カケハシの三井です。コーポレートITやセキュリティを担当しています。

昨今、各社でChatGPTをはじめとした生成AIサービスの業務利用が推進されていることと思います。カケハシでも、ChatGPTやGitHub Copilotといった生成AIサービスを業務で活用する取り組みを始めています。今回は、生成AIサービスを業務利用するにあたって必要となったガイドライン整備について、考え方や実際のプロセスをご紹介したいと思います。

このエントリを読んでほしい方
このエントリは、以下のような方に参考にしていただけるとよいなと考えながら執筆しました。

・生成AIサービスを積極的に業務利用していくにあたり、セキュリティ面などで気をつけるべきポイントを知りたい。
・生成AIサービスの業務利用にあたって社内ガイドライン策定の役割を担っており、最初のたたき台が欲しい。
・ChatGPTやGitHub Copilotについて、個別サービスの適切な利用条件を知りたい。

かくいう私も、カケハシの生成AIサービス利用ガイドラインを策定するにあたり、先行事例を色々と参考にさせていただきました。その恩返しの意味も込めて、次に役立つ情報を提供したいと考えています。

目次

1. 1. ガイドライン策定を通して感じたカケハシカルチャー
2. 2. 生成AIサービスの業務利用とガイドライン
3. 2-1. ガイドラインの動向
4. 2-2. カケハシにおける情報取り扱いの重要性
5. 3. 生成AIサービス利用ガイドライン策定と運用の進め方
6. 3-1. ガイドライン検討体制
7. 3-2. ガイドライン構成
8. 3-3. ガイドライン運用方針
9. 3-4. 経営承認・社内公開
10. 4. カケハシ版 生成AIサービス利用ガイドライン

すべて表示

1. ガイドライン策定を通して感じたカケハシカルチャー

最初に結論っぽい内容になってしまいますが、このガイドライン策定に携わってみて、カケハシならではのカルチャーを感じられたので、その点について先に記載します。

今回のガイドライン策定は、生成AIサービスの活用という新しい取り組みの第一歩でした。このような新しい取り組みを行うにあたっては、社内の色々な関係者が知見を集結させて取り組むことになります。ただ、一般的には以下のような構造になりがちなのではないでしょうか。

• エンジニア部門 → とにかく早く進めたい
• コーポレート部門 → リスクを回避したい

しかし、カケハシにおける今回の取り組みにおいては、エンジニアが重要な情報を取り扱う事業者としての責任を前提として、いかに安全に情報を取り扱うかを技術的な観点から検討していました。

また一方のコーポレート部門は、変化の早い環境を前提として、ガチガチの規程を作るのではなく、受容可能なリスクラインを見極めながらも、運用しながら改善していく迅速性・柔軟性を発揮していました。

ガバナンスを体現するエンジニアとアジャイルを体現するコーポレート。この組み合わせは、なかなかの無敵感がありました。プロジェクト推進を担った一担当者として、非常に心強く、かつ心地よい体験でした。今回策定したガイドラインが絶対的な正解であるとは考えていませんが、今後状況の変化が起こったとしても、適時・適切に対応していけるという自信を持っています。

それでは、具体的なガイドライン策定過程とその内容について、以下で説明します。

・・・

2. 生成AIサービスの業務利用とガイドライン

本章では、生成AIサービスの業務利用とガイドライン策定に関する背景事情を説明します。

2-1. ガイドラインの動向

生成AIサービスを取り扱うにあたっては、各社ともセキュリティや知的財産の観点からガイドラインを定めて運用されていることと思います。一般社団法人 日本ディープラーニング協会からもガイドラインが公表されており、各社で生成AIサービスの業務利用に向けた指針を固めやすい状況になってきているのではないかと思います。

2-2. カケハシにおける情報取り扱いの重要性

カケハシは、「日本の医療体験を、しなやかに」というミッションを掲げ、薬局DXをはじめとしたソリューションを展開しています。私たちが事業で取り扱うデータには、患者の薬歴等の要配慮個人情報が含まれており、データの取り扱いにおいてはセキュリティに万全を期す必要があります。

カケハシでは、ビジネス職の担当者からChatGPTの利用について社内相談があったことがきっかけとなって、生成AIサービスの適切な業務利用についての議論が始まりました。

生成AIサービスにおいては、入力データが学習に利用されて、想定していない第三者に情報が流出するリスクがあります。機微な個人情報を取り扱う当社においては、生成AIサービスの利用にあたって慎重に利用方法を検討する必要がありました。本来であれば、迅速にこのようなサービスを利用して、いち早く生産性向上・競争力強化につなげたいところではありますが、私たちが担う社会的責任を踏まえて、安全性を重視して社内で検討を重ねました。

