法人でChatGPTを使い始めたものの、「社員がどんな情報を入力しているのか把握できていない」とお感じではないでしょうか。顧客の個人情報、取引先との契約内容、未公開の事業計画——これらが気づかないまま外部のAIサービスに送信されているリスクがあります。
この記事では、法人がChatGPTを業務利用したときに起きやすい情報漏洩のシナリオを5つ取り上げ、組織として今すぐ実施できる防御策を解説します。すでに社員が使い始めているという経営者の方にも、今日から動ける具体的な手順をお届けします。
なぜ今、ChatGPTによる情報漏洩が法人で深刻なのか
ChatGPT(OpenAI社)は2022年末の公開以来、文書の要約・メール下書き・契約書チェック補助など、業務効率化ツールとして急速に普及しています。試しに使ってみた社員が業務データを入力する——この自然な流れが、企業にとって見えにくいセキュリティホールになっています。
OpenAIの利用規約(2026年4月時点)では、法人向け「ChatGPT Enterprise」ではユーザーデータを学習に使わないと明示されていますが、無料プランや個人向けPlus・Proプランには同等の保証がありません。多くの中小企業では、社員が個人アカウントでChatGPTを使っているのが実態です。「承認を得ていないツールを社員が使っている」状態、いわゆる「シャドーAI」は、情報セキュリティの管理外にデータが流出するリスクを意味します。
2023年3月には、OpenAIがChatGPTの履歴が他ユーザーに見える不具合を公表しました。同年、イタリアのデータ保護当局がGDPR違反の疑いでChatGPTへのアクセスを一時停止する措置を取ったことも国際的なニュースになりました。これらの出来事は、ChatGPTが便利なツールである一方で、企業の情報管理ポリシーと両立させる設計が不可欠であることを示しています。
さらに、国内でも個人情報保護委員会が生成AIの業務利用に関するガイダンスを強化しており、「外部AIサービスへの個人情報の提供には本人の同意が必要になり得る」という見解が示されています。士業・医療・金融など守秘義務が課せられる業種では、より一層の注意が求められています。社員10名の事務所であっても、個人情報を扱う以上は例外なく対応が必要です。
法人が陥るChatGPT情報漏洩シナリオ5つ
シナリオ1:顧客情報を含む文書の貼り付け
税理士や社労士事務所では、顧客の確定申告書・給与台帳・社会保険情報など、守秘義務の対象となる情報を日常的に扱います。スタッフが「この書類の要点をまとめてほしい」とChatGPTに文書を貼り付けるケースが増えています。企業向けプランでない場合、入力した内容はOpenAIのサーバーに保存され、モデルの改善に使われる可能性があります。
士業にとって顧客情報の漏洩は、信頼失墜だけでなく、弁護士法・税理士法・社会保険労務士法に基づく守秘義務違反として行政処分の対象になりえます。顧客の年収・資産状況・家族構成といった情報は、本人が最も外部に出ることを嫌う情報のひとつです。「知らなかった」では済まない深刻な問題です。
Before:スタッフが顧客Aさんの給与計算をChatGPTに任せ、氏名・生年月日・年収・扶養家族の氏名を含むデータをそのまま貼り付けた。
After:匿名化ルールを導入し、「AさんのデータをX氏に置き換えた上で給与計算の確認を依頼」に変更した。
シナリオ2:未公開の事業計画・M&A情報の入力
新事業の企画書、M&Aの検討資料、未公開の新製品スペック——これらを「もっと説得力のある文章に直してほしい」とChatGPTに依頼する社員が増えています。上場企業はもちろん、上場準備中の企業や上場企業と取引関係にある非上場企業でも、M&A情報の取り扱いには細心の注意が必要です。
