1 はじめに

1.1 本ガイドラインの目的と位置づけ

本 AI 利用ガイドライン(以下、「本ガイドライン」という)は、miracleave 株式会社(以下、「当社」という)における AI 活用の指針を定めるものです。

1.1.1 本ガイドラインが目指すこと

本ガイドラインは、以下の実現を目指しています。

  • 従業員の AI 活用支援:
    • 従業員が AI を業務にどこまで活用して良いのかという範囲を明確にします。
    • AI 利用に関する不明点や不安を解消し、安心して AI 技術の恩恵を享受できる環境を整備します。
    • 従業員が積極的に業務改善やイノベーションに取り組むことを支援します。
  • 顧客への透明性と信頼性の向上:
    • 当社がどのような考え方で AI を活用し、どのような AI 技術をサービスや業務に導入しているのかを具体的に示します。
    • AI 利用における透明性を高め、お客様との信頼関係を一層強固なものにします。
  • 責任ある AI 活用の推進:
    • AI 技術の持つ多大な可能性を最大限に活用し、業務効率の向上、革新的なサービス開発、および競争力の強化を実現します。
    • 同時に、AI 利用に伴う潜在的なリスクを適切に管理し、責任ある倫理的な利用を確保するための基本方針と具体的な行動基準を定めます。

1.1.2 本ガイドラインの位置づけと活用場面

本ガイドラインは、以下の点を特徴とし、様々な場面での活用を想定しています。

  • 「活用」への焦点: AI の積極的な活用を促すことを重視しています。
  • 罰則ではなく指針: 罰則を設けることを主眼としたものではなく、AI を安全かつ効果的に利用するための指針です。
  • 守られるべきルール: ただし、全従業員が責任ある AI 利用を実践するために守るべき共通のルールとして定めています。
  • 参照資料としての活用:
    • 従業員間の指導・学習: 従業員同士が AI 活用について指導し合う際や、自己学習を進める上での参考資料となります。
    • 顧客への説明: お客様へ当社の AI への取り組みや考え方を説明する際の基礎資料として活用できます。
  • 先進的かつ模範的な AI 活用の奨励: 本ガイドラインは、従業員一人ひとりが節度を保ち、定められたガードレールの中で AI 技術を大胆に、かつ責任を持って活用することを奨励するものです。これにより、当社が AI 活用において業界の模範となるような先進的な取り組みを推進していくことを期待しています。

システム開発会社である当社は、AI を内部業務で利用するだけでなく、顧客向けの AI ソリューションを開発・提供する立場にもあり、その両面において高いレベルの信頼性と倫理観が求められます。本ガイドラインは、これらの活動を支えるものです。

1.1.3 AI 利用の重要性とリスク管理

AI 技術の急速な進化は、ビジネスに新たな機会をもたらす一方で、誤用や悪用による企業の信用失墜、機密情報や個人情報の漏洩といったリスクも顕在化させています。本ガイドラインは、これらのリスクを予見し、予防措置を講じることで、法的遵守はもちろんのこと、顧客情報、個人情報、および企業独自の知的財産を保護し、顧客からの信頼を維持・向上させることを目指します。これは当社の個人情報保護方針及び関連規程に合致するものであり、個人情報保護の遵守を強化するものです。さらに、全従業員が AI 技術を安全かつ効果的に活用するための共通認識を醸成し、責任ある AI イノベーションを推進する企業文化を構築することも重要な目的です。

明確な AI ガバナンス体制の構築と実践は、当社の市場における競争優位性を高める戦略的な取り組みです。顧客に対し、当社が AI 時代における責任ある先進的なパートナーであることを示すことで、「信頼のブランド」を築き上げることが可能となります。

1.2 システム開発会社における AI 活用の展望と課題

システム開発会社としての当社は、AI 技術に関して二つの側面を持ちます。 一つは、社内業務の効率化や生産性向上のために AI ツールを積極的に活用する「利用者」としての側面(コーディング支援、テスト自動化、プロジェクト管理最適化など)です。国内外で生成 AI を活用し業務効率化や品質向上を実現した事例は報告されており、当社でも同様の効果が期待されます。 もう一つは、顧客に対して AI を活用した革新的なシステムやサービスを開発・提供する「開発者」としての側面であり、これにより顧客のビジネス課題解決と新たな価値創造に貢献します。

これらの展望を実現するためには、特有の課題に対処する必要があります。 利用者としては、特に以下の点が重要です。

  • 【最重要】外部 AI ツールへの機密情報・個人情報の入力禁止(本ガイドライン及び個人情報保護に関する社内規程上の厳守事項)
  • AI 生成物の品質担保
  • 著作権問題

開発者としては、以下の点が重要な課題となります。

  • 顧客向け AI システムの倫理的設計
  • 学習データにおけるバイアスの排除
  • 透明性と説明責任の確保
  • 開発 AI の知的財産権管理
  • 顧客データの安全な取り扱い

この二重の責任は、一般的な AI 利用企業よりも複雑な検討事項を当社にもたらします。本ガイドラインは、当社の事業特性とプライバシーマーク認証企業としての責任を踏まえた具体的な指針を提供します。

2 AI 利用の基本原則

本セクションでは、当社における全ての AI 活動の倫理的および運用上の基盤となる基本原則を定めます。 これらの原則は、日本政府の「AI 戦略」や総務省・経済産業省策定の「AI 事業者ガイドライン」などの国内指針を参考にしています。

2.1 人間中心の AI (Human-Centric AI)

