AI利用規程|株式会社DropStone Group

0. バージョン情報

規程名:AI利用規程
版:Ver.1.1
施行日:2026年02月28日
管掌:情報管理責任者(CISO相当)/法務・コンプライアンス責任者
最終責任者:代表取締役
適用:当社役職員および当社が業務委託する者(本規程への同意を契約条件とする)

第1章 総則

第1条(目的)

本規程は、株式会社DropStone Group(以下「当社」)およびグループ各社における生成AIおよび関連AIツールの利用を最大限促進しつつ、情報漏えい、法令違反、品質事故および信用毀損を防止することを目的とする。

当社はAIを業務インフラと位置づける。

第2条(適用範囲)

本規程は以下に適用する。

  1. 役員・従業員(正社員・契約社員・アルバイト・派遣)
  2. 業務委託先(個人・法人)
  3. グループ会社のうち当社システム・情報を扱う者

業務委託契約締結時は、本規程への同意を必須とする。

第3条(定義)

AI:文章・画像・音声・動画・コード等を生成または支援する生成AIおよびこれに準ずるツール

会社指定AI(法人版):当社が契約し、管理者統制下(SSO・管理コンソール・共有制御・ログ管理が可能)にあるAI

個人AI:無料版または個人契約アカウント等、管理統制下にないAI

入力:プロンプト、ファイル添付、API送信、画像・音声入力等、AIに情報を渡す行為

出力:AIが生成した文章・画像・コード・翻訳・提案・分析結果等

第2章 基本原則

第4条(基本原則)

  1. AIは補助者であり、最終判断および責任は利用者および承認者が負う。
  2. AI出力は未検証のドラフトとみなし、社外公開・意思決定・法令適合性判断は必ず人間が確認する。
  3. 当社は「公開基準ギリギリまでAIを活用する」ことを許容するが、その代償として入力条件・審査条件を厳格に遵守する。
  4. AIへの過度な依存により、専門的判断能力が低下しないよう留意する。
  5. 本規程の最終責任は代表取締役が負う。

第3章 情報区分とAI入力可否

第5条(情報区分)

区分A:公開情報(入力可)

・公表済情報
・一般論
→ 個人AI:可 / 会社指定AI:可

区分B:公開予定情報(条件付き可)

・公開前の草案
・社外発表資料のドラフト(固有情報伏せ)
→ 個人AI:不可 / 会社指定AI:可

区分C:社内限定情報(匿名化必須)

・内部資料
・未公開売上傾向(指数化・レンジ化)
・取引先情報(識別不能化)
・未公開製品仕様の方向性

→ 個人AI:不可 / 会社指定AI:可(匿名化必須)

区分D:高度機密(原則禁止)

・個人情報(顧客・患者・従業員)
・医療情報・診療情報
・未公開原価・契約原文
・研究データ原本
・検査機関特定情報や規制ロジック
・NDA対象機密
・ID/パスワード/鍵/トークン

→ 個人AI:禁止 / 会社指定AI:禁止(例外承認のみ)

第4章 法人版AI利用条件

第6条(会社指定AIのみ許可)

区分B/Cは会社指定AIのみ許可する。

第7条(入力共通条件)

  1. 学習利用されない契約形態であること
  2. 外部プラグインは原則OFF(許可リスト方式)
  3. 個人情報ゼロ
  4. 固有名詞最小化
  5. 生値禁止(指数化・レンジ化)
  6. 契約原文貼付禁止
  7. 業務目的であること
  8. 出力検証体制があること

第8条(匿名化ルール)

取引先 → 取引先A
人名 → 担当者X
売上 → レンジ/比率
製法核心 → 不可
契約 → 要約のみ

第5章 例外承認

第9条(区分D例外)

以下を満たす場合のみ承認可:

・情報管理責任者+法務の事前承認
・他手段がないことの証明
・最小限入力
・保存・破棄手順明確

※患者情報・契約原文は原則承認しない。

第6章 許容利用

第10条(許容)

・企画案作成
・記事草案
・翻訳(匿名化前提)
・議事録整形
・仮説立案
・コード補助

第11条(禁止)

・検証なし公開
・疾病治療断定
・法律最終判断
・セキュリティ機微情報入力
・NDA違反入力

第7章 表示・医療関連特則

第12条(広告審査)

AI出力は必ず表示・薬機法チェックを通す。
必要に応じて法務承認を経る。

第13条(医療表現禁止)

・治療断定
・診断誘導
・過度保証
・出典不明研究引用

第8章 出力管理

第14条

AI出力は社内成果物として管理する。
社外共有前に機密除去する。

第15条

数値・研究・法令は一次情報確認必須。

第9章 アカウント管理

第16条

・個別付与
・共有禁止
・SSO/2FA必須
・退職時即停止

第17条(ログ)

会社指定AIログは原則3年間保存する。
重大事案時は監査を実施する。

第10章 インシデント対応

第18条

誤入力時は即報告。

第19条

遮断・回収・通報・再発防止を実施。

第11章 教育・罰則

第20条

年1回以上研修実施。

第21条

違反時は懲戒・契約解除・損害賠償。

第22条

法令改正等に応じ改定する。

付録A:10秒チェック

(簡略化版)

・法人版か?
・個人情報ゼロか?
・固有名詞置換済か?
・生値なし?
・契約原文なし?
・検証体制あり?

付則

本規程は2026年02月28日より施行する。