![エンタープライズIT [COLUMNS]](https://ent.iij.ad.jp/wp-content/themes/liquid-smart-child/img/logo.svg){kind=logo}
「生成AIガイドライン」未整備は63%。情報不足や他業務で忙しいことが課題に
IIJ法人サービスのマーケティング全般を担当。市場トレンドを的確に捉え、お客様に"今"必要なコンテンツを提供。メールマガジンのコンテンツ企画、ウェビナー・イベントの企画、アンケート調査に基づくデータ分析など、多岐にわたる業務に従事し、トレンドやニーズに応じた情報発信を行う。
執筆・監修者ページ/掲載記事:18件
こんにちは。マーケティング担当の大利です。
IIJでは、企業ITにおけるお客様の実態や課題を深く理解するため、様々なテーマでのアンケートを実施しています。
Microsoft 365 Copilotをはじめとする生成AIの活用が進む中で、利用に関するルール整備が求められています。しかし、「どのような基準を設けるべきか」「他社はどのように対応しているのか」といった疑問をお持ちの企業も多いのではないでしょうか。
そこで今回、情報システム部門の皆様を対象に、AIツールの利用に関する社内ガイドラインの整備状況についてアンケートを実施しました。実態を知ることで、自社の対応を検討する際のヒントとしていただければと思います。ぜひご覧ください!
【アンケート調査の概要】
- 調査手法:IIJメールマガジンの読者に対するWebアンケート
- 調査期間:2025年2月5日~2月10日
- 回答対象者:情報システム部門
- 有効回答数:293件
アンケート結果
- 優先順位の問題。今すぐ対応しないといけない案件が他にもあって…という感じで、どうしても後回しになってしまっています。
- 知見・情報不足。AIは日々進化が早すぎて、どこまでカバーすればいいのか分からないというのが正直なところです。
特にCopilotは、実際の運用面での課題がまだ見えていません。 - 社内のコンセンサス作り。
「どこまで利用を許可するか」「セキュリティ面はどうするか」など、関係部署間での意見調整に時間がかかりそうです。
ただ、「放っておくと野放図な利用が進んでしまう」という危機感はあるので、2025年度中にはある程度のガイドラインは作らないといけないなと考えています。
まずは情報収集から始めて、他社の事例なども参考にしながら、徐々に整備を進めていく予定です。
ルールを決められるほどの情報が無い。
(40代/製造業/IT管理部門(社内情報システム)/担当者)
どのような範囲、内容を整備すべきか難しい、情報収集中。
(40代/製造業/IT管理部門(社内情報システム)/課長、リーダー)
より優先度の高いものが沢山あるので、そこまで手が回らない。
(40代/製造業/IT関連技術職/課長、リーダー)
そもそも何をどう整備したらいいのかが分からない。
(40代/運輸業/IT管理部門(社内情報システム)/課長、リーダー)
どのように整備すべきかが見えていない。
まず、社員に対し、どのような操作が情報漏洩につながるのか。どのような操作なら問題ないのかを理解してもらわないといけない。
その上で、会社としてのポリシーを検討するなど様々なことが発生するが、手探りで検討しながら整備しなければならないと考えているため。
(40代/建設業/IT管理部門(社内情報システム)/担当者)
情報が少ない中で、サービス側の仕様変更等の流れも早いので追いつけていない。
(40代/他のサービス業/IT管理部門(社内情報システム)/課長、リーダー)
日々の業務が手一杯で、情報収集が全くできておりません。
