以前在籍していた会社は、ダイレクトメール——いわゆるDMが販促の主力だった。顧客リストが武器であり、名刺は営業担当者の個人資産のように扱われていた。デスクの引き出しに数百枚の名刺が無造作に突っ込まれている。営業が外回りから戻れば名刺を箱に放り込み、事務がExcelに入力し、DMの発送リストに加える。回り続ける限り売上が立つ。名刺の束はそのまま売上の源泉だった。
2005年、個人情報保護法が全面施行された。あの日を境に、名刺の束は「個人情報」になった。管理部が即座に動いた。名刺の保管方法を定めろ。顧客リストに管理台帳を付けろ。データの入力・修正・削除のたびに記録を残せ。廃棄にも手続きを設けろ。あらゆるルールが一気に降ってきた。そして「DMの一時停止」が打ち出された。個人情報の取り扱いが社内で整備されるまで、販促物の発送を全面的に止めるという。管理部としてはリスクをゼロにしたかったのだ。
営業は黙っていなかった。DMを止めれば翌月の数字に直結する。管理部の方針を無視して、従来通り発送を続ける担当者が続出した。経営方針は後手に回った。片方は「止めろ」と言い、片方は「止められない」と返す。どちらの言い分にも理屈はあった。だがその理屈を噛み合わせる暇もなく、ルールだけが先に来たのだ。
私はこの混乱のさなかで、プライバシーマーク——Pマークの取得プロジェクトを任された。Pマークとは、個人情報を適切に管理していることを対外的に証明する認定制度だ。DM営業を主力にしている以上、取引先への信頼材料として取得は避けられなかった。だが降ってくる手続きが膨大だった。個人情報の管理規程を一から書き起こし、全従業員に教育を行ってその記録を残し、外部委託先の監督体制を整え、漏洩事故が起きた場合の対応フローを設計する。日常業務をこなしながら並行して進めるには、あまりにも重い仕事だった。会社全体が「個人情報」という四文字に振り回されていた時期に、その振り回される構造そのものを整理しろ、と言われたわけだ。
振り返れば、あの時期にPマーク取得の実務を一通りやったことが、個人情報管理の本質を理解する機会になった。法律の中身を読めば、やるべきことは明確に書いてあった。全面停止は必要なかった。利用目的の通知と同意取得の仕組みさえ整えれば、DMは続けられた。問題は、法律の中身を読まずに空気だけで動いたことだった。管理部の過剰防衛も、営業の反発も、根っこは同じだ。読んでいなかったのだ。
あれから二十年以上が経った。いま、あのときとまったく同じ空気を感じている。
「また来たのか」と思った人へ
2026年3月、総務省と経済産業省が「AI事業者ガイドライン」の第1.2版を公開した。AIに関わるすべての事業者が参照すべき指針として策定されたものだ。第1.0版が出たのが2024年4月。わずか二年で二度の改訂を重ねている。それだけ技術の変化が速い。直近の改訂では、AIエージェント——人間の細かな指示なしに自律的に判断して動くAI——の登場を受けて、その管理のあり方にまで踏み込んでいる。指針が技術の背中を追いかけている格好だ。
まず押さえておくべきことがある。このガイドラインは法律ではない。罰則はない。守らなかったからといって、直ちに処分されるものでもない。あくまで「指針」——こういう考え方で動いてほしい、という政府からのメッセージだ。二十年前の個人情報保護法は法律だった。だからこそ罰則があり、だからこそ管理部はDMの一時停止という強硬策に出た。AIガイドラインにはその強制力がない。
ならば無視していいか。私はそうは思わない。
個人情報保護法のときも、施行前は「うちは関係ない」「BtoBだから大丈夫」と言っていた会社が山ほどあった。法律だと知った途端に慌て、やっつけで体制を整え、結局は現場が混乱した。AIガイドラインには罰則がないぶん、「関係ない」で済ませやすい。だがガイドラインが示すものを知らないまま走り続けて、事故が起きたとき——顧客情報の漏洩、著作権の侵害、AIの出力による差別——「知りませんでした」は言い訳にもならない。法律ではなくとも、ガイドラインの存在すら知らなかった企業への信頼は確実に削れる。取引先が「御社のAI利用方針を見せてほしい」と言ってくる日は、そう遠くない。
ガイドラインは事業者を三つに分けている。AIを作る「開発者」、AIを組み込んだサービスを提供する「提供者」、そしてAIを業務に使う「利用者」。中小企業の大半は三番目だ。ChatGPTで議事録を整理する。生成AIで営業メールの下書きを作る。画像生成ツールでSNSの投稿素材を出す。こうした日常的なAI利用のすべてが、ガイドラインの射程に入っている。「自分で作っていないから関係ない」ではない。使っている時点で当事者だ。
ガイドラインが掲げる原則は十ある。人間中心、安全性、公平性、プライバシー保護、セキュリティ、透明性、説明責任、教育、公正競争、イノベーション——お役所らしく抽象的な単語が並ぶ。だが煎じ詰めれば、言っていることはひとつだ。考えて使え。
