冒頭結論
結論から3行でお伝えします。
- 企業でAIを使う際のセキュリティは、7つの原則に集約できます
- 法人プラン+社内ポリシー+インシデント対応の3本柱で対策します
- 非エンジニアが理解すべきポイントのみを整理します
7つの原則
原則1: 法人プランを使う
個人アカウントは入力データが学習に使われる可能性があります。企業利用は必ずTeam/Enterpriseプラン。
原則2: 機密情報は伏字化
顧客名・金額・契約内容等は伏字化(〇〇社/金額を丸める)してからAIに投入。
原則3: 最終判断は人間
AIはハルシネーション(架空の情報生成)を起こします。重要判断は人間が最終確認。
原則4: アクセスログを保存
誰が・いつ・何を入力したかをログで追跡可能にする。監査対応に必須。
原則5: 社内ポリシーの策定
「どのAIツールをOKにするか」「何を投入してはいけないか」を明文化。
原則6: 定期的な教育
全社員に3〜6ヶ月ごとのAIセキュリティ研修を実施。
原則7: インシデント対応手順
情報漏洩が起きた時の報告・封じ込め・復旧手順を事前に定義。
H2-1|法人プランの選び方
| プラン | 月額/人 | 主な機能 |
|---|---|---|
| ChatGPT Team | $25〜 | 学習防止・共有ワークスペース |
| ChatGPT Enterprise | 応相談($60〜) | SSO・監査ログ・SLA |
| Claude Team | $30〜 | 学習防止・プロジェクト機能 |
| Gemini for Workspace | $30〜 | Google Workspace統合 |
選定基準
- 社員数10名以下:ChatGPT Team / Claude Team
- 大企業(SSO必須):ChatGPT Enterprise
- Google環境中心:Gemini for Workspace
H2-2|社内ポリシーの骨子
テンプレート
AIツール利用ガイドライン
1. 利用可能ツール
- ChatGPT Enterprise(推奨)
- Claude Team
- 上記以外は情シスに要申請
2. 入力してはいけない情報
- 顧客個人情報・機密契約情報
- 財務情報・人事評価・給与情報
- 開発中のプロダクト情報
3. 入力してもよい情報
- 公開済みの業務情報
- 伏字化された情報
- 一般的な業務課題
4. トラブル時の連絡先
- 情シス:〇〇
- セキュリティ部門:〇〇H2-3|インシデント対応手順
Step 1: 検知
不適切な情報入力が判明した場合、情シスに即報告。
Step 2: 封じ込め
- 該当アカウントの利用停止
- AIベンダーにデータ削除依頼(法人プランは削除対応あり)
Step 3: 影響評価
- 流出可能性のある情報範囲の特定
- 関係者への通知必要性判断
Step 4: 再発防止
- 原因分析
- 教育の強化
- ポリシー更新
H2-4|職種別のリスクと対策
| 職種 | 主リスク | 推奨対策 |
|---|---|---|
| 営業 | 顧客情報の投入 | 顧客名を伏字化 |
| 人事 | 候補者の個人情報 | 法人プラン必須 |
| 経理 | 財務データ | 数字を丸める/オンプレAI |
| 法務 | 契約条項 | 法人プラン+ログ |
| 開発 | ソースコード | Enterprise/オンプレ |
H2-5|2026年の新しい脅威
プロンプトインジェクション
悪意ある第三者がAIに偽の指示を混入させる攻撃。Webコンテンツやメール経由で発生。
ディープフェイク音声
上司・取引先の音声を偽装して送金指示等を行う詐欺。
AIエージェントの暴走
広い権限を持つエージェントが意図しない操作を行うリスク。権限最小化が原則。
H2-6|オンプレミスAIの選択肢
社内サーバーで動くAI
- Llama 3(Meta)
- Mistral
- Azure OpenAI Service
- AWS Bedrock
メリット・デメリット
メリット:機密情報を外部に出さない/デメリット:導入コスト・保守負担。大企業向けの選択肢。
よくある失敗/注意点
失敗1:個人アカウントで業務利用
これが最も多い情報漏洩原因。法人プランを必ず契約。
失敗2:ポリシーが形骸化
作ったまま教育しないと守られません。四半期に1回の研修必須。
失敗3:インシデント隠蔽
早期報告・対応が重要。報告者を責めない文化作り。
Q&A
Q1. 無料版ChatGPTを社内で使うのは禁止すべきですか?
機密情報を扱う企業は原則禁止。社員が業務で使う場合は法人プランへ移行。
Q2. 社内ポリシー違反の処分は?
就業規則に準拠。悪意なき違反は教育、悪意ある場合は厳正な処分が一般的。
Q3. 中小企業でもポリシーが必要ですか?
必要です。A4×1枚の簡易版で十分。重要情報の扱いだけでも明文化を。
Q4. AIベンダーの選定でチェックすべきは?
SOC 2認証・ISO 27001・日本のプライバシーマーク等を確認。
Q5. セキュリティ担当者はどのスキルを磨くべき?
AI特有のリスク(プロンプトインジェクション等)+既存のセキュリティ知識の両輪で。
まとめ(3行)
- 7原則(法人プラン・伏字化・最終人間判断・ログ・ポリシー・教育・インシデント対応)を遵守
- ChatGPT Enterprise等の法人プラン+社内ポリシー策定が最低ライン
- 2026年の新脅威(インジェクション・ディープフェイク・エージェント暴走)に注意
法務のAI活用は法務担当のAI契約書チェック実践ガイド、ツール連携はAIと業務ツールを連携させる5パターンをどうぞ。