生成AIを使うとき、最も判断に迷うのが「この情報を入力してよいか」である。便利だからつい社内の資料や顧客情報を貼り付けてしまいたくなるが、入力した情報がどう扱われるかは、使うツールや契約によって異なる。線引きが曖昧なまま使われると、見えないところで機密が外に出るリスクが残る。
本記事は、生成AIに入力してよい情報とダメな情報の線引きを、現場が迷わず判断できる基準として整理する。読者として想定しているのは、中小企業の経営者、DX担当、情シス担当、事業責任者である。難しい分類体系を作る必要はない。「これは入れてよい」「これは入れない」を現場が即座に判断できる目安を用意することが目的である。
結論:迷ったら入れない、を基本に基準を決める
入力情報の線引きは、現場が一目で判断できる単純さが大切である。複雑なルールは守られない。GXOが入力基準で重視するのは、次の3点である。
- 入力してよい情報を例示し、それ以外は原則として慎重に扱う
- 機密情報・個人情報・顧客情報は、入力してよいか必ず確認する
- 判断に迷ったときは「入れない」を基本にし、相談先を決めておく
完全な分類を目指すより、「迷ったら入れない」という原則と、よく出てくる具体例を示すほうが、現場で機能する。
なぜ入力情報の線引きが重要か
生成AIに入力した情報は、使うツールや契約によって、外部に送信されたり、サービス側で扱われたりする。そのため、入力する情報の取り扱いが、リスクの大きな部分を占める。線引きが曖昧だと、次のような問題につながる。
- 顧客から預かった情報を、許可なく外部のサービスに入力してしまう
- 未公開の経営情報や技術情報が、意図せず社外に渡る
- 何を入れてよいか分からず、現場が萎縮して活用が進まない
入力の線引きは、漏えい対策の出発点である。送信される情報の扱いについては機密情報・個人情報の漏えい対策でも詳しく扱う。
情報の区分と入力可否の目安
情報を細かく分類しすぎると現場が混乱する。まずは大きく区分し、入力可否の目安を示すとよい。
| 情報の区分 | 例 | 入力可否の目安 |
|---|---|---|
| 公開情報 | 公表済みの製品情報、一般的な調査 | 入力してよい |
| 社内一般情報 | 公開予定の文章の下書き、社内手順 | 機密でなければ可。判断に迷えば確認 |
| 機密情報 | 未公開の経営・技術・財務情報 | 原則入力しない |
| 個人情報 | 氏名・連絡先など特定の個人の情報 | 原則入力しない。必要なら匿名化を検討 |
| 顧客から預かった情報 | 顧客の機密・個人情報 | 顧客との取り決めを確認 |
この区分はあくまで目安であり、自社の業務に合わせて具体例を入れ替えるとよい。大切なのは、現場がよく扱う情報がどの区分に当たるかを、すぐ判断できることである。
判断に迷いやすいケース
実際の業務では、白黒つけにくい情報が出てくる。あらかじめ方針を示しておくと、現場が迷わない。
- 顧客情報を含む資料:顧客との契約や合意で、第三者サービスへの提供がどう定められているかを確認する。曖昧なら入力しない。
- ソースコード:自社の重要なロジックや、顧客から預かったコードは慎重に扱う。何を入れてよいかを開発部門で取り決める。
- 会議の記録や議事録:参加者の発言や未確定の方針が含まれることが多い。要約目的でも、機密に当たる部分は除く。
- 一部を伏せれば使える情報:固有名詞や数値を伏せれば入力できる場合もある。伏せ方の目安を決めておく。
こうしたケースは、現場が個別に判断すると人によってばらつく。よく出てくるものは規程や手引きに具体例として残しておきたい。利用規程全体の作り方は利用ルール・規程の作り方で扱っている。
現場が使える判断基準にする工夫
線引きを定めても、現場で思い出せなければ意味がない。使われる基準にするには、次のような工夫が役立つ。
- 入力前の自問を一つ決める:「これは社外に見せてよい情報か」を入力前に確認する習慣をつける
- 具体例で示す:抽象的な分類より、自社でよく扱う情報の例を並べるほうが伝わる
- 迷ったときの窓口を明示する:判断がつかないとき、すぐ聞ける相談先を用意する
- 入れてよい情報も示す:禁止だけでなく、使ってよい情報を明示して活用を後押しする
判断基準は、現場の活用を妨げるためではなく、安全に使ってもらうためのものである。禁止を並べるだけでなく、「これは使ってよい」を示すことで、活用と安全の両立につながる。
線引きを運用に定着させる
線引きは、一度示して終わりではなく、日々の業務で思い出される状態を保つ必要がある。次のような取り組みが、定着を助ける。
- 入力前の習慣にする:入力するたびに「社外に見せてよいか」を一度立ち止まって考える文化を育てる
- 判断例を蓄積する:迷ったケースとその判断を記録し、次に同じ場面が来たとき参照できるようにする
- 業務に合わせて見直す:扱う情報は業務とともに変わるため、線引きも定期的に見直す
- 新しく使い始める人に伝える:異動や採用で使い手が変わったとき、線引きを最初に共有する
線引きが現場に根づくと、規程を読み返さなくても自然に安全な判断ができるようになる。逆に、文書を作っただけで放置すると、時間とともに形骸化する。判断に迷う場面を集めて手引きに反映していくことが、生きた基準を保つ近道である。利用規程全体の運用は利用ルール・規程の作り方とあわせて整えたい。
よくある質問
Q1. 個人情報を一部だけ使いたい場合はどうすればよいですか
氏名や連絡先などを伏せ、特定の個人が分からない形にできれば、リスクを下げられる。ただし、組み合わせで個人が特定できる場合もあるため、伏せ方の目安を決め、迷えば入力しない判断が無難である。
Q2. 顧客から預かった情報は一律で入力禁止にすべきですか
一律禁止が安全ではあるが、顧客との取り決めで認められている場合もある。契約や合意でどう定められているかを確認し、不明なら入力しない、という方針にしておくとよい。
Q3. 線引きを細かくしすぎると現場が混乱しませんか
そのとおりで、分類が細かすぎると守られない。大きな区分と、自社でよく扱う情報の具体例を示し、迷ったら入れないという原則を添えるのが、現場で機能する形である。
生成AIに入力してよい情報の基準を、現場目線で整えませんか
GXOでは、自社の業務でよく扱う情報をもとに、入力してよい情報とダメな情報の線引きを整理し、現場が迷わず判断できる基準づくりをご支援します。機密情報や顧客情報の扱いを、契約や運用の実態に合わせて一緒に設計します。
※ 初回相談では、営業資料の説明よりも現状整理とリスク確認を優先します。