生成AIで情報漏洩しないために。中小企業が決めるべき社内ルール5つ
生成AIで情報漏洩しないために。中小企業が決めるべき社内ルール5つ
「うちの社員がChatGPTに顧客情報を入力していた」──そんなヒヤリハットを経験した中小企業は、決して少なくありません。生成AIは便利ですが、業務利用の段階で社内ルールを決めずに進めると、情報漏洩や守秘義務違反の温床になります。
本記事では、中小企業が最低限決めておくべき5つの社内ルールを、具体的な運用イメージとともに解説します。
なぜ社内ルールが必要なのか
「みんな常識の範囲で使うだろう」では事故が起きます。理由は3つ。
- 何が機密情報か、社員ごとに認識がずれている
- 無料プランと法人プランの違いを知らない人が多い
- どの業務でAIを使って良いのか、範囲が曖昧
ルールがないと、現場は「上司に聞いて止められたら嫌だから内緒で使う」「とりあえず無料のChatGPTに貼り付ける」という方向に進みます。これが情報漏洩の入り口です。
逆に、ルールがあれば、現場は安心して使い、生産性が上がります。ルールは禁止のためではなく、安全に使うために決めるものです。
ルール1:機密情報の区分と入力可否
最初に決めるのは、「どの情報をAIに入れて良いか」です。
機密区分の例(中小企業向け)
| 区分 | 例 | AIへの入力 |
|---|---|---|
| 公開情報 | 自社HPの掲載内容、プレスリリース | OK |
| 社内情報 | 議事録、社内マニュアル、業務フロー | 法人プランならOK |
| 顧客機密 | 顧客名、契約条件、案件情報 | 法人プランかつ仮名化を推奨 |
| 個人情報 | 個人の氏名・住所・電話番号・マイナンバー等 | 原則NG(仮名化必須) |
| 特別管理情報 | 売却交渉中の経営情報、未公開の財務情報 | NG |
運用のコツ
- 判断に迷ったら入れないを原則とする
- 顧客名・人名は「A社」「Bさん」などに仮名化してから入力する習慣をつける
- 業務マニュアルに「AIに入れて良い/悪い」のチェックリストを入れる
ルール2:使うツールと契約形態の限定
「ChatGPTを使う」ではなく、「会社が契約した法人プランの ChatGPT Team のみ使う」とまで具体化します。
禁止すべきパターン
- 個人アカウントの ChatGPT 無料プラン・Plusプランで業務をする
- 私用のメールアドレスで AI ツールを契約する
- ブラウザ拡張機能などで勝手に AI を業務PCに入れる
許可するパターン
- 会社が契約した法人プラン(ChatGPT Team / Claude for Work / Copilot / Gemini for Workspace 等)
- 会社のIDで認証されたアカウントのみ
- 利用状況が管理画面で確認できる状態
法人プランは個人プランより月単価は高いですが、情報管理リスクと比較すれば安価です。
ルール3:プロンプトに含めて良い情報の範囲
「プロンプトに何を書くか」を社内で共有します。
良い書き方(仮名化済み)
A社向けの提案書を作成中です。A社は建設業で年商10億円規模、課題は議事録作成の属人化です。提案書のドラフトを作ってください。
避けるべき書き方(実名・特定情報を含む)
株式会社○○工務店の田中代表向けの提案書を作成中です。田中代表は来週の金曜に商談予定で、契約金額は150万円を想定しています。提案書のドラフトを作ってください。
実名や金額・日時など特定情報を含めると、たとえ法人プランでも「外部のクラウドに自社の機密情報が記録される」状態が発生します。
社内テンプレート化
業務でよく使うプロンプトは社内でテンプレ化し、「ここに会社名を書く」「ここに業務内容を書く」と穴埋め式にすると、入力ミスが減ります。
ルール4:AI出力のレビュー義務
AIの出力をそのまま顧客に送ってはいけないことを明記します。
レビュー必須の理由
- AIは事実誤認(ハルシネーション)を起こすことがある
- 法令や数値の参照が古い場合がある
- 自社の状況に合わない一般論で出力されることがある
運用ルールの例
- 顧客向け文書は、AIの出力をそのままではなく人がレビューしてから送付
- 重要文書(契約書、提案書、申告書など)は 複数人レビュー
- AIの出力を採用するかどうかの判断は、最終的に人間が行う
「AIが言っていたから」を理由に成果物の責任を放棄しない、ということです。
ルール5:教育と監査
ルールを決めても、現場が知らなければ機能しません。
最低限の教育内容
- 機密情報の区分と判断基準
- 使ってよいツールと使い方
- プロンプトの書き方(仮名化)
- 出力レビューの考え方
- 困ったときの相談窓口
中小企業の場合、1時間程度の社内研修+3ページのマニュアルで十分始められます。完璧を目指さず、まず始めることが重要です。
監査の仕組み
- 法人プランの管理画面で月1回、利用状況を確認
- 「明らかに業務外の使い方」「異常に多い入力量」などを検知
- 半年に1回、社内ルールの見直し
失敗事例:ルールがないとこうなる
実際に中小企業で起きたヒヤリハット例(一般化したもの):
- 顧客の契約書をAIに要約させた:実名・金額入りでChatGPTに貼り付け。同業他社が同じツールで類似情報を引き出すリスクがあった
- 求人応募者の履歴書をAIに評価させた:個人情報の取り扱い同意を超えた利用、プライバシー違反の可能性
- 社内の機密会議の議事録をブラウザ版ChatGPTに要約させた:データの保存先や扱いが不明、経営情報漏洩リスク
いずれも「悪意なく便利に使ったつもり」が、後から問題になったケースです。社内ルールがあれば、いずれも事前に防げました。
まとめ
中小企業の生成AI利用で必要なのは、禁止ではなく安全な範囲を決めることです。
5つのルール:
- 機密情報の区分と入力可否を明確化
- 使うツールと契約形態を限定
- プロンプトに含めて良い情報の範囲を決める
- AI出力のレビュー義務を明記
- 教育と監査で運用を回す
完璧を目指す必要はありません。まずは「これだけは守る」という最小限のルールを決め、運用しながら更新していくのが中小企業の現実的な進め方です。
AI導入で業務効率化を本格的に進めるなら
リノークでは、中小企業向けにAIを活用した業務効率化の支援を行っています。「自社のどこから始めるべきか」が見えない段階から、無料相談で方向性を整理します。
→ 士業向けの活用例