「この会議メモ、そのままChatGPTに貼っても大丈夫?」
仕事で生成AIを使い始めると、毎日こういう判断が出てきます。
取引先の名前、上司の評価コメント、先月の売上数字——。
「入れていいのかな?」と迷いながら、なんとなく使い続けていませんか?
この記事では、生成AIに入力してはいけない情報をOK・要確認・NGの3段階で整理します。
業務シーン別のマトリクス表と、NGのときの書き換え例文もまとめました。
今日から「判断ツール」として使ってください。
この記事は「生成AIを仕事で使うときの注意点チェックリスト15」のチェック1〜5(情報漏洩防止)の詳細版です。
生成AIへの入力判断が難しい3つの理由
生成AIは便利ですが、何を入力してよいかの判断が難しいツールです。
その理由は主に3つあります。
1. 入力したデータの行き先が見えにくい
メールや電話では「送った先が誰か」が分かります。
でも生成AIに入力したデータは、どのサーバーが受け取り、どう使うかが利用者側には見えません。
2. 社内のAIガイドラインがまだ整備されていない
多くの会社では、生成AIの利用ルールがまだ作られていません。
「会社が禁止していないから大丈夫」と思いがちです。
ただしルールがなければ、個人が判断すべき状況です。
3. OK/NGの境界線がグレーゾーンだらけ
「個人名はNG」とは分かっても、「部署名は?」「会社名は?」「パーセンテージは?」——こうした情報の判断は難しいです。
だから「迷う」のは当然のことです。
この記事では、そのグレーゾーンも含めて整理します。
社内のAIルールを整備したい方は「生成AI社内ガイドラインの作り方」もご覧ください。
生成AIに入力した情報はどう扱われるのか
まず、生成AIに入力したデータの扱われ方を確認しておきましょう。
学習に使われる可能性がある
生成AIサービスの多くは、ユーザーが入力したデータを学習に利用する設定がデフォルトになっています。
代表的なサービスの初期設定はこのとおりです。
| サービス | プラン | デフォルト学習設定 |
|---|---|---|
| ChatGPT | 無料・Plus | 学習ON(設定でOFF可) |
| ChatGPT | Team・Enterprise | 学習OFF |
| Claude | 無料・Pro・Max | 学習ON(設定でOFF可)※2025年9月28日以降 |
| Claude | Claude for Work・API | 学習OFF |
| Gemini | 個人Googleアカウント | 学習ON(履歴OFFと連動) |
| Microsoft 365 Copilot | 有料ライセンス | 学習OFF |
無料・個人版のChatGPTやClaudeは、デフォルトで学習に使われます。
設定を変えずに使っていると、入力した社内情報が学習データに入る可能性があります。
Samsung電子で起きた情報漏洩事件(2023年)
この問題を具体的に示す事例があります。
2023年3月、Samsung電子は社内でのChatGPT使用を解禁しました。
解禁からわずか1ヶ月以内に、3件の機密情報漏洩が起きました。
- エンジニアが半導体設備のソースコードをChatGPTに入力した(バグ解決のため)
- 別のエンジニアが不良チップ検出プログラムのコードを入力した(最適化依頼のため)
- 従業員がスマートフォンで録音した社内会議の音声を文字起こしし、テキストを入力した
Samsung社は「外部サーバーのデータを取り戻して削除することは難しい」と認識しました。
その後、緊急でChatGPTの社内利用を禁止しました。
この事例は「悪意ある行動」ではありません。
「便利に使っていたら起きた」という点が重要です。
あなたの隣の席の同僚が同じことをする可能性は、十分にあります。
絶対NG:入力してはいけない情報の種類
入力してはいけない情報は、大きく3つのカテゴリに分けられます。
① 個人データ(個人情報保護法の規制対象)
個人情報保護法 第27条第1項では、個人データを第三者に提供する際に原則として本人の同意が必要です。
生成AIへの入力は「AIサービス事業者への第三者提供」にあたる可能性があります。
本人の同意なしに入力すると、同法に違反する可能性があります。
絶対NGの例:
- 氏名+連絡先の組み合わせ(顧客・社員どちらも)
- 氏名+評価情報の組み合わせ
- 顧客名簿・顧客データベース
- 要配慮個人情報(病歴・障害・犯歴など)
「氏名単体はOK」でも、「氏名+住所+電話番号」の組み合わせは個人データになります。
複数の情報を組み合わせる点に注意してください。
② 営業秘密(不正競争防止法の保護対象)
不正競争防止法では、「営業秘密」として保護される情報に3つの要件があります。
「秘密として管理されている」「事業に有用な情報」「公然と知られていない」の3つです。
絶対NGの例:
- 未発表のソースコード・設計情報
