More in
AIチーム準備態勢プレイブック
営業チームのAI準備状況を監査する方法:Directorのためのプレイブック
4月 14, 2026
部署向けAIスキルマトリクスの構築:テンプレートとガイド
4月 14, 2026
90日プラン:AI好奇者からAI熟練者へ — マネージャーのための実施ガイド
4月 14, 2026
非技術系チーム向けAIツールトレーニングプレイブック:実際に機能するアプローチ
4月 14, 2026
AIにおける採用 vs アップスキリング:Directorのための意思決定フレームワーク
4月 14, 2026
部署内AIチャンピオンズプログラムの設立:ステップバイステップガイド
4月 14, 2026
チーム全体のAI導入ROIの測定:指標・方法・報告
4月 14, 2026
2026年の新入社員向けAIオンボーディングチェックリスト:マネージャーが必要なすべて
4月 14, 2026
営業チーム向けAI活用ワークフローの構築:実践的な実装ガイド
4月 14, 2026
マーケティングチーム向けAI活用ワークフローの構築:実践的なプレイブック
4月 14, 2026
部署のAIガバナンスポリシーの作成:Directorのためのガイド
あるSaaS企業のSales Directorは、6ヶ月前に小さな実験を行いました。3人の担当者に日常的にAIをどう使っているか見せてもらいました。10分以内に、1人の担当者がクライアントの氏名・会社名・予算・交渉上のポジションを含む完全な商談トランスクリプトを、無料の公開AIツールに貼り付けてサマリーを生成させているのを目にしました。
データ取り扱いポリシーは存在しませんでした。誰もその担当者にそれが問題だと伝えていませんでした。担当者は不注意だったわけではありません。速く仕事を進めようとしており、ツールを設計通りに使っていただけです。問題は担当者の判断ではありません。ガイダンスが一切なかったことでした。
これが今ほとんどの部署の状況です。無謀ではないが、統治されていない。統治されていない状態は問題が起きるまで機能します。クライアントデータのインシデント、コンプライアンスの問題、または誰も確認しなかったデータ処理に関するベンダー契約条項が現れるまで。ガバナンスはポリシー文書から始まらず、チームが実際に使っているAIツールを把握することから始まります。AI準備態勢アセスメントテンプレートには、シャドーAIの使用状況をリスクになる前に表面化させるツールギャップマトリクスが含まれています。
このガイドでは、部署レベルでAIガバナンスポリシーを作成するための実践的なフレームワークを提供します。始めるために法務チームは必要ありません。ITプロジェクトも必要ありません。必要なのは、いくつかの体系的な意思決定を明確に文書化し、一度周知し、四半期ごとにレビューすることです。
なぜ部署レベルのガバナンスが重要か
多くの組織に会社全体のAIポリシーが存在します。しかし、チームが日々の判断を下すのに役立たない抽象度で書かれています。ガバナンスはクロスファンクショナルAIコラボレーションフレームワークと並行して機能する必要もあります。営業・マーケティング・Opsがデータをシェアする際、隣接チームと整合していない部署レベルのポリシーは引き継ぎ箇所にギャップを生みます。「AIを責任を持って使う」では、コンテンツマネージャーが内部プロジェクトデータを使ってクライアントのケーススタディの下書きにClaudeを使えるかどうかはわかりません。「機密情報を守る」では、営業担当者がどのAIツールが案件データに使えると承認されているかはわかりません。
チームには具体的な情報が必要です。どのツール。どのデータカテゴリー。誰が例外を承認するか。何か間違いが起きたら何をするか。
そして「ITに確認する」はポリシーではありません。それは常に尋ねるか(すべてを遅らせる)、または全く尋ねないか(まさに防ぎたい統治されていない行動を生む)かのどちらかにチームを誘導する先延ばしメカニズムです。
部署レベルのポリシーは、広い会社のガイドラインと日常の実践の間のギャップを埋めます。あなたが書き、あなたが実施し、ツールとチームの習慣が進化するにつれてあなたが更新するものです。