金融商品取引法では、インサイダー情報の漏洩に対して10年以下の懲役または3,000万円以下の罰金が規定されています(2026年4月時点)。ChatGPTへの入力が「外部への提供」とみなされるかどうかは法的解釈の問題ですが、リスクを考えれば未公開情報の入力は避けるべきです。「文章を磨くだけ」という感覚が、最も危険な落とし穴です。
シナリオ3:取引先・社員の個人情報を含むメール下書き
「取引先のABC商事・田中様に合わせた提案メールを作って」という依頼に、担当者が過去のメール原文を添付したり、取引先の担当者情報(役職・連絡先・購買履歴)を入力したりするケースがあります。改正個人情報保護法(2022年施行)では、個人情報を第三者に提供する際には本人の同意が原則として必要です。
外部のAIサービスへの入力が「第三者提供」に該当するかは解釈によりますが、個人情報保護委員会の指針では「クラウドサービスへの提供」として取り扱いを求めています。同意なしに顧客情報をChatGPTに入力している場合、法的なリスクが生じる可能性があります。取引先との関係においても、情報の扱い方が信頼に直結します。
シナリオ4:ソースコードや技術仕様の流出
開発チームを持つ企業や、IT担当が兼任している企業で、自社システムのコードをChatGPTに貼り付けてデバッグやコードレビューを依頼するケースがあります。コードには接続先のデータベース情報・APIキー・管理者パスワードが埋め込まれていることも多く、これらが外部に漏れると不正アクセスの直接的な経路になります。
2023年には、大手半導体メーカーの社員が社内の機密情報をChatGPTに入力したとして問題になった事例が報じられました。GitHubのリポジトリで認証情報が誤って公開されてしまう事故と同様の構図が、ChatGPTでも起きています。1件の認証情報流出がシステム全体の乗っ取りにつながるケースもあり、エンジニア部門への周知は最優先課題のひとつです。
シナリオ5:会議録・議事録の丸ごとアップロード
Zoom会議の文字起こしや議事録をChatGPTで要約させる利用は急増しています。これらの文書には参加者の氏名・発言内容・未確定の意思決定事項・交渉の内幕などが含まれており、外部に流出した場合の影響は計り知れません。特に取締役会議や経営会議の内容は、株主・取引先・従業員との信頼関係に直接影響します。
役員の人事決定や報酬情報が含まれていれば、個人情報保護上の問題も生じます。議事録の要約という一見無害な作業が、組織の意思決定プロセスをまるごと外部に提供することになる点を、多くの管理職は意識していません。「便利だから使った」という一言では取り返しのつかない事態につながりかねません。
シナリオ別リスク比較:何が問題になるか一覧表
各シナリオのリスク分類と重大度を整理します。
| シナリオ | 関連する法・規制 | 漏洩した場合の影響 | 発覚しにくさ | リスク重大度 |
|---|---|---|---|---|
| 顧客情報の貼り付け(士業) | 各士業法の守秘義務・個人情報保護法 | 行政処分・顧客との契約解除・信頼失墜 | 高い(本人が気づかない) | ★★★★★ |
| 未公開事業計画・M&A情報 | 金融商品取引法・秘密保持契約 | インサイダー疑義・取引先との関係悪化 | 高い | ★★★★★ |
| 取引先・社員の個人情報 | 個人情報保護法・GDPR(海外顧客時) | 個人情報委員会への報告義務・賠償リスク | 中程度 | ★★★★☆ |
| ソースコード・認証情報 | 不正アクセス禁止法・営業秘密保護 | 不正アクセス・システム乗っ取り・データ消失 | 非常に高い(外部から悪用されて初めて発覚) | ★★★★★ |
| 会議録・議事録 | 個人情報保護法・内部情報管理規定 | 経営情報の外部流出・取引先への信頼損傷 | 高い | ★★★★☆ |
すべてのシナリオに共通しているのは「発覚しにくい」という点です。情報が流出しても、組織は長期間気づかないことが多く、損害が明らかになった時点ではすでに手遅れというケースが少なくありません。
組織的な防御策:情報漏洩ゼロを実現する4つの柱