AI は人間の尊厳と自律性を常に尊重するものであり、人間の能力を補完・拡張し、意思決定を支援するために利用されるべきです。

  • 【遵守事項】重要な影響を及ぼす可能性のある意思決定においては、必ず人間の適切な監督と判断が介在するようにします。
  • 【遵守事項】当社が開発する AI システムにおいても、利用者のウェルビーイングと基本的人権に配慮した設計を心掛けます。

2.2 安全性と信頼性 (Safety and Reliability)

AI システムは、そのライフサイクル全体を通じて、安全、セキュア、かつ信頼できるものでなければなりません。

  • 【遵守事項】エラー、誤作動、および悪意のある攻撃に対する堅牢性を確保します。
  • 【重要】生成 AI からの出力については、ハルシネーション(もっともらしい誤情報を生成する現象)を含む誤情報のリスクがあるため、その正確性を人間が検証することが不可欠です。AI の出力を鵜呑みにしてはなりません。
  • 【遵守事項】当社は開発するソフトウェア(AI コンポーネントを含む)の安全性と信頼性に責任を負います。

2.3 公平性、透明性、説明責任 (Fairness, Transparency, and Accountability)

AI の利用においては、公平性、透明性、説明責任の 3 つの原則(FAT)が信頼できる AI の基盤となります。

  • 公平性: 不公平なバイアスや差別を回避するよう努め、学習データやアルゴリズムを慎重に検討・評価します。
  • 透明性: AI の意思決定プロセスは可能な限り理解可能であるべきであり、顧客向け開発システムではその仕組み、能力、限界を説明できるよう努めます。
  • 説明責任: AI システムに関する責任の所在(開発、展開、運用、結果に対する責任者)を明確に確立します。

2.4 プライバシー保護とデータ倫理 (Privacy Protection and Data Ethics)

全ての AI 活動において厳格なプライバシー基準を遵守し、個人情報保護法(PIPA)およびその他の関連法規、ならびに当社の個人情報保護方針を遵守します。

  • 【最重要禁止事項】外部 AI ツールへの顧客情報・個人情報の入力は、原則として固く禁止します。これは本ガイドラインの核心的指示であり、プライバシーマーク認証企業としての責務です。詳細は後述します。
  • 【遵守事項】データ倫理の観点から、データが責任ある方法で調達・利用されることを保証します。
  • 【遵守事項】「プライバシーバイデザイン」を顧客向け AI ソリューション構築の中心信条とし、開発初期段階からデータ保護措置を統合します。

2.5 セキュリティ確保 (Ensuring Security)

AI システム、データ、およびインフラストラクチャを、不正アクセス、サイバー攻撃(プロンプトインジェクションやモデルポイズニングなどの AI 特有の攻撃を含む)、およびデータ侵害から保護するために、堅牢なセキュリティ対策を実施します。

  • 【遵守事項】AI 開発のためのセキュアコーディング慣行、脆弱性管理、およびインシデント対応計画を整備・遵守します。
  • 【遵守事項】これらの対策は当社の情報セキュリティ関連規程におけるセキュリティ基準とも整合性を保ちます。

2.6 法令・規範の遵守 (Compliance with Laws and Norms)

AI に関連する全ての適用法規、規制、業界標準(個人情報保護法、著作権法等)を遵守します。

  • 【遵守事項】社会規範や倫理的期待を尊重し、「AI 事業者ガイドライン」も重要な規範として捉えます。
  • 【遵守事項】プライバシーマーク認証企業として、個人情報保護に関する要求事項を常に遵守します。
  • 【重要】顧客との契約で AI 利用に関する制限や禁止事項が定められている場合は、その契約内容が本ガイドラインに優先します。 不明な場合は必ず確認してください。

2.7 イノベーションの促進と責任ある活用 (Promoting Innovation and Responsible Utilization)

AI の革新とビジネス改善のための探求と採用を奨励すると同時に、そのような利用が責任ある、倫理的で、本ガイドラインに沿ったものであることを保証します。

  • 【推奨事項】従業員が安全な範囲内で AI を実験する権限を与えられていると感じる文化を育成します。
  • 【目標】過度な制限でイノベーションを抑制せず、責任を持って方向付けることを目指します。

3 AI 利用における具体的指針

3.1 データの取り扱いとプライバシー保護

3.1.1 機密情報・個人情報の定義と特定

本ガイドラインにおいて保護対象となる情報は以下の通りです。

  • 機密情報: 当社および顧客の非公開情報全般を指します。これには、顧客のソースコード、内部戦略計画、未公開の財務データ、独自のアルゴリズム、プロジェクト中に委託された顧客所有の知的財産(ソースコード、設計書、データなど)などが含まれます。
  • 個人情報: 個人情報保護法に定義される通り、氏名、連絡先、ID 番号など、特定の個人を識別できる情報 (処理される場合には画像や音声データも含む)を指します。これらの情報の取り扱いは、当社の個人情報保護方針に従って厳格に管理されます。

3.1.2 【最重要】外部 AI ツールへの機密情報・個人情報の入力禁止

本項は、当社の AI 利用における最重要事項の一つであり、個人情報保護の観点(当社の個人情報保護方針に基づく)からも極めて重要です。

【禁止】従業員は、当社が明示的に利用を承認していない外部 AI ツール(インターネット上で一般公開されている ChatGPT や Gemini などのチャットボットサービス、利用規約において入力データが学習に利用される可能性が示唆されている公開オンライン翻訳ツールなど)に、 以下の情報を絶対に入力してはなりません。

