デジタル庁の生成AIガイドライン2.0を、中小企業の社内ルールに翻訳する

あなたの会社に、「AIをどう使っていいか」のルールはありますか。

多くの中小企業の答えは「なんとなく各自で」だと思います。一方、行政は先週、ルールの改定版を出しました。デジタル庁の「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン(第2.0版)」、2026年6月12日の決定です。

「お役所の文書でしょ」と閉じるのは、もったいない。これは机上の作文ではなく、政府職員約18万人を対象にした生成AI環境「源内」の大規模実証と並走しながら磨かれている、実運用のルールです。読み込んでみると、中小企業がそのまま盗める仕組みがいくつもありました。今回はそれを「うちの会社の社内ルール」に翻訳してみます。

何が起きたか

まず事実関係を整理します。

• 初版(2025年5月27日)から約1年で第2.0版に改定。技術の進展、ユースケースの拡大、国内外の制度動向を踏まえた、とされています
• 改定の柱は、テキスト以外の生成AIへの対象拡大(画像・音声など)と、知的財産権保護に関する記載の充実。AIエージェントの定義も脚注に加わりました
• 施行は2026年9月1日。ただし責任者体制(後述)は6月30日まで、対象拡大の枠組みは7月1日からと、段階的に施行されます

ちなみにこのガイドラインの基本姿勢は「禁止リスト」ではありません。本文には、利活用促進とリスク管理を「表裏一体」で進める、リスクが低い業務は「スピード感を持って実装を進める」とまで書いてあります。攻めの文書です。

バズらないが、実務家は静かに見ている

日本語圏のXユーザーの反応を見ると、まさにそうでした。

• お祭り騒ぎにはなっておらず、実務家が静かにチェックしているという段階。要約スライドや解説ポストが淡々と流通しています
• 肯定派は「CAIOの設置や調達チェックシートなど、民間企業の調達・契約にもそのまま参考になる」という実務目線の評価
• 一方で、クリエイター寄りの層からは著作権保護への根強い懸念、「結局、確認作業で現場の負担が増えるだけでは」という冷めた声も

(Xユーザーの反応はあくまで傾向の把握用です。以下の内容はすべてガイドライン本文で確認しています)

核心は「3つの質問」でリスクを仕分けること

このガイドラインでいちばん持ち帰る価値があるのは、高リスク判定の考え方です。府省庁は新しいAI活用を始めるとき、別紙の「高リスク判定シート」の設問に答えるだけで、高リスクかどうかの当たりを付けます。設問は本質的に3つしかありません。

1. その業務は、AIの間違いが重大な影響を及ぼすものか? 人の生命・身体・財産、事業への重大な影響、資格が必要な業務、高い説明責任が求められる業務か
2. 誰が使うか? 不特定の外部の人に向くほどリスクは上がり、知見のある内部の人だけならリスクは下がる
3. 出力結果を、人が確認してから使うか? 人の判断を挟まずそのまま使う設計は、それだけでリスクが上がる

そして本文には、生々しい判定例が載っています。「相手のメール内容に応じた返信を、職員の確認を経ずに自動送信する」は高リスク。業務自体はありふれていても、人の確認を挟まない設計がリスクを跳ね上げる、という整理です。

これ、そのまま中小企業で使えます。「AIで何をしていいか分からない」の正体は、たいていリスクの仕分け基準がないことなので。

中小企業版に翻訳した「5つの仕組み」

ガイドライン全64ページから、規模を問わず効く仕組みを5つだけ抜き出して翻訳します。

① リスクは3つの質問で仕分ける。 上の3問を、新しいAI活用を始める前のチェックにする。全部「大丈夫」なら現場判断でどんどん使う。ひとつでも引っかかるなら次の②へ。行政と同じく「低リスクは素早く、高リスクは慎重に」の二段構えにするのがポイントです。全部を慎重にやると、誰も使わなくなります

② 危うい業務には「人の確認」を挟む。 高リスクと出た業務は、禁止ではなく「人がレビューしてから出す」設計に変える。先ほどの自動返信の例がまさにそれで、同じ業務でも確認を1ステップ挟むだけでリスクの等級が変わります

③ 責任者をひとり決める。 ガイドラインは各府省庁にAI統括責任者(CAIO)を置かせ、リスクレベルの判断役にしています。中小企業なら「AI係」で十分。社内で使われているツールの把握と、迷ったときの判断の一元化。これだけで「各自バラバラ」状態から抜け出せます

④ 入れていい情報・ダメな情報を決める。 行政は機密情報を扱うクラウドに認定制度(ISMAP)の利用を原則とし、権限管理とログ取得の記載を今回強化しました。翻訳すると、顧客情報や機密をどのツールに入れてよいかの線引きと、誰が何に使ったか後から追える状態にしておくこと、です

⑤ 「やらかし時」の手順を先に決める。 ガイドラインはハルシネーションで第三者に不利益を与えた、生成物が既存の著作物に似ていて削除を求められた、といった事故例を先回りで列挙し、報告と対応の手順を整備させています。中小企業版は「気付いた人は責任者に報告、責任者は止める・直す・記録する」の一行でいい。事故をナレッジとして共有する発想も含めて、ここは丸ごと真似できます

全部やらなくていい、という話

念のため。向こうは18万人の組織のルールで、全64ページあります。中小企業がこの分量を整備する必要はまったくなくて、上の5項目ならA4一枚に収まります。

私たちもAI導入支援のご相談を受ける中で、「ツールはもう使っているが、ルールが何もない」という会社によく出会います。実感として、ルールは利用を縛るものではなく、安心して使う範囲を広げるものです。実はこのブログの制作も、執筆ルールや画像の扱いを文書化した上でAIを使っていて、ルールがあるほうが明らかに速い。迷う時間が消えるからです。

もうひとつ、行政から盗みたい姿勢があります。初版からわずか1年あまりで2.0に改定した、つまりルールは作って終わりではなく、使いながら更新する前提だということ。最初から完璧な規程を目指すと重くなるので、軽く作って、半年ごとに見直すくらいでちょうどいいと思います。

すぐ試してみたいなら、ひとつだけ

いま社内で使っているAIの用途をひとつ思い浮かべて、3つの質問に当てはめてみてください。

• 間違いが重大な影響を及ぼす業務か
• 誰が使うか(社外に出るか、社内で済むか)
• 人が確認してから使っているか

3問目が「確認していない」で、かつ1問目か2問目が引っかかるなら、そこだけ今日から人の確認を挟む。あなたの会社の生成AIガイドライン第0.1版は、たぶんそれで完成です。