MMinuto

生成AIを社内導入するときに情報漏洩を防ぐ5つのルール

生成AI社内導入時の情報漏洩リスクと対策を解説。ChatGPT個人・法人プランの違い、Samsung事例、社内ガイドライン策定のポイント、AI議事録ツール選定のセキュリティ確認項目まで実務目線で整理。

生成AI 社内 情報漏洩ChatGPT 社内利用 リスク生成AI ガイドライン 社内

生成AIの社内導入を進める企業が増えている。一方で「社員が個人アカウントで機密情報を入力していた」「議事録をそのままChatGPTに貼り付けていた」といった事態が後を絶たない。本記事では、なぜ生成AIで情報漏洩が起きるのかを整理したうえで、導入前・導入後に必要な5つのルールを解説する。セキュリティ担当者や情報システム部門の方だけでなく、現場でAIを使い始めているマネージャー層にも読んでほしい内容だ。

なぜ生成AIの社内利用で情報漏洩が起きるのか?

生成AIによる情報漏洩は、悪意のある攻撃によって起きるケースよりも、従業員が意図せず機密情報を入力してしまうケースのほうが圧倒的に多い。仕組みを正しく理解しないまま業務利用を始めると、知らぬ間にリスクを抱えることになる。

ChatGPTの学習利用規約の仕組み(個人プラン vs 法人プラン)

OpenAIのデータ利用ポリシーは、プランによって大きく異なる。2026年3月時点での概要は次の通りだ。

プラン 入力データの学習利用 主な対象
Free / Go デフォルトで学習利用あり(設定でオプトアウト可) 個人利用
Plus / Pro デフォルトで学習利用あり(設定でオプトアウト可) 個人利用
Business(旧Team) デフォルトで学習利用なし 法人・チーム向け
Enterprise 学習利用なし(契約で明示) 大企業向け

個人向けのFreeプランやPlusプランでは、設定から「すべての人のためにモデルを改善する」をオフにすることで学習利用を停止できる。しかし、この設定変更は各ユーザーが個別に行う必要があり、社内で統一管理する仕組みがない。

法人向けのBusinessプランは月額30ドル/ユーザー(2026年3月時点)で、入力・出力データがデフォルトでモデルの学習に使われない設計になっている。なお、2025年8月にChatGPT TeamはBusinessに名称変更されたが、機能・料金・利用上限に変更はない。

重要なのは「プランが違えば情報の扱いも違う」という認識を、組織全体で共有することだ。個人のアカウントを業務で流用しているケースが最大のリスク要因になる。

実際に起きた情報漏洩事例(Samsung等)

2023年、韓国の大手テクノロジー企業Samsungで、ChatGPTの社内利用を許可した直後から約20日間で3件の機密情報漏洩が発生した。具体的には、半導体製造設備の情報漏洩が2件、社内会議の内容漏洩が1件である。

従業員は業務効率化のためにChatGPTを活用しようとしたが、入力したデータがOpenAIのサーバーに送信・保存されること、学習データとして利用される可能性があることを十分に認識していなかった。Samsungはその後、社内でのChatGPT利用を全面禁止し、独自のAI利用ポリシーの策定に取り組んだ。

国内でも同様のリスクは存在する。2024年には対話型AIサービス「リートン」で、ユーザーが入力したプロンプトや登録情報が設定ミスにより第三者から閲覧可能な状態になっていたことが発覚した。AIサービス側のセキュリティ不備が原因だが、一度入力した情報は自社でコントロールできないという事実を改めて示した事例だ。

議事録・会議内容は特にリスクが高い理由

会議の議事録には、他の業務文書と比較してリスクの高い情報が集中しやすい。

  • 未公開の経営判断: 新製品リリース時期、M&A検討、人事異動の方針
  • 顧客・取引先の固有情報: 商談内容、契約条件、クレーム内容
  • 個人情報: 従業員の評価、健康状態、給与に関する言及
  • 競合情報: 競合分析の内容、差別化戦略

特にリアルタイムの会議録は、発言者が情報の機密性を意識せずにそのまま記録されることが多い。AIを使った議事録作成が普及するなかで、「文字起こしデータをそのままChatGPTに貼り付ける」という行為が日常化すると、機密情報の流出経路が広がる。

