AIに入れてはいけない情報の判断基準 社内で使える分類法
この記事の要点
生成AIに入力してよい情報・してはいけない情報を判断する基準を4象限で整理した。顧客情報・機密データ・個人情報など情報種別ごとのリスクと、現場の担当者が迷わず動けるチェック方法を解説する。
結論
「AIに入れていい情報か」の判断軸は2つだ。1つは「外部に出たとき実害があるか」、もう1つは「会社の承認プランで処理するか否か」。この2軸で考えると、ほとんどのケースで迷わず判断できる。入力可否が分からなければ入れない、が鉄則だ。
4象限で整理する情報の分類
情報の機密性と、使うAIプランの種類を組み合わせると、入力可否の判断がしやすくなる。
| 個人向け無料プラン | 会社契約の法人プラン | |
|---|---|---|
| 公開情報・一般的な業務文書(固有名詞なし) | OK | OK |
| 内部資料(固有名詞・案件名あり) | NG推奨 | 要確認 |
| 顧客個人情報・機密情報 | NG | 原則NG(個別確認) |
| NDA保護情報・法的保護情報 | NG | 要法務確認 |
個人向け無料プランは、入力データがサービス改善に使われる可能性がある。固有名詞を含む内部資料や、顧客情報の入力は避けるべきだ。
会社が契約する法人プランは、データを学習に使わない設定になっていることが多く、セキュリティ水準が上がる。ただし、法的な秘密保持義務がある情報は法人プランでも慎重に扱う必要がある。
カテゴリ別のリスクと判断基準
顧客の個人情報
氏名・住所・電話番号・メールアドレス・購買履歴・問い合わせ内容など、特定の個人に紐づく情報全般だ。
個人情報保護法の観点では、顧客情報を外部のAIサービスで処理する行為は、委託か第三者提供かという区別が問題になる。無料の個人向けプランに入力することは、第三者提供に近い扱いになるリスクがあり、法的に問題が生じる可能性がある。
実務の判断:顧客名・連絡先・購買履歴が含まれる資料は、法人プランのAIツールを使う場合でも、氏名を「A社」「顧客B」のように伏せてから入力するとリスクが下がる。
社内の機密情報
- 未公開の事業計画・製品ロードマップ
- 価格設定・原価・利益率
- M&A・提携交渉の情報
- 法的に係争中の案件内容
- 人事評価・給与・組織変更の予定
これらは社外に出ることで、競合他社への情報提供・株価への影響・交渉力の低下など、直接的な事業リスクにつながる。
実務の判断:「この資料が競合他社の手に渡ったら」と想像してみる。実害があるなら機密情報として扱い、個人向け無料プランへの入力は禁止、法人プランでも入力範囲を絞る。
NDA・秘密保持契約の対象情報
取引先・業務委託先・投資家との間で秘密保持契約を交わしている場合、その対象となる情報をAIサービスに入力することは契約違反になる可能性がある。
多くのNDAは「第三者への開示禁止」を定めているが、AIサービスへの入力が「開示」に当たるかどうかは契約の文言による。NDAの締結が多い企業では、法務部門にAIサービスへの入力がNDA上どう扱われるかを事前に確認しておくことを勧める。
実務の判断:相手方から受け取った資料や、秘密保持義務が発生している案件の内容は、法務確認なしに生成AIに入力しない。
従業員の個人情報
勤怠記録・給与・人事評価・採用選考の情報・健康診断の結果などが該当する。これらも個人情報保護法の対象であり、従業員への通知・同意なく無制限に外部で処理することは問題になる。
実務の判断:人事データをAIで分析する場合は、氏名・社員番号を除いた状態にしてから処理するか、自社内で完結するシステムを使う方法を検討する。
公開情報・一般的な業務文書
プレスリリース・公式ウェブサイトの内容・一般的な業界情報・固有名詞を除いた文章テンプレートなどは、基本的に自由に活用できる。
誤解されやすいのは「社内向けの文書=機密」ではない点だ。業務マニュアル・FAQ・一般的な案内文など、固有名詞と機密性の高い情報が含まれていないなら、個人向け無料プランでも問題ない場合が多い。
現場で使える判断チェックリスト
入力前に以下を確認する習慣をつけると、ミスが減る。
□ 顧客の氏名・連絡先・購買情報が含まれていないか
□ 未公開の価格・計画・M&A情報が含まれていないか
□ NDA締結先から受け取った情報が含まれていないか
□ 従業員の評価・給与・健康情報が含まれていないか
