「社員がChatGPTを使い始めたけれど、顧客情報を入力していないか心配」「便利だから使わせたいが、情報漏洩が怖くて踏み切れない」——そんな中小企業の経営者・情シスの方は増えています。この記事では、ChatGPTを安全に使うための社内ルールの作り方と、あわせて行うべき技術面の対策を、専門用語をできるだけ避けてまとめました。仕様は変わるため、本記事は2026年時点の情報をもとに、出典も添えて解説します。
なぜ今ChatGPTの情報漏洩が問題になるのか
ChatGPTをはじめとする生成AIは、社内に正式な許可がなくても、社員が個人で使い始められてしまう点が特徴です。便利だからこそ現場で先に広がり、会社がルールを決める前に機密情報が入力されてしまうというケースが起きやすくなっています。
象徴的なのが、2023年に大手電機メーカーで起きた事例です。報道によると、社員がプログラムのソースコードや社内会議の録音内容をChatGPTに入力したことが問題となり、同社は社内端末での生成AI利用を一時的に禁止する対応を取りました(出典:エクサウィザーズ「ChatGPTには情報漏洩の危険がある?」)。大企業ですら起きる問題であり、専任のIT担当が少ない中小企業ほど、入口でのルール整備が重要になります。
もう一つ押さえておきたいのが、入力したデータの扱いです。無料版・個人版のChatGPTでは、設定でオフにしない限り、入力した内容がモデルの改善(学習)に使われる場合があります。データは海外のサーバーに保存されるため、一度入力した社外秘を完全に取り消すことは難しい、という前提で考える必要があります(出典:wiz LANSCOPE ブログ)。
中小企業で起きやすい3つの漏洩リスク
情報漏洩というと高度なサイバー攻撃を想像しがちですが、中小企業で実際に多いのは、もっと身近な「うっかり」です。代表的な3つを押さえておきましょう。
リスク1:顧客情報・社外秘をそのまま貼り付けてしまう
もっとも多いのが、メール文面や議事録、顧客リスト、契約書の内容などを、加工せずそのままChatGPTに貼り付けてしまうケースです。「要約して」「返信文を作って」という何気ない使い方の中で、氏名・住所・取引条件といった情報が入力されてしまいます。本人に悪気はないことがほとんどで、だからこそルールがないと防げません。
リスク2:無料・個人アカウントを業務に使ってしまう
会社が契約していないため、社員が自分の無料アカウントで業務をこなしてしまうパターンです。無料版・個人版は、学習をオフにする設定や利用状況を管理する機能が法人向けプランほど整っていません。誰が何に使っているか会社から見えず、設定も各自任せになるため、リスクの管理が難しくなります。
リスク3:アカウントの使い回し・乗っ取り
1つのアカウントを複数人で共有したり、パスワードを使い回したりすると、退職者がログインできたままになったり、アカウントが乗っ取られたりするリスクがあります。実際、2025年には大量のChatGPTアカウントの認証情報がダークウェブ上で取引されているとの報道もありました(出典:AI総合研究所)。アカウント管理は、入力ルールと並んで見落としやすいポイントです。
安全に使う社内ルールの作り方(盛り込むべき項目)
社内ルールは、長く複雑にするほど守られなくなります。まずはA4で1〜2枚程度の簡潔なものから始めるのが現実的です。最低限、次の5項目を決めておきましょう。
| 項目 | 決めること(例) |
|---|---|
| 入力してよい情報 | 社外に出しても問題ない一般情報・公開情報・社内の定型文など |
| 入力を禁止する情報 | 顧客の個人情報・取引先名や金額・パスワード・未公開のソースコード等 |
| 使ってよいツール/プラン | 会社が契約した法人向けプランに限定。個人アカウントの業務利用は禁止 |
| 出力の最終確認 | AIの回答は下書き扱いとし、社外に出す前に必ず人が内容を確認する |
| 困ったときの相談先 | 判断に迷ったら誰に聞くかを明記(情シス担当・管理者など) |
ポイントは、「禁止」だけでなく「これは入力してよい」という許可の範囲も書くことです。禁止事項ばかりだと、現場は「結局どこまで使っていいのか分からない」となり、ルールごと無視されがちです。許可リストがあると、安心して使ってもらえます。なお、AIの出力をそのまま社外に出さず人が最終確認する工程は、情報漏洩だけでなく誤った内容の発信を防ぐうえでも欠かせません。この考え方はChatGPTを法人導入して失敗するパターンでも共通する、定着の土台になります。
技術面の対策(学習させない設定・アカウント管理・ログ)
ルールと並行して、設定面でも守りを固めます。ルールが「人の行動」をコントロールするのに対し、技術対策は「そもそも危ない状態を減らす」役割です。
1. 学習に使わせない(プランと設定の確認)