なお、私たちが業務遂行にあたって考慮している主なセキュリティ関連ガイドラインには、以下のようなものがあります。

厚生労働分野における個人情報の適切な取扱いのためのガイドライン等www.mhlw.go.jp医療情報システムの安全管理に関するガイドライン 第5.2版（令和4年3月）www.mhlw.go.jp医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）www.mhlw.go.jp医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン（METI/経済産業省）www.meti.go.jp

※「医療情報システムの安全管理に関するガイドライン」は、当社が生成AIサービス利用ガイドラインを策定した時点では第5.2版が最新でした。本エントリ執筆時点では第6.0版が最新です。

また、カケハシはプライバシーマーク取得企業ですので、JIS Q 15000を前提としたPMS（個人情報保護マネジメントシステム）に則った業務運用を行っています。

・・・

3. 生成AIサービス利用ガイドライン策定と運用の進め方

本章では、カケハシで生成AIサービス利用ガイドラインの策定をどのように進めたかを説明します。

3-1. ガイドライン検討体制

ガイドライン策定はプロジェクトとして推進しました。プロジェクトの推進体制は以下のとおりです。

・ CTO（ガイドライン策定にあたっての助言と最終レビュー）
・ 法務（法令および個別AIサービスの利用規約確認）
・ SRE（個別AIサービスのライセンス体系・設定方法等の調査）
・ コーポレートIT（セキュリティ・ガバナンス観点からのサービス調査とガイドライン策定）

以降、本エントリでは上記体制を「事務局」と記載します。

3-2. ガイドライン構成

プロジェクト開始直後は、今後利用が想定される生成AIサービスに共通で適用するガイドラインを策定する予定でした。しかし、検討を進めるうちに、生成AIサービスの進化やバリエーションの増加のスピードを鑑みると、単一のガイドラインではカバーしきれないと判断しました。もし単一のガイドラインを定めても、内容の抽象度が高くなりすぎて、利用促進につながらないと考えました。

そこで、ガイドラインを下記の二段構成とすることにしました。

1）基本原則
2）サービス別利用条件

「1）基本原則」で生成AIサービス利用の共通的な方針を定めた上で、「2）サービス別利用条件」で、各サービスの利用規約や設定項目を確認し、サービス別の具体的な利用条件を明示することとしました。

3-3. ガイドライン運用方針

前節のガイドライン構成を前提とした上で、以下の方針で運用することにしました。

1. 利用するサービスは申請による承認制とする
原則に基づいてあらゆる生成AIサービスを利用可とするのではなく、業務上のニーズに基づいて生成AIサービスを利用予定者から申請してもらい、事務局にて審査・承認する運用としました。これにより、ガイドラインの「2) サービス別利用条件」で具体的な内容を明確化することができ、積極的な業務利用につながると考えました。

事務局の審査は、前述した体制の役割に応じて多角的に検討を行います。サービス別の検討になるため、具体的な利用条件に踏み込んだ検討ができます。

2. 利用が承認された生成AIサービスの利用条件を社内公開する
上記で承認された生成AIサービスは、ガイドラインの「2) サービス別利用条件」で「承認済み生成AIサービス」として全社に利用条件を公開することにしました。これにより、申請者以外の人も、利用条件に則って承認された生成AIサービスを利用できるようになります。

ただし、同じ生成AIサービスであっても、事業や部門によっては使い方が異なるかもしれません。承認された条件とは異なる条件で当該生成AIサービスを利用する場合は、事務局による追加の審査が必要となります。

また、事務局では、承認済み生成AIサービスの変更（規約改訂、機能更新等）についてもモニタリングしています。

このような運用方針だと、事務局の負担が大きくなるのでは？と考えられるかもしれません。しかし、それは冒頭で述べた医療情報を取り扱う事業者の責任として、必要な投資であると考えています。

3-4. 経営承認・社内公開

以上のガイドラインの内容と運用方針について、経営会議に付議し、経営承認を得た上で社内公開して運用を開始しました。経営会議においては、ガイドラインの適切性だけでなく、生成AIサービスの有効利用についても活発な議論が行われました。

・・・

4. カケハシ版 生成AIサービス利用ガイドライン

本章では、カケハシの生成AIサービス利用ガイドラインの具体的な項目と検討背景について、本エントリ執筆時点の内容を説明します。

4-1. 基本原則

基本原則部分では、以下のような内容を定めています。

基本原則（抄録）
・生成AIサービスの利用規約を遵守する。
・生成AIサービス単位での承認制とし、新規に生成AIサービスを利用する場合は申請して承認を得る。
・入力データが学習に利用される生成AIサービスにおいては、個人情報・秘密情報・顧客情報・認証情報は入力禁止とする。
・入力データが学習に利用されない生成AIサービスにおいても、上記情報の入力は原則として避ける。入力が必要となる場合は、申請により事務局の承認を得る。
・生成された成果物をそのまま利用せず、内容の適切性等を確認してから利用する。

