七夕研究所/Tanabata Institute/規程集/Rules/AI利用ポリシー

AI利用ポリシー

第1条(目的)

株式会社七夕研究所(以下「当社」という)は、生成AIおよび大規模言語モデル(以下「LLM」という)等のAIツール(以下総称して「AI」という)を業務において積極的に活用するにあたり、情報資産の保護、関係者の権利の尊重および法令・契約の遵守と、業務効率化および研究品質向上の両立を図ることを目的として、本ポリシーを定める。

第2条(適用範囲および用語)

本ポリシーは、当社の役員および従業員(雇用形態を問わず、契約社員・パートタイマー・アルバイト・派遣社員・インターンを含む)、ならびに当社の業務に従事する業務委託者に適用する。本ポリシーにおいて「利用者」とは、これらの者をいう。
  1. 共同研究者その他の外部関係者については、別途、共同研究契約、業務委託契約、覚書その他の契約により、本ポリシーの趣旨に沿った対応を求める。
  1. 業務委託者に対する本ポリシーの適用は、業務委託契約その他の契約に基づき行うものとし、本ポリシー違反の場合の措置は当該契約の定めにより、または当該契約と本ポリシーの趣旨に照らし合理的な範囲で行う。

第3条(業務利用の定義)

本ポリシーにおいて「業務利用」とは、次の各号のいずれかに該当するAIの利用をいう。
一 当社の業務遂行を目的として行うAIの利用(端末、アカウント、時間帯、場所を問わない)。
二 当社が貸与したアカウント、API鍵その他の経営資源を用いて行うAIの利用(目的を問わない)。
  1. 当社が貸与したアカウントによる軽微な私的利用(業務外目的の試用、学習目的の利用等)は、これを妨げない。ただし、業務に支障が生じない範囲で行うものとし、第三者の権利侵害、違法行為、当社の信用を害する行為、第三者の個人情報・機密情報の入力等は禁止する。

第4条(業務利用可能なAIサービス)

業務利用が可能なLLMサービスは、次の各号のいずれかに該当するものとする。
一 西側諸国(日本、米国、EU加盟国、英国、カナダ、オーストラリア、ニュージーランド、韓国、台湾その他、当社が同等と認める国・地域)に主たる拠点を置く事業者が直接運営するLLMサービスであって、商用利用条件下において入力データを学習に供しない設定が可能なもの。現時点では、ChatGPT(OpenAI)、Claude(Anthropic)、Gemini(Google、Google Workspaceに含まれるものを含む)、grok(X)等を含む。
二 前号に規定する地域の事業者が運営するクラウドプロバイダを介して提供されるLLMサービス。Amazon Bedrock 等を含む。本号に該当する経路に限り、モデル重みの提供元が中国系であるものを含む(重みのみが公開されており、利用が当該国へのデータ移転を伴わないため)。
三 顧客が業務遂行のために提供するアカウントまたは環境を介して利用するLLMサービス。当該利用は顧客契約および顧客の指示に従い、業務利用可能性および入力可能データの範囲はその枠内で判断する。
四 前各号に規定する地域に主たる拠点を置く事業者が運営するルーティング型・プロキシ型サービスであって、ルーティング先のLLMが本各号のいずれかを満たすもの。Microsoft Copilot、GitHub Copilot、Cursor 等を含む。
五 利用者の業務端末または当社が直接管理するサーバにおいて実行されるLLMであって、プロンプト、入力データ、出力データ、添付データ、利用ログ、テレメトリその他利用に伴う情報が外部の事業者または第三者に送信されないもの(以下「自己ホスト型LLM」という)。第三者が提供するIaaS、PaaS、GPUホスティングその他のクラウドサービス上で実行されるLLMは、本号には該当せず、第2号の要件に従う。本号に該当する経路に限り、モデル重みの提供元が中国系である事業者によるものを含む。
  1. 前項に規定するサービスを背景において利用しているSaaS、業務システムその他のサービス(社内Discordの要約機能等を含む)の業務利用は、これを妨げない。ただし、当該サービスにおける背景AIの提供事業者および利用条件は、前項の各号と同等の条件を満たすものに限る。当該サービスを通じて区分③または区分④の情報をAIに入力すること、または当該サービスのAI機能を介して対外送信が自動的に行われることが想定される場合は、第8条による社内承認の対象とする。
  1. 第1項各号の代表的サービスは時宜に応じて見直す。情報セキュリティ責任者は、本条の判定基準に該当するサービスの追加・変更・除外を行うことができる。

