機密情報を守りながら生成AIを使うプロンプトの注意点

結論

生成AIのサービスに入力した情報は、プランによっては学習データとして利用される可能性があります。個人情報・営業秘密・社内機密文書をそのまま入力することは、情報漏洩のリスクを伴います。実際の機密情報を仮名化・抽象化してからAIに渡すことで、業務上の利便性とセキュリティを両立できます。

本記事の内容は一般的な情報提供を目的としています。具体的な法的判断や社内ポリシーの策定については、法務部門・情報セキュリティ担当者・専門家にご確認ください。

---

入力してはいけない情報の種類

AIサービスへの入力時にリスクがある情報の主な種類を整理します。

情報の種類	具体例
個人情報	氏名、住所、電話番号、メールアドレス、生年月日、マイナンバー
機密性の高い個人情報	健康・医療情報、金融情報、採用・人事評価の詳細
営業秘密	未公開の製品・サービス情報、製造プロセス、顧客リスト、財務計画
契約上の守秘情報	NDA対象の情報、契約書の内容、価格交渉の経緯
社内機密文書	内部告発・コンプライアンス関連、M&A検討情報、人事異動計画

上記はあくまで一般的な分類です。どの情報が機密に該当するかは、自社の情報管理規程・適用される法令・各AIサービスの利用規約によって異なります。判断が難しい情報は入力前に確認することを推奨します。

---

法人プランとデータポリシーの確認

主要なAIサービスは個人向けと法人向けでデータの取り扱いが異なります。

確認すべきポイント

1. 入力データが学習に使用されるか
2. データの保存期間と削除ポリシー
3. 第三者へのデータ提供の有無
4. SOC 2・ISO 27001などセキュリティ認証の取得状況
5. 日本国内でのデータ保存か、海外サーバーへの転送があるか

ChatGPT、Claude、Geminiなど主要サービスの法人向けプランでは、「入力データを学習に使用しない」という条件が設けられていることが多いですが、利用規約は随時更新されます。最新の利用規約・プライバシーポリシーは必ず各サービスの公式サイトで確認してください。

生成AIとセキュリティでは、法人でのAI利用における情報セキュリティの基本的な考え方を詳しく解説しています。

---

仮名化の手法と具体例

仮名化とは、実際の固有情報をダミーの情報に置き換えることです。AIは仮名化された情報でも処理できるため、実際の機密情報を渡さずに業務に活用できます。

仮名化の基本ルール

• 人名：「山田太郎」→「Aさん」「担当者X」
• 会社名：「株式会社〇〇商事」→「B社」「取引先企業」
• 金額：「3,500万円」→「X万円」または「〜千万円規模」
• 日付：「2026年4月1日」→「〇年〇月初旬」または「直近の期初」
• 部署・役職：「マーケティング部部長」→「担当部門の責任者」
• メールアドレス・電話番号：削除または「連絡先（仮名）」と記載

仮名化のプロンプト例

以下のメール文を要約してください。
※文中の人名はすべてアルファベット（A、B、C...）に置き換えて処理してください。
会社名は「X社」「Y社」のように置き換えています。

【仮名化済みメール】
件名：Q3の取引条件について
差出人：B社 営業部長Aさん

お世話になっております。先日の打ち合わせの件ですが、
X社のご提案については、価格帯X（〜千万円規模）で
前向きに検討できると思っています...

以下の会議メモを整理して議事録の形式にしてください。
※個人名はすべて「出席者A」「出席者B」に変えています。
社内の未公開情報に関わるため、要旨のみをまとめてください。

【会議メモ（仮名化済み）】
出席者：出席者A（プロジェクトリーダー）、出席者B（開発担当）
議題：新機能Xの開発スケジュール
...