法人向けのChatGPT TeamやEnterpriseでは、入力したデータを既定でモデルの学習に使わない設計とされています(出典:JAPAN AI ラボ)。一方、無料版や個人版のPlusを使う場合は、設定から学習をオフにする必要があります。具体的には、ChatGPTの「設定」→「データコントロール」を開き、「すべての人のためにモデルを改善する」のスイッチをオフにします(出典:OpenAI ヘルプセンター)。機密性の高い相談には、履歴を残さない「一時的なチャット」を使うのも有効です。設定名は変わることがあるため、導入時に最新の画面で確認してください。
2. アカウント管理を会社側で行う
業務利用は、会社が契約・管理するアカウントに一本化します。社員ごとに個別のアカウントを発行し、パスワードの使い回しを禁止、可能なら二段階認証を有効にします。法人向けプランには利用者をまとめて管理する機能があり、退職時にアクセスを止められる点も、個人版にはない安心材料です。
3. 利用状況(ログ)を把握できる状態にする
「誰が・どんな用途で使っているか」がまったく見えない状態は、リスクの温床です。法人向けプランの管理機能を使えば、利用状況をある程度把握できます。まずは「会社として使っている人とツールを一覧化する」だけでも、見える化の第一歩になります。なお、これらの設定だけで漏洩を防ぎきれるわけではなく、前章の社内ルールと組み合わせて初めて効果が出る点に注意してください。
ルールを形骸化させないコツ
せっかくルールを作っても、配って終わりでは守られません。実際に定着させるための3つのコツを紹介します。
- 守れる範囲から始める:完璧を目指して細かく作りすぎると、現場は読まなくなります。まずは「入力禁止情報」と「使ってよいプラン」の2点だけでも決めて運用し、状況を見て足していくのが続くコツです。
- 良い使い方の成功例を共有する:「これは入力NG」という事例だけでなく、「この使い方で作業が30分短くなった」という成功例を社内で共有すると、安全に使うモチベーションが上がります。
- 入力前の確認を業務に組み込む:「貼り付ける前に、社外に出せる情報か一度確認する」という一手間を業務フローに入れます。人の最終確認を前提にすることで、ルールが運用に根づきます。
ルールは一度作って終わりではなく、半年に一度など定期的に見直すのが理想です。生成AIの仕様や使われ方は変わり続けるため、自社の運用に合わせて育てていく姿勢が、形骸化を防ぎます。中小企業全体のAI導入の進め方は中小企業がAIを導入する前に知っておくべき3つのこともあわせてご覧ください。
よくある質問
ChatGPTに入力した情報は学習に使われますか?
プランによって異なります。法人向けのTeamやEnterpriseでは、既定で学習に使わない設計とされています。無料版・個人版のPlusでは、設定でオフにしない限り使われる場合があるため、個人アカウントでは「設定」→「データコントロール」から学習をオフにする運用をおすすめします(2026年時点・最新はOpenAI社の案内でご確認ください)。
無料版のChatGPTを業務で使っても大丈夫ですか?
機密情報や個人情報を入力しないルールを前提にすれば使えます。ただし学習設定や管理機能が法人向けほど整っていないため、顧客情報や社外秘を扱う業務では法人向けプランへの切り替えをおすすめします。
社内ルールはどれくらいの分量で作ればよいですか?
最初はA4で1〜2枚程度で十分です。入力してよい情報・禁止する情報、使ってよいプラン、出力の最終確認の担当を決めるだけでも、リスクは大きく下がります。守れる範囲から始め、運用しながら見直すのが現実的です。
ルールを作っても社員が守ってくれるか不安です。
禁止だけのルールは形骸化しやすいため、許可リストを併記し、安全に使える成功例を共有することが効果的です。入力前に人が確認する工程を業務に組み込むと、ルールが定着しやすくなります。
DeCの安全なAI導入支援
株式会社DeCは、中小企業向けの安全なAI導入を、ルール作りと環境整備の両面から伴走します。「使わせたいけれど漏洩が怖い」という段階から、現場が安心して使える状態までをご一緒します。提供内容はサービス一覧もご覧ください。
- 初回ヒアリング(無料):現状の使われ方とリスクの棚卸し
- 社内ルールのたたき台作成:御社の業務に合わせた入力ルール・運用ルールをご提案
- 環境・設定の整備:プラン選定、学習オフ設定、アカウント管理の伴走
- 社内向けレクチャー:現場が迷わず安全に使えるよう操作と判断基準を共有
- 月額サポート:運用の見直しや困りごとにいつでも相談できる体制
累計100社以上のAI導入支援の経験から、御社のリスクと体制に合った進め方をご提案します。まずは30分の無料相談で、安全に始めるための優先順位を整理してみませんか。
