AI利用時の情報管理|入力してよいデータの線引きと社内での運用

生成AIの業務利用で最も避けたい事故は、入力してはいけない情報を外部サービスに送ってしまうことです。出力の誤りはあとから直せますが、送信した情報は取り消せません。一方で「機密は入れるな」という漠然とした注意だけでは、現場は毎回迷い、判断がばらつきます。この記事では、情報の区分ごとに入力可否を整理する考え方と、サービス側で確認すべき設定、そして線引きを実際に守れるものにする運用の工夫を解説します。
なぜ「入力」が最大のリスクなのか
外部の生成AIサービスに入力した内容は、サービス事業者のサーバーに送信されます。その後の扱い、つまりモデルの学習に使われるか、ログとしてどれだけ保持されるか、誰がアクセスできるかは、サービスの規約・プラン・設定によって異なります。学習に使われる設定のまま機密情報を入力すれば、意図しない形で情報が扱われるリスクを自ら作ることになります。まず押さえるべきは「入力は社外への送信である」という単純な事実です。
個人情報保護委員会は、生成AIサービスへ個人情報を入力する場合の留意点について注意喚起を公表しています。個人データを扱う業務での利用を検討する際は必ず確認してください。
情報区分ごとの線引きの目安
自社の情報分類規程がある場合はそれに合わせるのが前提ですが、目安として次のような整理が出発点になります。
| 情報の区分 | 例 | 入力の目安 |
|---|---|---|
| 公開情報 | 公開済みのプレスリリース・自社サイトの文章 | 可 |
| 一般業務情報 | 固有名詞を含まない業務文書・一般的な相談 | 会社承認のサービスで可 |
| 社外秘 | 未公開の企画・社内手順・価格戦略 | 学習利用されない契約形態でのみ可 |
| 機密情報 | 秘密保持契約の対象・未公開の財務情報 | 原則不可(個別承認制) |
| 個人情報 | 顧客・従業員の氏名や連絡先を含むデータ | 原則不可(法務確認を経た場合のみ) |
この表のポイントは、可否を「サービスを信用できるか」ではなく「情報の区分」と「契約・設定の条件」の組み合わせで決めていることです。判断を個人の感覚から切り離すことで、運用がぶれにくくなります。
ヒント
サービス側で確認する3つの条件
同じ名前のサービスでも、無料プラン・個人有料プラン・法人プラン・API利用では条件が異なることがあります。導入時と、規約改定のタイミングで次の3点を確認します。
- 1
入力データの学習利用
入力内容がモデルの学習・改善に使われるかどうか。法人向けプランやAPIでは学習に使わないと明記されていることが多い一方、個人向けプランでは設定の切り替えが必要な場合があります。"現在の契約とその設定で"どうなっているかを確認します。 - 2
ログの保持と管理機能
入力の保持期間、管理者による利用状況の確認機能、監査ログの有無を確認します。事故が起きたときに何が送信されたかを追えるかどうかは、法人利用では重要な条件です。 - 3
規約の改定通知
条件は変わり得ます。規約・データ取り扱いポリシーの改定を誰がどう追うか、担当を決めておきます。
事業者としてのAI利用の考え方は、経済産業省・総務省の「AI事業者ガイドライン」が体系的に整理しています。社内規程との対応関係を確認する際に有用です。
線引きを形骸化させない運用
一覧表を作って終わり、では数か月で忘れられます。実際に守られるための工夫は3つあります。
第一に、判断に迷ったときの相談窓口を明示することです。「迷ったら入力せず聞く」が最短経路になっていれば、危険な自己判断は減ります。第二に、よくある質問と判断例を蓄積することです。「この場合は可、なぜなら」という実例集は、抽象的な規程より現場で役立ちます。第三に、禁止だけでなく代替手段を示すことです。機密文書を扱いたい需要があるなら、学習利用されない法人契約や社内環境の整備を進める。需要を無視した禁止は、必ず抜け道を生みます。
よくある質問
無料版と有料版で何がそんなに違うのですか
入力してしまってはいけない情報を送ってしまいました
社内の情報分類規程がない場合はどうすればよいですか
個人情報はどんな場合でも入力禁止ですか
ローカルLLMなら何を入力してもよいですか
まとめ
情報管理のチェックリスト
- 情報の区分ごとに入力可否の一覧を作った
- 利用中のプランでの学習利用・ログの扱いを確認した
- 規約改定を追う担当を決めた
- 相談窓口と判断例の共有場所を用意した
- 禁止だけでなく代替手段(ダミー化・法人契約)を示した
情報管理は生成AI活用のブレーキではなく、安心してアクセルを踏むための土台です。全体のルールづくりの進め方は、こちらの記事で扱っています。
あわせて読みたい
生成AIの業務利用を始める前に決めること|社内ルールの作り方と最初の一歩
出典・参考
関連する記事
生成AIの業務利用を始める前に決めること|社内ルールの作り方と最初の一歩
生成AIを業務で使い始める前に決めておきたい社内ルールを整理しました。対象範囲・入力してよい情報・確認フロー・責任の所在という4つの論点と、小さく始めて育てる運用の考え方をまとめます。
ハルシネーション対策の実務|検証フローの作り方と運用のコツ
LLMがもっともらしい誤情報を生成するハルシネーションへの実務的な対策を解説します。発生をゼロにできない前提での検証フローの設計、用途別のチェックの深さ、プロンプトと仕組みでの抑制策をまとめます。
コード生成AIとの付き合い方|レビュー前提で品質を保つ使い方
コード生成AIを業務開発で使うための実務的な指針を解説します。生成コードをレビュー前提で扱う理由、任せてよいタスクの選び方、依頼の粒度とテストの組み合わせ、チームでの運用ルールをまとめます。