部署AIポリシーの5つの柱
すべての部署AIガバナンスポリシーは5つのことに対処する必要があります。
- 承認ツール:チームがどの条件でどのAIツールを使えるか、どれが禁止されているか
- データ分類ルール:センシティビティ階層に基づき、AIツールに入力できるデータとできないデータ
- アウトプットレビュー基準:どのAIアウトプットが使用前に人間のレビューが必要か、そのレビューで何を確認するか
- 従業員トレーニング要件:AIツールを業務に使う前にすべてのチームメンバーが知っておくべきこと
- エスカレーションとインシデントプロセス:ポリシー違反の定義、報告方法、解決方法
以下のセクションでは、各柱の構築方法を解説します。最終的に、チームが実際に使える1〜2ページのポリシー文書を書くために必要なすべてが揃います。
ステップ1:AIツールの棚卸しを定義する
最初の判断はツールリストです。チームが理論上使うかもしれないツールではなく、今実際に使っているか、正式に承認したいツールです。
まず簡単なアンケートを実施してください。チームに業務でどのAIツールを現在使っているか聞きます。予想より多く見つかるでしょう。ほとんどのチームは誰も正式にレビューしていない3〜5つのツールがすでに使われています。
そして各ツールを3つの階層に分類します。
承認済み:ポリシーで定義されたデータカテゴリーでの使用が認可されている。追加の承認不要。
条件付き:使用可能だが、特定の条件下のみ(例:クライアントデータなし、財務データなし、内部ドラフトのみ)。
禁止:いかなる状況でも業務タスクには使用不可。これには通常、データ処理契約のない公開AIツールが含まれます。
AIツール棚卸しテンプレート
| ツール | ユースケース | 許可されるデータ階層(ステップ2参照) | 承認者 | レビュー日 |
|---|---|---|---|---|
| Claude(Anthropic — エンタープライズ階層) | 下書き、要約、リサーチ | 社内・Public-safe | Director名 | 2026-07-01 |
| ChatGPT(OpenAI — エンタープライズ階層) | 下書き、分析 | 社内・Public-safe | Director名 | 2026-07-01 |
| ChatGPT(無料版/個人アカウント) | なし | 禁止 | — | — |
| Otter.ai(ビジネスプラン) | ミーティングのトランスクリプション | 社内 | Director名 | 2026-07-01 |
| 汎用AIチャットボット(DPAなし) | なし | 禁止 | — | — |
| Grammarly(Business) | 編集とトーン | 社内・機密 | Director名 | 2026-07-01 |
「レビュー日」の列はオプションではありません。ツールはデータ取り扱い慣行を変更します。昨年安全だったツールが利用規約を更新しているかもしれません。承認済みのすべてのツールを最低6ヶ月ごとのレビューサイクルに設定してください。
実用的なメモ:「エンタープライズ階層」と「無料版/個人アカウント」の違いはデータ取り扱いにおいて非常に重要です。多くのエンタープライズプランにはベンダーがデータのトレーニングに使用することを禁止するデータ処理契約(DPA)が含まれています。無料版にはそれがないことが多い。承認ツールがどの階層かを把握してください。欧州委員会のEU AI法実施ガイダンスは、リスク階層によるAIツールの分類のための参考フレームワークを提供しており、このガイドのデータセンシティビティ分類システムとよく対応しています。
ステップ2:AIエクスポージャーリスクでデータを分類する
チームはさまざまな種類のデータを扱いますが、AIツールに入力されたときのリスクプロファイルはすべて同じではありません。技術系でないManagerが瞬時に適用できるほどシンプルな分類システムが必要です。
4つの階層を使用してください。NISTのAIリスクマネジメントフレームワークも同様の階層的アプローチを使用しており、リスクレベルを抽象的なセンシティビティラベルではなくAIの悪用の実際の結果に基づいて設定しています。これは技術系でないチームに階層を説明する際に効果的な考え方です。
