お問い合わせ
AI NOTE — 076

Google Workspace特化の生成AI利用ガイドライン:情シスが定めるべきデータ保護と運用ルール雛形

PUBLISHED2026.05.06
READ12 分
CATEGORYAI

社内での生成AI活用が進む中、Google Workspaceを利用する企業で情シスが定めるべき生成AI利用ガイドラインの全体像と、具体的なルール文言の雛形について解説します。Gemini for Workspaceと外部AIツールの両方に対応した実践的な内容です。

この記事を読んだほうが良い人

  • 100名規模の企業でGoogle Workspaceを管理する情シス・コーポレートIT担当者
  • 社内で生成AIの利用が広がりつつあり、ガイドライン整備の必要性を感じているが、どこから手をつけばよいか迷っている人
  • Gemini for Workspaceと外部AIツール(ChatGPT等)が混在する環境でのデータ保護・著作権・運用ルールを知りたい人
  • 自社でそのまま使える生成AI利用ルール文言の雛形を探している人

1. 生成AI利用ガイドライン策定の重要性:情シスの役割

生成AIの導入は、業務効率化や新たな価値創造の大きなチャンスです。しかし、無秩序な利用は、情報漏洩や著作権侵害といった重大なリスクにつながる可能性があります。情シス担当者は、これらのリスクを管理し、安全かつ効果的なAI活用を促進するためのガイドライン策定を主導する必要があります。

なぜ今、ガイドラインが必要なのか

生成AIの利用が広がる中で、以下のようなリスクが顕在化しています。

  • データ漏洩リスク: 機密情報や個人情報をプロンプトとして誤って入力してしまうことで、意図せず外部に情報が流出する可能性があります。
  • 著作権侵害リスク: AIが生成したコンテンツの著作権帰属が不明確であったり、既存の著作物を学習元としていることで、意図せず著作権侵害につながる可能性があります。
  • 誤情報の拡散リスク: AIが生成する情報には誤りが含まれることがあり、その情報を鵜呑みにして業務に使用することで、社内外に不正確な情報が拡散するリスクがあります。
  • 業務効率の低下: 適切なルールがないまま多様なAIツールが乱立すると、かえって情報共有が複雑になったり、ツールの選定に迷いが生じたりして、業務効率が低下するケースもあります。

情シスが担うべきガバナンス

これらのリスクを管理し、AIのメリットを最大限に引き出すために、情シス部門は以下のガバナンスを担うことが求められます。

  • 利用ツールの選定と管理: 社内で利用を許可するAIツールを明確にし、その管理体制を構築します。
  • セキュリティとデータ保護ルールの策定: 入力データに関するルールや、利用状況の監視方法などを定めます。
  • 利用者への教育と啓蒙: ガイドラインの内容を全従業員に周知し、安全な利用方法に関する教育を継続的に行います。
  • 運用状況のモニタリング: AIツールの利用状況を定期的に確認し、リスクの早期発見と対策につなげます。

2. Gemini for Workspaceにおけるデータ保護の原則と管理設定

Google Workspaceの生成AI機能であるGemini for Workspaceは、Googleの厳格なデータ保護ポリシーに基づいて運用されています。この点を理解し、管理コンソールで適切に設定することが重要です。

Googleのデータ処理ポリシー

Googleの公式情報(Google Workspace管理者ヘルプ)によると、Gemini for Google Workspaceに送信された顧客データ、具体的にはプロンプトやその他のコンテンツは、Googleの汎用大規模言語モデルのトレーニングには使用されません。これは、多くの企業が懸念する機密情報の流出リスクを大幅に軽減する重要なポイントです。

また、Gemini for Google Workspaceは、他のGoogle Workspaceサービスと同様に、Data Processing Addendum(DPA)を含むGoogle Workspaceの契約フレームワークに基づく堅牢なデータガバナンス、プライバシー、セキュリティコミットメントのもとで運用されています。人間によるレビューは、セキュリティや法的要件がある場合、または顧客の明示的な同意がある場合にのみ実施されます。

管理コンソールでのGemini制御設定

Google Workspaceの管理者は、Google Admin ConsoleからGemini for Workspaceの利用を細かく制御できます。

  • 有効化・無効化: 組織全体または特定の組織部門(OU: Organizational Unit)ごとにGemini for Workspace機能を有効または無効にできます。これにより、特定の部署のみ先行導入したり、機密情報を扱う部署では利用を制限したりといった柔軟な対応が可能です。
  • 早期アクセスプログラム(EAP)やベータ版機能の管理: 新しいGemini機能が早期アクセスやベータ版として提供される場合、これらの機能の利用もOU単位で管理できます。
  • ログ監査の重要性: 管理コンソールからはGemini for Workspaceの利用状況に関する監査ログを確認できます。これにより、誰がいつ、どの機能を利用したかといった情報を把握し、ガイドライン遵守状況のモニタリングに役立てられます。

3. 外部生成AIツール(ChatGPT等)利用時のリスクと許可基準

Gemini for Workspace以外の外部生成AIツール(例: ChatGPT、Microsoft Copilot、Claudeなど)を利用する場合、そのデータ処理ポリシーやセキュリティレベルはツールによって大きく異なります。情シスはこれらのリスクを整理し、利用の許可基準を明確に定める必要があります。