  • 当社の機密情報
  • 顧客の機密情報(ソースコード、プロジェクト詳細、顧客データを含む)
  • 個人情報

【理由】 入力されたデータが第三者プロバイダーによって保存、処理、または AI の学習に利用される可能性があり、それによって以下のような重大なリスクが生じるためです。

  • 機密情報や個人情報の漏洩
  • 知的財産権の喪失
  • 個人情報保護法違反 過去には、従業員が外部 AI ツールに機密情報を入力した結果、情報漏洩につながったとされる事例も報告されており、この危険性は現実のものです。

【遵守事項】 利用する AI ツールが当社の規定に適合しているか不明な場合、またはリストにない新しい AI ツールを利用したい場合は、 「【重要】利用可能な AI ツールと条件」(3.1.3 を参照) に記載された承認プロセスに従って申請し、許可を得てください。 無断での利用は固く禁止します。

3.1.3 【重要】利用可能な AI ツールと条件

前項の厳格な禁止に対し、特定の AI ツールについては、当社のセキュリティおよびデータガバナンス基準(個人情報保護に関する要求事項を含む)を満たすことを条件に、機密情報や個人情報を含む社内利用が承認される場合があります。

【基本ルール】

  • 顧客契約の優先: いかなる場合も、顧客との契約で AI ツールの利用や特定情報の取り扱いが禁止されている場合は、その契約内容が優先されます。不明な場合は必ず担当部署に確認してください。
  • AI を活用した開発支援ツール(GitHub Copilot、Cursor 等)の利用について GitHub Copilot、Cursor などの AI を活用した開発支援ツールに関しては、別途定める「AI 開発支援ツール使用承諾申請フォーム」を通じて、従業員は使用する事前に申請するものとします。当該フォームには使用する際の条件も明記されており、従業員はこれを確認し同意した場合にのみ使用が許可されます。 これらのツールは、主に顧客情報(ソースコード等)や社内機密事項の取り扱いを想定しており(下記「2. 顧客情報・社内機密事項を取り扱ってもよい AI ツール」に分類されます)、原則として個人情報の取り扱いには適しません。「1. 個人情報を取り扱ってもよい AI ツール」には該当しませんので、個人情報を含む可能性のあるデータを取り扱う場合は、特に慎重な判断と、必要に応じて追加の承認プロセスを経る必要があります。 なお、使用承諾申請フォームに記載のない AI 開発支援ツールを利用したい場合は、下記の「承認プロセス」に記載された所定の手続きに従い、別途申請の相談をするものとする。
  • 承認プロセス(上記、AI 開発支援ツール以外の新規 AI ツールについて): 新しい AI ツールを利用したい場合は、まず直属の上長に相談してください。上長は利用の妥当性を確認の上、情報セキュリティ委員会に利用申請を行います。 情報セキュリティ委員会は、必要に応じて業務部門、法務担当などと協議し、利用の可否を判断し、その結果を申請者および上長に通知します。 従業員は、情報セキュリティ委員会からの正式な許可を得た後に限り、当該ツールを利用することができます。
  • 情報最小化の原則: 許可されたツールであっても、入力する情報は業務上必要最小限に留めてください。
  • 非識別化措置: 可能な場合、情報を入力する前に非識別化・匿名化処理を行ってください。

以下に、現時点で利用が認められている AI ツールと、それぞれの情報取り扱いに関するルールを示します。 このリストは定期的に見直され、更新されます。

1. 個人情報を取り扱ってもよい AI ツール以下のツールは、各ツールの利用条件および社内規定を遵守することを条件に、個人情報の取り扱いに利用できます。

  • 当社指定の AI チャットツール
    • 主な利用目的: 社内規程やマニュアルに関する問い合わせ応答、社内ドキュメントの要約・検索など、当社が許可した範囲。
    • 禁止事項: 目的外利用、不要な個人情報の入力、個人情報を含む応答の不適切な共有。
    • 注意事項: 当該 AI チャットツール上で、当社が標準提供していない外部連携機能(独自に入手した API Key を用いる機能や追加のプラグインなど)を利用する場合は、事前に情報セキュリティ委員会へ申請し、承認を得る必要があります。
  • 当社指定の API Key によって接続されるクラウド上の AI ツール
    • 主な利用目的: データ分析(匿名化・仮名化処理後)、社内システム連携における定型業務処理など、当社が許可した範囲。
    • 禁止事項: API Key の不適切な管理・共有、個人情報を直接学習させる行為(管理者の明示的な許可なく)、ログに個人情報が過度に残るような利用。
    • 注意事項:利用するクラウドサービスのセキュリティ設定(アクセス制御、暗号化等)を遵守すること。利用量とコストに注意すること。
  • 当社指定の議事録ツール
    • 主な利用目的:社内会議の音声認識、文字起こし、要約。
    • 禁止事項: 機微な個人情報(要配慮個人情報など)が含まれる会議での無断利用、生成された議事録の不適切な範囲への共有・公開。
    • 注意事項:会議参加者へ事前に利用する旨を通知し、同意を得ること(特に外部参加者がいる場合)。生成された情報の正確性を必ず確認すること。

2. 顧客情報・社内機密事項を取り扱ってもよい AI ツール 以下のツールは、各ツールの利用条件および社内規定を遵守し、情報漏洩リスクを最小限に抑えることを条件に、顧客情報(ソースコード、プロジェクト詳細など)や社内機密事項の取り扱いに利用できます。