情報漏洩を防ぐ5つのルール

リスクを理解したうえで、実際に導入・運用する際に守るべきルールを整理する。どれか一つだけでは不十分で、5つを組み合わせて初めて実効性のある対策になる。

ルール1: 個人アカウントでの業務利用を禁止する

最初に取り組むべき対策は、個人アカウントによる業務利用の全面禁止だ。従業員が私的に取得したChatGPTの無料アカウントや有料アカウントで業務情報を扱うと、組織がデータの取り扱いをコントロールできない。

禁止の対象を明確にする際には、以下のように具体的なサービス名とアカウント種別を列挙すると周知しやすい。

  • ChatGPT(OpenAI)個人アカウント(Free/Go/Plus/Pro)
  • Google Gemini 個人アカウント
  • Claude(Anthropic)個人アカウント
  • その他、会社が承認していない生成AIサービス全般

「禁止」だけを伝えると現場の反発を招きやすい。「なぜ禁止なのか」という理由と、「代わりに何を使えばよいか」という代替手段をセットで提示することが実効性を高めるポイントだ。

ルール2: 入力してよい情報の範囲を明確に定義する

法人プランを導入した場合でも、すべての情報を無制限に入力してよいわけではない。入力データは社外のサーバーに送信されるという事実は変わらないため、入力可否の基準を設ける必要がある。

入力可能(原則OK)の例

  • 一般的な業務知識に関する質問
  • 匿名化・汎化済みのサンプルデータ
  • 社外公開済みの文書の要約・翻訳
  • プレゼン資料のドラフト(固有名詞・機密数値を除く)

要注意(上長確認が必要)の例

  • 取引先名が含まれる資料
  • 社内の組織・人事に関する情報
  • 財務データ・予算情報

入力禁止(NG)の例

  • 個人情報(氏名・住所・マイナンバー等)
  • 未公表の製品仕様・価格情報
  • 契約書・秘密保持義務がある文書
  • 顧客データ・ID・パスワード
  • ソースコード(セキュリティ要件がある場合)

「禁止事項の一覧を読んでもイメージがわかない」という社員が多い場合は、**「新聞に掲載されたら困る情報は入力しない」**という判断基準を補足説明として添えると理解が早い。

ルール3: 法人プラン(学習利用なし)を選定する

組織として生成AIを導入する場合、個人プランではなく法人・チーム向けのプランを選定する。前述の通り、ChatGPT BusinessやEnterpriseプランでは入力・出力データがデフォルトでモデルの学習に使われない。

プラン選定時の確認ポイントは以下の3点だ。

  1. データ学習の可否: 入力・出力データが学習に使われないことが契約・ポリシーに明示されているか
  2. データ保持期間: 入力データがサービス側のサーバーにどの期間保存されるか
  3. データ処理場所: データが処理・保存される地域(日本国内か海外か)

同様の確認は、ChatGPT以外の生成AIサービスを選定する場合にも必要だ。サービスによってはデフォルトでデータが学習に使われる設定になっているものもあるため、ポリシーの確認を怠らないようにする。

ルール4: サービス選定時にデータ保存・削除ポリシーを確認する

法人プランであってもデータは一定期間サービス側のサーバーに保存される。選定前にデータの保存・削除に関するポリシーを確認し、自社の情報管理方針と照合する。

確認すべき主なポイントは次の通りだ。

  • データの保存期間: 入力データはいつまで保存されるか
  • データの削除方法: ユーザー側からデータの削除を要求できるか
  • 第三者への提供: データが提携企業や研究機関に提供される可能性はあるか
  • セキュリティインシデント時の通知: 情報漏洩が起きた際に利用者に通知する義務があるか
  • 準拠法・管轄裁判所: 問題が生じた際にどの国の法律が適用されるか

これらの情報は利用規約やプライバシーポリシーに記載されているが、読み解くのに専門知識が必要な場合もある。法務部門や外部の法律事務所と連携して確認する体制を整えることが望ましい。

ルール5: 社内AI利用ガイドラインを策定・周知する

個別のルールをいくら整備しても、従業員が認識していなければ意味がない。組織として守るべき行動基準を「AI利用ガイドライン」として文書化し、定期的に周知する仕組みが必要だ。

総務省・経済産業省が共同で策定した「AI事業者ガイドライン(第1.1版、2025年3月)」では、AI利用者が取り組むべき事項として「AI使用に関するリテラシーの確保」「個人情報・機密情報の適切な管理」「AIの出力を鵜呑みにしない確認プロセスの構築」が挙げられている。

