この記事の要点

AIガバナンスの体制構築は、専任部署や倫理委員会を持つ大企業だけの話ではありません。本記事は、情シスや総務を兼務しながらAI導入も任されている中小企業の担当者に向けて、専任部署なし・兼任2〜3名で最初の90日にやることを、フェーズ別ロードマップ・役割分担・承認フロー・運用の仕組みまで順を追って整理します。

ポイント

  • AIガバナンスは「ルールと責任体制で活用リスクを管理する仕組み」と押さえれば十分
  • 現状把握はアンケートより先に、30分の利用台帳づくりから始める
  • 作業を30日・60日・90日の3フェーズに分けると兼任でも進められる
  • 推進担当・統制担当・経営スポンサーの3役割を兼任で割り振る
  • 承認フローはリスク3段階×承認者の対応表で設計する
  • 四半期見直し・NG事例の更新・自己申告を罰しない文化で形骸化を防ぐ

「生成AIは現場でもう使われているのに、社内ルールが追いついていない」。中小企業の担当者から、筆者が最近いちばんよく聞く悩みです。きちんと整えたい気持ちはあっても、専任部署はなく、本業の片手間で進めるしかない。情報漏洩や著作権のリスクは気になるけれど、何から手をつければいいのか分からない、という方が多い印象です。この記事では、そんな状況からでも、専任部署を持たない中小企業がAIガバナンスの体制構築を90日でひと通り形にするための具体的な進め方を、筆者の支援現場での経験を交えて解説します。完璧な規程を一度で作ろうとせず、回しながら直していく前提で読んでみてください。

まず30分で現状を把握する——体制立ち上げの出発点

体制づくりの第一歩は、会議の招集でも規程の起草でもありません。今どのAIツールが、誰に、どんな業務で使われているかを把握することです。ここがずれると、後の規程も承認フローも的外れになってしまいます。

AIガバナンスとは何か——中小企業向けの最低限の定義

AIガバナンスとは、AI活用のルールと責任の所在を定め、リスクを管理しながら活用を前に進めるための仕組みのことです。難しく考える必要はありません。中小企業にとっては「誰が・何を・どこまでAIに任せてよいかを決め、困ったときの連絡先をはっきりさせる」くらいの理解で十分に出発できます。経済産業省・総務省のAI事業者ガイドライン(第1.2版・2026年3月)も、利用者が安全に活用するための行動の考え方を示しており、最初の拠り所になります(出典: 経済産業省・総務省「AI事業者ガイドライン(第1.2版)」 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/index.html )。

台帳3列(ツール名・使用業務・担当者)で全体を可視化する

最初にやってほしいのは、30分でできる利用台帳づくりです。表計算ソフトに「ツール名」「使っている業務」「担当者」の3列だけ用意し、思いつく限り書き出します。営業がChatGPTで提案文を書いている、経理が請求書の下書きをAIに任せている、といった具合に、現場のリアルが一枚に集まります。筆者が支援したある会社では、この台帳を作って初めて、経営層が把握していなかった部署のAI利用が4件見つかりました。

シャドーAIを見逃すと何が起きるか

会社が把握していないAI利用、いわゆるシャドーAIが怖いのは、顧客情報や未公開の社内資料が、知らないうちに外部サービスへ入力されてしまう点です。誰がどこで使っているか分からなければ、漏洩が起きても気づくのが遅れます。台帳はその「見えない利用」をあぶり出す道具でもあります。

把握した結果の読み方とリスク優先度の仮判定

台帳が埋まったら、機密情報を扱っていそうな利用から優先的に印をつけます。この仮のリスク判定が、後の規程と承認フローを設計するときの土台になります。AIガバナンスの体制構築は、この一枚から動き出すと考えてください。

90日ロードマップ:30日・60日・90日の区切りと成果物

現状が見えたら、次は全体の段取りです。やることを一度に並べると兼任担当はパンクします。30日・60日・90日の3フェーズに区切り、各フェーズで「作る成果物」を先に決めておくと、片手間でも前に進みます。

各フェーズの目安は次のとおりです。

フェーズ やること 作る成果物 確認すること
〜30日 現状把握とルールの骨子づくり 利用台帳・規程の初稿 機密情報を扱う利用の洗い出し
〜60日 体制と承認の仕組みづくり 役割分担表・承認対応表 誰が何を承認するかの合意
〜90日 周知・教育と運用開始 説明会資料・四半期見直しカレンダー 全員に内容が届いたか

AI事業者ガイドライン(第1.2版・2026年3月)は各フェーズで参照先として使えます。規程の項目を考えるとき、承認の考え方を整理するときに、その都度該当部分だけ読めば十分です(出典: 経済産業省・総務省「AI事業者ガイドライン(第1.2版)」 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/index.html )。90日と聞くと長く感じるかもしれませんが、本業を抱えた兼任担当が無理なく進めるには、これくらいのペースが現実的です。