  • 当社指定の AI を活用した開発支援ツール(AI 開発支援ツール使用承諾申請フォームにより承認されたもの)
    • 主な利用目的:コーディング支援、開発効率化など、承認された範囲。
    • 【最重要条件】必ず「AI 開発支援ツール使用承諾申請フォーム」に記載された利用条件を遵守してください。
    • 【最重要禁止事項】これらのツールへ個人情報を入力することは原則として固く禁止します。 業務上、例外的に個人情報を含む可能性のあるデータを取り扱う必要がある場合は、必ず事前に情報セキュリティ委員会及び個人情報保護管理者に相談し、許可を得るとともに、顧客の明確な同意と契約上の根拠がある場合に限ります。
    • 禁止事項: 上記重要事項に加え、承認された利用条件に反する利用、生成されたコードの無検証なプロジェクトへの組み込み。
    • 注意事項: 定期的なソフトウェアアップデートを行い、セキュリティを確保してください。顧客コード(個人情報を含まないもの)と共に使用する場合は、顧客との契約内容および同意を確認してください。
  • 当社指定の AI チャットツール
    • 主な利用目的: 社内開発ドキュメント検索、社内技術情報に関する問い合わせなど、当社が許可した範囲。
    • 禁止事項: 顧客情報を学習させるような利用(管理者の明示的な許可および顧客との契約に基づく場合を除く)、外部への共有機能の誤用。
    • 注意事項: 当該 AI チャットツール上で、当社が標準提供していない外部連携機能(独自に入手した API Key を用いる機能や追加のプラグインなど)を利用する場合は、事前に情報セキュリティ委員会へ申請し、承認を得る必要があります。
  • 当社指定の API Key によって接続されるクラウド上の AI ツール
    • 主な利用目的: 社内開発プロジェクトにおけるデータ分析(顧客データの場合は契約および顧客の指示に基づく)、開発効率化のための社内ツール連携など、当社が許可した範囲。
    • 禁止事項: 顧客との契約で保護が担保されない形での顧客データの処理、不必要な機密データのアップロード。API Key の不適切な管理・共有。
    • 注意事項: データの暗号化、アクセスログの監視、利用するクラウドサービスのセキュリティベストプラクティスを遵守すること。
  • 当社指定の議事録ツール
    • 主な利用目的: 社内会議、顧客との打ち合わせ(顧客の明確な同意がある場合のみ)の記録、文字起こし、要約。
    • 禁止事項: 機密性の高い情報を扱う会議での利用に関する事前確認の怠り、生成された議事録の不適切な保管・共有。顧客の同意なく顧客情報が含まれる会議で利用すること。
    • 注意事項: 会議参加者へ事前に利用する旨を通知し、同意を得ること(特に外部参加者がいる場合)。生成された情報の正確性を必ず確認すること。
  • その他:顧客が契約に基づき利用を指定した AI ツール・API
    • 主な利用目的: 顧客プロジェクトにおける特定の開発業務、データ処理など、顧客が指定した範囲。
    • 【最重要条件】必ず顧客との契約内容、および顧客が定める利用規定・セキュリティ要件を事前に確認し、遵守してください。当社の利用承認プロセスを経るとともに、 当社のセキュリティ基準との整合性についても可能な範囲で確認し、懸念がある場合は担当部署に相談してください。
    • 禁止事項: 契約範囲外での利用、顧客から許可されていない情報の入力・処理、顧客の指示に反する利用。
    • 注意事項: 利用にあたっては、プロジェクト責任者の指示に従い、本ガイドラインの他の関連規定(特に情報漏洩リスク、知的財産権など)も考慮すること。

    • 3.1.4 学習データの収集・管理・利用に関する方針

    当社が AI モデルを開発する場合(社内利用または顧客向け)、学習データの収集・管理・利用に関して以下の方針を遵守します。

    • 適法性と倫理性:
      • 個人データが含まれる場合は必要な同意を得るなど、データが合法的かつ倫理的に取得されていることを保証します。これは当社の個人情報保護方針に基づく基本要件です。
    • 品質確保:
      • データの正確性、完全性、および意図された目的に対する関連性を保証するためのプロセスを確立します。
    • 公平性の促進:
      • 学習データセット内のバイアスを特定し、緩和するための手順を実行します。
    • データ最小化:
      • データ収集にあたってはデータ最小化の原則に従い、必要なデータのみを収集します。
    • 安全管理:
      • 収集した学習データセットは安全に保管し、アクセス制御を徹底します。
    • データリネージ:
      • データソース、処理ステップ、およびバージョンの記録を維持しデータのライフサイクル全体を可視化するデータリネージを確立します。
    • 顧客提供データ:
      • 訓練に使用される顧客データの取り扱いに関する特定のプロトコル(契約上の合意、同意、データ使用制限を含む)を定め、遵守します。

    3.1.5 匿名加工情報・仮名加工情報の適切な取り扱い

    個人情報保護法における匿名加工情報と仮名加工情報の概念を理解し、適切に取り扱います。

    • これらの技術は、個人情報保護法及び関連する社内規程の要求事項を遵守し、プライバシーを保護しつつ AI モデルの学習や分析のためにデータを準備する場合などに利用を検討します。
    • それぞれの法的要件と制限(匿名加工データにおける再識別行為の禁止、仮名加工情報における第三者提供の原則禁止など)を遵守します。
    • これらの取り扱いは、当社の個人情報保護に関する規程に則って行われます。

