目次
2023年4月、Samsung Electronics は社内利用を許可したばかりのChatGPTから 20日間で3回、機密データを漏らした。半導体ソースコード、不良装置の修正用コード、社内会議の議事録——いずれも社員が「ChatGPTに直してもらおう」と入力した瞬間に OpenAIのサーバーへ送信され、二度と引き戻せない。Samsungは即座にChatGPT・Bing・Bardを 全社禁止 にした。JPMorgan・Goldman Sachs・Citi・Bank of America・Wells Fargo も同時期に類似の禁止措置を出している。
あれから3年。2026年は「禁止」では済まなくなった。社員はスマホでChatGPTを使い、エンジニアはClaude Codeでコード書き、マーケはGeminiで資料作る——禁止しても シャドーAI(無許可利用) が蔓延するだけだ。さらに 2026年8月2日からEU AI Act の高リスクシステム規制が全面発効、違反は最大 3,500万ユーロまたは全世界売上の7%。「禁止」も「放置」もできない。残された道は 「ガイドラインで枠を決めて、安全な利用を促進する」 しかない。
私の立場を先に書く。「ガイドラインなんて分厚いPDFを誰も読まない」というのは正論だが、結論として間違い。ガイドラインの目的は読ませることではなく、「インシデント発生時に責任の所在を明確にし、社員に最低限のNGラインを刷り込む」 こと。本記事ではガイドライン必須7項目、入力禁止データ5分類、EU AI Act期限、実装5フェーズ、落とし穴まで、2026年5月時点の実用情報で整理する。
「禁止」も「放置」も負け——第3の道がガイドライン
— 漏洩防止 × 生産性向上 × 法令順守の三立を狙う
2023年型: 「全社禁止」でリスク回避 →
2026年型: 「枠で安全運用」で漏洩防止+生産性+法令順守の三立。
分厚いPDFは要らない。A4 2枚+許可リスト で十分機能する
1. 2023年4月、Samsung は20日でAIを禁止した
事件の経緯は単純だ。Samsung 半導体部門が3月にChatGPT利用を社内承認。4月の20日間で 3件の機密漏洩 が連続発生した。①社員Aが不良の半導体データベース ソースコードを「修正案を出して」と全文ChatGPTに送信。②社員Bが製造装置の不具合修正コードを同様に送信。③社員Cが内部会議の 録音書き起こしを丸ごと貼り付けて議事録生成を依頼。3件とも、その瞬間に OpenAIのサーバーに到達し、訓練データとして利用される可能性 が発生した。
Samsungは即座に 会社所有デバイス全てで ChatGPT/Bing/Bard を遮断、社員私物デバイスでも社内ネットワーク経由は禁止に。同時期、金融大手 JPMorgan / Goldman Sachs / Citi / Bank of America / Wells Fargo / Deutsche Bank も類似の禁止措置を出した。「企業がAIを禁止する」という流れの起点だ。
2026年現在、Samsungは 社内専用LLM「Samsung Gauss」を自社開発 し、ChatGPT禁止は継続している。これは正攻法の一つだが、中堅以下の企業が真似するには投資規模が大きすぎる。残りの企業に残された道は、商用AIサービスを「ガイドラインで安全に使う」 一択になる。
2. なぜ「いま」ガイドラインが必要か——3つの圧力
3つの圧力の中で実は 「シャドーAI」が最も深刻 だと私は考えている。Samsungのように 「会社の承認の上で使ったから漏洩を把握できた」 のはまだ運が良い。多くの企業では、社員がスマホでChatGPTにクライアント名を含む議事録を貼り付けても、誰も気づかない。「気づけないこと」が最大のリスク で、これを防ぐにはガイドラインで「会社が把握する公式ルート」を作るしかない。
3. 必須7項目テンプレ——これを埋めれば最低限OK
「分厚いPDFを書く」ではなく、A4 2枚で済む7項目テンプレ。社内で本日着手してこの週末に配布できるレベル感を目指す。
