先週、支援先の経営者と初回打ち合わせをしていたら、開口一番こう聞かれた。「社内の業務フローや売上データを外部の人に話して、情報漏洩しないんですか」というものだった。
最近、AI顧問の契約を検討していると言う経営者から、決まってこういう質問が来る。
正直、この質問は当然だと思う。AI顧問に支援を依頼するということは、社内の業務の実態を外部の人間に話す、ということだからだ。何も確認せずに進めると、後から「あの情報はどう管理されているんだろう」と不安になる。
支援に入る前の契約段階で、セキュリティと情報管理の確認を丁寧にしている会社と、ほとんど確認しないまま契約する会社がある。確認した会社は信頼関係を最初から作れるし、確認しなかった会社は後からトラブルになりやすい。本記事では、AI顧問との契約前に確認しておくべきセキュリティと情報管理のポイントを整理する。
最初はセキュリティ確認を後回しにしていた
AI顧問としての支援を始めた頃、僕はセキュリティの確認を軽く扱っていた。「何か問題が出たらその時に対応すれば十分だ」という感覚で、契約時点でNDAの話や情報の管理方法をほとんど確認しないままスタートしてしまった案件が、最初の1〜2件あった。
支援開始から2ヶ月ほど経った頃、担当者から「顧問さんは社内から受け取った資料をどのように管理していますか」という質問が来た。普段使っているクラウドストレージとその設定を説明したが、担当者は「契約前に聞いておけばよかった」という反応だった。当時の僕には「なぜ今更」という感覚があったが、考えてみれば当然の疑問だった。情報を渡してしまった後に確認するのでは、もう手遅れに近い。
その経験以来、契約の前にセキュリティの確認事項を先に整理して話し合うようにした。聞かれてから答えるのではなく、こちらから先に説明する形に変えた。これだけで経営者の顔つきが変わり、支援に入りやすくなった。確認を「面倒な義務」ではなく「信頼関係の作り方」として捉えると、取り組み方が変わると思っている。
AI顧問に開示する情報は何か
まず前提として、AI顧問に支援を依頼すると、どういった情報を共有することになるかを理解しておく必要がある。
業務フロー・業務手順
「請求書はどうやって処理しているか」「受注から出荷までの流れはどうなっているか」といった業務の実態を説明することになる。フローチャートや手順書を共有する場合もある。
社内で使っているツールやシステムの情報
freeeやマネーフォワード、kintone、Excelファイルなど、何を使ってどう管理しているかを説明する。ツールの画面を共有する場合もある。
売上・経費・在庫などの経営数値
業務改善のためには、現状の数字を把握することが必要になる。売上の推移、費用の内訳、在庫数といったデータが話題に上ることは多い。
顧客・取引先の情報(場合によって)
受注管理や顧客対応の自動化を設計する場合、顧客情報のサンプルやデータ形式を確認することがある。ただしこの部分は個人情報保護法の観点から特に注意が必要だ。
こうした情報の中には、外部に漏れてはいけない機密情報も含まれる。だからこそ、契約前に確認事項を整理しておくことが重要になる。
確認すべき6つのポイント
1. NDA(秘密保持契約)の締結
AI顧問との契約では、必ずNDAを締結する。NDAとは、顧問が業務で知り得た情報を第三者に開示しないことを約束する契約だ。
フリーランスや個人事業主として活動するAI顧問も多いため、法人でも個人でもNDAは締結可能だ。契約書類の一部としてNDAが含まれているケース、別途単独で締結するケースの両方がある。
「うちの会社ではそこまで機密情報はない」と思う経営者もいるが、業務フローや取引先との関係は競合他社に知られると不利益になる情報だ。マジで軽く考えないほうがいい。NDAがない顧問には依頼しない、という基準を持っておくとよい。
2. 情報の保管場所と管理方法
顧問がどこに、どんな形で情報を保管するかを確認する。
- 受け取った資料はどこに保存しているか(クラウドストレージ、自分のPC、メールなど)
