生成AIを安全に業務で使うには?中小企業がまずやるべき3つのこと
「うちもAIを業務で使いたいけれど、情報漏えいが怖くて踏み出せない」。この1〜2年、経営者やWeb担当の方からこの相談を受けることが本当に増えました。
結論から言うと、生成AIは「全面禁止」でも「ノールールで放置」でもなく、最低限の設定と線引きを作って使うのが正解です。この記事では、中小企業がまずやるべき基本だけに絞って解説します。
何が起きると「漏えい」なのか:3つのリスク
1. 入力した内容がAIの学習に使われる
一番よく知られたリスクです。個人向けの無料プランでは、入力内容がAIの改善(学習)に使われる設定になっていることがあります。学習に使われた情報がそのまま他人に表示されるわけではありませんが、顧客情報や未公開情報を入れて良い場所ではありません。
2. 共有リンク・公開設定のミス
AIとの会話や生成物には「共有リンク」を発行できるものが多くあります。社内共有のつもりで発行したリンクが誰でも見られる状態だった、というのは学習リスクより実際に起きやすい事故です。
3. シャドーAI(会社が把握していない利用)
会社がルールを決めていなくても、従業員はすでに個人アカウントでAIを使っています。会社が把握できていないところで顧客情報が個人の無料アカウントに入力される——これが実は一番怖いパターンです。
まずやるべき3つのこと
1. 業務利用は「学習に使われないプラン」に揃える
ChatGPT、Claude、Geminiなどの主要サービスには、法人・チーム向けプランがあり、入力内容をモデルの学習に使わないことが契約上明確になっています(個人プランでも学習をオフにする設定があるものもあります)。「業務で使うなら会社契約のアカウントで」に揃えるのが第一歩です。月数千円/人のコストは、漏えい事故のリスクと比べれば安い保険です。
2. 「入れて良い情報」の線引きを1枚で決める
難しい規程は要りません。A4で1枚、例えばこの程度で十分です。
- OK:公開されている情報、一般的な質問、自社の公開済みコンテンツ
- 条件付きOK:社内資料(会社契約のアカウントのみ)
- NG:顧客名・取引条件などの顧客情報、個人情報、未公開の財務・人事情報
大事なのは完璧なルールを作ることではなく、迷ったときに立ち返る線があることです。
3. 誰が何を使っているかを見える化する
会社としてアカウントを発行し、利用ツールを把握できる状態にします。ツールを1〜2個に絞って公式に提供すると、個人アカウントのバラバラ利用(シャドーAI)は自然に減っていきます。
「全面禁止」が一番危ない理由
漏えいが怖いなら禁止すればいい、と考えたくなりますが、禁止は多くの場合逆効果です。便利さを知った従業員は個人のスマホやアカウントで使い続け、会社の目が届かない場所にリスクが移動するだけだからです。
安全な公式ルートを用意して「こっちを使って」と言える状態にする方が、実効性のある安全対策になります。
弊社の場合
弊社はWeb制作の工程で生成AIを日常的に使っていますが、お客様の機密情報・未公開情報は、学習に使われない契約のツールでのみ扱うと決めています。どの工程でAIを使い、どこを人間が担うかは、案件の性質やお客様の状況に合わせて設計しています。気になる方はお打ち合わせの際に遠慮なくお尋ねください。
まとめ
生成AIの安全対策は、
①業務利用は学習されないプランに揃える
②入れて良い情報の線引きを1枚作る
③利用を見える化する
まずはこの3つで十分です。
「自社の場合はどのツールをどう入れればいいか」「社内ルールをどう作ればいいか」といった相談も受け付けています。AI活用は弊社自身が毎日実践していることなので、壁打ちからお気軽にどうぞ。