ルールが先に来る。受け止め方で、組織は割れる
個人情報保護法のとき、私の目の前で起きたのはまさにこれだった。管理部はリスクゼロを求め、営業は売上を求めた。どちらも会社のために動いている。だが「個人情報保護法ができました」という一報が組織に入った瞬間、中身を理解する前に、それぞれの立場から反射的な反応が返った。管理部は「止めろ」、営業は「止めるな」。経営は判断を先送りにした。方針が出る前に、現場ではすでに実力行使が始まっていた。
今のAI利用をめぐる中小企業の風景が、あのときと驚くほど重なる。情報システム担当——あるいはITに詳しい総務の人間——は「ChatGPTに顧客情報を入れるな」と言いたい。現場は「便利だから使っている」と返す。経営者はAIが具体的に何をするものかよくわかっていないが、「うちも何かやらないとまずいらしい」という空気は感じている。方針が定まらないまま、使う人は勝手に使い、使わない人は頑なに使わない。会議でAIの話題が出ると、使っている側は後ろめたそうに黙り、使っていない側は取り残された顔をする。二十年前と構図がまったく同じだ。
ガイドラインは、この分裂を解消する力を持っている。使えばの話だが。ガイドラインは「禁止」を求めていない。「考えて使え」と言っている。管理部門の「全面禁止」も、現場の「野放し利用」も、どちらもガイドラインの趣旨からは外れる。使うなら、リスクを把握し、ルールを決め、記録を残せ。それだけのことだ。だがその「それだけ」をやるためには、まずガイドラインが何を言っているかを知らなければならない。
二十年前、個人情報保護法の条文を自分で読んだ中小企業の経営者がどれほどいただろう。ほとんどいなかったはずだ。多くは「なんか厳しくなるらしい」という空気だけで動いた。だから管理部は過剰に止めにかかり、営業は感情的に反発した。落ち着いて条文を読めば、DMの継続に必要な手続きは明確に書いてあった。全面停止など必要なかった。だが読まなかった。読まなくてもなんとかなると思った。そしてなんとかならなかった。
歴史は繰り返す。個人情報保護法は法律だったから、最終的には「やらなければならない」で着地した。何年かかけて手続きが整い、Pマーク取得が当たり前になり、名刺管理にも誰も騒がなくなった。だがAIガイドラインには強制力がない。やらなくても罰せられない。だからこそ、読んだ会社と読まなかった会社の差は、静かに、しかし確実に開いていく。
免許を持たずに走っている
もうひとつ、別の角度から考えてみる。道路交通法は数年おきに改正される。飲酒運転の厳罰化、ながらスマホの禁止、自転車ヘルメットの努力義務化。改正のたびにニュースになり、しばらく話題になり、やがて日常に溶けていく。
だが法改正を理由に、車に乗るのをやめる人はいない。ルールが変わったなら、変わったルールを把握して走り続ける。免許の更新に行けば、講習で新しい規則を教えてくれる。面倒だが、座っていれば最低限のことはわかる。それだけのことだ。
AIガイドラインも同じだ。使うなとは一言も書いていない。知って使え、と言っている。
問題は、免許を持たずに走っている人がいることだ。道路には免許制度がある。最低限の知識を持っていることが、ハンドルを握る前提になっている。だがAIの世界には免許がない。誰でもアカウントを作ればChatGPTにアクセスできる。取引先の機密情報をプロンプトに貼り付けることも、著作権で保護された文章をまるごと投入することも、差別的な出力をそのまま社外に出すことも、ボタンひとつでできてしまう。やっていいかどうかの判断は、完全に使う側の人間に委ねられている。
ガイドラインは、その判断の基準を示している。免許制度がないなら、せめて交通ルールくらいは知っておけ——そういう文書だと思えばいい。読まなくても走れる。違反しても今のところ罰金は来ない。だが事故が起きたとき、「ルールを知りませんでした」で済むだろうか。取引先が、顧客が、社会が、それを受け入れるだろうか。個人情報保護法のときに学んだはずだ。知らなかったでは済まない瞬間は、必ず来る。
自分は何を知らないのか。まずそれを知ることが、最初の一歩だ。
このシリーズでは全八回にわたって、AI事業者ガイドラインを読み解いていく。逐条解説をするつもりはない。かつて個人情報保護法に振り回された側の人間として、あのときの教訓をAIの時代に重ねながら、ガイドラインの急所を掴むための道案内をしたい。
次回は、AIを使うと具体的に何が起きるのか——ガイドラインが想定しているリスクの話をする。「ビッグデータ」という言葉に踊らされた時代を覚えている人には、どこかで見た景色に出会うかもしれない。
次の成長に向けて、いま整えるべきことを。
AI、EC、マーケティング、採用、数値管理。
構想だけで終わらせず、実行できる体制へ。
まずは課題を整理してみるところから、スポルアップが実務目線で伴走します。
