ガイドラインの作り方：禁止事項と推奨事項

「機密情報をAIに入れちゃダメ」——これだけのガイドラインでは絶対に足りません。本レッスンでは、実用に耐える AI利用ガイドラインの設計と運用 を学びます。

ガイドラインに含めるべき5つの要素

1. 禁止事項（ハードルール）：絶対にやってはいけないこと
2. 推奨事項：積極的に使うべきシーン
3. グレーゾーン：判断が分かれるケースの判定基準
4. 例外フロー：禁止事項を例外的に行うときの承認プロセス
5. 違反時の対応：ペナルティと再発防止

禁止事項のテンプレ

【絶対禁止】
- 顧客個人情報（氏名・住所・電話・メール・支払情報）の入力
- 未公開の財務情報（決算前の数値、M&A情報）の入力
- 人事評価・採用合否情報の入力
- 営業上の機密（未公開の見積・契約条件）の入力
- 取引先から「秘密保持契約」で受け取った資料の入力
- 子供・第三者の個人情報の入力
- 技術上の特許関連情報・営業秘密
- 内部告発・コンプライアンス案件の入力

【条件付き禁止】
- マスキング・匿名化が完了していない顧客データ
- パスワード・APIキー・接続情報

【監査対象】
- 利用ログを定期的にレビュー
- 違反時は速やかに上長に報告

推奨事項のテンプレ

【積極利用OK】
- 自分が書いた文章の推敲・要約
- 公開されている資料・記事の要約
- メールのドラフト作成（個人情報を伏せて）
- 議事録の構造化（個人特定可能な発言を伏せて）
- アイデア出し・ブレインストーミング
- 数値データの傾向分析（個社特定情報を伏せて）
- コードレビュー・リファクタリング（OSSコードや内部の汎用ロジック）
- プレゼン資料の構成設計

グレーゾーンの判定基準

ガイドラインの最大の難しさは グレーゾーン。「これって入れていいの？」を判定するための質問チェックリストを用意します。

判定チェックリスト：
1. その情報が外部に漏れたら、誰がどう困るか？（被害者・被害規模）
2. 顧客との契約・NDAに違反する可能性はあるか？
3. 個人を特定できる情報が含まれるか？
4. 該当情報のマスキング・匿名化は可能か？
5. 入力する目的は業務効率化として妥当か？
6. 同じ目的を達成する別手段はあるか？

3つ以上「YES」または「不明」がある場合 → 上長確認

例外フローの設計

禁止事項を 例外的に 実行する必要が出るケースもあります。例外フローを設計しておきます。

例外申請フロー：
1. 申請書に記入：
   - 入力したい情報の内容
   - 業務上の必要性
   - 代替手段の検討結果
   - リスク評価
2. 上長承認（部長以上）
3. 情報セキュリティ責任者の承認
4. 利用記録の保管
5. 利用後のレビュー

ガイドライン文書の構成

ガイドラインは 「読まれること」が重要。冗長な法務文書ではなく、実用優先の構成にします。

ガイドライン文書の章立て：

# AI（Claude）利用ガイドライン v1.0

## 1. 目的
（A4半ページ以内）

## 2. 適用範囲
（誰が・何に対して）

## 3. 禁止事項【最優先で読む】
（具体的なリストで）

## 4. 推奨される利用シーン
（具体例）

## 5. グレーゾーンの判定方法
（判定チェックリスト）

## 6. 例外申請手続き
（フローチャート）

## 7. 違反時の対応
（段階的な対応：注意→指導→処分）

## 8. 改訂履歴・問合せ先

付録A：プロンプトテンプレ集
付録B：FAQ

ガイドラインを作るときのClaude活用

当社の業界・業種：（例：金融サービス、上場企業）
組織規模：（例：500名）
重要な機密情報の種類：（例：顧客の取引履歴、未公開IR、人事情報）
AI利用シーン：（例：マーケティング、CS、社内文書作成）

この条件に合った AI利用ガイドラインを作成してください。
- 禁止事項：箇条書き、ハードルール
- 推奨事項：箇条書き、具体例
- グレーゾーン判定：3〜5項目のチェックリスト
- 例外フロー：3〜5ステップ

運用Tips

• 1ページのサマリ版：詳細版とは別に「これだけ覚えれば」版を作成
• 定期的な見直し：四半期ごとに内容更新（AI技術と業界規制の変化に対応）
• 違反は責めない、学ぶ：違反事例を匿名化して全社で共有・学習

このレッスンのまとめ

ガイドラインは 「禁止 → 推奨 → グレーゾーン判定 → 例外フロー」 の4要素で実装します。これがないままチーム導入すると、いつか必ず情報事故が起きます。次のレッスンでは、Projects＋Wikiでナレッジベースを作る方法を学びます。