最低限の規程に盛り込む5項目と自社化の判断基準

規程は10条でも25条でも構いません。ただし、業種や規模を問わず最低限そろえておきたい項目が5つあります。入力禁止情報やリスク分類の細かい中身については、関連記事『生成AIリスクと社内ガイドライン』( https://notemo.net/blog/2026-05-22-seiseiai-risk-guideline.html )で詳しく扱っているので、本記事では「なぜその項目が必要か」と「自社にどう落とすか」に絞って整理します。

項目①許可AIツールの範囲——「個人無料版禁止」のラインの引き方

まず、どのAIツールを業務で使ってよいかを決めます。多くの会社で論点になるのが、個人の無料版を許すかどうかです。無料版は入力データが学習に使われる設定のことがあり、機密情報を扱う業務では避けたいところ。法人契約や管理者設定のあるプランに寄せるのが無難です。

項目②〜④入力禁止情報・生成物の取扱・人間レビューの判断基準

次に、入力してはいけない情報(顧客の個人情報、未公開の経営情報など)、AIが作った文章や画像の扱い、そして人による最終確認をどこで必須にするかを定めます。判断基準は業種で変わります。詳細は内部リンク先にゆずりますが、自社で「これだけは外に出せない」という情報を具体名で挙げておくと、現場が迷いません。

項目⑤インシデント連絡フローを最初から規程に入れる理由

見落とされがちなのが、問題が起きたときの連絡先です。これを後回しにすると、いざ漏洩やトラブルが疑われたとき、誰に言えばいいのか分からず初動が遅れます。筆者の経験でも、連絡先が決まっていない会社ほど発覚から対応までに時間がかかりました。最初の規程に1行でも入れておく価値があります。

自社化のチェックポイント——業種別に調整が必要な箇所

医療なら患者情報、金融なら取引情報、製造なら設計データと、守るべき情報は業種で異なります。テンプレートをそのまま貼るのではなく、自社で扱う情報に当てはめて言葉を入れ替える。この一手間が、使われる規程と棚で眠る規程の分かれ目になります。

兼任2〜3名でまわす推進体制の作り方

規程の骨子ができたら、それを回す人を決めます。よくある記事は「AI倫理委員会を設置しましょう」と書きますが、専任を置けない中小企業には現実的ではありません。筆者は逆の立場です。委員会の有無より、役割の所在がはっきりしているかどうかのほうが、よほど体制を機能させます。

3つのロールの定義と担う業務

最低限、次の3つの役割を割り当てれば骨格はできます。

  • 推進担当:規程づくりや教育など、前に進める実務を担う
  • 統制担当:利用状況のチェックや、ルールから外れた使い方の発見を担う
  • 経営スポンサー:最終承認と、社外・社内への姿勢の発信を担う

2名体制・3名体制それぞれの役割分担例

人が足りなければ、推進担当が統制担当を兼ねても構いません。その場合でも、経営スポンサーだけは別の人、できれば経営層に置くのがコツです。チェックする人と決める人が完全に同一だと、判断が甘くなりがちだからです。担当者が曖昧なまま走り出した会社では、結局誰も利用状況を見ておらず、半年後に問題が表面化したケースもありました。

経営スポンサーが「率先して使う姿」を見せることが文化定着の起点になる

意外と効くのが、経営スポンサー自身がAIを使ってみせることです。トップが「これは便利だ」と語り、同時に「ここは気をつけている」と注意点も口にする。その姿が、現場の安心と緊張感の両方を生みます。AIガバナンスの体制構築は、紙のルールだけでなく、こうした空気づくりまで含めて初めて回り始めます。

承認フロー設計:リスク3段階×承認者の対応表

役割が決まったら、新しいAI利用をどう通すかを決めます。承認者を曖昧にしたままだと、気づけば誰も承認していない状態になります。とはいえ全部を経営層が承認していては業務が止まる。そこで、リスクを3段階に分け、承認者を紐づけるのが現実的です。AI事業者ガイドライン(第1.2版・2026年3月)のリスクベースの考え方がヒントになります(出典: 経済産業省・総務省「AI事業者ガイドライン(第1.2版)」 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/index.html )。

リスク3段階の分類基準

おおよそ次のように分けると判断しやすくなります。

リスク 承認者 記録方法
社内向けの文章要約・アイデア出し 本人の確認のみ 不要
社外公開コンテンツの生成 推進担当 チャット記録
個人情報・機密に関わる利用 経営スポンサー 台帳に記録

承認者と承認記録の設計(1〜2名でも回る最小構成)

専用システムは不要です。中リスクはチャットのスレッドで一言もらう、高リスクは台帳に1行残す。これだけでも「誰がいつ承認したか」が後から追えます。たとえば採用面接の補助にAIを使うなら、応募者の情報が絡むのでリスク中〜高に置くのが妥当でしょう。