各項目を定めた背景を以下で説明します。

・生成AIサービスの利用規約を遵守する。

これは、AIサービスに限らない項目ですが、事前審査で法務による利用規約レビューがあり、当社での利用ケースにおける支障がないか、利用にあたって注意すべき事項が何かを確認します。

・生成AIサービス単位での承認制とし、新規に生成AIサービスを利用する場合は申請して承認を得る。

前述のとおりです。

・入力データが学習に利用される生成AIサービスにおいては、個人情報・秘密情報・顧客情報・認証情報は入力禁止とする。

入力データが学習される生成AIサービスにおいては、情報流出のリスクを鑑みて、機微な情報の入力は不可としました。秘密情報については、社内の情報管理規程において定められた情報区分をもと元に判断することとしています。

・入力データが学習に利用されない生成AIサービスにおいても、上記情報の入力は原則として避ける。入力が必要となる場合は、申請により事務局の承認を得る。

入力データが学習に利用されない生成AIサービスにおいては、法的要件（例：個人情報保護法における第三者提供 等）を満たす前提で、どこまで入力データの自由度を承認するかが議論となりました。結果的には上記のとおり、原則として入力を避けることとしています。これは、生成AIサービスにおいて、学習以外の目的で入力データが利用されるようなケースもあり得ると考えたためです。

ただし、データの性質と生成AIサービスの利用規約によっては、入力を許容できるケースもあり得ると考えたため、一律禁止とせず、事務局の承認を得ることを条件として入力可としています。

・生成された成果物をそのまま利用せず、内容の適切性等を確認してから利用する。

生成AIサービスによる成果物は、品質や、第三者の知的財産権の侵害等について考慮が必要ですので、人による確認を経てから利用することとしています。

4-2. サービス別利用条件

カケハシでは、このエントリの公開時点で、ChatGPTとGitHub Copilotの2つのサービスを利用可能サービスとして承認しています。本節では、各生成AIサービスの利用条件として定めた内容を説明します。

1. ChatGPT
ChatGPTは、以下のような利用条件を定めています。

ChatGPT利用条件
入力データを学習されない設定（下記参照）を行った上で、ガイドラインに則って利用してください。

【入力データを学習されない設定】
・Web版を利用する場合
下記のいずれかの手続／設定を行ってください。
1）オプトアウト申請
2）チャット履歴オフ設定

・API経由で利用する場合
入力データは学習されないため、設定は不要です。

入力データを学習されない状態でも、ガイドラインに記載のとおり、個人情報・秘密情報・顧客情報・認証情報は、極力入力を避けてください。もし入力する必要がある場合は、事務局にご相談ください。

GhatGPTは、ビジネス職からエンジニア職まで幅広く利用されることが想定されますので、最初に承認済みサービスとしました。

2. GitHub Copilot
コード生成AIサービスであるGitHub Copilotは、エンジニアからの利用申請に基づいて審査を行い、下記の利用条件としました。

GitHub Copilot利用条件
・GitHub Copilot for Businessのみ利用可とし、GitHub Copilot for Individualsの利用は禁止とします。
・「Enterprise Policy」で「Suggestions matching public code」を「Blocked」に設定してください。
・業務委託等のメンバーで、他社において既にGitHub Copilot for Businessを利用している場合は、カケハシにおいて他社のライセンスを流用しないよう、カケハシ専用のGitHubアカウントを作成する等の対応を行ってください。

【参考】
GitHub Copilot for Businessのプライバシーに関する声明https://docs.github.com/ja/site-policy/privacy-policies/github-copilot-for-business-privacy-statement

GitHub Copilot Product Specific Terms
https://github.com/customer-terms/github-copilot-product-specific-terms

GitHub Copilot for Businessの利用に限定したのは、下記2点が理由です。

• プライバシーに関する声明におけるデータ取り扱い条件の明示
• Organizationでのポリシー管理

この点については、下記サイトを参考にさせていただきました。

GitHub Copilot for BusinessをチームのOrganizationに導入してみた | DevelopersIOはじめに こんにちは、Zennチームの五十嵐です。みなさんCopilotは使っていますか？私は半年くらい前から個人ライセンdev.classmethod.jp

また、生成されたコードが第三者の知的財産権を侵害するリスクもありますので、ガイドラインの「1）基本原則」に下記の項目を追加しました。

第三者の知的財産権またはその他の権利を侵害する可能性のあるコードの意図的または不注意な使用を防ぐため、開発レビューガイドラインを作成し周知すること。

なお、コードに他者帰属の知的財産権や脆弱性が混入するリスクは、GitHub Copilotによる生成コードに限った話ではないので、上記レビューガイドラインは開発全体に適用する内容として、開発組織内で策定・レビュー・周知されています。

