結論
ChatGPTを会社で使うこと自体が問題なのではなく、何を入力してよいか、誰が確認するか、どのプランで使うかが曖昧なまま使うこと が問題です。
OpenAIは法人向けサービスのデータ利用について公式に説明していますが、サービス側の保護だけで情報漏えい対策が完了するわけではありません。会社側で入力ルール、アカウント管理、確認責任を決める必要があります。
まず禁止情報を決める
最初に決めるべきなのは、入力してはいけない情報です。
- 顧客名、担当者名、連絡先などの個人情報
- 契約書、見積書、価格条件などの未公開情報
- 取引先から受け取った秘密情報
- 社外秘の経営資料、技術資料、人事情報
- 未発表の商品、施策、採用情報
個人情報保護委員会も、生成AIサービス利用時の注意喚起を公表しています。個人情報を扱う業務では、利用目的、同意、委託先、再利用条件などを確認し、必要に応じて専門家に確認してください。
使ってよい業務を明確にする
禁止だけでは現場は動けません。あわせて、使ってよい業務も決めます。
初期利用に向いているのは、次のような業務です。
- 個人情報を含まないメール文面の下書き
- 社内向け案内文のたたき台
- 公開情報をもとにした文章整理
- 会議メモの構成整理
- マニュアルやFAQの読みやすい要約
反対に、顧客への自動送信、契約判断、人事評価、法的判断、医療判断、採用合否の判断は、AIに任せる範囲を慎重に制限します。
アカウントとプランを会社で管理する
個人アカウントで業務利用すると、退職時の管理、利用履歴、データ管理、支払い、権限停止が難しくなります。
会社利用では、可能であれば法人向けプラン、管理者権限、SSO、利用ログ、アクセス制御が使える環境を検討します。少なくとも、誰が何の目的で使っているかを把握できる状態にします。
社外送信前の確認を必須にする
ChatGPTの出力は、もっともらしく見えても誤りを含むことがあります。
社外に出す文章は、人が次の点を確認します。
- 事実と違う内容がないか
- 社内ルールと矛盾していないか
- 顧客に約束していない条件を書いていないか
- 機密情報が残っていないか
- 表現が強すぎないか
AIの出力を「完成品」ではなく「下書き」として扱うことが、実務では重要です。
最低限の社内ルール例
最初のルールは、長い規程にする必要はありません。
1. 顧客情報、個人情報、契約情報、未公開情報は入力しない。
2. 社外に送る文面は、担当者が確認する。
3. AIの回答を根拠に契約、採用、価格、法務判断をしない。
4. 業務利用は会社が認めたアカウントまたはツールに限定する。
5. ルール違反や誤送信の疑いがある場合は、管理者へ報告する。次の一歩
社内ルールを文書化したい場合は 生成AI利用ルールの作り方 を確認してください。顧客情報の扱いを詳しく分けたい場合は 顧客情報を生成AIに入力するときの社内ルール も参考になります。
中小企業の経営者・部門責任者がAI導入を判断しやすいよう、公式情報、編集部の運用チェックリスト、実務メモをもとに構成しています。 最終確認日は 2026/4/21 です。 運営会社と編集方針は 運営情報 と 編集部プロフィール にまとめています。
参考情報
この記事の制作・確認時に参照した情報です。制度、セキュリティ、個人情報、医療、法務、会計、採用など更新性や判断責任が高いテーマでは、公式情報・一次情報を優先します。
- OpenAI: Business data privacy, security, and compliance
ChatGPT Enterprise、ChatGPT Business、APIなどの法人向けデータの扱いを確認するための公式情報。
確認日: 2026-04-21 - 個人情報保護委員会: 生成AIサービスの利用に関する注意喚起等について
生成AIサービスに個人情報を入力する際の注意点を確認するための個人情報保護委員会公式情報。
確認日: 2026-04-21 - IPA: 中小企業の情報セキュリティ対策ガイドライン
中小企業が情報セキュリティ対策を段階的に進めるためのIPA公式ガイドライン。
確認日: 2026-04-21 - AI導入前に確認したい社内ガバナンス項目
個人情報、顧客情報、確認責任、記録保存、利用ルールを最低限押さえるための運用カード。
確認日: 2026-04-20
よくある質問
ChatGPTを全面禁止した方が安全ですか?
全面禁止は短期的には簡単ですが、現場が無断利用するリスクもあります。利用範囲と禁止情報を明確にした方が管理しやすくなります。
個人情報を入れなければ安全ですか?
個人情報以外にも、未公開の顧客情報、価格、契約、技術情報など注意すべき情報があります。