリスト(ホワイトリスト)
- 各AIで「やっていい業務」「やってはいけない業務」の例示
- 困ったら誰に相談すればいいかの窓口
を一枚にまとめ、入社時研修や月1回の朝会で周知するのが効果的です。
5. AIエージェント導入時のHuman-in-the-Loop
v1.2版で最も大きな変更点は、AIエージェントが外部システムに自律的にアクションを取る場面でのHuman-in-the-Loop(人間の確認ステップ)義務化 です。
たとえば「AIが顧客リストを見て自動でメール送信」「AIが在庫を見て自動で発注」といった業務を組み込む場合、送信・発注の最終確認は人間が行う設計 にする必要があります。完全自動化を目指すのではなく、AIが下書きを作り、人間が承認するというフローが推奨されます。承認フローに加えて、権限の絞り方・データの区画・監査ログまで含めた技術側の固め方は、AIエージェントのセキュリティ対策と5つの設計で解説しています。
これはAIエージェントを業務に入れる前に|「4割が中止」の理由と外さない始め方でも触れた話と地続きで、技術的にも経営的にも、当面は「AI+人のハイブリッド」が現実解になりそうです。
社内ガイドラインの整備は、どう進めればいい?
現状把握から3か月後の見直しまでの6ステップ・合計2か月程度が目安です。A4一枚に集約するのがポイントです。
「ガイドラインを作りましょう」と言っても、中小企業では誰がやるのか、どこから手を付けるのかが見えず止まりがちです。次の6ステップで進めるのが現実的です。
ステップ1:現状把握(1週間)
社員にアンケートを取り、「今どのAIを使っているか」を洗い出します。匿名アンケートにすると本音が出やすく、シャドーAIの実態も見えてきます。
ステップ2:禁止情報リストの作成(1〜2週間)
業種ごとに「絶対に入力してはいけない情報」を列挙します。建設業なら現場図面、医療系なら患者情報、士業なら依頼者情報——業種特有の機微情報を必ず含めます。
ステップ3:使ってよいAIの選定(2〜3週間)
無料版を全面禁止にするのか、用途を限って許可するのか方針を決めます。少なくとも 顧客情報や取引情報を扱う業務は法人プランに限定 するのが安全です。
ステップ4:A4一枚のガイドラインに集約(1週間)
長い文書は読まれません。「入力してよいもの」「ダメなもの」「使ってよいAI」「困ったときの相談先」をA4一枚にまとめます。
ステップ5:社員説明会と運用開始(1週間)
朝会や全体会で、なぜルールを作ったか、違反するとどうなるかを丁寧に説明します。罰則よりも、「会社と社員を守るためのルール」 という位置付けを共有することが大切です。
ステップ6:3か月後の見直し
AIの世界は半年で常識が変わります。3か月運用してみて、現場の声を聞きながらアップデートします。
ここまでで合計2か月程度。専任担当者を立てるのが理想ですが、難しければ経営者または総務担当が片手間で進めても十分に形になります。
社内AIガイドライン整備の6ステップ図:現状把握→禁止情報リスト作成→使ってよいAIの選定→A4一枚に集約→社員説明会と運用開始→3か月後の見直し、合計2か月程度で整備する
あわせて読みたい
まとめ──ガードレールを作ってから、思い切りアクセルを踏む
AI活用の最大のリスクは、「使わないこと」でも「使いすぎること」でもなく、「ルールなく使い続けて、どこかで大事故になること」 です。
2026年5月時点で、日本の中小企業のAI活用は明らかに次のフェーズに入りました。経産省・総務省のガイドラインも、IPAの脅威ランキングも、「AIを使う側の責任」を明確に問い始めています。
裏を返せば、社内ガイドラインを整備して堂々とAIを使っている会社は、これから採用面でも取引面でも信頼を勝ち取りやすくなる、ということです。
身の丈に合った範囲で構いません。A4一枚から始めて、3か月ごとに見直す——それだけで、自社のAI活用は確実に「人に説明できるもの」へと変わっていきます。
ゼットリンカーでは、社内AI利用ガイドラインの策定支援から、業務に合わせたAIエージェントのフルスクラッチ開発まで、中小企業の段階に応じてご相談を承っています。「うちはどこから手を付ければいいのか」と迷われた段階で、お気軽にご相談ください。
ルールづくりだけでなく、AI活用の定着まで含めて任せたい場合は、1年伴走の外部AI部署(年間パートナー)という形もご用意しています。
FAQ
Q. うちはAIを開発しているわけではないのですが、それでもAIのガイドラインに対応が必要ですか?
A. 必要になり得ます。2026年3月31日に経済産業省と総務省が公表した「AI事業者ガイドライン 第1.2版」では、ChatGPTやMicrosoft Copilot、Geminiを業務で使っているだけで「AI利用者」として対応が求められることが明確化されました。ガイドラインは「AI開発者」「AI提供者」「AI利用者」を分けて整理しており、AIを作る側だけでなく業務で使う側にも責務がある構造です。
Q. 社員が無料版のChatGPTに顧客リストを貼り付けて作業しているようです。これは問題でしょうか?
A. 無料版や個人プランの生成AIは入力内容がモデル学習に使われる可能性があり、社員が個人アカウントで顧客リストを貼り付けて依頼すれば「AI利用者」としての義務違反になり得ます。顧客の氏名・住所などの個人情報、契約書・見積書・請求書、社員の個人情報、未公開のプロダクト仕様やソースコード、未公表の財務・経営数値は原則入力禁止とし、まずはA4一枚の社内ガイドラインに具体例を列挙することが第一歩です。
Q. 「AIは禁止」と言っても社員が隠れて使ってしまいそうで不安です。どう対策すればよいですか?
A. 経営層の承認を得ずに従業員が個人判断で使うAIを「シャドーAI」と呼び、新たな情報漏洩経路として注目されています。「禁止」だけだと現場は隠れて使い続けるため、対策の核心は「使っていいAI」を明示することです。公式に使ってよいサービスのホワイトリスト、各AIで「やっていい業務/いけない業務」の例示、困ったときの相談窓口を一枚にまとめ、入社時研修や月1回の朝会で周知するのが効果的です。
Q. 専任のセキュリティ担当者がいない小さな会社でも、ガイドライン整備はできますか?
A. できます。完璧を目指さず、現状把握(1週間)、禁止情報リスト作成(1〜2週間)、使ってよいAIの選定(2〜3週間)、A4一枚への集約(1週間)、社員説明会と運用開始(1週間)、3か月後の見直し、の6ステップで合計2か月程度が目安です。専任担当者を立てるのが理想ですが、難しければ経営者または総務担当が片手間で進めても十分に形になります。
運営・編集
株式会社ゼットリンカー