デジタル庁は2026年6月12日、「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン(第2.0版)」を策定しました。政府情報システム向けの文書ですが、生成AIを業務に使ううえで、推進とリスク管理を同時に進める考え方は中小企業にも参考になります。
第2.0版の概要では、生成AIの利活用促進とリスク管理を表裏一体で進めること、各府省にAI統括責任者を置いて利用状況の把握・推進・リスク管理を総括すること、調達・契約チェックや運用後の検証を行うことが示されています。これは大企業や行政だけの話ではありません。少人数の会社ほど、誰でも使える状態にする前に、誰が判断し、どの用途で使い、どこで人が確認するかを短く決めておく必要があります。
なぜ中小企業にも関係するのか
生成AIは、文章作成、問い合わせ対応、議事録、社内検索、見積作成などに入り込みやすい技術です。導入のハードルが低い一方で、入力してよい情報の範囲、出力内容の確認、著作権や個人情報への配慮、誤回答時の責任分担が曖昧なまま使われやすい面があります。
デジタル庁のガイドラインは、対象となる生成AIシステムをテキスト・音声入力、テキスト・画像・音声出力まで広げています。また、2026年9月1日から第2.0版の内容を施行し、AIガバナンスの枠組みは2026年7月1日から先行適用すると説明しています。行政向けの適用時期ではありますが、世の中の基準が「便利だから使う」から「管理しながら使う」へ移っていることは、中小企業の導入判断にも影響します。
社内AI利用を広げる前に決めたい3つのルール
- AI利用の責任者を決める
政府ガイドラインでは、各府省のAI統括責任者が利用状況の把握やリスク管理を総括する形が示されています。中小企業では専任のAI責任者を置けないことも多いですが、最低限「社内AI利用の相談先」を一人決めるだけでも混乱は減ります。現場任せにせず、利用ツール、入力禁止情報、外部共有の可否を集約して判断できる人を置くことが重要です。 - 使ってよい用途と使わない用途を分ける
まずは議事録の下書き、社内文書のたたき台、FAQ案、表計算の関数案など、人が確認しやすい用途から始めるのが安全です。一方で、契約判断、採用可否、与信、医療・法務・労務の最終判断、顧客への自動送信などは、AI出力だけで完結させないルールが必要です。業務ごとのリスクを分けずに全社展開すると、便利さよりも手戻りが目立ちやすくなります。 - 出力確認とログの残し方を決める
第2.0版では、リリース前のテストシナリオ作成、入出力の検証、利用ルールの整備、ユーザーへの周知が重視されています。中小企業でも、AIが作った文章を誰が確認するか、顧客に送る前に何を見るか、重要業務で使ったプロンプトや出力をどこまで残すかを決めておくべきです。細かい監査体制を最初から作る必要はありませんが、後から説明できない使い方は避けるべきです。
AIエージェント時代は「操作できる範囲」の管理が重要
今回の改定履歴では、AIエージェントに関する定義や、利用者が高度なタスクを実行できるAIエージェント等を作成できる生成AIシステムについての記載が追加されています。AIが文章を出すだけでなく、予定を作る、ファイルを更新する、メール文面を作る、外部サービスに接続するようになると、管理すべきポイントは「回答の正しさ」だけではなくなります。
中小企業でAIエージェントを試す場合は、最初から基幹業務につなぐのではなく、閲覧だけ、下書きだけ、社内確認後に実行、という段階を分けるのが現実的です。特に、顧客データ、請求、契約、採用、勤怠、在庫、発注に関わる操作は、AIが直接更新できる範囲を狭くしておく必要があります。
小さな会社ほど、短いルールで始める
総務省・経済産業省のAI事業者ガイドライン第1.2版も、AIを活用する事業者が安全安心なAI活用のための望ましい行動を確認できる指針として公開されています。すべてを詳細に読み込むのが難しい場合でも、まずは社内向けに1枚の「AI利用ルール」を作るだけで、導入後の迷いは減らせます。
たとえば、最初の版では次の項目だけでも十分です。入力してはいけない情報、利用してよい業務、顧客に出す前の確認者、誤りを見つけたときの報告先、利用ツールの管理者。これらを決めずに利用を広げると、便利な使い方が増えるほど、責任の所在が見えにくくなります。
生成AIは、導入を急ぐ価値がある技術です。ただし、社内で安心して使い続けるには、ツール選定の前に運用の線引きが必要です。行政向けガイドラインの要点を、自社の規模に合わせて「短く決める」ことが、中小企業にとって最初のAIガバナンスになります。