中小規模組織向け生成AIガイドラインサンプル

Table of Contents

Cover

TL;DR

  • 以前公開した 生成AIガイドラインチェックリスト に基づき、具体例として参考にできる サンプルガイドラインを作成し追加した
  • IT専門部署のない中小規模組織を想定した 大事故を防ぐ最低限を身の丈に合わせて 整えた60点ガイドライン
  • サンプルガイドラインの組織プロファイル・要件定義など 設計背景の文書もすべてリポジトリで公開。 カスタマイズの判断材料として使える
yostos / genai-governance-checklist</> Python

なぜサンプルを作ったのか

チェックリスト公開後、 「チェック項目の意図はわかったが、 具体的な書き方がわからないので実物を見せてほしい」 という声を多くいただきました。

チェックリストは 「何を書くべきか」を示すものですが、 「どう書くか」は組織の規模・業種・ リスク許容度によって大きく異なります。 前提が異なる例を見て意味があるのかという 疑問は大いにありますが、 「サンプルを見せて」というセリフは確かによく聞きます。 そこで特定の組織像を明確に設定したうえで、 そのまま実例として参照できるレベルの サンプルガイドラインを作成しました。

前提がリテラシー・ガバナンスの低い組織なので、 完璧な例を作成しても実行不能でしょう。 当サンプルガイドラインは、 大事故を防ぐ最低限を 身の丈に合わせて整えた 60点を目指しています。

前提条件

このサンプルには明確な前提条件があります。

想定する組織は、 専門のIT部門を持たない中小規模の組織です。 organization-profile.md に記載した通り、 一般社団法人を想定しています。

こういった組織では独自に 生成AIを組み込んだシステムを 構築しづらいと考えます。 したがって、理事長などが無邪気に 「なんか生成AIいいらしいから、 ChatGPTを導入しよう」 みたいな担当者にとっては 地獄のようなシーンを想定しています。

こうした組織ではガイドラインを まじめに一から作ることは稀で、 どこかから持ってきたものを そのまま使う傾向があります。 だからこそ具体例として参考にできる水準の サンプルを提供しています。

自組織への適用を検討する際は、 以下の前提が合致するかを 必ず確認してください。

  • ChatGPT Team、Claude、Geminiなど 組織向け有料プランを利用する。 無料・個人プランは対象外
  • 自社システムやSaaSに組み込まれるような 生成AIは想定していない
  • セキュリティやシステム管理の規定が 存在しないか、実効性がない
  • リテラシーが低く、かなり一般的なレベルから説明が必要
  • AI専任の管理者は置けず、 総務担当者などが兼務する運用体制

サンプルガイドラインの概要

リポジトリの docs/guideline-sample/ には サンプル本文だけでなく、 その背景となる文書も一式公開しています。

  • organization-profile.md — 想定組織の規模、業種、体制、 現在のAI利用状況、懸念事項を定義した 組織プロファイル
  • requirements-for-guideline.md — 対象読者、文書設計の方針、 チェックリストとの対応方針を記載した ガイドライン要件
  • guideline-sample.md — 全10章構成のサンプルガイドライン本文
  • guideline-sample.html — pandocで変換済みのHTML版
  • Makefile — MarkdownからHTMLへの変換スクリプト。 pandocがあれば make で再生成できる

「なぜこの内容になったのか」を 追跡できるようにすることで、 自組織向けにカスタマイズする際の 判断材料にしていただくことが狙いです。

サンプルはチェックリストの 必須74項目と推奨19項目、 合計93項目をカバーしています。 全10章の構成は以下の通りです。

  1. 組織体制と役割
  2. 利用が許可されるAIサービス
  3. 利用が許可される範囲
  4. データ入力の制限
  5. AI出力の利用上の注意
  6. リスク管理
  7. 教育・研修
  8. インシデント対応
  9. 違反時の対応
  10. ガイドラインの運用

特に第4章「データ入力の制限」では、 個人情報・機密情報・顧客情報・ 認証情報・財務情報・人事情報・ 法的保護情報の7分類について 具体例とともに禁止事項を定めています。 また匿名化の手順も示しており、 「何がダメで、どうすればいいのか」を 非エンジニアにも伝わるように記述しました。

カスタマイズのポイント

サンプルをそのまま使うのではなく、 自組織の状況に合わせた調整を推奨します。

許可するAIサービスの種類、 禁止情報の分類と具体例、 インシデント時の報告先と連絡体制は 最低限見直してください。 業種固有の規制がある場合 (医療、金融、教育など)は、 該当する法令への対応を追加する 必要があります。

リポジトリの組織プロファイルと 要件定義を自組織版に書き換えるところから 始めることをお勧めします。 前提を整理すれば、 ガイドライン本文の修正ポイントが 自ずと明確になります。

免責事項

本サンプルは情報提供を目的としており、 法的助言を構成するものではありません。 実際のガイドライン策定にあたっては、 自組織の法務担当者や外部の専門家に 確認のうえご利用ください。 組織の業種、規模、 取り扱う情報の性質によって 必要な対策は異なります。 本サンプルの利用によって生じた損害について、 筆者は一切の責任を負いません。

まとめ

正直に書きます。

チェックリストを公開後、 「ガイドラインのサンプルがあれば」と言われました。 そこで組織プロファイルから要件定義まで 丁寧に文書化し、93項目をカバーした サンプルガイドラインを提供しました。 HTML版や変換スクリプトまで付けました。

結果どうなったか。 結局、サンプル活用の労力すら惜しんで まともな検討もなく、出来合いの他組織の ガイドラインをコピーしたものが採用されました。

そもそもの発端を振り返れば、 組織としてAIで何を実現したいかという ビジョンがあったわけではありません。 組織トップの「なんか生成AIいいらしいから 導入しよう」という思いつきです。 導入によって何を実現したいのかが 不明確なまま、具体的な計画もなく 号令だけが降ってくる。 よくある話ですが、 そんな動機で降ってきた仕事に 担当者がやる気を出せないのは むしろ当然でしょう。

それでもこのサンプルを公開するのは、 同じような状況で困っている担当者が 他にもいると確信しているからです。 組織のトップが思いつきで 「生成AIのガイドライン作って」と 言い出すシーンは、 いまこの瞬間も日本中で 起きているはずです。

チェックリストとサンプルを 組み合わせて使っていただければ、 少なくとも60点のガイドラインは 作れます。 60点で始めて、 運用しながら改善していく。 完璧を待つより、 はるかに良い選択だと考えています。