学ぶ / 社内AIプロンプト安全運用チェックリスト 2026年6月版

社内AIプロンプト安全運用チェックリスト 2026年6月版

プロンプトを社内に広げる前に、入力情報、根拠確認、保存場所、再利用、更新責任を決めるための安全運用チェックリストです。

2026年6月版 / 対象: 社内プロンプト集やAI利用ルールを整えたい中小企業の管理部門、DX担当、現場リーダー / 最終確認 2026-05-14

2026年6月版 の確認リスト

この記事で確認すること

  1. 1 1. プロンプトは便利文ではなく作業手順として扱う
  2. 2 2. 入力禁止リストを短く固定する
  3. 3 3. ハルシネーションを前提に確認欄を作る
  4. 4 4. RAGとファインチューニングを混同しない
  5. 5 5. 最初の1週間の試し方

1. プロンプトは便利文ではなく作業手順として扱う

社内でプロンプトを共有するときは、よくできた文章を貼るだけでは不十分です。どの業務で使うか、何を入力するか、何を出力させるか、最後に誰が確認するかまで含めて、作業手順として残します。

たとえば「問い合わせ返信を作る」ではなく、「FAQに根拠がある問い合わせだけを、担当者確認前の下書きにする」と書きます。用途と制限をセットにしておくと、AIに詳しくない人でも危ない使い方を避けやすくなります。

2. 入力禁止リストを短く固定する

入力禁止リストは長すぎると読まれません。最初は、個人名、連絡先、契約金額、未公開の売上、給与、健康情報、パスワード、顧客の秘密情報を入れない、という短いリストにします。

OpenAI、Microsoft、Google、Anthropicなどの業務向けプランには、それぞれデータ保護や学習利用に関する説明があります。ただし、社内の入力ルールはサービスの説明だけに任せず、自社で決める必要があります。まず「AIへ入れる前に伏せるもの」を決める方が現場で動きます。

3. ハルシネーションを前提に確認欄を作る

AIの出力には、もっともらしいが根拠のない情報が混ざることがあります。特に、価格、法律、助成金、製品仕様、引用、競合比較、日付は確認対象です。

プロンプトの末尾に「根拠が必要な箇所」「確認できていない箇所」「担当者が見るべき元資料」を分けて出すよう指定します。正解を一度で出させるより、確認すべき場所を見つける使い方の方が、中小企業の実務では安定します。

4. RAGとファインチューニングを混同しない

社内文書をAIに使わせたいとき、まず検討しやすいのはRAGです。RAGは、AIが回答するときに社内文書やFAQを検索して参照する仕組みです。一方、ファインチューニングは、例文データを使ってモデルの振る舞いを特定用途へ寄せる方法です。

少人数の会社では、いきなりファインチューニングを目指すより、文書の整理、権限確認、検索対象の限定から始める方が現実的です。よくある問い合わせ、社内規程、手順書のように、根拠文書がある業務から試します。

5. 最初の1週間の試し方

最初の1週間は、社内でよく使うプロンプトを3つだけ選びます。それぞれに、用途、入力してよい情報、入力しない情報、出力確認者、更新担当者を付けます。

実際に使った後は、出力の修正が多かった箇所、根拠確認に時間がかかった箇所、入力ルールが守られなかった箇所を記録します。プロンプトを増やすより前に、ひとつの型を安全に使えるよう直すことが大切です。

6. 確認した公式情報

このページでは、NIST AI Risk Management Framework、NIST Generative AI Profile、OpenAI Business data privacy、Anthropicの商用利用時のデータ利用説明を確認しました。
参照先は、NIST AI RMFOpenAI Business data privacyAnthropic data usageです。

次に進むページ

読み終えたら、近い仕事を1つ選び、比較ページで候補を絞ってください。 すぐ使えるプロンプトがある場合は、仕事ページから確認できます。