ChatGPTを業務で使い始めた中小企業から「情報漏えいが心配」「どこまで入力していいか分からない」という相談を受けることがある。
リスクを理解した上で使えば、ChatGPTは業務効率化に大きく貢献する。「何が問題で、何は問題ないか」を正確に理解することが重要だ。
1. ChatGPTの情報漏えいリスクの実態
入力データが「学習」に使われる可能性
ChatGPTの無料プランおよび個人向けPlusプランでは、入力した会話データがOpenAIのAI学習に使われる設定がデフォルトでオンになっている(設定変更は可能)。
ただし「学習に使われる = 他のユーザーに回答として出力される」という意味ではない。実際にはOpenAIの内部でモデル改善に使われるが、入力した情報が「他のユーザーへの回答に直接出力される」可能性は極めて低い。
実際のリスクが高い場面
- 顧客情報・個人情報(氏名・住所・連絡先等)を大量に入力する
- 社外秘の財務情報・契約書の内容をそのまま貼り付ける
- 特定の顧客や取引先の機密情報を入力する
2. プランによるリスクの違い
| プラン | 学習への使用 | 対策 |
|---|---|---|
| ChatGPT 無料プラン | デフォルトでオン(設定変更可) | 設定 → 「モデルトレーニング」をオフにする |
| ChatGPT Plus(個人) | デフォルトでオン(設定変更可) | 同上 |
| ChatGPT Team / Business | デフォルトでオフ | 組織管理コンソールで確認 |
| ChatGPT Enterprise | オフ(固定) | 大規模組織向け、データ保護強化 |
中小企業への推奨: 複数名で使う場合はChatGPT Businessプラン(月3,000円/人、年払い)に統一し、「学習無効化」設定を組織レベルで管理する。
3. 入力してはいけない情報
業務でChatGPTを使う際に、入力を避けるべき情報の種類を整理する。
絶対に入力しないもの
- 顧客の個人情報: 氏名・住所・電話番号・メールアドレス・生年月日等
- マイナンバー・社会保障番号
- 銀行口座・クレジットカード情報
- 医療・健康情報(クリニック・介護等)
注意が必要なもの(抽象化して入力する)
- 取引先の会社名・担当者名 → 「A社 担当者様」等に置き換える
- 具体的な売上・利益数字 → 大まかな規模感に置き換える
- 社外秘の製品情報・特許関連情報
- 個人が特定できる情報(「○○エリアの○○業・従業員○人の会社の経営者」等)
4. 社内AIルールの基本項目
ChatGPTを組織で使う際に、最低限整備すべき社内ルールの項目を整理する。
必須の項目
1. 入力禁止情報の定義
「以下の情報はChatGPTに入力しない」というリストを作る。
例:
- 顧客の個人情報(氏名・連絡先・生年月日等)
- 取引先との契約条件(金額・期間等)
- 社員の個人情報
- 未発表の製品・サービス情報
2. 出力の確認ルール
ChatGPTの出力をそのまま使う場合の禁止事項を定める。
例:
- ChatGPTの出力を確認せずに顧客に送ることは禁止
- 法的な判断(契約・法律解釈)にChatGPTの出力を直接使わない
- ChatGPTの数字・統計は必ず出典を確認してから使う
3. 使用プランの統一
個人が無料プランを使う混在状態を避け、会社で推奨するプランを統一する。
5. 実際の導入手順(中小企業向け)
ステップ1: 「試験運用担当者」を決める
いきなり全員に展開するのではなく、積極的に使いそうな担当者2〜3名に試験運用させる。「どの業務で使えるか」「何が問題になるか」を1ヶ月かけて確認する。
ステップ2: 入力禁止情報リストを作る
試験運用期間中に「どんな情報を入力しようとしたか」を記録し、「入力してもいいもの」「ダメなもの」を社内で整理する。
ステップ3: 全員に展開・ルール共有
ルールができたら全員に共有する。「何はOKで何はNGか」を口頭ではなくドキュメントで共有する。
まとめ
ChatGPTの業務利用で最も重要な注意点は:
- 個人情報・機密情報をそのまま入力しない(抽象化して使う)
- 複数名で使う場合はBusinessプランを使い「学習無効化」を設定する
- 出力内容は必ず確認してから使う(法的判断・数字は特に)
「情報漏えいが怖いから使わない」よりも、「リスクを理解した上でルールを作って使う」方が会社にとってメリットが大きい。競合が活用を進める中で、リスク回避だけを理由に利用しないと、業務効率で後れを取ることになる。
まず社内のAIルールを1枚のドキュメントで作成し、試験運用から始めることを勧める。