    3.2 AI ツールの選定と責任ある利用

    3.2.1 利用が推奨される AI ツールと利用を避けるべき AI ツール

    • 推奨ツール: 「利用可能な AI ツールと条件(3.1.3 を参照) に記載された、当社内で精査され承認された AI ツール、または別途定められた申請フォームを通じて利用承諾を得た AI 開発支援ツールを利用してください。
    • 【禁止】利用を避けるべき・禁止するツール:
      • 「外部 AI ツールへの機密情報・個人情報の入力禁止」(3.1.2 を参照)で言及した、承認されていない外部公開 AI ツール。
      • データ処理方法やセキュリティ対策が不透明なツール。
      • 誤情報を高頻度で生成することが知られている信頼性の低いツール。
      • 当社の IP ポリシーやセキュリティポリシーと互換性のない利用規約を持つツール。
      • その他、社内で利用が禁止されたツール。
    • このリストは動的であり、定期的に更新されます。リストにない AI ツールや、利用可否が不明なツールを業務で利用したい場合は、 「【重要】利用可能な AI ツールと条件」(3.1.3 を参照)に記載された承認プロセスまたは AI 開発支援ツールに関する申請手続きに従ってください。

    3.2.2 プロンプト作成における注意点とベストプラクティス

    効果的かつ安全なプロンプトを作成するためには、以下の点に注意してください。

    • 安全性:
      • 【最重要】機密情報・個人情報をプロンプトに絶対に入力しないでください。3.1.2 を参照)
      • プロンプトインジェクション攻撃のリスクを理解し、不審な指示や予期せぬ挙動を誘発するようなプロンプトの入力を避けてください。
    • 有効性:
      • 明確かつ具体的に指示を記述してください。
      • 必要な文脈情報を提供してください。
      • 望ましい出力形式(箇条書き、表形式、特定の文体など)を指定してください。
      • 一度で完璧な結果を求めず、対話的にプロンプトを改良していくことを推奨します。
    • 倫理的配慮:
      • バイアスのある、差別的な、または有害な出力につながる可能性のあるプロンプトの作成・入力を避けてください。

    3.2.3 AI 生成物のファクトチェック、品質検証、バイアス確認

    【義務】AI が生成したコンテンツは、鵜呑みにせず、必ず人間によるレビューと検証を行ってください。 特に外部コミュニケーション、顧客への納品物、または重要な意思決定に使用する前には必須です。

    検証すべき主なポイントは以下の通りです。

    • 情報の正確性: ハルシネーション(もっともらしい誤情報)が含まれていないか、事実に即しているか。
    • 品質: 誤字脱字、論理的な矛盾、不自然な表現がないか。
    • バイアスの有無: 特定の属性に対して不公平な表現や判断が含まれていないか。
    • (コードの場合): セキュリティ脆弱性、パフォーマンス、コーディング標準への準拠、著作権侵害の可能性がないか。

    AI が生成したコンテンツに対する精査のレベルは、その意図された用途と潜在的な影響の大きさに応じて調整してください。

    3.3 知的財産権の尊重と管理

    3.3.1 AI による生成物の著作権と社内での取り扱い

    • 現状の法的解釈: 日本では現在、人間による実質的な創造的寄与がない場合、AI が単独で生成したコンテンツは一般的に著作権保護を受けないと解釈されています。
    • 社内利用: 社内利用のために AI によって単独で生成されたコンテンツは、社内で自由に使用できるかもしれませんが、保護可能な知的財産ではない可能性があります。
    • 顧客納品物: AI が生成したコンテンツを顧客の納品物の一部とする場合、人間による実質的な修正、指示、および創造的貢献がなければ、独自の著作物として主張できません。この人間の貢献を文書化することが重要です。
    • 【注意】著作権侵害リスク: 既存の著作物に類似する可能性のある AI 生成コンテンツを使用する際には、他者の著作権を侵害するリスクがないか慎重に確認してください。

    3.3.2 学習データとしての著作物の利用と法的留意点

    当社が AI モデルの学習に著作物を利用する場合(主に開発者向け)、以下の点に留意します。

    • 著作権法の遵守: 情報解析・機械学習のために一定の条件下で著作物の利用を許可する日本の著作権法の規定(著作権法第 30 条の 4 など)がありますが、その解釈は複雑であり、リスクも伴います。
    • 【推奨】利用するデータの優先順位:
      1. 公に入手可能な、許容的なライセンスが付与されたデータ。
      2. 当社が権利を所有するデータ。
      3. 権利者から適切な許諾を得たデータ。
    • 【禁止】ウェブスクレイピング等による無許諾でのデータ収集: 著作権者の権利を侵害する可能性のある方法でのデータ収集は行いません。
    • 【要確認】第三者の著作データ利用: 特注モデルの学習に第三者の著作データを使用することを検討する場合は、必ず事前に法務部門に相談し、レビューを受けてください。
    • 【注意】出力物の著作権侵害リスク: 著作データで学習されたモデルからの出力が、元の著作権を侵害しないように注意が必要です。

    3.4 セキュリティ対策とインシデント対応

    AI の利用には以下のようなセキュリティリスクが伴います。各リスクを理解し、適切な対策を講じてください。

    3.4.1 AI システムへのアクセス管理と認証

    • 【遵守事項】機密データを扱う、または重要な機能に使用される全ての AI ツールおよびプラットフォームに対して、強力なアクセス制御を実施します。
    • 【推奨事項】可能な場合は多要素認証(MFA)を使用します。
    • 【遵守事項】業務遂行上必要な範囲の者のみにアクセス権を付与する「Need-to-know の原則」及び、必要最低限の権限のみを付与する「最小権限の原則」に従い、業務上必要な権限のみを付与します。
    • これらのアクセス管理は、当社の情報セキュリティ関連規程に準拠します。