- 共有されたデータへのアクセス権限は誰が持っているか
- 顧問事務所やチームが複数人の場合、情報がどこまで共有されるか
個人で活動しているAI顧問であれば「自分のPCとクラウドに保管している」という答えになることが多い。その場合、クラウドストレージのセキュリティ設定(2要素認証の有無、アクセスログの管理など)を確認しておくと安心できる。
僕自身の例を挙げると、Googleドライブを使い、2要素認証の設定、アクセス権限を最小限に絞る、使い終わったファイルは必要なければ削除する、というルールを設けている。こういったルールを口頭でも説明できるかどうかが、顧問としての信頼性の一部になると思っている。
3. AIツールへの入力データの扱い
AI顧問はChatGPTやClaudeといった生成AIを使って業務の分析や提案をすることがある。このとき、開示した業務情報がAIに入力される可能性がある。
生成AIに情報を入力すると、その情報がAIの学習に使われる可能性がある。各AIサービスのデフォルト設定によっては、入力した内容がモデルの改善に活用されるケースがある(ただし企業向けプランや特定の設定ではこれを無効にできる)。
AI顧問に確認しておくべきことは次のとおりだ。
- 社内から受け取った情報を生成AIに入力する際、どのようなルールを設けているか
- 企業向けプラン(ChatGPT Enterprise、Claude Pro等)を使っているか
- 顧客情報や機密性の高い数字を生成AIに入力する場合、どう処理しているか
生成AIのセキュリティリスクの基本についてはAIを業務で使う前に知っておくべきセキュリティの話でまとめているので参照してほしい。
4. 顧客・取引先の個人情報を含む場合の扱い
AI顧問の支援で顧客対応の自動化や受注管理の効率化を行う場合、顧客の氏名・メールアドレス・購買履歴といった個人情報が関係することがある。
このケースでは、個人情報保護法の観点から次の点を確認しておく必要がある。
- 顧客の個人情報を外部(AI顧問)に提供することについて、自社のプライバシーポリシーや利用規約に根拠があるか
- 個人情報をサンプルとして共有する場合、氏名等を匿名化したテストデータを使えるか
- 顧問側の個人情報の取り扱い体制はどうなっているか
ぶっちゃけ、中小企業のAI活用支援において顧客の個人情報が直接必要になるケースは多くない。業務フローの改善や内部の自動化であれば、個人情報が入ったデータを共有しなくても設計できることが大半だ。「本当にこのデータを共有する必要があるか」を一度立ち止まって考えることが重要だ。
5. 情報漏洩が発生した場合の対応
万が一、顧問が保管している情報が外部に漏洩した場合、どう対応するかを事前に確認しておく。
フリーランスの個人が顧問の場合、企業のような情報セキュリティ体制があるわけではない。「漏洩した場合の責任の所在」「損害賠償の範囲」をNDAまたは業務委託契約書に明記しておくことが望ましい。
ただし、過度に厳しい賠償条件を設定すると顧問が受けられないケースもある。「実際に起こった損害に対して相応の責任を持つ」という水準が現実的だ。
6. 契約終了後のデータ削除
顧問との契約が終了した後、顧問側に残っているデータを削除してもらう必要がある。
「契約終了後は速やかに受け取った情報・資料を削除または返却する」という条件を契約書に入れておくと、終了時のトラブルを防げる。デジタルデータの場合は削除確認の連絡をもらう、または削除完了の証跡を残す形が理想的だ。
「業務フローを教えることへの不安」への答え
支援に入る前に「社内の業務フローを話すのは抵抗がある」という経営者が一定数いる。
これは正常な感覚だと思う。長年かけて築いた業務の仕組みは、会社の競争力の一部だからだ。
ただし、AI顧問が必要とする情報は「業務フローの全体像」であって「営業秘密の核心部分」ではないことが多い。たとえば「請求書を月末にまとめて処理している」という情報を外部に出しても、それだけで競合他社に損害を与えるわけではない。