1. 利用プランの統一(企業向けプランへの移行)
最初にやるべきことは、社員が使っているChatGPTのプランを把握し、企業向けプランへ統一することです。OpenAIが提供する「ChatGPT Team」(2026年4月時点、月額25ドル/ユーザー〜)または「ChatGPT Enterprise」はゼロデータリテンションポリシーを採用しており、入力データはAIの学習に使われません。
無料プランを使っている社員がいる組織は、まずこの一点を改善するだけでリスクを大きく下げられます。IT管理者がいない中小企業でも、利用実態の把握は社内アンケートと経費申請の確認で対応できます。「把握していない」という状態を放置することが最大のリスクです。月額2,500円〜3,500円程度のコストで情報漏洩リスクを大幅に低減できると考えれば、対費用効果は高い投資です。
2. AI利用ガイドラインの策定と全社周知
ChatGPTの利用を管理するためには、「何を入力してよいか・何は入力禁止か」を明文化したガイドラインが必要です。策定には必ずしも専門家は不要で、経営者と情報管理担当者が1〜2時間かければ初版を作れます。
入力禁止カテゴリとして最低限含めるべき内容は以下のとおりです。
・顧客・取引先の個人情報: 氏名・連絡先・契約金額・購買履歴等
・財務・事業情報: 未公開の決算情報・M&A関連資料・事業計画書
・認証情報: パスワード・APIキー・トークン等
・会議・人事情報: 役員会議の議事録・採用・評価に関する内容
・法的文書: 契約書・覚書・訴訟関連資料の原文
策定したガイドラインは全社員に周知し、入社時研修と年1回の確認を仕組み化することが重要です。文書を作るだけでは意味がなく、日常業務の中で「これは入力していいのか」と立ち止まれる文化の醸成が求められます。
3. 匿名化・マスキングの運用ルール
機密性の高い情報をAIで処理する必要がある場合は、入力前に情報を匿名化・マスキングするルールを設けます。具体的には、「顧客Aさん」を「X氏」に、「契約先B社」を「Y社」に置き換えてから入力し、AIの出力結果を社内で元情報に当てはめるという手順です。
税理士・社労士事務所では、この匿名化ルールの徹底が特に有効です。手間は30秒〜1分程度増えますが、守秘義務を守りながら生産性向上の恩恵を受けられます。Before(匿名化なし)の場合、1件の入力ミスが取り消せない情報流出につながります。After(匿名化あり)では、万が一データが外部に出ても個人の特定につながらないため、リスクを最小化できます。この一手間が組織を守ります。
4. 社内専用AIの導入検討
根本的なリスクを排除したい場合は、情報を外に出さない社内専用AI(ローカルLLM)の導入を検討する価値があります。社内専用AIとは、自社サーバー内でAIモデルを動かす仕組みで、データが外部のクラウドサービスに送られないため情報漏洩リスクを根本から排除できます。
導入コストはサーバー費用とセットアップ費用がかかりますが、ChatGPT Teamプランを社員20名で契約した場合の年間費用(約60万円〜)と比較すると、中長期的にはコスト有利になる場合があります。士業・医療・製造業など機密情報を扱う業種での問い合わせが増えており、当社でも中小企業向けの社内専用AI導入支援を提供しています。「外部クラウドには絶対に出せない情報がある」という経営判断がある場合は、ぜひご相談ください。
よくある質問
Q. ChatGPT Enterpriseを使えば情報漏洩の心配はゼロになりますか?
完全にゼロとは言えません。ChatGPT Enterpriseはデータの学習利用を行わず、ゼロデータリテンションポリシーを採用していますが、入力したデータはOpenAIのサーバーを経由します。機密性が極めて高い情報を扱う場合は、社内専用AIの導入をあわせて検討することをお勧めします。また、Enterprise契約であってもフィッシング攻撃やアカウント乗っ取りによる二次被害には別途対策が必要です。