    3.4.2 情報漏洩、不正利用防止策

    情報漏洩や不正利用を防止するため、以下の技術的および組織的な対策を講じます。

    • 技術的対策:
      • データ損失防止(DLP)ツールの利用(該当する場合)。
      • 保存中および転送中のデータの暗号化。
      • AI システムおよびツールの定期的なセキュリティ監査と脆弱性評価。
    • 組織的対策:
      • AI を介したデータ抽出を目的としたフィッシングやソーシャルエンジニアリングの試みを認識し回避するための従業員への注意喚起と教育。
      • 異常なアクティビティがないか AI ツールの使用状況の監視(ログ確認など)。
      これらの防止策は、当社の情報セキュリティ関連規程及び個人情報保護に関する規程と連携して実施されます。

    3.4.3 セキュリティインシデント発生時の報告体制と対応手順

    • 【義務】AI 関連のセキュリティインシデント(AI ツールを介したデータ侵害、モデルの改ざん、AI システムの重大な脆弱性の発見など)が疑われる、または確認された場合は、直ちに定められた報告ルート(上長、情報セキュリティ委員会、または個人情報保護管理者など)に従って報告してください。
    • インシデント対応のための役割と責任は、当社の全体的なインシデント対応計画(個人情報保護に関するインシデント対応手順を含む)に定められており、それに従います。AI 固有の事象についても迅速に対応します。

    3.4.4 AI 利用における主要リスクと基本的対策

    AI の利用には以下のようなリスクが伴います。各リスクを理解し、適切な対策を講じてください。

    • リスク 1:情報漏洩
      • 概要: 機密情報(顧客情報、個人情報、社内機密情報)が、AI システムやツールを経由して外部に流出する。あるいは、入力した情報が AI の学習データとして意図せず利用される。
      • 潜在的影響: 顧客からの信頼失墜、法的責任(個人情報保護法違反など)、契約違反、企業ブランドイメージの毀損。プライバシーマーク認証維持への影響。
      • 主な対策:
        • 承認されていない外部 AI ツールへの機密情報・個人情報の入力を固く禁止します。(3.1.2 を参照)
        • 利用が許可されたツールであっても、入力する情報は必要最小限に留めます。(3.1.3 を参照)
        • データの暗号化、「Need-to-know の原則」および最小権限の原則に基づいたアクセス管理の徹底、定期的な監査を実施します。(3.4.1 および 3.4.2 を参照)
        • 従業員への情報セキュリティ教育を徹底します。
    • リスク 2:知的財産権の侵害
      • 概要: AI が生成した成果物(コード、文章、画像など)が、他者の著作権や特許権などを侵害する。AI モデルの学習データとして、不適切な方法で著作物を利用してしまう。
      • 潜在的影響: 法的紛争、損害賠償責任、成果物の利用差止、顧客への影響。
      • 主な対策:
        • AI 生成物の著作権の取り扱い方針を理解し、遵守します。(3.3.1 を参照)
        • AI の学習データとして著作物を利用する際は、法務部門に確認し、適切な許諾を得るなど、法的に問題ないことを確認します。(3.3.2 を参照)
        • AI が生成したコードやコンテンツは、納品前に必ず人間がレビューし、既存の著作物との類似性や独創性を確認します。
    • リスク 3:バイアス・差別
      • 概要: AI の判断や生成物が、特定の属性(性別、人種、年齢など)に対して不公平な結果を生み出す。これは主に学習データに含まれる偏見が原因となります。
      • 潜在的影響: 社会的信用の失墜、顧客からのクレーム、差別助長による法的・倫理的問題。
      • 主な対策:
        • AI 開発・利用において公平性の原則を遵守します。(2.3 を参照)
        • 学習データの選定には細心の注意を払い、可能な限りバイアスを排除・低減する措置を講じます。(3.1.4 および 4.3 を参照)
        • AI の出力結果は定期的に検証し、意図しないバイアスが含まれていないか確認します。(3.2.3 を参照)
    • リスク 4:ハルシネーション・誤情報
      • 概要: AI が、事実に基づいていない情報や誤った情報を、もっともらしく生成・提供する現象(ハルシネーション)。
      • 潜在的影響: 誤った意思決定、業務効率の低下、成果物の品質低下、顧客への誤情報提供による信頼失墜。
      • 主な対策:
        • AI の生成物は鵜呑みにせず、必ず人間によるファクトチェックと検証を行います。(2.2 および 3.2.3 を参照)
        • 重要な判断や外部への情報発信に AI 生成物を用いる場合は、特に慎重な検証を義務付けます。
    • リスク 5:セキュリティ侵害
      • 概要: プロンプトインジェクション(悪意のある指示で AI を操る)、モデルポイズニング(学習データに悪意のある情報を混入させる)といった AI 特有の攻撃。AI システム自体の脆弱性を悪用される。
      • 潜在的影響: システム停止、データ改ざん・破壊、機密情報窃取、マルウェア感染拡大。プライバシーマーク認証維持への影響。
      • 主な対策:
        • AI システムおよび関連データへのアクセス管理を徹底します。(2.5 および 3.4.1 を参照)
        • プロンプト作成時には、機密情報を含めず、外部からの入力には注意を払います。(3.2.2 を参照)
        • AI ツールやプラットフォームのセキュリティアップデートを速やかに適用します。
        • 不審な挙動やセキュリティインシデントを発見した場合は、速やかに報告します。(3.4.3 を参照)
    • リスク 6:法令違反
      • 概要: 個人情報保護法、著作権法、その他業法など、AI の利用に関連する法令への違反。
      • 潜在的影響: 行政処分、罰金、刑事罰、事業停止命令、社会的制裁。プライバシーマーク認証取り消しのリスク。
      • 主な対策:
        • AI 利用に関わる全ての法令・規範を遵守します。(2.6 を参照)
        • 本ガイドラインおよび関連する社内規程を熟読し、遵守します。
        • 法改正や新たな規制の動向を常に把握し、対応します。
        • 不明な点や判断に迷う場合は、法務部門やコンプライアンス担当(情報セキュリティ委員会、個人情報保護管理者など)に相談します。

