AI使用时代的新治理：从“禁止”到“告知”

从“禁止使用AI”到“使用就告知”

“员工可能偷偷使用生成式AI”——许多经营者都怀有这种不安。事实上，一项调查显示，尽管约四成员工在工作中使用生成式AI，但其中超过半数并未向公司报告（来源：ITmedia NEWS《与其禁止AI，不如使用就告知》2025年6月）。

面对这种情况，许多企业试图制定“禁止在业务中使用AI”的规则。然而，这种方法存在根本性问题。禁止并不意味着现场会停止使用AI，反而只会增加“在看不见的地方被使用”的风险。

本文提出在AI代理时代，一种新的治理思路——“使用就告知”的披露型方法。这并非主张“放任AI”，而是“以使用为前提，设计使使用情况可视化的机制”，是一种务实的治理再设计。

生成式AI是能大幅提升日常业务效率的工具，例如起草邮件、总结会议纪要、辅助数据分析等。对于人手不足的中小企业来说，AI的生产力提升效果不容忽视。

然而，经营层担心的是“信息泄露”、“错误信息扩散”、“侵犯著作权”等风险。这种差距导致了“现场想用，经营层想禁”的对立结构。

关键在于，禁止会适得其反。即使制定了禁止规则，现场也会理解为“只要不被发现就可以用”。结果，AI在经营层无法掌握的地方被使用，脱离了风险管理范围。这才是最危险的状态。

“使用就告知”的治理设计由以下三个要素构成。

1. 使用目的的事先申报
要求事先申报“在哪个业务中”、“使用哪种AI工具”、“出于什么目的”。这样，经营层就能掌握现场的AI使用情况。

2. 使用结果的事后报告
制定规则，要求在公司内部共享AI生成的输出内容。特别是面向客户的文档、合同等对外输出的内容，必须加入人工确认的流程。

3. 明确禁止事项
不是规定“不能做什么”，而是明确“可以做什么”。例如，列举“不将公司内部非公开信息输入AI”、“不让AI学习个人信息”等具体禁止事项。

像大企业那样设立专职AI治理部门的中小企业很少。正因如此，“监控·管控”不如“披露·共享”这种轻量级机制有效。

具体来说，可以考虑以下运营方式。

・每月举办一次AI活用报告会
・在公司内部聊天工具中开设“#AI活用报告”频道
・将AI使用相关的问答汇总到公司内部Wiki中

这些都不需要特殊的系统投资，利用现有的沟通工具即可实现。关键在于培养“用了就分享”的文化。

首先，以匿名方式向员工调查“现在使用什么AI”。此时，不要问“是否使用”，而是问“在什么场景下AI可能有用”。这样能引出现场的真实想法。

试图制定完美的规则会耗费过多时间。最初只需决定以下三点。

・使用AI时，在团队内共享使用情况
・对外输出的信息不直接使用AI的输出结果
・不输入公司内部机密信息

仅此三点，就能覆盖大部分风险。

规则不是制定一次就完事了。如果现场反馈“这条规则让工作难以推进”，就要随时重新审视。治理不是固定不变的，而是要根据业务变化动态调整的。

最初制定严格的禁止规则，结果导致现场强烈反弹，最终“随便用吧”全面解禁——这是最危险的模式。

正确的做法是，在禁止和解禁之间的“灰色地带”进行设计性利用。不是将所有事情分为黑白两色，而是进行“这里OK，这里需要确认”的分区管理。

在AI代理时代，治理的作用不是“将风险降至零”。在适当控制风险的同时，最大限度地发挥AI的益处，这才是治理的真正目的。

“使用就告知”这种披露型方法，既符合中小企业的资源限制，又尊重现场的自主性。不妨从一小步开始尝试吧。

（参考：ITmedia NEWS《与其禁止AI，不如使用就告知——代理时代的治理再设计》2025年6月4日）