このうち 「②入力禁止データ」と「⑤インシデント報告」 がガイドライン成否を決める2項目だ。①③④⑥⑦は埋めようと思えば誰でも書ける。だが 「何を入力してはダメか」を具体例ベースで書く ことと、「うっかり入力を罰しないと明文化する」 の2点は、書く人の覚悟が要る。罰する文化を選んだ瞬間、社員は隠蔽し、結果として漏洩を把握できなくなる。
4. 入力禁止データ5分類——具体例
「機密情報を入れるな」では曖昧すぎて社員に伝わらない。5分類+具体例で書く。
| 分類 | 具体例(入れてはいけない) | 代替策 |
|---|---|---|
| ① 個人情報 | 氏名・住所・電話・メール・社員番号・マイナンバー | 「顧客A」「ユーザーB」に置換してから入力 |
| ② 機密情報 | 未公開財務数字・経営戦略・M&A情報・人事情報 | 数値を抽象化(「売上が前年比XX%上昇」など) |
| ③ 契約守秘対象 | NDA下のクライアントデータ・APIキー・SSO情報 | そもそもAIに入れない。社内専用LLM or 法人API+No-train契約 |
| ④ 知的財産 | 未公開ソースコード・特許出願前の設計・独自アルゴリズム | Samsung教訓: 該当部分を抽象化 or 社内LLM限定 |
| ⑤ 規制対象 | 医療情報(個人特定可能)・金融取引明細・未公開研究データ | 業界特化のオンプレ AI(HIPAA/GxP対応)使用 |
重要なのは 「代替策」を必ず併記する こと。「入れるな」だけ書くと、社員は「AIで作業効率化できない」と判断して隠れて使う。「個人名は『顧客A』に置換すれば入れて良い」 という代替策があれば、合法ルートで使う。これがシャドーAI抑止の現実解だ。
5. EU AI Act——2026年8月2日の期限
EU AI Act は4段階のリスク分類でAIシステムを規制する。2026年8月2日に「高リスクシステム」規制が全面発効、これ以降の運用には厳格な義務が伴う。
| リスク段階 | 該当例 | 義務 | 違反罰金 |
|---|---|---|---|
| 禁止 | 社会スコアリング、潜在意識操作、職場感情認識 | 利用禁止 | 最大3,500万ユーロ or 売上7% |
| 高リスク | 採用判定・信用評価・教育評価・医療診断・司法判断 | 技術文書・リスク管理・人間監視・ログ保管(Art.9/11/12) | 最大1,500万ユーロ or 売上3% |
| 限定リスク | チャットボット、ディープフェイク | 透明性義務(AI生成の明示) | 最大1,500万ユーロ or 売上3% |
| 最小リスク | スパムフィルタ、AIゲームNPC | なし(推奨ベストプラクティス) | — |
誤解されやすい点: EU内でビジネスをしていなくても、EU市民のデータを扱うなら適用対象。日本企業でも欧州顧客がいればEU AI Actに従う必要がある。一方、「社員がChatGPTを使って翻訳する」程度は最小リスクで、特段の義務は生じない。「採用書類の合否をAIで判定する」「ローン審査をAIで自動化する」 は明確に高リスクで、2026年8月以降は技術文書・人間監視・ログ保管が法的義務となる。該当業務がある企業は、社内ガイドラインに 「高リスク該当業務はAI使用前に法務承認必須」 を追加すべき。
6. 実装ロードマップ5フェーズ
ガイドライン作って終わり、ではない。中小企業(〜200名)で2〜3ヶ月、大企業で6ヶ月程度のロードマップ。
このうち PHASE 1 の現状把握を必ず最初に。「禁止すれば誰も使わないだろう」という前提でガイドライン作ると、実態と乖離して機能しない。匿名アンケートで 「直近1ヶ月で使ったAIサービス」「業務で入力したことがあるデータ種類」 を取ると、想定の3倍くらいシャドーAIが見つかる。これを把握してからルール作るのが順序として正しい。
7. やってはいけない3つの落とし穴
落とし穴①: 全社禁止に走る
Samsung以外の企業がこれをやると、ほぼ確実に シャドーAIが爆発的に増える。社員はスマホでChatGPT個人プランを使い、会社は把握できず、漏洩が起きても誰も報告しない。禁止の真のコストは「見えなくなること」。Samsungが社内LLM Gauss を自社開発できたのは、半導体トップ企業の体力があったから。中堅以下は 「ガイドラインで公式ルート提供」 が現実解。