- 顧客名簿・価格戦略
- 新製品の開発情報・未発表案件
生成AIに入力して学習データに組み込まれると、「秘密として管理されている」という要件を失う可能性があります。
一度失った営業秘密の保護は、取り戻せません。
③ 機密情報(社内規程による制限)
法律の規制がなくても、社内規程で共有範囲が制限されている情報があります。
絶対NGの例:
- 社内限りの財務数値(四半期売上・予算詳細など)
- 未発表のM&A・提携情報
- 人事評価・給与情報
- 社内会議の議事録(未公開の議論を含む場合)
「社内メールに書いてある情報」でも、社外に出してよいかどうかは別の話です。
「社外秘」と書いていなくても、社外に出すべきでない情報は多くあります。
業務別×情報種別「OK・要確認・NG」早わかりマトリクス
「絶対NG」は分かった。でも実際の業務では、もっと判断が難しい情報が多いですよね。
ここでは4業務シーンと情報の種類を組み合わせたマトリクスで整理します。
判定基準:
- OK: 入力しても問題ない
- 要確認: 条件次第でOKまたはNG
- NG: 入力してはいけない
| 情報の種類 | メール・文書作成 | データ分析 | 資料要約 | 情報検索・調査 |
|---|---|---|---|---|
| 氏名(個人・顧客・社員) | NG | NG | NG | OK(有名人・公人のみ) |
| 社名・取引先名 | 要確認 | 要確認 | 要確認 | OK(公開情報のみ) |
| 売上・コスト(具体的な数値) | NG | NG | NG | NG |
| 売上・コスト(割合・増減率のみ) | OK | OK | OK | OK |
| 社内規程・内部ルール文書 | NG | NG | NG | NG |
| 未公開情報(M&A・新製品など) | NG | NG | NG | NG |
| 人事評価・給与情報 | NG | NG | NG | NG |
| 公開済みの自社情報 | OK | OK | OK | OK |
| 汎用的な業務フロー(固有名詞なし) | OK | OK | OK | OK |
「要確認」の意味:
社名・取引先名は、単体ではOKの場合もあります。
ただし「A社との取引金額」「B社への提案内容」のように機密情報と組み合わさる場合はNGです。
次の「3ステップ判断フロー」で確認してください。
NGのとき:匿名化リライト Before→After 例文集
入力したい情報がNGだからといって、生成AIが使えないわけではありません。
「誰が・どの会社が」を特定できる情報を置き換えれば、多くの場合は活用できます。
基本の置き換えルール
| 元の情報 | 置き換え例 |
|---|---|
| 人名 | 「担当者A」「部門責任者」「営業担当」 |
| 社名・取引先名 | 「A社」「取引先X」 |
| 具体的な数値(売上・コスト) | 「前月比-20%」(割合に変換) |
| 製品名・プロジェクト名 | 「製品α」「プロジェクトP」 |
| 特定可能な部署名 | 「関連部門」「営業系部門」 |
Before → After 例文集
【メール文書作成①】 取引先名が含まれるケース
❌ Before:
山田部長、先日の鈴木商事との打ち合わせの件で、来週のフォローアップメールの文案を作ってください。
✅ After:
上司あてに、先日の取引先との打ち合わせのフォローアップメールを書いてください。
【メール文書作成②】 個人評価・数値が含まれるケース
❌ Before:
田中さんの先月の売上は320万円で目標の450万円を下回りました。改善を促すメールを書いてください。
✅ After:
チームメンバーの先月の売上が目標比-30%でした。改善を促すメールを書いてください。
【データ分析①】 取引先別の数値データを扱うケース
❌ Before:
4月の売上:鈴木商事3,200万円、田中物産1,500万円、山本商会800万円。グラフ化してください。
✅ After:
4月の売上:取引先A:3,200万円、取引先B:1,500万円、取引先C:800万円。グラフ化してください。
※ 数値自体が社内機密の場合は割合に変換してから入力してください。
【データ分析②】 予算・財務情報を扱うケース
❌ Before:
来期の予算計画書(資料添付)を要約してください。
✅ After:
以下の予算内容を要約してください:設備投資 前期比+15%、人件費 前期比+8%、マーケティング 前期比-5%
【資料要約①】 機密契約書を扱うケース
❌ Before:
株式会社丸山電機との秘密保持契約書の要点をまとめてください。(本文を貼り付け)
✅ After:
秘密保持契約書の要点をまとめてください。(固有名詞を削除したテキストを貼り付け)
【資料要約②】 未発表情報が含まれるケース
❌ Before:
取締役会で発表予定の新製品「スカイライン3」の開発状況レポートをまとめてください。
✅ After:
社内会議向けに、新製品開発状況レポートの構成案を作成してください。
【会議メモ・議事録①】 参加者・社名・金額が含まれるケース
❌ Before:
会議メモを議事録にしてください。
(メモには参加者名・社名・取引金額が記載されている)
✅ After:
以下の内容を議事録形式にまとめてください。
参加者:営業部門3名・総務部門1名
議題:次期プロジェクトの予算調整(前期比+10%の案を検討)
【情報検索・調査①】 個人情報が含まれるケース
❌ Before:
山田さん(25歳・東京都在住)に最適な社宅物件を探してください。
✅ After:
都内で若手社員向けの社宅物件の条件を教えてください。(予算・広さの目安など)
【情報検索・調査②】 未公開の企業情報が含まれるケース
❌ Before:
来月のA社のIPO前の動向について社内資料をもとにまとめてください。
✅ After:
IPO前後の企業の一般的な動向と、取引上の注意点を教えてください。
「要確認」のとき:3ステップ判断フロー
マトリクスで「要確認」になった情報は、次の3ステップで判断してください。
STEP 1:社内AIガイドラインを確認する
まず、会社が定めたAI利用ルールを確認します。
確認先:
- イントラネット・社内ポータルの「AI利用規程」「情報セキュリティポリシー」
- 情報システム部門・総務部門からの通達メール
「禁止情報リスト」の記載があれば、そこに該当するかを確認します。
ガイドラインがない場合は、STEP 3に進んでください。
STEP 2:使っているAIツールの学習設定を確認する
「社内ガイドラインでは禁止されていない」と分かったら、ツールの設定を確認します。
確認ポイント:
- ChatGPT無料・PlusやClaude無料・Proを使っている場合は、学習設定をOFFにする
- 会社が導入したChatGPT Team・EnterpriseやMicrosoft 365 Copilot(有料)なら、デフォルトで学習には使われない
ChatGPT(Free・Plus)でオプトアウトする手順:
プロフィールアイコン → Settings → Data Controls → 「Improve the model for everyone」をOFFにする
Claude(Free・Pro・Max)でオプトアウトする手順:
Settings → Privacy → 「Help improve Claude」をOFFにする
設定を変更しても、過去の会話への遡及適用はありません。
この操作以降の新規会話から有効になります。
STEP 3:上司または情報システム部門に相談する
STEP 1・2で判断できない場合は、相談してください。
「相談するほどのことかな…」と思うかもしれません。
でも、一度相談してルールを作っておくと、次から迷わなくなります。
相談することが、チーム全体のリスク管理にもつながります。
安全に使い続けるための習慣と社内ルール整備
最後に、毎日の習慣として取り入れてほしい3つのポイントをまとめます。
習慣① 入力する前に5秒考える
「これを外部のサービスに送っても大丈夫か?」
プロンプトを入力する前に、5秒考える習慣をつけてください。
「社外の人に見られたら困る情報」は生成AIにも入力しない、と覚えておくと判断しやすくなります。
習慣② 固有名詞をそのまま貼らない
会議メモやメールをそのままコピー&ペーストするのが、最もリスクの高い行動です。
「社名・人名・具体的数値は、貼る前に置き換える」をルーティンにしてください。
習慣③ 使っているツールの学習設定を確認する
無料版・個人版のAIツールを使っている場合は、学習設定をOFFにしておいてください。
設定は一度変更すれば維持されます。
今すぐ確認しましょう。
チームで取り組むために
個人の意識だけでは限界があります。
チームや会社としてルールを整備することが、最も効果的な対策です。
社内のAI利用ルールをまとめて整備したい方は「生成AI社内ガイドラインの作り方」をご覧ください。具体的なテンプレートと手順を解説しています。
なお、生成AIが返す情報の真偽確認については「AIハルシネーション対策と事実確認」、著作権については「AIが作った文章・画像の著作権」もあわせてご参照ください。
まとめ
この記事で解説したポイントを整理します。
入力してはいけない情報の3カテゴリ:
- 個人データ(氏名+個人を特定できる情報の組み合わせ)
- 営業秘密(未公開のソースコード・設計・顧客名簿・価格戦略)
- 機密情報(社内限りの財務情報・人事評価・未発表情報)
迷ったときの行動:
- マトリクスで「OK / 要確認 / NG」を確認する
- NGでも匿名化・抽象化すれば使えることが多い
- 「要確認」は3ステップで判断する
生成AIは便利なツールです。
使わないのではなく、正しく使い続けることが大切です。
この記事をブックマークして、迷ったときの判断ツールとして活用してください。