外部AIツールの主なリスク

  • データプライバシー: 多くの外部AIツールでは、入力されたデータがモデルの学習に利用される可能性があります。これにより、企業の機密情報や個人情報が意図せず学習データとして取り込まれ、他のユーザーへの応答に影響を与えるリスクがあります。
  • セキュリティ: 不明な提供元のツールや、APIキーの不適切な管理は、不正アクセスやデータ漏洩のリスクを高めます。
  • コンプライアンス: 各ツールの利用規約やデータ保存場所(国・地域)によっては、自社の情報セキュリティポリシーや法令(GDPR、CCPAなど)に準拠できない場合があります。
  • コスト: 無償版の利用制限や、有償版の費用対効果を適切に評価しないと、コストが肥大化する可能性があります。

よくある失敗例

ガイドラインを整備していない状態で外部AIツールの利用が広がると、次のような問題が起きやすくなります。

シャドーIT化: 情シスが把握していないAIツールが部署単位で使われ始め、データポリシーの異なるサービスに業務データが流れ込む状態になります。発覚した時点では既に機密情報が入力されているケースもあります。

無料プランへの顧客情報入力: 担当者が「少し使ってみる」感覚でChatGPT無料プランに顧客名や取引先情報を含むプロンプトを入力してしまうパターンです。無料プランではモデル改善に入力データが使われる場合があり、情報漏洩と同義のリスクになります。

ハルシネーション情報の外部公開: AI生成の文章を確認なしにそのままメールや提案書に使い、事実と異なる数値・社名・製品仕様が顧客に伝わった事例も報告されています。生成物は必ず人間が最終確認する運用ルールが不可欠です。

外部AI利用の許可基準表(雛形)

外部AIツールの利用を許可する際の基準を明確にするための表の雛形です。

項目 許可基準 不許可基準
利用目的 業務効率化・アイデア創出・情報収集など、明確な業務上の目的があること。生成物の最終確認を必ず人間が行うこと 私的利用・娯楽目的。生成物の最終確認を人間が行わない前提での利用
入力データ 公開情報・一般的な知識・社外秘ではない情報のみ。個人情報・機密情報・営業秘密を含まない情報 個人情報(氏名・住所・電話番号・メールアドレス・マイナンバー等)。機密情報(顧客情報・未公開製品情報・財務情報・営業秘密等)。知的財産(著作権保護コンテンツ等)
ツール 情シス部門が承認した特定の企業向け有償プラン(例: ChatGPT Enterprise)。データ処理ポリシーが明確で、入力データがモデル学習に利用されないことが保証されているツール 無償版のツール。データ処理ポリシーが不明確なツール。入力データがモデル学習に利用される可能性のあるツール。APIのセキュリティが未確認のツール
承認フロー 所定の申請書を提出し、情シス部門によるリスク評価と承認を得ていること。定期的な利用状況報告、ポリシー変更時の再申請 無許可での利用。申請内容と異なる利用。承認されたツール・プラン以外での利用

4. 情シスが定めるべきルール文言の雛形

ここからは、情シスが社内ガイドラインとしてそのまま使える具体的なルール文言の雛形を紹介します。自社の状況に合わせて適宜カスタマイズして活用してください。

共通利用ルール(全社向け)

生成AIを利用する全従業員が遵守すべき基本ルールです。

  • 目的:
  • 本ガイドラインは、生成AIの安全かつ効果的な利用を促進し、情報セキュリティの確保、著作権等の法令遵守、および倫理的な利用を目的とします。
  • 基本原則:
  • 倫理的利用: 生成AIは、差別・偏見・ハラスメント・虚偽情報の拡散など、社会的に不適切または有害な目的で利用してはなりません。
  • 法令遵守: 著作権法・個人情報保護法・不正競争防止法など、関連する法令を遵守して利用してください。
  • 情報セキュリティ: 会社の機密情報・個人情報・顧客情報などを生成AIに入力することは原則禁止です。
  • 責任:
  • 生成AIの出力結果は、必ず利用者がその正確性・適切性・著作権等の問題がないかを最終確認し、自己の責任において利用してください。
  • 生成AIの利用によって生じた損害や問題について、会社は一切の責任を負いません。

プロンプト禁止情報リスト(具体的な例示)

生成AIへの入力(プロンプト)として絶対に入力してはならない情報のカテゴリです。

  • 個人情報:
  • 氏名・住所・電話番号・メールアドレス・マイナンバー・社員番号など、特定の個人を識別できる情報
  • 顔写真・指紋・音声などの生体情報
  • 病歴・健康診断結果・犯罪歴・思想・信条などの機微情報
  • 機密情報:
  • 顧客情報(顧客名・連絡先・取引履歴など)
  • 未公開の製品・サービス情報・開発中の技術情報・特許出願中の技術
  • 財務情報・経営戦略・営業秘密・人事情報・M&Aに関する情報
  • 社内の業務システムやネットワークに関する情報(IPアドレス・サーバー構成など)
  • 知的財産:
  • 著作権で保護されたコンテンツの全文(論文・書籍・音楽・画像など)
  • 他社の商標・ロゴ・デザインなど
  • その他:
  • 法令違反につながる情報(誹謗中傷・詐欺・ハッキングなど)
  • 差別的・攻撃的な表現、ハラスメントを助長する内容
  • 虚偽の情報を意図的に生成させる目的のプロンプト