承認待ち「グレーゾーン」の判断ルールを決めておく

どの段階か迷う利用は必ず出ます。そのときは「迷ったら一段上のリスクとして扱う」とだけ決めておくと、現場が止まりません。判断を個人の感覚に委ねないことが、後のトラブルを減らします。

全員に届ける周知・教育の最低限セット

規程と承認フローができても、社員に伝わらなければ動きません。といって、大がかりな研修プログラムを組む必要はありません。兼任担当が用意できる最低限のセットで十分に立ち上がります。

規程公布時の30分説明会——話す内容と資料の3つの要素

規程を配るタイミングで、30分の説明会を一度開きます。盛り込むのは「なぜルールを作ったか」「やってはいけないこと」「困ったときの連絡先」の3点だけ。長い資料より、この3つが伝わるほうが大事です。

業務別1枚注意点シートで現場の迷いをゼロにする

営業・経理・人事など、部署ごとに気をつける点を1枚にまとめたシートを配ると、現場の迷いがぐっと減ります。全社共通の規程だけでは、自分の業務に引きつけて読みづらいからです。

「質問しやすい窓口」が定着率を左右する

筆者の実感では、丁寧な説明会よりも、気軽に質問できる窓口を作ったときのほうが定着が進みました。窓口を設けてから、現場からの相談が目に見えて増えた会社もあります。質問が来るのは、ルールが意識されている証拠です。

形骸化させない運用とモニタリングの仕組みを最初から組み込む

ルールは、作るより守り続けるほうがずっと難しい。これは多くの会社を見てきた筆者の正直な実感です。立ち上げの段階で「見直す仕組み」と「申告しやすい空気」を組み込んでおかないと、3カ月もすれば誰も規程を見なくなります。AIガバナンスの体制構築で本当に差がつくのは、この運用とモニタリングの設計です。

四半期見直しカレンダーと確認5項目

3カ月に一度、見直しの日をあらかじめカレンダーに入れておきます。確認するのは、新しく使われ始めたツールはないか、ヒヤリハットは起きていないか、規程と現場のズレはないか、承認フローが守られているか、教育が行き届いているか、の5点で十分です。

NG/OK事例を現場から集めて規程に反映するサイクル

抽象的なルールより、具体的な「これはNG」「これはOK」の事例のほうが現場に効きます。見直しのたびに現場から事例を集め、シートに足していく。生きた事例集が、規程をだんだん実態に近づけてくれます。

自己申告を罰しない文化——インシデント報告率を上げる仕組み

最後がいちばん大事かもしれません。ヒヤリハットを正直に申告した人を責めない、と明文化することです。罰せられると思えば、誰も報告しなくなり、問題は水面下に潜ります。経営スポンサーが率先して「自分もここで迷った」と共有すると、申告のハードルが下がります。NG事例を集め始めたら、現場から自発的に「これは大丈夫ですか」と声が上がるようになった会社もありました。

よくある質問

体制を動かし始めると、自社特有の疑問が必ず出てきます。筆者がよく相談を受ける5つの質問と、その考え方をまとめました。

Q1. 社員5名以下の超小規模でも規程は必要ですか?

人数が少なくても、最低限のルールはあったほうがよいことが多いです。立派な文書でなくても、入力禁止情報と連絡先を1枚にまとめるところから始めれば十分なケースがほとんどです。

Q2. AI事業者ガイドラインは全部読まないといけませんか?

すべてを通読する必要はないことが多いです。まずは別添の利用者向けの行動の考え方に絞って目を通し、規程や承認を設計するときに該当部分だけ参照するのが現実的です。

Q3. 承認フローを厳しくしすぎると業務が止まりませんか?

その懸念はもっともです。低リスクの利用まで承認を求めると現場が回らなくなります。リスクを3段階に分け、低リスクは本人確認だけにとどめるほうが、結果的に長続きすることが多いです。

Q4. 外注・業務委託先のAI利用もガバナンスの対象になりますか?

委託先が自社の情報を扱う以上、対象に含めて考えるのが安全なことが多いです。契約書の委託条項に、AI利用時の取り扱いを一文加えておくと、後の認識違いを防ぎやすくなります。

Q5. 90日で体制が整わなかった場合、何から優先すべきですか?

まずは利用台帳と入力禁止情報、連絡先の3つを優先するのが現実的です。この最低限さえあれば、残りは運用しながら少しずつ足していけます。

AIガバナンスの体制構築は、一度作って終わりではなく、回しながら育てていくものです。生成AIの社内ルール整備やガバナンス体制づくりでお困りの際は、お気軽にお問い合わせください。現状把握から運用の仕組みづくりまで、自社の規模に合わせて一緒に整えていきます。