SHIFT GROUP

  • Facebook

生成AI利活用ポリシー

制定日: 2026年3月1日
管轄部署: AI統括室/コンプライアンス委員会

1. 目的

本ポリシーは、株式会社SHIFT(以下「当社」)の業務において生成AI(Generative AI)を利用する際の基本原則と遵守事項を定め、情報セキュリティ事故や権利侵害等のリスクを未然に防止しつつ、業務効率化および品質向上を図ることを目的とする。

2. 適用範囲

  • (1)対象者: 当社の役員、従業員(正社員、契約社員、アルバイト等)、派遣社員および当社業務に従事する協力会社社員(以下「利用者」という)。
  • (2)対象ツール: 文章、画像、プログラムコード、音声等を生成する当社が選定する全ての生成AIサービス(例:ChatGPT, GitHub Copilot, Gemini, Midjourney, DeepL, Devin等)。

3. 基本原則

  • (1)補助的利用: 生成AIはあくまで業務を支援する補助ツールであり、最終的な成果物の品質責任は利用者(人間)にあることを理解して利用すること。
  • (2)法令・契約の遵守: 著作権法、個人情報保護法等の法令、およびクライアントとの契約(秘密保持契約等)を最優先すること。
  • (3)透明性の確保: 必要に応じて、生成AIを利用した事実および利用範囲(RAG等の外部データ連携技術を利用した場合を含む)を適切に開示・記録すること。
  • (4)公平性と人権の尊重: AIの学習データや出力には、性別、年齢、国籍などに対する無意識の偏見(バイアス)や不適切な表現が含まれる可能性があることを認識し、差別的・非倫理的な出力を業務に利用しないこと。

4. 利用環境とセキュリティ(入力データの制限)

利用者は、利用する対象ツールのセキュリティレベル(入力データがAIの学習に使われるか否か、サービス提供者へのセキュリティ監査等)に基づき、入力する情報のレベルを厳守しなければならない。

レベル 利用環境の条件 入力可能な情報 入力禁止の情報
標準 当社が提供する業務環境で、利用許可したAIツール
  • 対外的に公開されている情報
  • 一般的な内容(一般的な技術的情報のリサーチ等)
  • 翻訳(機密情報を含まないもの)
  • クライアント及び案件に関する情報
  • 未公開の情報(未公開のソースコード、仕様書等)
  • 個人情報
  • 社内の機密情報
機密 上記条件に加え、以下を満たすAIツール(自社AIツール含む)
  • 入力したデータが学習に利用されないこと
  • 対象ツールの提供者が、当社が合理的と判断する情報セキュリティおよび情報管理措置を講じていること
  • 適切なライセンス契約を結んでいること
 右記以外の情報「入力禁止の情報」を除く情報。ただし、法令に反しない範囲に限る。(例:入力可能な情報)
  • 個人情報
  • 社内会議録
  • 一般的なビジネス文書
  • クライアントの案件情報(※)
  • 極めて機密性の高い経営情報。
  • クライアント/ユーザから明示的に入力を禁止された情報。
社外 クライアント環境下でのAI利用、クライアントが許可したもの クライアントが許可したもの クライアントが禁止したもの