Public-safe:すでに公開されている情報、または機密性の期待がない情報。会社名、公開製品の説明、一般的な市場調査。承認済みツールなら何にでも入力可。
社内:社内では機密だが、規制やクライアント固有のものではない情報。社内の戦略文書、チームのOKR、プロジェクト計画、社内ミーティング議事録。DPAのある承認済みツールに入力可。無料版ツールは不可。
機密:クライアント名、案件金額、契約条件、連絡先、財務データ、業績評価。署名済みDPAのあるエンタープライズ版ツールが必要。無料版ツール、個人アカウント、または承認リストにないツールへの入力は不可。
規制対象:HIPAA対象の医療情報、GDPR対象の個人情報、決済カードデータ、法的特権のある通信。AIツール使用前に法務・コンプライアンスの明示的なレビューが必要。不確かな場合はAIを使わないこと。まずエスカレーションしてください。
チームへの1枚のデータ分類ガイド
目立つ場所(Notion、Slackのピン留め投稿、チームWiki)に掲示してください。
- ブログ投稿の下書きを書く?Public-safe。承認済みツールなら何でも使える。
- 社内製品ロードマップについてのミーティングを要約する?社内。エンタープライズ版承認済みツールのみ。
- クライアントの会社名と案件金額を使ってフォローアップメールを生成する?機密。DPAのある承認済みエンタープライズツールのみ。
- クライアントの医療または財務記録を扱っている?規制対象。AIを使う前に立ち止まって確認してください。
チームがどこに分類されるか不確かな場合のルールは:最初の直感より一段階上に扱う。過度に慎重になるコストはわずかにワークフローが遅くなること。不十分に慎重になるコストはデータインシデントです。
ステップ3:アウトプットレビュー基準を設定する
すべてのAIアウトプットが同じリスクを持つわけではありません。AIが生成した内部用の粗いアジェンダが間違っていてもコストは低い。AIが生成した誤った価格を含むクライアント提案書のコストは高い。
どのアウトプットタイプが使用前に人間のレビューを必要とするか、そのレビューで何を確認するかを定義してください。
アウトプットレビューマトリクス
| アウトプットタイプ | レビュー必須? | 確認事項 |
|---|---|---|
| 顧客向けコピー(提案書、メール、レポート) | はい — 必須 | 事実の正確性、ブランドボイス、クライアントデータエラーなし、価格確認 |
| 社内文書(ミーティングサマリー、プロジェクト更新) | スポットチェック | 事実の正確性、センシティブなデータが含まれていないか |
| 財務サマリーまたは予測 | はい — 必須 | 数字がソースで確認済み、作り上げられたデータポイントなし |
| HR通信(オファー、業績フィードバック) | はい — 必須 | 送信前に法務・HRのレビュー |
| 社内用のリサーチサマリー | スポットチェック | 引用された、または検証可能なソース、作り上げられた統計なし |
| 追加編集用の初稿コンテンツ | 必須レビューなし | 標準的な編集プロセスを適用 |
必須レビュー階層は交渉の余地がありません。これらはAIのハルシネーションが実際の結果をもたらすカテゴリーです:クライアントに対して、コンプライアンスに対して、または法的リスクに対して。
レビューステップをワークフローに組み込んでください。オプションとしてではなく、名前のついたレビュー担当者のある名前のついたチェックポイントとして。ワークフローに組み込まれていなければ、一貫しては実行されません。
ステップ4:従業員の責任を定義する
AIを業務タスクに使用するチームメンバー全員が3つのことを知る必要があります。そこに至るには意図的なトレーニングが必要です。非技術系チーム向けAIツールトレーニングプレイブックには、技術的な背景を持たない従業員にデータルールとアウトプットレビュー基準を伝えるために特化した形式があります。
- 承認されているツールと禁止されているツール
- AIツールに入力できるデータとできないデータ
