生成AI社内マニュアル、8人のスタートアップに必要か？

正直に言うと、つい先週まで「マニュアルなんてうちには早い」と思っていた。

きっかけは投資家との面談だった。「御社のAI利用ガバナンスはどう整備されていますか？」と聞かれて、うまく答えられなかった。Claudeを全社導入して業務効率は上がっている。でも「どのデータを入力していいか」「生成物の著作権は誰のものか」を明文化しているかと言われたら、していない。

競合が整備し始めているという現実

同じタイミングで、競合のSaaS企業がAI利用規程を作ったという話を別のCEOから聞いた。従業員12名の会社だ。うちより少し大きいだけ。それがトリガーになって、生成AI社内マニュアルについて改めて調べてみた。

調べて気づいたのは、マニュアルが必要な理由はコンプライアンスだけじゃないということだ。採用面でも効いてくる。「AI活用の方針が明文化されている」というのは、エンジニア採用でじわじわ差になる。うちはAI先進的だとアピールしたいなら、言葉だけじゃ弱い。

参考にした記事では、社内マニュアルに必須の10項目が整理されていた。全部は紹介しないが、特に刺さったのは3点だった。

まず「機密情報・個人情報など入力禁止データの定義」。これがないと、誰かが顧客情報をプロンプトに貼り付けても止める根拠がない。8人しかいない会社でも、全員が同じ判断軸を持っているとは限らない。

次に「シャドーAI防止の運用ルール」。会社が認めていないAIツールを勝手に使う行為のことで、パナソニックや日清食品などの大企業事例でも明示的に対策が取られている。スタートアップだからこそ、野放しにするとデータがどこに流れているか把握できなくなる。

そして「生成物のファクトチェックと著作権ルール」。Claudeで作ったセールス資料をそのまま送って、著作権上の問題が出たらどうするか。今まで考えていなかった。

投資家説明に使える整備の話

これを整備するメリットは、社内だけに留まらない。投資家へのデューデリジェンスで「AIガバナンスの体制」を聞かれることが増えている。実際に私が経験したように、答えられないと印象が悪い。逆に「こういう方針で整備しています」と一枚でも出せると、話の質が変わる。

作り方は思ったより簡単だった。記事に書いてあった5ステップでいうと、最初のステップは「作成目的とターゲット部署を定義する」だ。うちの場合、全社員8名が対象で、目的は情報漏洩防止と採用・投資家向けの説明材料を作ること。そこを先に決めると、必要な項目が絞れる。

大企業向けの分厚いドキュメントは必要ない。A4で2〜3枚、現場で読めるものをまず作る。それを法務レビューや現場レビューのステップで磨いていく。形式より「存在すること」の方が最初は大事だと思った。

自分は来週、Claudeを使って自社用のドラフトを作ってみるつもりだ。ツールで整備する時代に、整備のためにツールを使う。それくらいのことはやっておかないと、次に投資家に同じ質問をされたとき、また詰まる。