(※) クライアントとの契約において、安全な環境下でのAI利用が許可されている場合に限る。

5. ソフトウェアテスト・開発業務における特則

当社事業の特性に鑑み、技術業務においては以下のルールを遵守すること。

  • (1)クライアントへの事前説明と同意: クライアントの業務(テスト・受託開発業務等)において生成AIを利用する場合は、事前にクライアントに対し「利用するAIツール」「入力するデータの範囲」「セキュリティ措置」について説明し、契約等で明示的な同意(許可)を得ることを原則とする 。
  • (2)コードの取扱い:
    •  ⚪︎ 顧客のソースコードを対象ツールに入力する場合は、不必要な情報を入力することはせず、必要に応じて、変数名や関数名を置換する等のマスキング処理を行うこと。
    •  ⚪︎ 顧客の実データ(本番データ)を、テストデータ生成の「種(シード)」としてAIに入力することは禁止する。
    •  ⚪︎ ただし、「4. 利用環境とセキュリティ(入力データの制限)」に定める機密環境において入力可能な情報を除く。
  • (3)個人情報の取扱い:
    •  ⚪︎ 技術業務の実施にあたって顧客から提供される、個人を特定できる情報(氏名、住所、電話番号等)の入力は禁止する(ダミーデータ作成目的であっても、実データの入力は厳禁とする)。
    •  ⚪︎ ただし、「4. 利用環境とセキュリティ(入力データの制限)」に定める機密環境において入力可能な情報を除く。
  • (4)生成物の検証(レビュー)と適用:
    •  ⚪︎ AIが生成したテストコード、スクリプト、設計書等は、必ず専門知識を持つ人間が内容の正確性、セキュリティ(脆弱性の有無)、および期待される動作を確認すること。
    •  ⚪︎ AIによる「ハルシネーション(もっともらしい嘘)」が含まれていないか、必ずファクトチェックを行うこと。
    •  ⚪︎ AIの出力を人間による確認(レビュー)を経ずにそのまま本番環境等へ自動適用(デプロイ)させることは原則禁止とする。
  • (5)テスト結果の判定:
    •  ⚪︎ テスト結果の合否判定をAIのみに委ねてはならない。AIは判定の補助として用い、最終判定は人間が行うこと。
  • (6)納品時の注意事項:
    •  ⚪︎ AI生成物を、AI生成であることを隠蔽して「自らが一から創作した」と偽ってクライアントに納品しないこと。

6. 知的財産権・著作権の取扱い

  • (1)他者の権利侵害防止:
    (入力時):他者の著作物(既存の画像、記事、ソースコード等)を、法令で認められる場合を除き、権利者の許可なくプロンプトに入力し、意図的に模倣または改変させるような利用を行ってはならない。
    (出力時): 生成AIを利用して作成した成果物が、既存の著作物や商標と酷似しており、法令に違反するおそれがないか合理的な範囲で確認(類似性調査)すること 。
  • (2)権利の帰属: 業務上作成したAI生成物の権利は、原則として当社(または契約に基づきクライアント)に帰属するよう取り扱うこと。

7. 禁止事項

利用者は、業務上、以下の行為を行ってはならない。

  • (1)会社が許可していない生成AIツール(シャドーIT)への業務データの入力。なお、本ポリシーで許可されていない新たな生成AIツールを業務で利用したい場合は、事前に管轄部署へ申請し、セキュリティ評価および利用許可を得ること。
  • (2)利用者が所属する組織から付与されたアカウント以外(シャドーID、所属先のアドレスであっても組織で定める手続き以外で取得したIDも含む)で対象生成AIツールを利用すること。
  • (3)マルウェア作成、サイバー攻撃の手法探索など、不正・違法な目的での利用。

8. 違反時の対応

  • (1)インシデントの報告:情報漏洩の疑い、意図しない機密情報の入力、またはAI生成物による重大な権利侵害・システム障害等のインシデント(その恐れを含む)を発見した場合は、直ちに生成AIの利用を中止し、速やかに管轄部署へ報告すること。
  • (2)本ポリシーに違反し、当社またはクライアントに損害を与えた場合、就業規則及び契約等に基づき懲戒処分の対象となる場合があるほか、損害賠償を請求することがある。当社は、利用者が本ポリシーに違反している疑いがあると判断したときは、利用者による対象生成AIツールの利用状況について調査をすることができ、利用者はこれに協力しなければならない。

9. 本ポリシーの改定

当社は、生成AIの利用に関する法令及び環境の変化をふまえ、当社が必要と判断する場合、本ポリシーを変更できるものとします。

以上

PAGE TOP TOP PAGE