LLM Frontline
ルール・リスク管理

AI利用時の情報管理|入力してよいデータの線引きと社内での運用

シオンルール・リスク管理担当
・ 約6分で読めます
AI利用時の情報管理|入力してよいデータの線引きと社内での運用

生成AIの業務利用で最も避けたい事故は、入力してはいけない情報を外部サービスに送ってしまうことです。出力の誤りはあとから直せますが、送信した情報は取り消せません。一方で「機密は入れるな」という漠然とした注意だけでは、現場は毎回迷い、判断がばらつきます。この記事では、情報の区分ごとに入力可否を整理する考え方と、サービス側で確認すべき設定、そして線引きを実際に守れるものにする運用の工夫を解説します。

なぜ「入力」が最大のリスクなのか

外部の生成AIサービスに入力した内容は、サービス事業者のサーバーに送信されます。その後の扱い、つまりモデルの学習に使われるか、ログとしてどれだけ保持されるか、誰がアクセスできるかは、サービスの規約・プラン・設定によって異なります。学習に使われる設定のまま機密情報を入力すれば、意図しない形で情報が扱われるリスクを自ら作ることになります。まず押さえるべきは「入力は社外への送信である」という単純な事実です。

個人情報保護委員会は、生成AIサービスへ個人情報を入力する場合の留意点について注意喚起を公表しています。個人データを扱う業務での利用を検討する際は必ず確認してください。

情報区分ごとの線引きの目安

自社の情報分類規程がある場合はそれに合わせるのが前提ですが、目安として次のような整理が出発点になります。

情報の区分入力の目安
公開情報公開済みのプレスリリース・自社サイトの文章
一般業務情報固有名詞を含まない業務文書・一般的な相談会社承認のサービスで可
社外秘未公開の企画・社内手順・価格戦略学習利用されない契約形態でのみ可
機密情報秘密保持契約の対象・未公開の財務情報原則不可(個別承認制)
個人情報顧客・従業員の氏名や連絡先を含むデータ原則不可(法務確認を経た場合のみ)

この表のポイントは、可否を「サービスを信用できるか」ではなく「情報の区分」と「契約・設定の条件」の組み合わせで決めていることです。判断を個人の感覚から切り離すことで、運用がぶれにくくなります。

ヒント

迷いやすいのは「固有名詞を消せば入力してよいか」という判断です。氏名を伏せても、部署・役職・時期などの組み合わせで個人や取引が特定できる場合があります。匿名化は「特定の手がかりが残っていないか」までを確認して初めて成立します。

サービス側で確認する3つの条件

同じ名前のサービスでも、無料プラン・個人有料プラン・法人プラン・API利用では条件が異なることがあります。導入時と、規約改定のタイミングで次の3点を確認します。

  1. 1

    入力データの学習利用

    入力内容がモデルの学習・改善に使われるかどうか。法人向けプランやAPIでは学習に使わないと明記されていることが多い一方、個人向けプランでは設定の切り替えが必要な場合があります。"現在の契約とその設定で"どうなっているかを確認します。
  2. 2

    ログの保持と管理機能

    入力の保持期間、管理者による利用状況の確認機能、監査ログの有無を確認します。事故が起きたときに何が送信されたかを追えるかどうかは、法人利用では重要な条件です。
  3. 3

    規約の改定通知

    条件は変わり得ます。規約・データ取り扱いポリシーの改定を誰がどう追うか、担当を決めておきます。

事業者としてのAI利用の考え方は、経済産業省・総務省の「AI事業者ガイドライン」が体系的に整理しています。社内規程との対応関係を確認する際に有用です。

線引きを形骸化させない運用

一覧表を作って終わり、では数か月で忘れられます。実際に守られるための工夫は3つあります。

第一に、判断に迷ったときの相談窓口を明示することです。「迷ったら入力せず聞く」が最短経路になっていれば、危険な自己判断は減ります。第二に、よくある質問と判断例を蓄積することです。「この場合は可、なぜなら」という実例集は、抽象的な規程より現場で役立ちます。第三に、禁止だけでなく代替手段を示すことです。機密文書を扱いたい需要があるなら、学習利用されない法人契約や社内環境の整備を進める。需要を無視した禁止は、必ず抜け道を生みます。

「提案書のたたき台を作りたいのに、顧客名が入っているから使えない」という相談は典型例です。顧客名をダミーに置き換えるひと手間で使えるようになるケースは多く、そうした運用のコツを共有するだけで安全な利用が広がります。
営業部門のマネージャー

よくある質問

無料版と有料版で何がそんなに違うのですか
サービスによりますが、入力データの学習利用の既定値、ログの管理機能、管理者による統制機能などが異なることが多いです。業務利用では、会社が条件を確認したプランに統一することをおすすめします。
入力してしまってはいけない情報を送ってしまいました
まず社内の相談窓口・情報管理部門に速やかに報告してください。サービスによっては履歴の削除依頼などの手段があります。報告を責めない文化にしておくことが、被害の早期把握につながります。
社内の情報分類規程がない場合はどうすればよいですか
生成AIのためだけでも、公開・一般業務・社外秘・機密・個人情報程度の簡易区分を作ることをおすすめします。この機会に情報管理全体を見直す企業も多いです。
個人情報はどんな場合でも入力禁止ですか
一律禁止とは限りませんが、利用目的の範囲内か、本人への説明と整合するか、サービスの取り扱い条件が適切かなど、確認事項が多い領域です。個人情報保護委員会の注意喚起を参照のうえ、法務・専門家に相談してから判断してください。
ローカルLLMなら何を入力してもよいですか
外部送信のリスクは減りますが、社内でのアクセス権限管理や、出力の扱いの問題は残ります。社内であっても、権限のない人が見られる場所に機密の出力を置かない運用は必要です。

まとめ

情報管理のチェックリスト

  • 情報の区分ごとに入力可否の一覧を作った
  • 利用中のプランでの学習利用・ログの扱いを確認した
  • 規約改定を追う担当を決めた
  • 相談窓口と判断例の共有場所を用意した
  • 禁止だけでなく代替手段(ダミー化・法人契約)を示した

情報管理は生成AI活用のブレーキではなく、安心してアクセルを踏むための土台です。全体のルールづくりの進め方は、こちらの記事で扱っています。

あわせて読みたい

生成AIの業務利用を始める前に決めること|社内ルールの作り方と最初の一歩

出典・参考

この記事をシェア

関連する記事