S1:足場づくり ガイド

全社にAIを配るときのセキュリティとガバナンス最小セット

「ガバナンスが整ってから配る」は、整備を待ち続けて競合に先を越される最も確実な方法だ。最小構成で始め、実運用しながら育てる。

Make AI Native Company 編集部 2026年6月18日 更新 ・14分

「セキュリティが怖いから配れない」という思考停止

AIツールを全社展開しようとすると、「情報漏洩が怖い」「ガバナンスが整っていない」という声が必ず上がる。これ自体は正当な懸念だ。しかし、整備を待っているうちに何が起きているか。

シャドーAIが広がっている。

RAND研究の調査では、「会社がAIを許可していない」と答えた社員の6〜7割が、個人のアカウントで業務用AIを使っていることが分かっている1。つまりガバナンスなしで配らない判断は「AIを使わせない」ではなく「安全でない方法でAIを使わせている」ことと同義だ。

重要なのは「完璧なガバナンスを待つ」ではなく、「最小限のガバナンスで始め、改善しながら広げる」という発想への転換だ。

配布とガバナンスは「同時」に立ち上げる

ShopifyのAI展開から学べる最重要原則がある: 配布とガバナンスを同時に立ち上げること2

多くの会社が「ガバナンスが先」か「配布が先」かで議論する。どちらも間違いだ。

  • ガバナンスだけを先に整備 → 誰も使わないルールが存在し続ける
  • 配布だけを先に進める → シャドーAIと区別がつかない状況になる

正解は「1枚のポリシーと承認ツールリストを同日に配布する」だ。完璧でなくていい。最小限のルールとツールが同時に届くことが重要だ。

ガバナンス最小セット: データ分類マトリクス付き

1. 利用ポリシー1枚(今週作れる)

難しい規定書は不要だ。A4 1枚に以下の3項目を書くだけでいい。

入力禁止情報(赤):

  • 個人情報(顧客・社員の氏名・住所・電話番号)
  • 未締結の契約書・価格交渉情報
  • 未公表の財務データ・M&A情報

要注意情報(黄):

  • 社内向け戦略資料(エンタープライズ契約ツールを使う場合は可)
  • 取引先に関する情報(社名程度は可・詳細は禁止)

利用可能情報(緑):

  • 公開情報・すでに社外に出ている情報
  • テンプレート・文例・一般的なビジネス文書

承認AIツールリスト: (会社が認めたツールのみ記載)

インシデント報告先: 「困ったら○○部の□□まで」

2. ツール選定の3基準

すべてのAIツールを許可する必要はない。最初は1〜2つに絞る。選定時に必ず確認すること。

確認項目合格ライン
学習利用入力内容がモデル学習に使われないことを明記
データ所在エンタープライズ契約でデータ保護条項が存在
管理機能管理コンソールで利用状況の把握が可能

Claude Teams・ChatGPT Team/Enterprise・Microsoft Copilot for M365は上記3項目をクリアしている。どれから始めても安全性は確保できる。

3. 段階展開フロー

よくある懸念と現実的な答え

「個人情報が入力されたらどうするか」

完全に防ぐより、発生時の対応手順を作る方が現実的だ。

対応手順の例: (1)すぐに利用ツールのサポートに報告 → (2)内部インシデント管理に記録 → (3)入力した内容とリスクを評価 → (4)必要に応じて影響先に通知。

ポリシーで禁止事項を明確にした上で、違反した場合のプロセスを整備することで対応できる。

「社員が何に使っているか分からない」

エンタープライズ契約のツールはすべて管理コンソールを提供している。最初から全部把握しようとせず、異常値(大量利用・禁止情報の可能性など)だけ監視するのが現実的だ。

「セキュリティ研修にどれだけ時間をかけるか」

最初の全社研修は90分以内に収める。以下の3点だけを伝えれば十分だ。

  1. 入力禁止情報の定義(赤・黄・緑の3分類)
  2. ハルシネーションとは何か(AIは自信満々に嘘をつく。ファクトチェックは人間がやる)
  3. 困ったら報告先へ(インシデントの初動を明確に)

90分で全員がこの3点を理解したら、まず動かす。詳細は実運用しながら覚える。

データ分類マトリクス: 実際に使えるテンプレート

以下は業種を問わずそのまま使えるデータ分類マトリクスの例だ。

情報カテゴリAI入力備考
公開情報・プレスリリース制限なし
社内業務マニュアルエンタープライズ契約ツールのみ
取引先情報(社名・業種)条件付き可詳細な財務・商談情報は禁止
個人情報(顧客・社員)禁止匿名化すれば可
未締結契約・価格情報禁止署名済み後は条件付き可
未公表財務データ禁止公表後は可

このマトリクスをポリシー1枚に付録として添付するだけで、現場の判断基準が格段に明確になる。

まとめ: 最小で始め、実運用で育てる

完璧なガバナンスは存在しない。リスクをゼロにしようとすれば、何もできない。

始め方は単純だ: ポリシー1枚を作り、承認ツールを1つ選び、パイロットチームに同時に渡す。それだけだ。

実運用の中で「このケースはどうするか」が出てくる。それを蓄積してポリシーを改訂し、次のチームに展開する。このサイクルが「完璧を待って何もできない」状態から「実際に動きながら整備する」状態への転換だ。

出典・参考

  1. RAND研究: AI変革失敗の84%はリーダーシップ起因(2024)
  2. Shopify: 社内LLMプロキシ + MCP + 3,000 Cursorライセンスを同時展開(2025)
  3. Worklytics Q3 2025: AIアシスタント導入で6,000人規模のメール往復25%削減

AIネイティブ化、何から始めるべきか迷っていませんか?

無料相談で、あなたの会社の現在地と次の一手を一緒に整理します。

無料で相談する

次の一手

次に読む 配布とガバナンスは同時に: 『不安だから後で』が一番危ない理由 次のステージ S2 雑務をAIに渡す(個人) 無料相談 自社の現在地と次の一手を整理する

同じステージの記事

記事
足場づくり 記事 11分

配布とガバナンスは同時に: 『不安だから後で』が一番危ない理由

シャドーAIは需要シグナルだ。配布とガバナンスを同時に立ち上げることで、安全に全社展開する方法を解説する。RAND 84%は経営起因の証拠から導く実践的アプローチ。

AIネイティブ化、何から始めるべきか迷っていませんか?

無料相談で、あなたの会社の現在地と次の一手を一緒に整理します。

無料で相談する