(40代/製造業/IT管理部門(社内情報システム)/担当者)
そもそもAIの利用、活用範囲が明確に定まっておらずガイドラインの想定外の部分が未知数なため。逆にいうと、何をどこまでガイドラインにするかが決め切れていない。
(60代/製造業/IT管理部門(社内情報システム)/部長、マネージャー)
製造業で取組みたい部門は数多く存在するが、全社員のITスキル向上、セキュリティ意識の啓蒙の方が優先的な事象である。
(60代/製造業/IT管理部門(社内情報システム)/部長、マネージャー)
セキュリティポリシーやガイドラインについて、ファイル管理用のクラウドの利用やSaaS利用に合わせて改訂作業をしているが、Microsoft 365 CopilotやAIツールの利用に関する整備については、そこまで思いも寄らなかったというのが本音です。このアンケートにて、将来、その必要があるのか、おぼろげに考え始めたところです。
(60代/その他/IT管理部門(社内情報システム)/担当者)
世の中で公開されているガイドラインを複数見させていただいたが、この内容で良いのか判断ができず、未整備になっています。
(50代/製造業/IT管理部門(社内情報システム)/部長、マネージャー)
正直なところ、まだガイドラインは整備できていません。理由としては、まずAIツールやCopilotに関する具体的な使い方やリスクについての情報がまだ十分に集まっていないのが大きいです。何を基準にルールを作るか、実例や失敗談がもっと揃えば、もっとスムーズに進められると思います。それに、今は他の急務なプロジェクトが山積みで、リソース的にガイドライン整備の優先度が下がっているのも一因です。とはいえ、セキュリティや倫理面は重要視しているので、今後必要な情報がそろい次第、早急に整備に取り組む予定です。
(40代/情報通信業/IT管理部門(社内情報システム)/課長、リーダー)
AIの適用範囲が未定・不明確でもあり、手つかずな状態。
雨後の筍状態で出てくる「AI」サービスの適切な評価もできない。
(60代/医療・福祉/IT管理部門(社内情報システム)/部長、マネージャー)
どのようなことを書けば良いかわからない。
ひな形みたいなものがあれば進められると思う。
(40代/製造業/IT管理部門(社内情報システム)/担当者)
考察
今回のアンケートでは、Microsoft 365 Copilotなど生成AIツール利用に関するガイドラインを「未整備」と回答した企業が多数を占めました。「未整備」の理由を見ると、特に日々の業務に追われて整備に着手できていないケースが多くみられました。また、生成AIの情報が不足していることから着手することができず、結果、未整備の状態になってしまっているというコメントも見られ、新たな気付きとなりました。
生成AIツールは業務効率化や生産性向上に貢献する一方で、情報漏えいなどのリスクも伴うため、適切なガイドラインの整備が必要です。まずは、情報保護に関するポリシー(「入力してはいけない情報(機密情報・個人情報など)」など)や生成AIによるデータの適切な利用ルールを明確にし、自社の指針に沿った運用を開始することが重要です。生成AI活用のガイドラインを整備済みの企業の多くは、日本ディープラーニング協会やデジタル庁などの公的ガイドラインを参考に策定しています。これから整備を進める際、まずはこうした信頼できる情報源をもとに情報収集を行ってみてください。
生成AIの社内活用やお客様支援に取り組むIIJが、ガイドライン作成のポイントや考慮すべき注意点を資料にまとめていますので、ぜひご覧ください!引き続きいろいろなテーマで調査していく予定です!どうぞお楽しみに!