落とし穴②: 罰則ベースで設計する
「機密データを入れた社員は懲戒」とすると、うっかり入力した社員が隠蔽する。漏洩したのに会社が知らないまま顧客に流出 → 顧客から告発 → 企業の信頼崩壊、というワーストパターンになる。「ガイドライン違反でも、報告すれば罰しない」を明文化。代わりに「報告しなかった場合のみ懲戒対象」とすると、不思議とインシデント報告が機能し始める。
落とし穴③: 一度作って終わりにする
AI業界は 半年で前提が変わる。2024年に作ったガイドラインで「ChatGPT利用禁止」と書いてあると、Claude Code を使うエンジニアが「これは ChatGPT じゃないからOK」と勝手解釈する。明文化された製品名・モデル名は 必ず半年〜年次で見直す。新興サービス(Cursor / Perplexity / Notion AI など)が許可なのか禁止なのか、社員が判断に困らない更新が必要だ。Wayfair の事例(前記事077参照)も含め、「ガイドラインは生き物」 として扱う。
まとめ
2023年のSamsung漏洩から3年、企業のAI利用は 「禁止か容認か」の二択 から 「どう枠決めて運用するか」の実装段階 に入った。法務リスク(EU AI Act)、漏洩リスク(Samsung教訓)、競争力リスク(生産性30〜50%差)の三方塞がりの状況で、分厚いPDFを作る暇は無いが、ガイドラインゼロでも済まない。本記事の7項目テンプレ+5フェーズロードマップを使えば、中小企業なら2〜3ヶ月で導入可能だ。「最小限の枠で最大限の安全運用」 ——これが2026年のAIガバナンスの実践解だ。
FAQ
AIを社内禁止にすべきですか?
原則 禁止すべきではありません。Samsungのように社内専用LLMを自社開発できる企業以外は、禁止すると シャドーAI(社員が個人で勝手に使う) が増えて、結果として漏洩リスクが上がります。ガイドラインで枠を決めて、法人プラン(Team/Enterprise)を会社契約で提供するのが現実解です。
EU AI Act は日本企業にも影響しますか?
EU市民のデータを扱う、またはEU内でAIサービスを提供する場合は適用対象 です。日本国内のみで完結する業務(社員のみ向け翻訳など)は最小リスクで義務はほぼ生じませんが、欧州顧客のローン審査・採用判定・医療診断をAIで行う場合は、2026年8月2日以降に技術文書・人間監視・ログ保管が法的義務になります。違反は最大3,500万ユーロまたは全世界売上の7%。
ガイドラインは何ページくらい書くべき?
本体A4 2枚+別添(許可リスト・禁止データ例示)数枚 で十分機能します。「分厚いPDFを誰も読まない」のは事実なので、本体は要約だけ、詳細は別添にして読み手の負担を下げます。重要なのは枚数ではなく「②入力禁止データ」「⑤インシデント報告」の 具体性と心理的安全性 が確保されていることです。
個人プランと法人プランの違いは?
法人プラン(ChatGPT Team / Claude Enterprise / Microsoft Copilot Business 等)は入力データがモデル学習に使われない契約(No-train)が基本。個人プラン(ChatGPT Plus等)は学習に使われる可能性があります。ガイドラインで「業務利用は法人プラン限定」と明示すれば、Samsung型漏洩リスクを大幅に減らせます。料金は1ユーザー月$20〜$60程度。
「うっかり入力」を罰しないって、本当に良いの?
はい、これが核心です。罰すると社員は隠蔽し、会社は漏洩を把握できなくなります。把握できない漏洩が最悪の結末(顧客告発・SNS流出・規制当局介入)を招きます。「報告すれば罰しない、隠蔽したら懲戒」という設計にすると、不思議とインシデント報告が増え、早期対応が可能になります。航空業界の安全文化と同じ発想です。
小規模スタートアップでも必要?
必要です。むしろ小規模ほど早く作るべきで、後付けで作るより文化として定着しやすい。10〜30名規模なら、本記事の7項目テンプレをそのまま使って 1日で本体作成、1週間で導入完了 が可能です。投資家・大手顧客と契約する際にも「AI利用ガイドライン整備済」がデューデリの基本項目になりつつあります(特にEU顧客向け)。