自社ガイドラインはこれらの官公庁ガイドラインを参照しながら、自社の業種・業態・情報管理体制に合わせて具体化することが重要だ。

PwC Japanの調査(2025年春)では、日本の中小企業では「AIの活用方針を明確に定めていない」とする回答が約半数を占めていた。ガイドラインが整備されていない状態での現場任せの運用は、管理者の意図とは無関係に情報リスクが高まる状態を放置することになる。

AI議事録ツールを選ぶ際のセキュリティ確認ポイント

AI議事録ツールは、会議の録音・文字起こし・要約を一気通貫で行うため、特に機密性の高い情報を扱う。ツール選定時には以下の4点を必ず確認したい。

データの保存先(国内/海外)

音声データやトランスクリプトが保存されるサーバーの所在地を確認する。国内サーバーを使用しているサービスは、日本の個人情報保護法の適用を受けやすく、データの越境移転リスクが低い。

海外サーバーを使用するサービスの場合、GDPRや米国のクラウド法(CLOUD Act)の影響を受ける可能性があるため、法務部門との確認が必要になる。

学習利用ポリシー

入力した音声データ・テキストデータがAIモデルの学習に使われるかどうかを確認する。「学習利用なし」を明確に謳っているサービスと、「デフォルトで学習利用あり・オプトアウト可」のサービスでは、リスクの水準が大きく異なる。

ポリシーが曖昧な場合や、利用規約にデータ利用の記載が不明確な場合は、サービス提供会社に書面で確認を求めることが望ましい。

セキュリティ認証(SOC 2等)

第三者機関によるセキュリティ認証を取得しているかどうかは、サービス選定の重要な基準になる。主要な認証の概要は次の通りだ。

認証 概要
ISO 27001 情報セキュリティマネジメントシステムの国際規格
SOC 2 Type II セキュリティ・可用性等に関する第三者監査報告書
Pマーク(プライバシーマーク) 日本の個人情報保護に関する認定制度
ISMAP 政府機関が利用するクラウドサービスの安全基準

中小企業向けのサービスでは認証を取得していないケースもある。認証の有無だけで判断するのではなく、セキュリティに関する具体的な取り組み内容を問い合わせたうえで比較検討することを推奨する。

データ削除の仕組み

会議データの削除を自社でコントロールできるか確認する。「ユーザーが削除操作を行えばサーバーからも完全に削除される」ことが保証されているか、またその削除がいつ実行されるかを把握しておく必要がある。

退職者・退会後のデータ取り扱いについても確認しておくと、後々のトラブル防止につながる。

📝 Minutoを無料で試す

トランスクリプトを貼り付けるだけで、AIが議事録を30秒で仕上げます。 Freeプランは月5回まで無料。クレジットカード不要。

👉 今すぐ試す

社内AI利用ガイドライン策定のポイント

ガイドラインの存在は、万が一のインシデント発生時に「組織として適切な対処を行っていた」という証跡にもなる。担当部門が決まっていない場合でも、まずたたき台を作ることから始めることを推奨する。

ガイドラインに盛り込むべき項目一覧

最低限、以下の項目を盛り込むことが推奨される。

【1. 目的・適用範囲】

  • ガイドラインの目的と背景
  • 適用されるサービス・従業員の範囲
  • 適用開始日・改訂履歴

【2. 利用ルール】

  • 承認済みサービス一覧
  • 入力可能情報・禁止情報の基準
  • 個人アカウントでの業務利用禁止
  • AIの出力をそのまま使用しないこと(ファクトチェックの義務)

【3. セキュリティ要件】

  • 法人プランの使用を原則とする
  • 利用するサービスのデータ保存・削除ポリシーの確認手順
  • インシデント発生時の報告ルート

【4. 責任体制】

  • ガイドライン管理部門・担当者
  • 違反時の対応方針(社内処分の基準)
  • 従業員からの問い合わせ窓口

【5. 教育・周知】

  • 入社時・定期研修での説明義務
  • アップデート時の周知方法

策定プロセスの例

規模の大きくない組織であれば、以下のプロセスで3〜4週間での策定が可能だ。

  1. 情報システム部門またはセキュリティ担当者が草案を作成(1週間)
  2. 法務部門・経営層へのレビュー依頼(1週間)
  3. 全社向けドラフト公開・フィードバック収集(1週間)
  4. 最終版確定・イントラネット掲載・全社周知(数日)