ガイドライン作成に必要な7つのポイント
ガイドブックを差し上げます
- 生成AI利用の社内ガイドライン作成ポイント
(PDF:16ページ) - 生成AIの社内活用やお客様支援に取り組むIIJが、ガイドライン作成のポイントや考慮すべき注意点を解説
生成AIにガイドラインを作成させた。
(50代/医療・福祉/IT管理部門(社内情報システム)/部長、マネージャー)
情報システム部門が主体となってガイドライン整備を実施。
細かい条件をつけると、そもそもガイドラインが読まれなくなったり、理解されなくなってしまうため、シンプルな内容、表現にしながら、守るべきところを守れるようにする点が難しかった。
(50代/その他/IT管理部門(社内情報システム)/部長、マネージャー)
部門横断的なチームを立ち上げ、導入AIツール選定を主導。ツール選定と並行して基本的な使用方法の資料を作成し職員へ共有。
(40代/他のサービス業/IT管理部門(社内情報システム)/担当者)
ガイドラインを作成し、全社展開しました。一報投げた後、部内でも紹介してもらえるよう部長に声がけしました。
展開後慣れてきた段階で再度注意点をリマインドしました。参考として東京都のAI利活用ガイド、デジタル庁のリスクガイド、IPAの情シス向けガイドをみました。
(30代/その他/IT管理部門(社内情報システム)/担当者)
※参考
東京都デジタルサービス局 「文章生成AI利活用ガイドライン」
デジタル庁「テキスト生成AI利活用におけるリスクへの対策ガイドブック」
細かいルールは作成せず、ガイドラインとして、利用に関する注意事項、やってはいけないこと、に絞り込んで会社からのメッセージとした。管轄部署はないため、情シスとして発案し、スピード重視で対応した。
(40代/他のサービス業/IT管理部門(社内情報システム)/課長、リーダー)
社内ガイドラインを整備すると共に、全従業員への周知およびワークショップを実施した。
(40代/建設業/IT管理部門(社内情報システム)/担当者)
日本ディープラーニング協会さんのガイドラインを参考に初版を作ってみましたが、文字ばかりになってしまったので大幅に見直しました。
必ず守って欲しいことだけに絞って作り直しました。
一番注力した点は入力してはいけない情報について分類して具体的な例を挙げて分かりやすくするように努めたところです。
(50代/卸売・小売業/IT管理部門(社内情報システム)/専門職)
※参考
一般社団法人日本ディープラーニング協会「生成AIの利用ガイドライン」
専門家との橋渡し、生成AIに関する情報収集、教育資料の整備、従業員への教育、生成AIサービスの調査(運用についての操作感、管理側の負担確認)
(50代/製造業/IT管理部門(社内情報システム)/部長、マネージャー)
- 情報セキュリティへの配慮(自社専用クローズド環境の構築、顧客情報/個人情報のプロンプト利用禁止)
- 知的財産権への配慮(利用可能とするのは自社専用環境のテキスト生成AIに限定かつアウトプット内容のチェック)
- ハルシネーション注意喚起(アウトプットの裏どり)
- ユーザーからガイドライン遵守の誓約書を取得
(50代/製造業/IT管理部門(社内情報システム)/部長、マネージャー)AIサービス利用時、サービス側へ情報を保管しない設定を行うこと。また、社内の機密情報や個人情報をプロンプトとして投げないこと。
(50代/建設業/IT管理部門(社内情報システム)/課長、リーダー)
情報システム部主導で法部と確認を取りながら、生成AIの利用ガイドラインを作成した。
日本ディープラーニング協会の生成AIの利用ガイドライン第1.1版を元に作成したが、著作権周りの説明は大幅に追記した。
(50代/情報通信業/IT管理部門(社内情報システム)/専門職)
ツール利用に関するガイドラインの作成を行った。ガイドラインに則った利用をしているか、チェックできない事が課題。
(50代/製造業/IT管理部門(社内情報システム)/課長、リーダー)
ガイドライン策定自体を発案・主導し、半年ほど掛けて文案を取り纏めました。
施行に合わせ、ガイドラインだけでなく生成AIについての説明会を実施し、法的な注意点の啓蒙も行いました。関連法規に関する判例がないため、どこまでを社員の判断に任せるのか、ガイドラインのルール作りが難しかったです。
(40代/他のサービス業/IT管理部門(社内情報システム)/担当者)
スモールスタートというか、通常業務を鑑みて必要最小限の利用シーンを想定して範囲を決めました。利便性よりもまずはセキュリティを優先して、データ保護に重きを置きました。
(40代/公務/IT管理部門(社内情報システム)/課長、リーダー)
ガイドラインそのものはネットに公開されている各種資料を参考として作成したので、それほど苦労はしなかった。法人全体のリテラシーが低いこともあり、従業員への周知・徹底が課題である。また、新入従業員への教育や定期的な再通達などを行って、風化しないように配慮している。
(60代/医療・福祉/IT管理部門(社内情報システム)/課長、リーダー)