「ルールは利用を邪魔するためではなく、安心して使うための土台」グリーのセキュリティガイドラインに学ぶ、メガベンチャーでの生成AIの現在。

GREE Tech Conference 2025にて、グリーホールディングス株式会社 マネージャーの奥野 緑氏が登壇しました。「生成AIを安心して活用するために 『情報セキュリティガイドライン』 策定とそのポイント」と題し、同社における生成AI活用のためのルール整備について講演しました。

https://speakerdeck.com/gree_tech/sheng-cheng-aiwoan-xin-sitehuo-yong-surutameni-qing-bao-sekiyuriteigaidorain-ce-ding-topointo

動画は1:40:00ぐらいから始まります

https://youtu.be/vSY-3LHCo7M

ガイドライン策定の背景

ガイドライン策定の背景にあるのは、「急速な生成AI普及」です。2023年、ChatGPTが数ヶ月で利用者数1億人を突破し、「『AI元年』と呼ばれる社会的ブームに」なりました。これを受け、グリー社内からも「安心して活用したい」といった要望が高まりました。このため、「生成AIの業務活用には明確なルールが必要であること」が明らかになり、ガイドライン策定に至りました。

「生成AI利用ガイドライン」の解説

ガイドラインの目的

ガイドラインでは、以下の3つを目的として明記しています。

• 生成AI活用による業務効率向上とアイデア創出の促進

• 情報漏洩リスクの回避

• 安全な活用のためのルール・手続きの明確化

対象とする生成AIの定義

ガイドラインの対象は、「人間からの指示に基づき、テキスト、画像、音声といった新たなコンテンツを 生成するシステム」と定義しています。これにはChatGPT、Claudeといったテキスト生成AIのほか、画像・動画生成やコード生成AIも含まれます。

「定義がないと…」と奥野さんは語ります

ガイドラインでは、目的の次に、対象とする「生成AIの定義」も明記しています 。 「定義がないと…」と奥野さんは語ります。その真意は、「もし定義が曖昧だと、これは対象となるのか、ならないのかといった混乱や抜け漏れが生じてしまいます」 という点にあります。

そのため、「ガイドラインの適用範囲を明確にすることも大切だと考えています」 と述べ、定義の重要性を強調しました。 ちなみに、グリーのガイドラインでは、生成AIを「人間からの指示に基づき新しいコンテンツを作り出すシステム全般を指しています」 と定義しています。

利用可否の判断：「情報分類」が鍵

グリーでは、「情報分類別で生成 AIへの入力可否を判断」しています。

＜写真9ページ：情報分類別で生成 AIへの入力可否を判断＞

グリーの情報分類（極秘情報、機密情報、取扱注意、一般情報）と「個人情報あり」「個人情報なし」の軸で、生成AIへの入力可否を定めた表です。

このルールの下では、「極秘情報」（回復不可能な損害）は個人情報の有無にかかわらずNGとなります。「機密情報」（容易に回復できない損害）と「取扱注意」（損害を与えるおそれが少ない）は、「個人情報なし」の場合に限り、「『サービスの安全性』と『利用時の遵守事項』が守れたら」OKとなります。

スライド10ページ：利用可否の判断フロー(概略図)＞ キャプション： 入力情報の機密性区分に応じた利用可否の判断フローです。個人情報・極秘情報は即座に「利用不可」へと分岐しています。

なぜ個人情報・極秘情報を安易に入力してはいけないのか

奥野氏は、「なぜ個人情報・極秘情報を安易に入力してはいけないのか」について、法律とリスクの両面から解説しました。

1. 法律上の規定

「極秘情報」に関しては、「法律上の規定なし」というのが現状です。一方、「個人情報」については個人情報保護法に規定があります。ポイントは第27条の「本人同意なく第三者提供は禁止」という点です。

個人情報保護委員会は、AIへの入力が機械学習などに使われなければ「第三者提供に当たらない」と整理しています。しかし、グリーでは「ただしAIの挙動や実際の取扱いは不透明」と判断し、「→社内ルールとしては同意取得が安心」というスタンスをとっています。

結論として、法律は「禁止はしてはいない」ものの、「第三者提供」に該当する可能性への対応が必要だとしています。

2. 法律以外のリスク

法律面以外にも、以下の4つのリスクがNGの理由として挙げられました。

• 理由①: 「外部送信=制御不能」

  1. 入力情報は外部に送信され、「完全な追跡・削除は難しい」とのことです。

• 理由②: 「運用・バグリスク」

  1. サービス側の不具合（例：「会話履歴の誤表示」）で情報が露出するリスクがあります。

• 理由③: 「検知策の未成熟」

  1. 不適切な利用を検知するツールが未成熟で、「監査ログを備えるAIサービスが少ない」のが現状です。

• 理由④: 「信頼性評価の難しさ」

  1. 生成AI特有のセキュリティ基準に基づく「審査・認証する公的制度は整備途上」であるためです。

「条件付きOK」の2つの条件

機密情報・取扱注意情報を入力する際の2つの条件は、「サービスの安全性確認」と「利用時の遵守事項」です。

1. サービスの安全性確認

利用するサービスが安全かを確認します。

＜スライド14ページ：サービスの安全性確認＞ キャプション： サービスの安全性を確認するためのチェックポイントです。「ISMS/Pマーク等の情報セキュリティ認証」「インシデント歴」のほか、データ保護の項目として「学習しない、もしくは利用者で学習しない設定にできる」ことが挙げられています。

