生成AIの情報セキュリティ。
中小企業が守る、5つの原則
生成AI(Claude)を仕事で安全に使うために、中小企業が守るべき5つの原則を解説。入力禁止情報を決める/規約を確認/固有名は伏せる/出力は人が確認/ルールを共有——明日から実践できる具体策とチェックリストつき。
「生成AIは便利そうだけど、うちの会社の情報を入れて大丈夫なの?」——多くの中小企業が、最初にぶつかる不安です。実際、ニュースで耳にするトラブルの多くは、技術的な攻撃ではなく「入れてはいけない情報を、つい入れてしまった」といった“使い方”の問題から起きています。逆にいえば、ポイントを押さえれば、特別なシステムがなくても安全に使い始められます。この記事では、難しい専門用語を使わず、中小企業が守るべき情報セキュリティの5つの原則を、明日から実践できる形で整理します。
- 生成AIで気をつけるべきリスクの正体(むずかしくない)
- 安全に使うための「5つの原則」と、その具体的な実践方法
- 固有名を伏せる・出力を確認するなど、すぐ真似できる工夫
- つまずきやすい点と、社内に定着させるコツ
そもそも、何が危ないのか
生成AIのリスクは、大きく分けると次の3つです。どれも「使い方」で防げるのがポイント。まずは敵の正体を、ざっくり知っておきましょう。
情報の流出
- 個人情報・顧客情報の入力
- 未公開の経営・財務情報
- ID・パスワード等の入力
誤った出力
- もっともらしい嘘(事実誤り)
- 古い情報・誤った数字
- そのまま社外へ出す事故
ルールの不在
- 人によって使い方が違う
- OK/NGの線引きが曖昧
- 問題時の相談先が不明
この3つに効くのが、これから紹介する5つの原則です。順番に1つずつ見ていきましょう。
中小企業が守る、5つの原則
1入力してはいけない情報を、先に決める
実践のコツ:抽象的な「機密」ではなく、具体例で決めるのが鉄則です。氏名・住所・電話・メール・マイナンバー・口座情報・顧客リスト・未公開の財務情報・ID/パスワード——自社で扱う情報を思い浮かべながら、入れてはいけないものを箇条書きにします。これがすべての土台。「迷ったら入れない」を合言葉にしましょう。
2使うサービスの規約・設定を確認する
実践のコツ:入力したデータの扱いは、サービス・プラン・契約によって異なり、変更もされます。無料版・有料版・法人版で条件が違うことも多いので、最新の仕様は各サービスの公式情報で確認を。社内では「会社が許可したサービス・アカウントだけを使う」と決めておくと、個々人がバラバラに判断せずに済みます。判断に迷う契約上の論点は、専門家に相談しましょう。
3固有名・具体的な数字は、伏せて相談する
実践のコツ:下書き・要約・言い換え・観点出しといった用途なら、固有名や具体的な数字を伏せても、AIは十分役立ちます。固有名は記号や仮名に置き換え、金額や件数は「○」にして相談し、完成した文章に最後だけ本物を差し込むのが安全な型。これを習慣にすると、誰が使っても事故が起きにくくなります。
4出力は、必ず人が最終確認する
実践のコツ:生成AIは事実と違う内容を、もっともらしく書くことがあります。「人が必ず最終確認する」という1行を徹底するだけで、多くの事故が防げます。とくに数字・日付・固有名詞・法令や制度に関わる内容は、一次情報で裏取りを。AIはあくまで“下書きの相棒”で、最終的な判断と責任は人にある——この前提を全員で共有しましょう。
5ルールを、紙1枚にして全員で共有する
実践のコツ:どれだけ良い原則も、共有されなければ守られません。1〜4をA4・1枚に短くまとめ、「困ったら誰に聞くか(相談窓口)」と「うっかり入れたら即報告」を必ず書き添えます。禁止だらけにせず「これはOK」という許可リストも入れると、現場が前向きに使えます。短い説明会を1回開くと、ぐっと定着します。
原則を、社内に根づかせる4ステップ
セキュリティは「一度決めて終わり」ではなく、小さく始めて・使いながら育てるのがうまくいくコツです。
入れない情報を決める
まず原則1から。自社が扱う個人情報・機密を具体例で書き出し、「これは入れない」を1枚にします。ここが最重要です。
