自治体の生成AI活用ガイドライン整備の進め方｜庁内ルール・情報セキュリティ・効果測定の実務

生成AIを「使ってよいか」ではなく「どう統制して使うか」を決める段階に、多くの自治体が入っています。職員が個人アカウントで業務文書を入力してしまう、部署ごとに判断がばらつく、議会答弁で「ルールはあるのか」と問われて答えに窮する——こうした事態を避ける拠り所が庁内ガイドラインです。本記事では、利用ルールの骨格づくりから禁止事項、機密情報・個人情報の扱い、プロンプト統制、ユースケースの選び方、そして効果測定までを、国の標準文書に沿って実務手順として整理します。

なお、全国の導入率や横須賀市などの先行事例・削減効果といった「現状」については、自治体の生成AI活用の現状調査で詳しく扱っています。本記事はその先、すなわち自庁でルールを定着させるための「整備の手順」に焦点を当てます。

なぜ今ガイドライン整備が要るのか

生成AIは表計算ソフトのように「導入すれば使える」道具ではありません。入力した情報が学習に使われる可能性、事実と異なる文章を自信ありげに生成するハルシネーション、著作権や個人情報の取り扱い——リスクの所在が職員に見えにくいまま広がる点に特徴があります。ルールが空白のままだと、現場は「使ってはいけないのだろう」と萎縮するか、逆に無防備に使うかの両極に振れがちです。

国もこの前提に立って文書を整えてきました。デジタル庁は2025年5月に、行政機関向けの標準ガイドラインとして「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン（DS-920）」を公開し、各府省にAI統括責任者（CAIO）の設置やAI相談窓口の活用を求めています（デジタル庁 DS-920）。総務省も「自治体におけるAI活用・導入ガイドブック＜導入手順編＞」を版改訂し、自治体が自前のガイドラインを作るためのひな形を盛り込みました（総務省 報道資料）。自治体は、これらをゼロから書き起こすのではなく、自庁の規模と扱う情報に合わせて「翻訳」する作業から始められます。

整備のステップ全体像

ガイドライン整備は、文章を書く作業より前に「誰が責任を持ち、何を許可し、何を測るか」を決める意思決定の連なりです。順序を踏み外すと、立派なルール文書ができても現場で使われません。実務では次の流れが扱いやすいでしょう。

1. 体制と責任者を決める：情報政策・DX・総務・法務の横断チームと、最終判断を担う統括責任者（CAIO相当）を置く。
2. 利用環境を一つに絞る：庁内で使ってよいツールを明示し、個人アカウント利用を禁じる。
3. 禁止事項と入力ルールを定める：何を入れてはいけないかを、職員が判断に迷わない粒度で書く。
4. ユースケースを選定する：効果が見込め、かつリスクの低い業務から許可範囲を広げる。
5. プロンプトと点検を統制する：定型プロンプトの共有と、生成物の人手チェックを手順化する。
6. 効果と遵守を測る：時間削減と利用状況、ルール違反の有無を定点観測し、ガイドラインを改訂する。

以下、各ステップを掘り下げます。とりわけ第3〜第6ステップは、現状調査の記事では概括にとどめた部分であり、本記事の中心です。

体制と責任者を最初に固める

ガイドラインを情報システム担当だけで書くと、法務や個人情報保護の観点が抜け落ち、原課（実務部署）の納得も得にくくなります。情報政策、DX推進、総務、法制、そして実際に使う原課の代表を集めた横断チームを起点にしてください。チームの役割は、ルールの文面づくりだけでなく、判断に迷う事案の受け皿になることです。

そのうえで、最終的な可否を一人で決められる責任者を明確にします。デジタル庁が府省にCAIOの設置を求めているのと同じ発想で、自治体でも「生成AI利活用の統括責任者」を情報政策担当部長などに置くと、部署間の判断のばらつきを抑えられます。判断に困る論点はデジタル庁のAI相談窓口にも持ち込めるため、自庁で抱え込まず外部の知見を使う前提で設計するとよいでしょう。

利用環境を一本化し、個人アカウントを断つ

最も起こりやすい事故は、職員が私物の無料サービスに業務情報を打ち込んでしまうことです。これを防ぐ最短手は、庁内で使ってよいツールを具体名で限定し、それ以外での業務利用を禁じることです。総務省ガイドブックも、利用可能なツールを庁内で明示する運用を前提にしています。

ツールを選ぶ際は、入力データが事業者の学習に使われない設定（オプトアウトやエンタープライズ向け契約）になっているか、サーバの設置場所と適用される法令はどこかを必ず確認します。総務省は版改訂で、海外サービス利用時にデータが国外サーバへ保存される可能性を例示し、注意を促しました。安いから、話題だからという理由だけで選ばず、契約条項とデータの所在まで見るのが情報政策部門の役割です。

禁止事項と入力ルールを「迷わない粒度」で書く

ガイドラインの心臓部は、何を入力してよく、何を入力してはいけないかの線引きです。抽象的に「機密情報の入力は控えること」とだけ書くと、現場は判断できません。職員が手を止めずに済む粒度まで具体化してください。少なくとも次の情報は、原則として生成AIへ入力しない区分として明示するのが妥当です。