---

抽象化の手法

仮名化が「固有情報を別の固有情報に置き換える」のに対し、抽象化は「固有情報を一般的な表現に置き換える」手法です。

抽象化の例

【変換前（機密情報を含む）】
株式会社A商事との年間契約（3,500万円）の更新交渉が難航しています。
担当者の山田課長は価格引き下げを要求しており、弊社の利益率が
15%を下回る可能性があります。

【抽象化後（AIに入力可能な形）】
大手取引先との年間契約更新交渉が難航しています。
先方から価格引き下げの要求があり、自社の利益率が
基準を下回る可能性があります。

この状況での交渉戦略と代替案を考えてください。

抽象化しても、AIは交渉戦略の立案・文章の改善・論点の整理といった処理は問題なく行えます。固有の数値・社名・個人名がなくても、業務上のアウトプットを得るには十分なことがほとんどです。

---

個人情報をプロンプトから除く書き換え例

個人情報を含む文書をAIで処理する際の書き換えパターンを示します。

例1：顧客からの問い合わせメールへの返信

【入力してはいけない形】
田中花子様（〒150-0001 東京都渋谷区1-1-1）より
問い合わせがありました。内容：注文番号AB12345の
配送状況が不明とのこと。返信文を作成してください。

【安全な形】
顧客からの問い合わせ（注文の配送状況が不明）に対する
返信メールを作成してください。
宛名は「お客様」、差出人は会社名のみで作成してください。

例2：採用選考の評価

【入力してはいけない形】
応募者：鈴木一郎（35歳、前職：〇〇銀行）
評価：コミュニケーション力は高いが、技術スキルに課題。
この評価をもとにフィードバック文を作成してください。

【安全な形】
採用候補者の評価フィードバック文を作成してください。
評価内容：コミュニケーション力は高評価、技術スキルに改善の余地あり。
宛名は「様」のみで、個人を特定する情報は含めないでください。

例3：医療・健康情報を含む相談

【入力してはいけない形】
患者：山本健太（42歳男性）、高血圧・糖尿病の既往歴。
現在の処方：〇〇薬20mg。この情報をもとに...

【安全な形】
高血圧と糖尿病の既往歴がある40代男性の一般的なケアについて
教えてください。個別の医療判断ではなく、一般情報として回答してください。
※実際の医療判断は医師に相談してください。

医療・法律・税務に関する情報は、AIの回答を参考情報として使うにとどめ、実際の判断は専門家に委ねることが必要です。

---

プロンプト設計で機密情報を扱う際の基本ルール

機密情報を含む業務でAIを使う際のプロンプト設計のルールをまとめます。

機密情報を含む業務のプロンプト設計チェックリスト

□ 固有の人名・社名・住所が含まれていないか確認した
□ 未公開の数値・財務情報を削除または抽象化した
□ 仮名化後も、元の情報が推測できる特定性がないか確認した
□ 不要な情報を削除し、AIに渡す情報を最小限にした
□ 処理後のAIの出力に機密情報が反映されないか確認した
□ 利用しているサービスのデータポリシーを確認済みである
□ 社内の情報管理規程の範囲内の利用であると確認した

---

社内ルールとの整合性

企業ごとに生成AIの利用に関する社内ルールや情報管理規程があります。本記事で紹介した手法を採用する前に、以下を確認することを推奨します。

• 自社の情報セキュリティポリシーで生成AIの利用が認められているか
• 利用が認められている場合、どのサービス・プランが許可されているか
• 仮名化・抽象化の基準について社内ガイドラインがあるか
• 問題が発生した場合の報告フローが整備されているか

ルールが整備されていない場合は、情報セキュリティ担当者・法務部門・コンプライアンス担当者に確認の上で判断してください。

会社で生成AIを使うときの注意点では、企業でのAI利用における全般的なリスクと対策を解説しています。

---

まとめ

機密情報を守りながらAIを使うための主要な対策は以下のとおりです。

• 入力してはいけない情報の種類を把握する
• 固有情報は仮名化・抽象化してから入力する
• 利用サービスのデータポリシーを確認する（特に法人プランの条件）
• 社内の情報管理規程の範囲内で利用する

本記事の内容は一般的な情報提供であり、法的アドバイスや具体的なセキュリティ設計の指針ではありません。自社の状況に応じた対応については、情報セキュリティ担当者・法務部門・専門家にご相談ください。

プロンプトの書き方の基本では、業務用プロンプトの設計方法を解説しています。