サービスと窓口を決める
会社が許可するサービス・アカウントを決め、データの扱いを確認。困ったときの相談窓口も明確にします。
1枚にまとめて共有
5つの原則をA4・1枚に。朝礼や社内チャットで周知し、短い説明会で「OKな使い方」も伝えます。
使いながら見直す
ヒヤリとした事例や良い使い方が出たら追記。半年に一度など、定期的に内容を更新していきます。
よくある失敗と、その回避策
✕ 「危ないから全面禁止」にしてしまう
→ 回避策:全面禁止は、現場が“こっそり個人アカウントで使う”シャドー利用を招き、かえって危険です。「入れない情報」と「OKな使い方」を決めて、安全に解禁するほうが、結果として安全になります。
✕ 「機密はダメ」とだけ書いて、判断を現場任せにする
→ 回避策:何が機密かは人によって解釈が違います。具体例つきで入力禁止情報を列挙し、「迷ったら入れない・相談する」を明文化しましょう。判断の余地を減らすほど、事故は減ります。
✕ AIの出力を、確認せずそのまま社外へ出す
→ 回避策:生成AIは事実誤りを“もっともらしく”書きます。送信・公開の前に人が必ず確認を。とくに数字・固有名詞・制度や法令の内容は、一次情報での裏取りを習慣にしましょう。
コピーして使える、プロンプト集
( )を自社の内容に差し替えるだけ。ルール作りや社内周知に役立ちます。
まとめ
- 生成AIのリスクの多くは「使い方」で防げる。5つの原則(入れない情報を決める/規約を確認/固有名は伏せる/人が最終確認/全員で共有)が基本。
- とくに重要なのは「入力禁止情報を決める」と「出力は人が最終確認」。この2つから始めれば、リスクは大きく下げられる。
- 禁止だらけにせず「OKな使い方」と「相談窓口」をセットに。サービスの仕様は変わるため、最新の公式情報を確認し、迷う点は専門家へ。
本記事は一般的な考え方の整理であり、法的助言ではありません。個人情報・機密の取り扱いや個別の契約・規程の判断は、社内の責任者や専門家、各サービスの公式情報をご確認ください。当社では、安全な使い方の習得から社内定着までを研修でご支援しています。
あわせて読みたい
ルールを文書化する手順はAI内製化の進め方とあわせて、個人情報の配慮が特に重い現場は介護・医療の生成AI活用を、守秘義務の重い専門業務は士業の生成AI活用をご覧ください。
よくある質問
そもそも、生成AIに入力した情報はどうなるのですか?
サービスやプラン・契約によって扱いが異なります。入力内容がモデルの学習に使われる場合もあれば、使われない設定・契約もあります。無料版・有料版・法人版で条件が変わることも多いため、最新の仕様は各サービスの公式情報で必ず確認してください。社内では「会社が許可したサービス・アカウントだけを使う」と決めておくのが安全です。
個人情報をうっかり入力してしまいました。どうすれば?
まず社内の窓口(情報管理の担当者など)にすぐ報告してください。自己判断で隠さないことが大切です。利用中のサービスの設定や契約によって取り得る対応が変わるため、最終的な判断は社内の責任者や、必要に応じて専門家に相談しましょう。日頃から「うっかり入れたら即報告」という空気をつくっておくことが、いちばんの安全策です。
固有名や数字を伏せると、回答の精度は落ちませんか?
多くの実務では問題ありません。文章の下書き・要約・言い換え・観点出しといった用途は、固有名を「A社」「担当B」などに置き換え、具体的な数字を伏せても十分に役立ちます。むしろ伏せる前提で頼むことで、社内の誰が使っても安全な「型」になります。どうしても具体値が必要な計算などは、許可されたサービスか、データを学習に使わない契約のもとで行いましょう。
小さな会社でも、ここまで気にする必要がありますか?
規模に関わらず、顧客情報や個人情報を扱う以上は必要です。とはいえ、難しい仕組みを導入する話ではありません。この記事の5つの原則を1枚にまとめて全員で共有するだけでも、リスクは大きく下げられます。完璧を目指すより、まず「入れない情報を決める」「人が最終確認する」の2つから始めるのがおすすめです。