なぜ「入力してはいけない情報」を決めておくのか
結論から言うと、入力NGの基準を決めておく目的は「社員を縛ること」ではなく「社員が安心して使えるようにすること」です。基準がない職場では、慎重な人は何も入力できず活用が進まない一方、無頓着な人は何でも入力してしまうという、最悪の二極化が起きます。
生成AIに入力した内容は、サービスや設定によってはAIの学習に使われたり、運営事業者のサーバーに保存されたりします。つまり「社外のシステムに情報を渡す」行為であり、メールの誤送信や資料の持ち出しと同じ枠組みで考える必要があるのです。リスクの全体像と対策は生成AIの情報漏洩対策で詳しく解説していますが、本記事ではその中核となる「何を入れてはいけないか」を具体化します。
入力してはいけない情報リスト(5分類)
研修の現場で「結局、何がだめなんですか」という質問を数えきれないほど受けてきました。細かい規程の文章より、次の5分類で覚えてもらうのがいちばん定着します。
- 1. 顧客・取引先・社員の個人情報:氏名、住所、電話番号、メールアドレス、購買履歴、人事評価など。個人情報保護法の義務がかかる領域で、本人の同意なく外部サービスに提供すれば法令違反になり得ます。
- 2. 未公開の財務・経営情報:未発表の決算数値、M&Aや提携の検討状況、新製品の発売計画、価格改定の予定など。漏れれば会社の意思決定そのものが毀損される情報です。
- 3. 取引先との秘密保持(NDA)の対象情報:契約で守秘義務を負っている図面、仕様、顧客リスト、見積条件など。漏洩は自社だけでなく取引先への契約違反となり、信頼関係と取引自体を失いかねません。
- 4. パスワード・認証情報:システムのパスワード、APIキー、アクセストークンなど。これらは「情報」ではなく「鍵」そのものであり、漏れれば第三者がシステムに侵入できます。エラー解決のためにログを貼り付ける際に紛れ込みやすいので要注意です。
- 5. 他社の著作物そのまま:書籍や有料記事の全文、他社の社内資料、購入したレポートなどをそのまま入力して要約・翻訳させる行為は、著作権上の問題を生む可能性があります。権利関係の考え方は生成AIの著作権・法務リスクを参照してください。
この5分類を印刷して貼っておくだけでも、現場の事故は大きく減ります。重要なのは「全部覚える」ことではなく、入力前に一瞬このリストが頭をよぎる状態を作ることです。
迷ったときの判断基準は2つ
とはいえ、実務ではリストに載っていないグレーな情報に必ず出会います。そのときに使える判断基準は、突き詰めると次の2つです。
- 基準1: その情報が社外に公開されたら困るか?:「明日の新聞に載っても問題ない情報か」と自問してください。困るなら入力しない、が原則です。すでにWebで公開されている自社情報や一般知識は、この基準ではOK側に入ります。
- 基準2: 契約や法律で守る義務がある情報か?:自分は困らなくても、顧客や取引先との契約・法令で守るべき情報は入力できません。「これは誰の情報か」「誰に対して守る約束をしているか」を考えます。
2つの基準のどちらかに引っかかったら入力しない。どちらにも引っかからなければ、社内ルールの範囲で使ってよい。この簡単な順序で、現場の判断のほとんどはカバーできます。受講者がつまずきやすいのは「固有名詞を伏せれば大丈夫か」という点ですが、固有名詞を「A社」「Bさん」に置き換え、文脈からも特定できない状態にすれば、要約や文面作成など多くの業務は安全にこなせます。迷ったら置き換える、それでも迷ったら入れない、です。
法人プラン・設定で「学習に使わせない」選択肢
ここまでは「入れない」前提の話でしたが、組織として整備すべき選択肢にも触れておきます。主要な生成AIサービスの多くには、法人向けプランや設定によって、入力内容をAIの学習に使わせないようにする選択肢があります。会社としてこうしたプラン・設定を整備すれば、社員が安心して業務情報を扱える範囲は大きく広がります。
ただし、誤解してはいけないのは、「学習に使われない=何を入れてもよい」ではないことです。学習利用と保存・取り扱いは別の話であり、個人情報や秘密保持対象の情報には、法令・契約上の義務が変わらずかかります。学習利用の設定はあくまで土台であり、その上に「何を入れてよいか」の社内ルールを重ねる必要があります。ルール整備の具体的な進め方は生成AI社内ルールの作り方を、そもそも生成AIサービスの基本的な仕組みから知りたい方はChatGPTとは?ビジネス活用の基本をご覧ください。
よくある質問
社内の議事録やメール文面を生成AIに要約させてもいいですか?
内容によります。個人名・取引先名・未公開の数字が含まれる場合は、そのまま入力せず、固有名詞を「A社」「Bさん」のように置き換えてから使うのが安全です。会社として学習に使われない設定・契約のサービスを利用している場合は、社内ルールの範囲で利用できます。自社のルールを先に確認してください。
うっかり入力してはいけない情報を入れてしまったらどうすればいいですか?
隠さず、すぐに社内の担当部署(情シスや推進担当)に報告してください。多くのサービスには会話履歴の削除や学習利用を止める設定があり、早く動くほど対処の選択肢が増えます。事故報告を責めない文化にしておくことが、組織としての最大の防御策です。
法人プランなら何を入力しても大丈夫ですか?
いいえ。法人向けプランや設定で「入力内容を学習に使わせない」選択ができるサービスは多いですが、それでも顧客の個人情報や秘密保持契約の対象情報には、個人情報保護法や契約上の義務が別途かかります。学習に使われないことと、入力してよいことは別問題です。自社のルールと契約条件を確認してください。
まとめ:5分類と2つの基準で、迷わず安全に使う
本記事の要点を整理します。
- 入力NGは「顧客個人情報」「未公開の財務・経営情報」「秘密保持対象」「認証情報」「他社著作物そのまま」の5分類
- 迷ったら「公開されて困るか」「契約・法律で守る義務があるか」の2基準で判断する
- 固有名詞の置き換えで安全に使える業務は多い。それでも迷ったら入れない
- 法人プラン・設定で学習に使わせない選択肢はあるが、入力してよい範囲とは別問題
基準を明文化して共有すれば、生成AIは「こわごわ使う道具」から「安心して任せる道具」に変わります。まずはこの5分類を、チームの共通言語にするところから始めてください。
安全に使えるルールと実践力を、セットで身につけたい方へ
AI CODEMY は、5日間で社員が自分の業務課題を解決するツールを完成させる法人向け実践研修です。情報の取り扱いを含む安全な使い方も、実務に即して学べます。まずは無料相談でお確かめください。
無料相談(30分)