著作権帰属と生成物の利用に関するルール

AIが生成したコンテンツの著作権は、現行の著作権法では帰属が確立していない部分が多い状況です。そのため、法的な解釈の変化を待つのではなく、社内方針として明確なルールを定めておくことが重要です。

  • 生成物の著作権:
  • 生成AIが生成したテキスト・画像・コードなどの著作権は、社内方針として会社に帰属することとします(現行著作権法上はAI生成物の帰属が未確定のため、社内規程として明示的に定める趣旨です)。
  • 利用者は、生成物の利用にあたり、会社が定める利用範囲および条件を遵守してください。
  • 利用範囲:
  • 生成物を社外に公開する場合や、製品・サービスに組み込む場合は、必ず上長の承認を得てください。
  • 公開に際しては、生成AIを利用して作成した旨を明記することを推奨します。
  • 生成物が既存の著作物と類似していないか、著作権侵害の可能性がないか、利用者が十分に確認してください。
  • 免責事項:
  • 生成AIの出力結果が第三者の著作権を侵害した場合や、不正確な情報により損害が生じた場合でも、会社は原則として責任を負いません。利用者は、そのリスクを理解した上で利用してください。

外部AI利用申請フロー(雛形)

情シスが承認していない外部AIツールを利用する場合の申請フローです。

  • 申請:

  • 利用者は、所定の「生成AIツール利用申請書」に以下の情報を記載し、情シス部門に提出します。

    • 利用目的、想定される業務上のメリット
    • 利用を希望する外部AIツールの名称・プラン(無償版/有償版)・提供元
    • 入力するデータの種類と機密レベル
    • 想定されるリスクとその対策

  • 承認:

  • 情シス部門は、申請内容に基づき、データプライバシー・セキュリティ・コンプライアンスの観点からリスク評価を行います。

  • リスクが許容範囲内と判断された場合、利用を承認します。必要に応じて、利用条件を付帯することがあります。

  • 利用:

  • 利用者は、承認された範囲内でのみ当該外部AIツールを利用できます。

  • 利用開始後も、利用状況やリスクについて定期的に情シス部門へ報告することが求められます。

  • 禁止事項:

  • 情シス部門の承認を得ずに外部AIツールを利用すること、または承認された範囲を超えて利用することは厳禁です。

5. ガイドラインの浸透と継続的な運用

ガイドラインは策定して終わりではありません。従業員に周知し、継続的に見直すことで、実効性のあるものにしていきます。

利用者への周知・教育

  • 社内ポータルでの公開: ガイドライン全文を社内ポータルやイントラネットに掲載し、いつでも参照できるようにします。
  • 研修会の実施: 全従業員を対象とした研修会を定期的に開催し、ガイドラインの重要性や具体的な利用ルールを説明します。新入社員研修にも組み込みます。
  • 定期的な注意喚起: メールや社内掲示板を通じて、AI利用に関する注意点や最新情報を定期的に発信し、意識の向上を図ります。

ガイドラインの見直し

生成AI技術は急速に進化しており、関連する法制度や社会情勢も変化します。

  • 定期的な更新: 半年〜1年に一度など、定期的にガイドラインの内容を見直し、最新の状況に合わせて更新します。
  • 利用実態やリスク評価に基づく改善: 実際の利用状況や、新たに発見されたリスクに基づいて、ガイドラインを柔軟に改善していく姿勢が重要です。

まとめ

Google Workspace環境における生成AI利用ガイドラインは、データ保護・著作権・組織全体のガバナンスを確保するために、情シスが主導して策定すべき重要な取り組みです。Gemini for Workspaceの堅牢なデータ処理ポリシーを理解し、外部AIツールとのリスクを明確に整理した上で、本記事で提示したルール文言の雛形を自社向けにカスタマイズすることで、ガイドライン整備の出発点になります。

まずは「プロンプト禁止情報リスト」と「外部AI利用の許可基準表」の2点だけを社内向けに文書化するところから始めるのが現実的です。完璧なガイドラインを一気に作ろうとすると時間がかかり、その間にも無許可利用が進みます。2週間で仮版を作り、運用しながら改善するサイクルの方が効果的です。

コーポレートITのご相談はお気軽に

この記事で書いたような業務改善・自動化の設計から実装まで、DRASENASではコーポレートITの現場に寄り添った支援を行っています。 「まず相談だけ」でも大歓迎です。DRASENAS 公式サイトからお気軽にどうぞ。

CONTACT

御社の IT 部門、ここにあります。

「ITのことはあまりわからない」── そのような状態からで、まったく問題ございません。まずはお気軽にご相談ください。

無料相談を予約する → サービス詳細を見る
一社ずつ、一から。