対策を急げ！ラックが示す、「現場で本当に運用可能」かつ実効性ある生成AIガイドライン策定のポイント

ガイドライン策定の4ステップ、見落としがちな軸

　社内ガイドラインの存在は、ガバナンス整備の要となる。前述のようなリスクを踏まえることはもちろん、生成AIによるメリット（コスト削減、新規事業創出など）とデメリット（リスク、対策コストなど）のバランスが、企業の事情（業種、組織規模、AI利活用の目的など）ごとに異なる点にも注意しよう。ガイドライン策定の際、そのバランスをとることが重要となる。

　ガイドラインを定めることで、「施策立案 → 実践運用 → 監視チェック → 改善対策」のPDCAが機能し、それをもとにした教育活動も進めやすくなる。すると、ゆくゆくは社員のAIリテラシー向上にもつながる。

　藤井氏が提示した、ガイドラインに求められる要件は次の5点だ。

1. 生成AI特有のリスクを理解し、ガイドラインに反映する
2. 自社におけるユースケースを考慮する（単純利用なのか、システム組み込みなのか、外部サービス提供なのか、など）
3. 法規制への対応（EUのAI Act、GDPR〈一般データ保護規則〉をはじめとするグローバルでの規制や、日本での個人情報保護法など）
4. チェックする仕組み、フロー／体制の整備など実運用への適用
5. 技術・法規制の変化に応じた継続的な見直し（内容の旧態化／形骸化を防ぐ）

　これらを踏まえて、いよいよ実践フェーズに入る。ガイドラインの策定プロセスは、大きく「①利用状況の把握、②リスク評価、③ガイドライン案策定、④関連部門との調整」から成る4つのステップで進めていくのが望ましいとのこと。社内での生成AIの利用状況は、CASBや、社員がどのクラウド／SaaSにアクセスしているか監視するツールのログなども活用して把握しよう。最後の部門調整は、現場で運用可能かつ効力を発揮するガイドラインの仕上げに欠かせない。

　策定の際、ISO/IEC 42001やNIST AI 100-1 RMFなどといった参照できるフレームワークは複数あるが、すべての要件を盛り込むのは困難だ。過剰な制約（ルール）を課してしまうと、「遵守するのが面倒だから隠れて使っちゃおう」という従業員の心理を醸成し、シャドーAIを生み出してしまうリスクがある。つい様々なリスクや可能性に目がいきがちだが、大切なのは「自社の『活用』と『リスク』のバランスを見極め、着実に運用できるガイドラインを目指すこと」だ。その点を忘れないようにしよう。

　とはいえ、そう簡単に進められるプロセスではないことも事実。そんな企業に対しては、ラックが提供する「生成AI利用・開発ガイドライン策定支援サービス」を利用するのも手だ。同社のコンサルタントが、顧客の事業内容、既存規程、生成AIのユースケースなどを深く理解した上で、リスクや法規制を考慮した実効性あるガイドラインをともに策定してくれる。運用の定着を支援するチェックシートや、法規制・技術動向の変化に応じた定期的な見直し支援もオプションで提供している。