- 間違いをした場合や確信が持てない場合に何をするか
これを確認チェックリストとして文書化してください。新しいチームメンバーが加入したとき、またはこのポリシーを展開するときに、全員に署名してもらいましょう。
従業員AIポリシー確認チェックリスト
以下に署名することで、部署AIガバナンスポリシーを読んで理解したこと、および以下に同意することを確認します。
- 部署ツール棚卸しから承認済みツールのみを使用する
- 業務タスクに個人または無料版AIアカウントを使用しない
- AIツールにデータを入力する前にデータ分類ルールに従う
- 使用前に必須レビューのすべてのアウトプットタイプについて人間のレビューを完了する
- 疑わしいポリシー違反またはデータ取り扱いエラーを24時間以内に[指定オーナー]に報告する
- 顧客向け業務にAIツールを使用する前に部署AIトレーニングセッションを完了する
- 特定のケースについて不確かな場合はツール棚卸しとデータ分類ガイドをレビューする
氏名:_______________ 日付:_______________ マネージャー:_______________
これをファイルに保管してください。ポリシー違反が発生した場合、確認チェックリストはトレーニングが提供され、期待が明確だったことの記録の一部になります。
ステップ5:インシデントエスカレーションプロセスを書く
ポリシー違反は起こります。目標はゼロインシデントではありません。発生したときの迅速な封じ込めと明確な説明責任です。
3つのことを定義してください:違反とは何か、誰に通知するか、どう記録するか。
違反に該当するもの:
- 業務タスクに禁止ツールを使用すること
- 機密または規制対象データを未承認ツールや個人アカウントに入力すること
- 必須レビューを完了せずにAI生成の顧客向けアウトプットを共有すること
- 既知または疑いのある違反を報告しないこと
違反が疑われる場合:
- ただちにツールの使用を停止する
- 直属のマネージャーと指定ポリシーオーナーに24時間以内に通知する
- 何が起きたかを文書化する:どのツール、どのデータ、いつ、どのようにエラーが発見されたか
- インシデントを削除または隠蔽しようとしないこと
通知先:
- 直属のマネージャー(常に)
- 部署ポリシーオーナー(常に)
- 法務・コンプライアンス(規制対象データが関わる場合)
- ITセキュリティ(データが外部に露出したと考える理由がある場合)
記録方法: 共有ドキュメントまたはチケットシステムにシンプルなインシデントログを保管します。フィールド:日付、チームメンバー、関与したツール、データ分類、インシデントの説明、講じた解決策、解決日。
ログが重要な理由は2つあります。第一に、インシデントが外部からレビューされた場合に説明責任を生み、デューデリジェンスを示します。第二に、パターンを表面化します。同じツールが3つのインシデントに現れれば、その承認ステータスを再評価するシグナルです。
ステップ6:平易な言葉でポリシーを書く
ポリシー文書自体は1〜2ページにすべきです。法律的な文書ではありません。20ページのコンプライアンスマニュアルでもありません。チームが実際に読む文書です。
AIガバナンスポリシーテンプレート
[部署名] AIガバナンスポリシー 発効日:[日付] | レビュー日:[日付] | オーナー:[名前]
目的 このポリシーは[部署名]でのAIツール使用に関するガイドラインを定め、クライアントデータを守り、会社基準を満たし、AI生成アウトプットが品質要件を満たすことを確保します。
承認ツール AIツール棚卸し[リンク]をご確認ください。承認済みまたは条件付きとして記載されているツールのみを使用してください。禁止ツールは理由の如何にかかわらず業務タスクには使用できません。
データ取り扱いルール AIツールにデータを入力する前に、データ分類ガイド[リンク]を確認してください。署名済みデータ処理契約(DPA)のないツールに機密または規制対象データを入力しないこと。不確かな場合は最初の直感より一段階上のセンシティブとして扱ってください。
アウトプットレビュー要件 顧客向けコンテンツ、財務サマリー、HR通信のためのAI生成アウトプットは使用前に人間のレビューが必要です。詳細はアウトプットレビューマトリクス[リンク]をご覧ください。