第5条(中国運営サービスの取扱い)

中華人民共和国に主たる拠点を置く事業者が直接運営するLLMサービス(以下「中国運営サービス」という)について、当社は業務利用可能なサービスから除外する。中国運営サービスでの業務アカウントの作成、業務データの入力および業務利用は、原則として禁止する。
  1. 前項の規定にかかわらず、次の各号のいずれかに該当する目的に限り、中国運営サービスの利用を認める。
      2. 一 当該LLMの能力、特性、出力傾向等を評価する目的
      二 中国に特有の言語、文化、知識または視点に関するバイアスを意図的に取得する目的
  1. 前項により利用する場合、入力できる情報は、公開情報、合成データその他、当社、顧客、研究対象者、取引先または第三者の機密性または個人情報に該当しないデータに限る。
  1. 前項により利用する場合、利用者は、利用目的、対象サービス、利用期間および入力するデータの種類について、第8条第1項第4号に基づき情報セキュリティ責任者の事前承認を得るものとする。
  1. 第4条第1項第2号(クラウドプロバイダ経由)または第5号(自己ホスト型LLM)により中国系事業者のモデル重みを利用する場合は、本条の対象としない。

第6条(個人アカウントの業務利用)

利用者は、当社が貸与したアカウントを優先して業務に利用する。
  1. 当社による貸与が完了するまでの間、入力データを学習に供しない設定が施されていることを大前提として、個人が保有するアカウントの業務利用を暫定的に認める。
  1. 個人アカウントを業務利用する者は、保有する業務利用可能なすべてのLLMサービスのアカウントについて、入力データを学習に供しない設定を業務利用に先立ち完了するものとする。設定の確認は利用者の自己宣誓により足りる。
  1. 当社は、貸与アカウントの整備状況に応じて本条の暫定許容を順次見直し、最終的には個人アカウントの業務利用を原則禁止に切り替える方針である。

第7条(データ区分と入力ルール)

業務において取扱う情報を、AIへの入力可否の判断のため、次の四つの区分に整理する。
一 区分①(公開情報) 既に公開されている情報、公知の情報および当社が自由に第三者へ開示できる情報。
二 区分②(社内通常情報) 区分①に該当しない当社の業務情報のうち、特定の機密保持義務に服さないもの。
三 区分③(顧客機密等) 顧客、取引先、共同研究者または業務委託者から預かった情報、契約上の機密保持義務の対象となる情報、ならびに当社固有の機密情報。
四 区分④(個人情報・研究対象者識別情報) 個人情報保護法に定める個人情報、研究対象者の識別を可能とする情報および特別な配慮を要する情報。
  1. ソースコードについては、その機密性および契約上の取扱いに応じて、上記各区分のいずれかに分類する。
  1. 各区分の入力ルールは次の各号のとおりとする。
      2. 一 区分①は、業務利用可能なAIへ自由に入力することができる。
      二 区分②は、業務利用可能なAIへ入力することができる。個人アカウントによる入力は、第6条第3項の設定の自己宣誓を経た者に限る。
      三 区分③は、契約上許容される場合かつ第8条による社内承認を得た場合に限り、業務利用可能なAIへ入力することができる。
      四 区分④は、個人情報保護法その他の法令上の根拠(本人同意、業務上の正当な目的等)が成立する場合かつ第8条による社内承認を得た場合に限り、業務利用可能なAIへ入力することができる。必要に応じて事前に匿名化または仮名化を行うことにより、区分③以下に降格させた上で取扱うことができる。
  1. 業務利用可能なAIに対し、本条の各区分に応じた適切な設定の下で行われた入力は、当社の業務システム上のデータ取扱いの一環として位置づける。本項は、当社内部における運用上の位置づけを示すものであり、個人情報保護法その他の法令上または契約上の第三者提供、委託、外国にある第三者への提供その他の評価を変更するものではない。
  1. 第4条第1項第5号に該当する自己ホスト型LLMへの入力については、外部送信が発生しないため、前項の規定にかかわらず、第8条による社内承認を要しない。ただし、本条第3項各号に定める契約上許容される場合および法令上の根拠が成立する場合の要件は、引き続き適用する。利用者は、当該実行環境のセキュリティ(端末管理、認証、暗号化、バックアップ等)について、情報セキュリティ基本方針その他の関連規程に従い適切に管理する。

第8条(社内承認)