一方、「主要取引先のリストと単価」「新製品の開発計画」といった情報は、本当に業務改善に必要かどうかを考えて開示範囲を絞ることが重要だ。
よくある記事では「とにかくNDAを締結すれば大丈夫」という結論になっているが、僕はそれだけでは不十分だと思っている。NDAは漏洩した後の責任を決める契約であって、漏洩そのものを防ぐものではない。開示する情報の範囲を絞る判断と、顧問側の情報管理のルールを確認することの方が、実際のリスク管理としては重要だ。
僕が支援に入る際も、必要な情報だけを聞くようにしている。設計に不要な情報は聞かない。顧問選びの段階で「不必要に情報を聞き出そうとするか」という点も確認の基準になる。
実際の支援事例:情報管理を事前に整理した結果
ある会社で、顧客情報を含むデータ管理の自動化を設計することになった。当初、担当者は顧客の注文データをそのまま共有しようとしていた。僕の方から「まず氏名とメールアドレスを削除した匿名データで設計を試みる」と提案し、匿名化したサンプルで設計を完了できた。
後から担当者に確認すると「最初に言ってもらって安心した。顧客情報を外に出すことへの心理的ハードルが下がった」という話だった。
実際には、業務フローの設計に顧客の個人情報が必要になることはほとんどない。設計の目的に本当に必要か、顧問に確認してから共有の判断をすれば十分だ。正直、「情報共有=全部渡す」という思い込みが不安の原因になっているケースが多い。
契約前のセキュリティ確認チェックリスト
AI顧問との契約前に確認しておくべき事項をまとめる。
必須確認事項
- [ ] NDA(秘密保持契約)の締結を確認した
- [ ] 情報の保管場所(クラウド・PC)と管理方法を確認した
- [ ] 契約書に情報漏洩時の責任条項が含まれているか確認した
- [ ] 契約終了後のデータ削除についての条件を確認した
状況に応じて確認
- [ ] 生成AIへの入力ルールを確認した(機密情報を入力するか?)
- [ ] 顧客の個人情報を共有する場合の扱いについて合意した
- [ ] 顧問チームが複数名の場合、情報共有の範囲を確認した
この確認を契約前に済ませておくことで、支援開始後の不安を最小化できる。
AI顧問に確認した際の「良い回答」と「注意すべき回答」
NDAやセキュリティについて確認した際の、顧問側の回答のパターンを整理する。
安心できる回答
- 「NDAは標準的に締結しています。ひな形をお送りします」
- 「生成AIへの入力は機密性の高い情報は除外するルールを設けています」
- 「情報の保管はGoogleドライブ(2段階認証設定済み)を使っています」
- 「契約終了後は共有ファイルを削除し、確認の連絡をします」
注意が必要な回答
- 「NDAは特に必要ないと思いますが」という回答(理由の説明なし)
- 「情報の管理方法はとくに決めていない」
- 「生成AIに入力することは特に問題ないと思います」(リスクへの認識がない)
- セキュリティに関する質問自体を軽く扱う態度
セキュリティの確認事項を聞いた時の回答の質は、その顧問の業務の丁寧さを測る指標にもなる。僕が候補の顧問を選ぶ立場で考えると、NDAやデータ管理について自分から率先して説明してくれる顧問の方が信頼できると感じるはずだ。
セキュリティ確認は契約の入口で
AI顧問を活用する際の情報セキュリティは、大企業のような複雑な体制が必要なわけではない。NDAの締結、情報の保管方法の確認、生成AIへの入力ルールの合意——この3点を契約前に確認しておくだけで、大半のリスクは管理できる。
情報を開示することへの不安は自然なことだ。その不安をそのままにして契約を始めると、後から気になり続ける。契約の入口でセキュリティの確認をしておくことが、信頼関係を作る第一歩になる。
AI顧問サービスの全体像についてはAI顧問とは?中小企業が知るべきサービスの全体像と費用相場を、費用感はAI顧問の費用相場|月額3万〜30万円の価格帯と内訳を、契約の手順については中小企業がAI顧問を始める手順|契約から運用開始までを参照してほしい。