あなたの責任 業務タスクにAIツールを使用することで、このポリシーに従うことに同意します。顧客向け業務にAIを使用する前に従業員確認チェックリストを完了してください。
問題が発生した場合 疑いのある違反を24時間以内に[マネージャー名]と[ポリシーオーナー名]に報告してください。全ステップについてはエスカレーションプロセス[リンク]をご覧ください。
質問 [連絡先]の[ポリシーオーナー名]にお問い合わせください。
500語以内に収めてください。詳細なテンプレートは埋め込まずリンクしてください。ポリシー文書はエントリーポイントであり、百科事典ではありません。
ステップ7:レビューと更新のサイクルを設定する
このポリシーは6ヶ月以内に間違いになるでしょう。書き方が悪かったからではなく、ツールが変わり、チームが変わり、AIの能力がどんな静的な文書も追いつけない速さで変わるからです。AIツールスタック選定フレームワークには四半期スタック監査プロセスが含まれています。両方のレビューを同じサイクルで実施することで、ツール棚卸しのドリフトがガバナンスのギャップを生むことを防げます。
四半期レビューを組み込んでください。
四半期レビューのトリガー:
- 承認リストに新しいAIツールが追加または削除された場合
- インシデントログに何かある場合
- 部署固有の内容に影響する会社全体のAIポリシーの変更がある場合
- ツールの利用規約またはデータ取り扱い慣行に重大な更新がある場合
従業員が新しいツールを持ち込む場合: これは常に起こります。誰かが生産性ツールを見つけ、使い始め、3ヶ月後のミーティングでそれを言及します。四半期レビューを待たないでください。業務タスクへの使用前に新しいツールはポリシーオーナーのレビューが必要という期待を設定し、レビュープロセスを迅速にしてください(目標48時間以内、2週間ではなく)。
誰がレビューをトリガーするか:ポリシーオーナーが、カレンダーリマインダーで。「時間があるとき」ではなく。四半期に90分をブロックしてください。
よくある落とし穴
AIを完全に禁止してシャドー使用を促進するポリシー。 AIリスクへの対応がAIの全面禁止なら、チームはAIを使い続けますが、それをあなたに言わないだけです。EnterpriseにおけるAIガバナンスに関するGartnerの調査によると、AIの全面禁止は90日以内にシャドーAIの使用を40%増加させることが分かっており、従業員が組織が実際のリスクへの可視性を失う一方で回避策を見つけるためです。シャドーAIは統治されたAIよりも危険です。許容される承認リストと明確な禁止リストを作成してください。人々が範囲内に留まりやすくしてください。
曖昧すぎるデータ階層。 「センシティブなデータ」は階層ではありません。「クライアント名と案件金額」が階層です。データ分類の言語が具体的であるほど、毎回尋ねることなくチームメンバーが適用しやすくなります。
説明責任のあるオーナーがいない。 名前のついたオーナーのいないポリシーは、誰も実施しないポリシーです。ツール棚卸し、インシデントログ、四半期レビューに責任を持つ一人を指定してください。フルタイムの役割である必要はありませんが、特定の一人である必要があります。
最初のバージョンを永続的なものとして扱う。 ポリシーの最初のバージョンは出発点です。チームが実際にAIをどう使うかを学ぶにつれて、90日以内に更新することを想定してください。ポリシー立ち上げ時のコミュニケーション方法にその期待を組み込んでください。
次のステップ
全チームに展開する前に、2名とドラフトをシェアしてください:法務またはコンプライアンスの誰か、そしてITセキュリティの誰か。完全なレビューのためではなく、30分の整合ミーティングのために。2つの質問をしてください:「ここに会社ポリシーと矛盾するものがあるか?」「見落としているデータ取り扱いルールがあるか?」
その会話は30分で済みます。後のはるかに長い会話を防げます。インプットが得られたらポリシーを確定し、チームで確認チェックリストセッションを実施し、最初の四半期レビュー日を設定してください。