2. 利用時の遵守事項

利用者が守るべきルールも定められています。

＜スライド15ページ：利用時の遵守事項＞ キャプション： 利用者が守るべきルールの例です。「個人情報/極秘情報は入力禁止」「会社のアカウントで利用」「生成コードのレビュー必須」などが示されています。

特に「agent機能がある場合」は、「『都度確認』設定とし、『常時承認』設定は使わない」、「削除・構成変更などリスクの高い操作は原則人手で実行」といった、より慎重なルールが設けられています。

策定の流れと関連部門

ガイドラインの策定は、セキュリティ部だけでなく、「法務部門」「個人情報管理部門」「リスクマネジメント部門」「情報システム・インフラ部門」といった関連部門と連携して進められました。

決定プロセスは、セキュリティ部での方針案作成、関連部門との連携を経て、「情報セキュリティ委員会にて方針案を検討・承認」、最終的に「経営会議での決定」という流れをたどりました。

これは、「『事業に大きく関わる事項』として、最終的に経営会議で承認され、全社的な利用方針として決定」されたことを意味します。

課題及び工夫

ガイドライン運用の課題

ガイドラインの運用には、6つの主要な課題があります。

＜スライド19ページ：生成AIガイドラインの課題＞ キャプション： ガイドライン運用における6つの課題です。「技術進化への対応」「利便性と安全性の両立」「ルールの複雑化・利用者の理解不足」「相談対応の負荷」「検知策の未成熟」「公的認証の未整備」が挙げられています。

最大の課題は「利便性と安全性の両立」です。特に個人情報の取り扱いについては、活用の度合いとリスクのバランスをどう取るか、継続的な検討が求められます。

＜スライド20ページ：課題:利便性と安全性の両立をどうするか＞ キャプション： 個人情報の取り扱いに関する3つの案（保守案・中間案・積極案）を比較した表です。現行の「保守案」では社内外の個人情報をNGとしていますが、将来的には「活用度を高めつつ、...リスクを削減していくのが理想」としています。

また、「ルールの複雑化」も課題であり、実際の判断フローは社内システムとの連携なども含む複雑なものとなっています（スライド21ページ）。

運用における4つの工夫

これらの課題に対し、グリーでは4つの工夫を実践しています。

• 利用者の効率化

  1. 「公式導入済み生成AIは『ホワイトリスト』に登録し、個別の安全性確認を省略」しています。さらに「『確認中リスト』『NGリスト』を公開し、利用可否の自己判断を迅速化」しています。

• 対応の効率化・一貫性

  1. 「相談対応にNotebookLMを活用し、過去相談の知見を再利用することで、一貫性とスピードを両立」させています。スライドでは「JIRA回答支援」の例が示されました。

• 利用者の理解向上

  1. 「NotebookLMを用いた解説音声・動画を公開し、目的・ルール・注意点を短時間で把握できるようにする」取り組みも行っています。

• 他社事例の収集

  1. 「ガイドライン/利用状況の情報交換を継続し、...随時更新」するとともに、「社外の利用動向・ベストプラクティスを定期的に経営陣へ共有し、意思決定を支援」しています。

まとめ：安全に生成AIを活用するために

奥野氏は、安全な活用のために大切なこととして以下の5点を挙げました。

• バランス: 「利便性とリスクを正しく把握し、適切な均衡を保つ」

• アップデート: 「技術動向・他社事例・社内の利用状況を継続的に収集し、ルールへ迅速に反映する」

• 啓発と負担削減: 「教育や社内ブログ等で継続発信し、理解と遵守意識を底上げする」

• 一貫した迅速対応: NotebookLMなどを活用し、「判断のスピードと整合性を両立する」

• 経営層の理解: 「情報セキュリティ委員会・経営会議等で定期的に報告し、技術的対策への投資理解を得る」

以上で講演を締めくくりました。

AICU AIDX Labの感想

「ルールは利用を邪魔するためではなく、安心して使うための土台」。

非常に短い時間でありながら、生成AIをエンタープライズが使用する上での2025時点でのガイドライン「現在地」が非常にロジカルに描かれているのが印象的でした。多くのAI情報商材のマーケティングでは「AIを使うこと」が目的化していたり、一方では十分なAI利用が一般化したり、エンジニアリングやマーケティング、顧客管理などのITサービス企業の通常業務の中での使用可能なガイドラインの整備が未解決だったりする現状が見え隠れする中、他者でも見習うべきガイドラインとその策定経緯が公開されたことは意義深いと考えます。また中でもChatGPT Atlasにも代表される、ユーザーに代わって操作代行もできるエージェント時代の問題についても触れられています。

AICUでは「つくる人をつくる」をビジョンに活動しています。今回はITメガベンチャーの老舗であるグリー、しかも内部監査やセキュリティといった部門から、「企業が安心して活用するためのガイドライン」を「つくる人」を発見できたことを嬉しく思いました。

皆様の企業でも、もし「もっと面白い取り組みをしているよ」という例があれば、是非をお伝えください。

最後に本記事を執筆するにあたり関係各位に謝辞を述べさせていただきます。

グリーホールディングス株式会社　ビジネス・テクノロジー本部 セキュリティ部 企画チーム 奥野 緑さん

株式会社グリー 佐島 豊さん

ご取材ご対応いただきありがとうございました！

こちらも是非ご参照ください

https://note.com/gree_it/n/nca3bb121fb79

https://note.com/gree_it/n/nca3bb121fb79

Originally published at note.com/aicu on Oct 25, 2025.