□ 会社が契約したAIプランを使っているか(無料の個人プランでないか)5つすべてにチェックが入れば安全に入力できる。1つでも当てはまれば、入力範囲を絞るか上司・情報管理部門に確認する。
情報を「使える形」に加工してから入力する
機密情報が含まれる文書でも、加工することでAIを安全に活用できる場合がある。
固有名詞の置き換え:顧客名を「A社」、担当者名を「Bさん」などに置き換えてから入力する。AIへの指示(プロンプト)は情報を特定しない形で書けば、多くの作業をこなせる。
サンプル化:実際の案件データの代わりに、同じ構造を持つサンプルデータを使って処理方法をテストする。処理方法が確認できたら、実データは社内のシステムで処理する。
情報の最小化:回答を得るのに必要な最低限の情報だけを入力する。「顧客との交渉メール全文」ではなく「メール構成のパターン例だけ」を入力するといった工夫だ。
組織としてのルール整備
個人の判断に任せるだけでは限界がある。社内に以下の仕組みがあると、組織全体のリスクが下がる。
入力禁止リストの明文化:「このカテゴリの情報はAIに入れない」をリスト化して全員に配布する。曖昧なガイドラインより、具体的な情報カテゴリのリストが現場で機能する。
迷ったときの相談窓口:「このケースは入力してもいいか」を確認できる窓口(情シス・法務・上司)を明示する。確認ハードルが低いほど、グレーゾーンの情報が無断で入力されるリスクが下がる。
インシデント報告の簡略化:機密情報を誤入力したとき、すぐに報告できる体制を作る。報告が遅れるほど対応のコストは増える。罰則への恐れより、早期対応のメリットを強調して報告しやすい空気をつくることが大切だ。
シャドーAI対策を含めた組織的なAI管理についてはシャドーAI(無断利用)のリスクと企業の対策も参照してほしい。個人情報保護法の詳細はAI利用と個人情報保護法の基礎で解説している。
まとめ
AIへの入力可否は、「外部に出たとき実害があるか」と「会社の承認プランを使っているか」の2軸で判断できる。機密性の高い情報は固有名詞を置き換えてサンプル化し、NDAや個人情報は入力前に一度立ち止まる習慣が、リスクを下げる。組織としては「禁止情報のリスト化」と「相談窓口の設置」が、個人の判断ミスをカバーする有効な仕組みになる。
よくある質問
生成AIに入力してはいけない情報は何ですか
顧客の個人情報(氏名・連絡先・購買履歴)、社内の機密情報(未公開の事業計画・価格設定・M&A情報)、契約相手との秘密保持義務がある情報、従業員の評価・給与・健康情報が代表例です。会社契約のAIプランでも、NDAや法律で保護された情報は入力前に確認が必要です。
一般的な業務文書なら生成AIに入力してもいいですか
内部向けの文書であっても、固有名詞(顧客名・社員名・案件名)が含まれる場合は注意が必要です。固有名詞を伏せてサンプル化するか、会社が契約したプランのAIツールを使うことを勧めます。
会社が契約したChatGPT TeamやClaude for Workなら何でも入力できますか
入力データが学習に使われない点では個人向け無料プランより安全ですが、それでも制約はあります。NDA(秘密保持契約)で保護された情報や、個人情報の第三者提供に当たる可能性がある情報は、法人プランでも入力前に確認が必要です。
判断に迷ったときはどうすればいいですか
「この情報が外部に出たとき、会社・顧客・取引先に実害があるか」を自問してください。答えがYesまたは不明なら入力を避け、上司または情報管理部門に確認する習慣をつけると安全です。
関連記事
生成AIのアクセス権限管理 誰がどのAIを使えるかを組織で制御する
生成AIのアクセス権限管理は、ツールの利用者・利用できる機能・取り扱える情報のレベルを組織として制御することだ。実装できる管理の粒度と、各企業規模に合った現実的な方法を解説する。
法人向けAIのデータ取り扱い確認ポイント 契約前に押さえる7項目
ChatGPT Enterprise・Claude for Work・Microsoft Copilotなど法人向けAIサービスを契約する前に確認すべきデータ取り扱いの7項目を解説する。データの保存・学習利用・移転・監査への対応を整理した。
AIが作った文章の情報漏洩リスク 出力に機密情報が混入するパターンと対策
生成AIの出力に、プロンプトで入力した機密情報が反映されることがある。AIが作った文章を社外に公開・共有するとき、どのリスクがあってどう対処するかを解説する。