次の各号に掲げるAI利用については、情報セキュリティ責任者の事前承認を得るものとする。
一 区分③または区分④の情報のAIへの入力(案件=顧客および契約の単位ごと)
二 第4条第2項に該当するSaaS等のAI機能を介して、区分③もしくは区分④の情報がAIに入力されること、または対外送信が自動的に行われることが想定される利用
三 第12条第3項に基づく、人間による最終確認を介さない自動対外送信の運用
四 第5条第4項に基づく、中国運営サービスの評価または中国バイアス取得目的の利用
  1. 前項各号の承認は、案件、利用するサービス、利用期間、利用類型その他適切な単位で、想定される利用パターン(入力データの範囲、利用目的、利用するAIサービス、契約上の根拠、必要な匿名化・仮名化、対外送信の有無および要件等)について包括的に行うことができる。包括承認の枠内における個別の利用については、その都度の承認を要しない。
  1. 包括承認の枠を超える利用または新規の利用パターンが生じる場合は、その都度、情報セキュリティ責任者の個別承認を得るものとする。
  1. 承認の記録は、業務管理ツール(Asana等)におけるコメントまたは専用タスクをもって行う。

第9条(顧客契約との整合)

当社は、顧客との契約、覚書または同等の文書において、当社が業務遂行上LLM等のAIを利用することについての基本合意を取得することを原則とする。
  1. 顧客から預かった情報のうち、契約、覚書または顧客の指示において合意された範囲を超えてAIに入力してはならない。

第10条(出力の検証)

利用者は、業務において利用するAIの出力について、次の各号に定める区分に応じ、必要な検証を行うものとする。
一 対外成果物層 顧客納品物、公開文書、契約書、研究成果物、公開リポジトリのコードその他、当社の外部に提供または公表する成果物に組み込む出力については、利用者は、提供または公表に先立ち、事実関係、適法性(第三者の著作権その他の権利の尊重を含む)および当該成果物全体との整合性を確認する。
二 内部利用層 当社内部における日常的な業務利用(社内メモ、一次調査、コード生成支援等)における出力については、利用者は用途に応じて適切と認める検証を行い、その結果について自ら責任を負う。
三 プロダクト・社内自動化層 AIの出力を別のAIまたは自動処理が利用するシステム(自社プロダクトおよび社内自動化システムを含む)については、本条による利用者個別の検証義務を課さない。当該システムにおける出力品質の保証は、システムごとの設計および運用に委ねる。
  1. 前項第3号に該当するシステムの設計・運用に関する事項は、当該システムごとの規程または運用文書において定める。

第11条(権利、研究上の取扱いおよび特定個人への影響)

利用者は、AIの出力が第三者の著作権その他の権利を侵害する可能性があることを理解した上でAIを利用する。第10条第1項第1号に基づく検証においては、第三者の権利侵害に関する確認を含むものとする。
  1. 業務として生成したAIの出力に係る権利の帰属は、職務著作その他の法令、就業規則、業務委託契約その他の関連規程および契約に従う。
  1. 学術論文、学会発表その他の学術的成果物にAIの出力を利用する場合は、投稿先または発表先の生成AIに関する開示・利用方針に従う。
  1. 利用者は、特定の個人または集団の利益に実質的に影響を及ぼす用途(採用判断、人事評価補助、研究対象者の選定または評価、顧客に対する判定または推奨等)にAIを利用する場合、当該用途においてAIを利用していることを影響を受ける者に対して通知し、最終的な判断は人間のレビューを経て行い、影響を受ける者からの照会または異議に対応するものとする。

第12条(エージェント型AIツール)

エージェント型AIツール(自律的にツール実行、ファイル編集、外部API呼出し、対外送信等を行うAIをいう。以下「エージェント型ツール」という)の業務利用は、本ポリシーの一般則に従う。利用者は、利用するエージェント型ツールの実行範囲(ファイル系、ネットワーク、対外送信等)を理解した上で利用する。
  1. エージェント型ツールが自律的に対外送信(電子メール送信、公開リポジトリへのpush、SNS投稿、顧客への成果物送信等)を行う設定で運用する場合、当該送信物は第10条第1項第1号にいう対外成果物に該当し、原則として送信に先立ち人間による最終確認を行うものとする。
  1. 前項の人間による最終確認を介さない自動送信を運用する場合は、(1) 送信先、送信種別および送信内容のリスクが限定されていること、(2) 誤送信時のロールバック手段または被害低減策が用意されていること、(3) 送信ログが取得・保存されていること、ならびに (4) 第8条第1項第3号に基づき情報セキュリティ責任者の事前承認を得ていること、のすべてを満たすものとする。