• 住民の氏名・住所・マイナンバーなど特定個人を識別できる情報
• 病歴・障害・生活保護受給など、要配慮個人情報に当たりうる情報
• 未公表の意思決定（人事、入札予定価格、用地交渉など）に関する情報
• セキュリティに関わる情報（システム構成、認証情報、庁内ネットワーク図など）

個人情報の扱いについては、個人情報保護委員会が生成AIサービスの利用に関する注意喚起を出しています。要配慮個人情報を本人の同意なく取得しないこと、入力した情報が学習に利用されうる点に留意することなどが示されており、自治体の入力ルールはこの考え方と整合させる必要があります（個人情報保護委員会 注意喚起）。

禁止事項は「やってはいけないこと」だけでなく、「やってよいこと」も併記すると現場が動きやすくなります。たとえば、公表済みの計画書をもとにした文章の要約や、一般的な制度説明の下書きは許可する、といった具合です。禁止の列挙だけでは萎縮を招き、せっかくの環境が使われません。

ユースケースは「効果×リスク」で選ぶ

全業務に一斉解禁するのではなく、効果が見込め、かつ扱う情報のリスクが低い業務から許可範囲を広げるのが現実的です。判断の軸は、削減できる作業時間の大きさと、その業務で個人情報や未公表情報を扱うかどうかの二つです。

着手しやすいのは、入力する情報が公開情報で完結し、生成物を職員が必ず確認する類型です。たとえば、公表済み資料をもとにした広報文・案内文の下書き、長い会議資料の要点整理、制度に関するよくある質問への回答案づくりなどが当たります。一方、住民の個別事情を扱う相談対応や、外部に出す確定文書をそのまま生成させる使い方は、ルールと点検体制が固まるまで保留するのが安全です。許可したユースケースは一覧表にして、対象業務・入力してよい情報・確認の担当者をセットで明記しておくと、現場の判断が安定します。

プロンプトを共有し、生成物を必ず人が点検する

生成AIの出力品質は問いかけ方（プロンプト）に大きく左右されます。職員それぞれが手探りで使うと、品質も安全性もばらつきます。許可したユースケースごとに、推奨プロンプトの例と、入力してはいけない情報の注記をひな形として共有してください。「個人を特定できる情報は伏せ字にしたうえで、次の観点で要約してください」といった定型を配るだけで、事故の確率は下がります。

そして、生成物はそのまま使わず人が確認する原則を必ず置きます。生成AIは事実と異なる内容をもっともらしく出力することがあり（ハルシネーション）、出典のない記述や、他者の著作物に酷似した表現が混じる可能性もあります。デジタル庁も、リスクへの対策を整理したガイドブックを公開しています（デジタル庁 リスク対策ガイドブック）。最終的な内容の責任は職員と組織にあるという一文をガイドラインに明記し、確認の担当者と手順を業務フローに組み込んでおきましょう。

効果と遵守状況を測り、ガイドラインを改訂する

ガイドラインは作って終わりではなく、運用して測って直すものです。測る対象は大きく二つあります。一つは効果——どの業務で何時間削減できたか、利用がどの部署にどれだけ広がっているか。もう一つは遵守——禁止情報の入力や個人アカウント利用といったルール違反が起きていないか、です。

効果測定では、許可したユースケースごとに「従来の作業時間」と「生成AI活用後の作業時間」を職員アンケートやログで把握し、削減時間を積み上げます。利用件数だけを追うと「使っているが成果が見えない」状態に陥りやすいため、削減時間や処理件数といった成果指標とセットで見るのが要点です。これらの指標を予算編成や行政評価のデータと並べて可視化できると、議会や住民への説明にも耐える運用になります。庁内の各種データを一元的に可視化する基盤づくりは、自治体向けデータダッシュボードの考え方が参考になります。

遵守状況は、利用ログの定期確認と、現場からの相談・ヒヤリハットの収集で把握します。違反が見つかったら個人を責めるのではなく、ルールの書き方が曖昧だったのか、ツールの設定で防げるのかを切り分け、ガイドライン本体や定型プロンプトに反映します。半年から1年ごとに改訂版を出す前提で、改定履歴を残しておくと運用が締まります。

庁内に閉じず、DX全体に位置づける

生成AIの活用は、それ単体で完結する取り組みではありません。文書作成の効率化で生まれた時間を、住民サービスの向上やデータに基づく政策判断に振り向けてこそ意味があります。生成AIガイドラインは、自治体DX全体の中の一施策として位置づけ、情報セキュリティポリシーや個人情報保護条例、データ利活用の方針と整合させて運用してください。自治体DXの全体像と各施策の関係は、自治体DX完全ガイドに整理しています。あわせて、生成AIで効率化した先にあるデータ活用・予実管理の取り組みは自治体向けデータ活用支援もご覧ください。

ガイドライン整備は、禁止事項を並べる作業ではなく、職員が安心して新しい道具を使えるようにする環境づくりです。国の標準文書を土台に、自庁の情報と規模に合わせて線引きし、測って直す。この循環を回し始めることが、生成AIを一過性のブームで終わらせない第一歩になります。