一点、事務局における検討で議論になったのは、ライセンスの使い分けです。GitHub Copilot for Businessを適用すると、元々GitHub Copilot for Indivisualsを使用していたアカウントはfor Businessに切り替わり、for Indivisualsのライセンスについては返金されることになります。

【参考】https://docs.github.com/ja/billing/managing-billing-for-github-copilot/about-billing-for-github-copilot#github-copilot-for-individuals

カケハシでは、個人と業務で共通のGitHubアカウントを利用するケースがあります（※）。このときに、個人でfor Indivisualsを利用していたエンジニアは、業務でfor Businessを適用した際に、個人利用側もfor Businessに切り替わることになります。事務局で議論した結果、これは許容することにしました（せざるを得ないと判断しました）。

（※）カケハシではGitHub Enterpriseを利用していますが、業務利用にあたっては、当社のOrganizationにアクセスするにあたり端末認証するよう設定しています。

・・・

5. 今後の展開

本章では、社内運用を開始した生成AIサービス利用ガイドラインについて、事務局を中心とした今後の活動予定を説明します。

5-1. ガイドライン基本原則の社内規程化

現在はガイドラインの社内運用を開始してまだ日が浅く、基本原則部分に改訂が入る頻度も高いです。もう少し運用を継続して、基本原則部分がある程度安定してきた際には、基本原則部分を正式な社内規程として規程管理の運用に乗せ、サービス別利用条件部分は現行の運用を継続することで、ガバナンスとアジリティをより高い次元で実現することを検討しています。

5-2. AI倫理規程の策定

また、AI利用の幅が広がっている現状を踏まえて、AI利用の前提となる「AI倫理規程」のようなものも、今後法務を中心として策定していくことを検討しています。

AI倫理については、政府からもガイドラインが公開されています。

AI原則実践のためのガバナンス・ガイドライン
https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20220128_1.pdf

冒頭で述べたとおり、医療情報という重要な情報を取り扱う当社としては、事業特性を踏まえた上で、従業員の行動原則レベルでAIサービス利用に係る認識を浸透させていく必要があると考えています。

5-3. 社内情報のコンテキスト利用・プロダクトへの組み込み

今後、業務利用における生成AIサービスの精度を向上させるには、社内情報をコンテキストとして利用する必要が生じることが考えられます。また、プロダクトに直接組み込む形での生成AIサービス利用も今後検討していくことになります。このような利用形態においては、前述のガイドラインとはまた異なる観点の留意事項で出てくる可能性がありますので、事務局として議論を継続していきます。

・・・

6. ガイドラインを策定・運用してみて

ここまで、ガイドライン策定と運用の背景を説明してきました。ガイドラインという形で一旦の成果物をアウトプットし、現在は運用フェーズに入っています。

冒頭で述べたとおり、新しい取り組みにおいてはその会社のカルチャーがよく表れるなと実感しています。この取り組みを通じて、企業ミッションに基づく社会的責任を各人が意識する高潔さや、自身の専門性を発揮しながらも変化する環境に適応するためのアジリティを発揮する変幻自在さといった、当社の企業活動の根底に根付くカケハシバリューを強く感じました。私自身も改めて、ミッション実現に向けて邁進するバリュー体現者であり続けたいと考えています。

ガイドライン策定にあたり参考にしたサイト

今回のプロジェクトにあたり、各企業・団体の情報を参考にさせていただきました。ガイドラインを先行公開された企業に深い謝意と敬意を表します。私たちカケハシも、このようなエコシステムの一旦を担いたいという刺激をいただきました。

AIサービスの利用方針を定めました - SmartHR Tech Blogこんにちは。SmartHR 情報セキュリティグループ所属の @sasakki- と申します。 最近何かと話題の多い大規模言tech.smarthr.jpクラスメソッド社内のAIサービス利用のガイドラインを策定しました | DevelopersIOGPT-4が公開され、GoogleがPaLMやGoogle WorkspaceへのジェネレーティブAIの統合を発表するなどdev.classmethod.jpGitHub Copilot for BusinessをチームのOrganizationに導入してみた | DevelopersIOはじめに こんにちは、Zennチームの五十嵐です。みなさんCopilotは使っていますか？私は半年くらい前から個人ライセンdev.classmethod.jp資料室当協会が作成した資料についてwww.jdla.org

カケハシは、一緒に働く仲間を募集しています。採用サイトをご覧いただき、もっとカケハシのことを知っていただけると嬉しいです。

株式会社カケハシ 採用サイト「⽇本の医療体験を、しなやかに」をミッションに、患者満足と薬局の働き方改革を支援する薬局体験アシスタント「Musubi」をrecruit.kakehashi.life