第13条(ログの取得)

当社は、貸与したLLMアカウントおよびAPIの利用に関する記録(利用ログ、課金情報等)を取得・保存し、必要に応じて確認することがある。当該記録は、本ポリシーおよび関連規程に基づく運用、インシデント対応、サービス改善その他の正当な目的のために利用する。

第14条(利用者の責務および周知)

当社は、本ポリシーの内容、データ区分、各サービスの基本的な設定方法および利用上の注意事項について、社内周知を行う。
  1. 利用者は、業務で利用するAIサービスの仕様、設定(学習提供有無を含む)および出力特性を理解した上で利用する。

第15条(インシデント対応)

利用者は、次の各号のいずれかに該当する事案の発生を認識した場合、速やかに情報セキュリティ責任者に報告するとともに、可能な範囲で当該データの削除要請、当該設定の停止その他の応急措置を行う。
一 第5条第3項(中国運営サービスへの入力データ範囲の制限)に反する入力
二 第12条第3項の要件を欠く自動対外送信
三 第4条第1項第5号に定める自己ホスト型LLMの要件を欠く実行(外部送信の判明、第三者基盤への意図せざる送信、テレメトリ等周辺通信を介する利用情報の外部送信を含む)
  1. 利用者は、次の各号のいずれかに該当する事案を認識した場合、情報セキュリティ責任者への報告を行うことが推奨される。
      2. 一 学習提供設定が確認されていない個人アカウントへの区分③または区分④の入力
      二 顧客契約その他の適法な根拠を逸脱した入力
      三 その他、本ポリシーからの逸脱と認められる事案
  1. 前項により報告された事案について、当社は原則として懲戒処分の対象としない。ただし、故意による違反、重大な過失または報告の意図的な遅延もしくは隠蔽はこの限りでない。
  1. 業務利用可能なAIに対し、適切な設定の下で行われた入力に関し事後にデータ区分のミスマッチ等の軽微な逸脱が判明した場合は、社内データの誤格納と同等の取扱い(再配置、削除等の必要な措置)により対応する。
  1. 第2項各号にかかわらず、本ポリシーからの逸脱が情報漏えい、不正アクセス、法令違反その他の重大なインシデントに該当すると認識した場合は、情報セキュリティ基本方針第8条第2項に基づき、利用者は速やかに情報セキュリティ責任者に報告する。インシデントの全体的な対応は、情報セキュリティ基本方針第8条に従う。法令および契約に基づく顧客等への通知の要否は、情報セキュリティ責任者がこれを判断する。

第16条(退職または契約終了時の取扱い)

役員、従業員、業務委託者等の退職、契約終了その他、当社における業務遂行を終了する際、当社は、当該者に貸与していたLLMアカウントを無効化する。
  1. 個人アカウントによるAIサービスの業務利用を行っていた者または私物端末等において自己ホスト型LLMの業務利用を行っていた者は、業務終了に際し、当該私物アカウントおよび私物端末上での当社業務に係るAI利用を停止し、管理可能な範囲において、業務関連の保存ファイル、API鍵、外部サービス連携設定、ローカルに保持されたモデル重み・プロンプト履歴・生成物等を削除または当社へ引継ぐことが推奨される。

第17条(関連規程との関係)

本ポリシーは、情報セキュリティ基本方針第6条第3項からの委任に基づき定めるものであり、情報セキュリティ基本方針およびその関連規程と一体として運用する。
  1. 公的研究費、受託研究、共同研究その他の研究活動に伴う研究データの取扱いについては、本ポリシーとの関係において、契約および研究データ管理規程が優先する。当該研究データに個人情報が含まれる場合は、個人情報保護法その他の法令、プライバシーポリシーおよび別途定める個人情報取扱規程(社内版)にも従う。
  1. 本ポリシーに違反した利用者に対しては、就業規則、業務委託契約その他の関連規程または契約に基づき、適切な措置を行う。

第18条(改廃)

本ポリシーの改廃は、代表取締役の決定による。

附則

本ポリシーは、2026年5月12日から施行する。
制定日: 2026年5月11日
株式会社七夕研究所
代表取締役 北島 哲郎
七夕研究所/Tanabata Institute/規程集/Rules/AI利用ポリシー