既存の情報セキュリティポリシーに「生成AI利用に関する附則」として追記する形をとると、新規文書の作成よりも承認プロセスが短縮されやすい。

定期見直しの重要性

生成AIのサービス仕様やデータポリシーは頻繁に変更される。策定時点では適切だった内容が数ヶ月後には陳腐化している可能性がある。最低でも年1回の定期見直しをガイドラインに明記しておくことが望ましい。

また、新たなサービスの社内承認申請が来るたびに、セキュリティ確認チェックリストに基づく審査を行う運用にしておくと、ガイドラインの実効性を継続的に維持できる。

まとめ

生成AIの社内導入における情報漏洩リスクと、対応すべき5つのルールを整理した。

要点を再確認する。

  • 個人アカウントでの業務利用は、組織がデータをコントロールできないため最初に禁止すべきだ
  • 入力可能情報の範囲を明文化することで、現場の判断基準が統一される
  • 法人プランの選定により、入力データが学習に使われるリスクを組織として低減できる
  • データ保存・削除ポリシーの確認は、サービス選定前の必須ステップだ
  • 社内ガイドラインの策定は、ルールの周知と責任体制の明確化に不可欠だ

議事録や会議内容など、機密情報が集まる場面でのAI活用は特にリスクが高い。セキュリティへの配慮が設計に組み込まれたツールを選ぶことが、リスクを下げながら業務効率化を進める近道だ。

AI議事録ツールの機能比較についてはAI議事録ツール比較記事、ChatGPTを使った議事録プロンプトの実践についてはChatGPT議事録プロンプト記事でそれぞれ詳しく解説している。

📝 Minutoを無料で試す

トランスクリプトを貼り付けるだけで、AIが議事録を30秒で仕上げます。 Freeプランは月5回まで無料。クレジットカード不要。

👉 今すぐ試す

よくある質問

Q. ChatGPTの法人プラン(Business/Enterprise)なら情報漏洩リスクはないか?

法人プランはデータが学習に使われないため、個人プランと比較してリスクは大幅に低下する。ただし、ゼロではない。入力したデータは一定期間OpenAIのサーバーに保存されるため、サービス側でセキュリティインシデントが発生した場合のリスクは残る。また、従業員が入力してよい情報の範囲を定めていないと、法人プランを使っていても機密情報が社外に送信される状況は変わらない。法人プランの採用と社内ルールの整備はセットで進める必要がある。

Q. 社内のガイドラインはどの部門が作るべきか?

情報セキュリティポリシーを所管している部門(情報システム部門・セキュリティ担当)が主導し、法務部門・経営企画・人事部門が連携する体制が一般的だ。AI利用が特定の部門(例:マーケティング、エンジニアリング)で先行している場合は、その部門の担当者をワーキンググループに加えると、現場の実情に合った実効性のあるガイドラインになりやすい。

Q. 生成AIに個人情報を入力してしまった場合はどうすればよいか?

まず利用したサービスのポリシーを確認し、データ削除申請が可能かどうかを調べる。ChatGPTでは設定からチャット履歴を削除することができる。次に、社内のセキュリティ担当部門・情報システム部門に報告し、インシデント記録として残す。個人情報保護法上、漏洩の可能性がある場合は一定の報告義務が発生することがあるため、法務部門の判断を仰ぐことが必要になる場合もある。「入力してしまったこと」を隠す文化を作らないことが、再発防止に向けた最初のステップだ。

Q. オンプレミス型のAI導入はセキュリティ上有利か?

データが自社のサーバー内で処理されるため、外部への情報送信リスクはクラウド型と比較して大幅に低くなる。ただし、導入・維持コストが高く、利用できるAIモデルの性能もクラウド型に後れを取る場合が多い。また、オンプレミスであっても内部不正や運用上のミスによる情報漏洩リスクはゼロではない。「完全に安全」ではなく「外部送信リスクが低い」という理解が正確だ。中小企業には費用対効果の面でクラウド型の法人プランのほうが現実的な選択肢になるケースが多い。

業務効率化に役立つ関連サービス

Minutoを提供するGenbaCompassでは、業務効率化を支援する他のサービスも展開している。

サービス名 概要 こんな課題に
WhyTrace AIなぜなぜ分析ツール 不具合・トラブルの根本原因分析
AnzenAI AI安全管理支援 建設現場の安全教育・KY活動
SysDoc AIマニュアル作成 業務手順書・マニュアルの整備

Minuto — AI議事録を30秒で自動生成

Freeプランは月5回まで無料。クレジットカード不要。

無料で試す →