      • 4 システム開発業務における AI 活用特有の指針

      本セクションでは、システム開発会社としての当社の中心業務に特化したガイダンスを提供します。

      4.1 AI を活用したシステム開発(コーディング支援、テスト等)の留意点

      AI 搭載開発支援ツール(別途「AI 開発支援ツール使用承諾申請フォーム」を通じて事前に利用承諾を得たもの)の利用にあたっては、以下の点に留意してください。

      • 人間によるレビューの必須性:
        • AI が生成したコードは、正確性、セキュリティ脆弱性、パフォーマンス、およびコーディング標準への準拠について、必ず開発者自身がレビューし、検証してください。
        • 【認識】AI はあくまで支援ツールであり、開発者の代替ではありません。
      • 【推奨事項】AI によるコードレビューの活用:
        • 人間による最終的なコードレビューの前に、当社が指定する AI によるコードレビューを実施することを推奨します。これはコードの品質改善、潜在的な問題の早期発見、開発者のコーディングスキル向上に繋がり、CI/CD プロセスへの積極的な組み込みが望まれます。
      • 知的財産権:
        • AI 支援によるコードの IP 所有権について、「AI 利用における具体的指針」(3.3.1 を参照)の規定を理解し、遵守してください。
      • テスト:
        • AI が生成したテストケースやテストデータの品質とカバレッジを検証してください。
      • 【最重要】顧客データ・個人情報の取り扱い:
        • 承認されていない AI 開発ツールに、顧客独自のコード、データ、その他機密情報、及び個人情報を入力することは固く禁止します。(「AI 利用における具体的指針」(3.1.2 を参照)を再確認)これは個人情報保護に関する社内規程上の重要な遵守事項です。
        • 利用承諾を得た AI 開発支援ツールであっても、個人情報を含むデータやコードの入力は原則として固く禁止します。 例外的に取り扱う必要がある場合は、必ず事前に情報セキュリティ委員会及び個人情報保護管理者に相談し、書面による許可を得るとともに、顧客の明確な同意と契約上の根拠がある場合に限ります。(「【重要】利用可能な AI ツールと条件」(3.1.3 )の「2. 顧客情報・社内機密事項を取り扱ってもよい AI ツール」内の「当社指定の AI を活用した開発支援ツール」の項を参照)
        • AI 開発支援ツールを顧客コード(個人情報を含まないもの)と共に使用する場合は、「AI 開発支援ツール使用承諾申請フォーム」に記載された利用条件を遵守し、必ず事前に顧客との契約内容を確認し、必要に応じて顧客の同意を得てください。
        • 顧客との契約に基づき、顧客から特定の AI ツールや API の利用を指定された場合は、当社の利用承認プロセスを経るとともに、顧客側の利用規定やセキュリティ要件(個人情報の取り扱いを含む)も十分に確認し、遵守してください。 (「【重要】利用可能な AI ツールと条件」内の「2. 顧客情報・社内機密事項を取り扱ってもよい AI ツール」の「その他:顧客が契約に基づき利用を指定した AI ツール・API」の項も参照( 3.1.3 を参照))
      • 学習と改善:
        • AI ツールの提案を盲目的に受け入れるのではなく、ツールを利用して自身のスキルや知識を学習し改善することを奨励します。

        • 4.2 顧客向け AI システム・サービス開発時の倫理的設計と透明性の確保

        顧客向けに AI を開発する際には、設計段階から倫理的配慮(個人情報保護に関する要求事項を含む)を組み込みます。

        • 初期段階での協議:
          • 要件定義の段階で、倫理的影響と潜在的なバイアスについて顧客と話し合います。
          • AI システムのための責任あるデータ調達と管理について顧客に助言します。
        • 開発時の対応:
          • 顧客向けに開発されたモデルのバイアスを検出し緩和するための技術を実装します。
          • 適切かつ実行可能な場合には、顧客(およびそのユーザー)が AI の決定を理解できるように、透明性と説明可能性(XAI)のためのメカニズムを構築します。
        • 顧客への説明:
          • 提供する AI システムの能力、限界、および責任ある使用について顧客を教育することも重要です。

        4.3 訓練データの品質、バイアス評価、モデルの検証プロセス

        本項は、特に顧客プロジェクトに関して「AI 利用における具体的指針」(3.1.4 を参照)を拡張するものであり、個人情報保護方針及び関連規程に基づく顧客データの適切な取り扱いを保証するものです。

