会社でChatGPTに入れていい情報・いけない情報〜機密データAI活用の判断基準
契約書、議事録、見積書、顧客情報を生成AIに入力してよいか迷う経営者・管理部門向けに、機密度の分け方、クラウドAIとローカルLLMの使い分け、社内ルール整備の要点を解説します。
生成AIを会社で使うとき、最初に決めるべきことは「どのAIを使うか」ではありません。最初に決めるべきことは、どの情報を外部AIに渡してよいか、どの情報は社内に閉じるべきか、です。ここを曖昧にしたまま使い始めると、便利さよりも先に情報管理の不安が残ります。
機密データAI活用の切り分けはCor.株式会社へ
私は、AI導入で一番危ないのは「使うこと」そのものではなく、使ってよい情報と使ってはいけない情報を分けないまま現場任せにすることだと考えています。契約書、議事録、見積書、顧客情報、ソースコード。これらは業務の中核であり、同時に漏えいすれば信頼を失う情報です。
Cor.株式会社では、AI受託開発、AI顧問、ローカルLLM・セキュアAI、Griftを通じて、機密データを外部に出さないAI活用と、承認済みAIを使う業務の切り分けを支援しています。
この記事で前提にした客観データ
- IBMの2025年調査では、AI関連のセキュリティインシデントを経験した組織の97%が適切なAIアクセス制御を欠いていたと報告されています。
- OWASPはLLMアプリケーションの主要リスクとして、Sensitive Information Disclosure、Excessive Agency、Overrelianceなどを挙げています。
- Cor.のセキュリティ方針では、顧客機密・個人情報・ソースコード・学習データ等を扱う場合、学習利用されない契約・設定のAIツール、社内アカウント、承認済み環境を用いる方針です。
まず、情報を3段階に分類する
社内AIルールを作るときは、細かいツール名から入ると失敗します。ツールは変わりますが、情報の機密度は業務に紐づいて残るからです。私は、最初は次の3段階で十分だと考えています。
- 公開情報:Webサイト、公開資料、一般的な業界知識など。外部AIで扱いやすい領域。
- 社内限定情報:社内マニュアル、一般的な議事録、営業資料など。会社アカウントや学習利用されない設定が前提。
- 顧客機密・個人情報・ソースコード:原則として外部AIに直接投入せず、ローカルLLMや隔離環境、権限管理を検討すべき領域。
重要なのは、完璧な分類表を最初から作ることではありません。現場が迷ったときに「これは外に出せるのか」を判断できる基準を持つことです。
クラウドAIとローカルLLMは対立ではなく使い分ける
クラウドAIは悪ではありません。文章作成、壁打ち、公開情報の整理、非機密のコードレビューなど、スピードと品質の面で非常に有効です。一方、顧客名、契約条件、未公開の見積、社内のナレッジベース、個人情報を扱うなら、話は変わります。
ローカルLLMや承認済みの隔離環境は「何でも高性能にする魔法」ではありません。しかし、情報を不要に外へ出さないこと自体に価値がある業務では、十分に検討するべき選択肢です。
社内ルールは「禁止」ではなく「使える状態」を作るためにある
AI利用ルールを作る目的は、社員を縛ることではありません。安全に使える範囲を明確にして、現場がAIを使いやすくすることです。禁止だけのルールは、結局シャドーAIを増やします。
最低限決めるべき項目は、入力禁止情報、利用可能なAIツール、会社アカウントの利用条件、ログと承認、出力結果の人間レビュー、インシデント時の連絡先です。ここまで決めれば、AI活用は「自己責任」から「会社の運用」へ移行できます。
機密データAI活用の切り分けはCor.株式会社へ
契約書、議事録、見積書、顧客情報、社内ナレッジをAIで扱いたいが、外部AIに入れてよいか判断できない場合は、まず情報の棚卸しから始めるべきです。Cor.株式会社では、クラウドAIでよい領域とローカルLLM・隔離環境を検討すべき領域を整理し、実装可能な運用ルールまで落とし込みます。
よくある質問
Q. 会社でChatGPTを使うこと自体は危険ですか?
A. 使うこと自体が危険なのではなく、入力する情報と契約・設定を確認しないまま使うことが危険です。公開情報や一般的な文章作成は使いやすい一方、顧客機密や個人情報は別の取扱いが必要です。
Q. 最初に作るべきAI利用ルールは何ですか?
A. 入力禁止情報、利用可能なAIツール、会社アカウントの利用、ログと承認、出力結果の人間レビュー、インシデント時の連絡先を決めることです。
Q. ローカルLLMはどんな企業に向いていますか?
A. 契約書、議事録、見積書、社内文書、ソースコードなど、外部サービスへ不要に出したくない情報をAIで扱いたい企業に向いています。
参考資料
- IBM: Cost of a Data Breach Report 2025 - AI関連インシデントで適切なアクセス制御がなかった組織が97%、AIガバナンスポリシーを欠く組織が63%。
- OWASP Top 10 for LLM Applications - Sensitive Information Disclosure、Excessive Agency、OverrelianceなどLLMアプリの代表的リスクを整理。
- Cor. HP: セキュリティ - ローカルファースト、最小限のログ、機密度ティア、AI利用方針、ISMS整備中を確認。
- Cor. HP: AI × CO-CREATION / 事業概要 - Cor.の事業領域、Grift、ローカルLLM・セキュアAI、AI駆動開発、共創メッセージを確認。
関連記事
中小企業のAI導入はなぜ進まないのか|総務・管理部門から始める現実的ロードマップ
中小企業のAI導入率20.4%という現状を踏まえ、総務・管理部門から無理なく始めるAI活用の進め方を解説します。AI活用の最初の一歩を検討する企業向けの記事です。
生成AIの社内利用ルールの作り方|OWASP・IBM調査から見るリスク管理
生成AIの利用ルールを作る経営者・管理部門向けに、入力禁止情報、承認済みAI、ログ、教育、インシデント対応を整理します。AI活用と情報管理を両立したい企業向けの記事です。
RAG・社内ナレッジAIが失敗する理由〜検索精度より先に整えるべきこと
社内文書検索・RAG導入で成果が出ない理由を、データ整理、権限、評価指標、運用設計の観点から解説します。社内ナレッジAIをPoCで終わらせないための実践ガイドです。