Q. 社員がすでに個人アカウントでChatGPTを使っていた場合、どう対応すればよいですか?
まず利用実態を把握するためのアンケートを実施し、どの部門でどのような用途に使われているかを確認します。次に、企業向けプランへの移行案内と合わせて、入力禁止情報のリストを全社に通知します。過去の入力履歴は取り消せませんが、今後のルール整備と教育によってリスクを大幅に低減できます。「知らなかった社員」を責めるのではなく、仕組みで防ぐ姿勢が組織として正しい対応です。
Q. 中小企業でも個人情報保護法の適用を受けますか?
はい、適用されます。個人情報保護法は規模に関わらず、個人情報を取り扱うすべての事業者が対象です。「従業員5,000人以下は対象外」という制度は2015年の改正で廃止されており、現在は業種・規模を問わず対象となっています。1名でも個人情報を扱う事業者であれば、適切な管理が求められます。
Q. AIの利用を社内で全面禁止にすれば済む話ではないですか?
禁止だけでは現実的な対策になりません。社員がスマートフォンの個人アカウントを使って業務データをAIに入力するリスクを排除できず、むしろ「禁止しているから報告しない」という状況を生み出す可能性があります。適切なルールと安全なツールを提供することで、業務効率化のメリットを享受しながらリスクを管理する姿勢が現実的です。利用を禁止するのではなく、「安全に使える環境を整える」という発想が重要です。
Q. 情報漏洩が起きた場合、会社として何をしなければなりませんか?
個人情報が漏洩した場合、改正個人情報保護法(2022年施行)では原則として個人情報保護委員会への報告と本人への通知が義務付けられています。報告が必要な件数の要件(概ね100人以上の個人情報が流出した場合など)を超える場合は、72時間以内の速報が求められます。また、守秘義務違反となる士業の場合は顧客への説明責任と監督官庁への報告も生じます。事前に「インシデント対応手順書」を準備しておくことが重要です。
ChatGPT業務利用前・利用中チェックリスト
以下の項目を確認してから、ChatGPTの業務利用を開始・継続してください。
・プランの確認: 社員全員が企業向けプラン(Team または Enterprise)を使っているか
・ガイドラインの整備: 入力禁止情報のリストを文書化し、全社員に周知しているか
・匿名化ルールの適用: 個人名・社名・金額等を含む情報を入力する際、匿名化・マスキングを行う手順があるか
・シャドーAIの把握: 個人アカウントで業務データを入力している社員がいないか確認したか
・教育・研修の実施: 情報セキュリティ研修の中にAI利用ルールを組み込んでいるか
・インシデント対応手順: 情報漏洩が発覚したときの報告ルートと対応手順を明文化しているか
・定期レビューの設定: AI利用ガイドラインを年1回以上見直すスケジュールを設けているか
7項目すべてに「対応済み」と言えない場合は、優先度の高い項目から着手することをお勧めします。
本記事のまとめ
法人がChatGPTを業務利用する際の情報漏洩リスクは、「知らなかった」では済まない法的・信頼上の問題に発展する可能性があります。本記事では5つのシナリオと組織的な防御策を紹介しました。
まず取り組むべき優先順位を整理すると、①社員の利用プランの把握と企業向けプランへの移行、②入力禁止情報を明記したガイドラインの策定と周知、③匿名化・マスキングの運用ルール導入、の3点です。これらを実施するだけで、日常的な情報漏洩リスクの大部分をカバーできます。
さらに一歩進んで「外部クラウドに情報を出したくない」とお考えの場合は、自社サーバー内AIの導入という選択肢もあります。当社では中小企業・士業向けのAI活用支援を提供しており、コンプライアンスと生産性を両立する最適解をご提案しています。
「社員がどこまでAIを使っているか把握できていない」
「ガイドラインをどこから作ればいいか分からない」
「守秘義務のある業種でも安心して使える環境を整えたい」
株式会社イーネットマーキュリーでは、中小企業・士業向けのAIコンプライアンス相談を無料で承っています。
お気軽にお問い合わせください。