        • 顧客とのデータガバナンス:
          • モデル学習で使用される顧客提供データに関するデータ所有権、使用権、プライバシーコンプライアンス、およびセキュリティに関する明確な合意を顧客と確立します。
        • 協調的なバイアス評価:
          • 顧客と協力して、そのユースケースに関連する潜在的なバイアスを特定し、それらに対処するための戦略を策定します。
        • 展開前の検証:
          • 展開前に、精度、堅牢性、公平性、およびセキュリティをカバーする AI モデルの包括的なテストと検証を実施します。
          • 検証結果を顧客向けに文書化します。
        • 展開後の監視:
          • 展開後の AI モデルのパフォーマンスと、モデルのドリフトや新たなバイアスの可能性について、継続的な監視の重要性を顧客と話し合い、該当する場合はこのためのサービスを提供します。

        5 推進体制、およびガイドラインの運用

        5.1 AI 利用推進体制と責任者の設置

        AI に関する社内ガバナンス体制を定義し、適切に運用します。

        • この体制は情報セキュリティ委員会及び個人情報保護管理者の活動と連携し、AI 戦略、ポリシー、およびリスク管理を監督する責任を負います。 AI 利用に関するガバナンスは、情報セキュリティ委員会がその役割を担い、必要に応じて AI 倫理に関する担当者を指名します。 個人情報保護管理者は、個人情報保護の観点から AI 利用のガバナンスに関与します。
        • AI ツールの承認、データ管理、セキュリティ確保、および倫理的レビューの実施に関する責任者を明確に割り当てます。
        • IT 部門、法務部門、コンプライアンス担当、セキュリティ担当、個人情報保護管理者、および事業部門間の連携を密にします。

        5.2 ガイドラインの周知徹底、遵守状況のモニタリング

        • 本ガイドラインは社内通知または定期的な研修により全従業員に周知徹底します。
        • 情報セキュリティ委員会による監査や承認済みツールの使用ログ確認などにより、ガイドラインの遵守状況を監視するためのプロセスを確立します。
        • 違反に対する結果を定義しますが、過失や不確実性の報告を奨励する支援的なアプローチとのバランスを取ります。

        5.3 ガイドラインの定期的な見直しと更新プロセス

        • 本ガイドラインは「リビングドキュメント」であり、定期的(毎年、または重要な新しい AI 技術の出現、リスクの顕在化、規制変更、個人情報保護に関する法令や当社の規程の重要な変更があった場合など)に見直され、更新されることを明記します。
        • レビュープロセス(情報セキュリティ委員会、法務部門、セキュリティ担当、個人情報保護管理者、開発チームの代表者などが関与し、レビューのきっかけ、更新の承認・伝達方法を含む)を定義します。

        6 質疑応答および相談窓口

        従業員が本ガイドラインについて質問したり、特定の状況について明確化を求めたり、懸念を報告したりできるよう、相談窓口として情報セキュリティ委員会を設置します。

        お問い合わせは、情報セキュリティ委員長または個人情報保護管理者宛に、原則として個別のチャット(またはそれに準ずる機密性の高い連絡手段)にて直接ご連絡ください。 これにより、相談内容の機密性を確保します。

        この窓口の管理・運営は情報セキュリティ委員会が行います。

        7 参考

        7.1 用語集

        • AI(人工知能): 人間の知的活動をコンピュータプログラムを用いて模倣・実現する技術やシステム。
        • 生成AI(Generative AI): テキスト、画像、音声、コードなど新しいコンテンツを生成する AI。
        • ハルシネーション: AI が事実に基づかない情報や誤った情報を、もっともらしく生成する現象。
        • プロンプト: AI に対して指示や質問を与えるための入力テキスト。
        • プロンプトインジェクション: AI に対して特殊なプロンプトを入力することで、意図しない動作を引き起こさせたり、機密情報を漏洩させたりする攻撃手法。
        • 機械学習(Machine Learning): データからパターンを学習し、予測や分類などのタスクを実行する AI の一分野。
        • 学習データ(Training Data): 機械学習モデルを訓練するために使用されるデータセット。
        • バイアス(Bias): AI モデルの判断や出力が、特定の属性やグループに対して不公平に偏ること。学習データに含まれる偏見が原因となることが多い。
        • 匿名加工情報: 特定の個人を識別できないように個人情報を加工したもので、当該個人情報を復元することができないようにしたもの(個人情報保護法第 2 条第 6 項)。
        • 仮名加工情報: 他の情報と照合しない限り特定の個人を識別することができないように個人情報を加工したもの(個人情報保護法第 2 条第 5 項)。
        • 知的財産権(Intellectual Property Rights): 著作権、特許権、商標権など、人間の知的創造活動によって生み出された成果を保護する権利の総称。
        • 個人情報保護法(PIPA): 個人情報の適正な取り扱いを確保し、個人の権利利益を保護することを目的とする日本の法律。
        • XAI(Explainable AI – 説明可能な AI): AI の判断根拠や意思決定プロセスを人間が理解できるようにするための技術や手法。
        • プライバシーマーク: 個人情報の取り扱いについて適切な保護措置を講ずる体制を整備している事業者等を評価して、その旨を示すマークを付与し、事業活動に関してマークの使用を認める制度。

        7.2 参考文献

        1. AI 事業者ガイドライン(第 1.0 版)
        2. AI 事業者ガイドライン(第 1.0 版)別添(付属資料)
        3. 生成 AI サービスの利用に関する注意喚起等について
        4. 仮名加工情報の利活用による AI 医療機器の開発のための企業向けガイダンス 第 1.0 版
        5. AI ガバナンスに関する取組事例
        6. 資料室 - 一般社団法人日本ディープラーニング協会【公式】

        2025 年 7 月 25 日施行
        miracleave 株式会社
        情報セキュリティ委員会
        情報セキュリティ管理者 澤 良弘