Blog / ブログ
中小企業のAIセキュリティ完全ガイド|Claude/ChatGPTで情報漏洩を防ぐ実践チェックリスト【社員配布用テンプレ付き】
AI活用
「Claudeを社内に広めたいが、社員が変なものを入力して情報漏洩が起きないか怖い」――宮崎の中小企業経営者と話していて、AI導入のいちばんの不安はここに集中します。
正解は単純で、入れていい情報・ダメな情報の境界線を社内で明文化し、社員全員にチェックリストを配るだけです。難しい技術対策は必要ありません。
この記事では、中小企業がAIを安心して社内導入するためのAI セキュリティの基本を、「入力禁止情報7分類」「社内規程テンプレ5項目」「社員教育30分」「漏洩時の初動3ステップ」の4セットで完全解説します。すぐ社員に配れるチェックリストと規程テンプレもそのまま使える形で掲載します。
免責: 本記事は中小企業のAI利用に関する一般的なガイダンスです。個別の法務判断は弁護士・社労士など専門家にご相談ください。
なぜ中小企業のAI情報漏洩は他人事ではないのか
大手企業の事例から見える共通パターン
過去数年で報道された生成AIによる情報漏洩事例には、共通パターンがあります。
- 社員が社外秘の設計図・ソースコードをChatGPTに貼り付けて要約させた
- 営業担当が顧客リストを含む議事録をAIで要約しようとした
- 採用担当が応募者の履歴書をAIで自動評価させた
いずれも「便利だから使った」という現場判断が原因です。悪意ではなく、ルールが社内になかったことが本当の原因でした。
中小企業特有のリスク
中小企業は大手と違い、こんな状況にあります。
- 情シス部門がない:技術的な対策を施す担当者がいない
- AI利用ガイドラインが未整備:「とりあえず使ってみて」で広がっている
- 個人アカウントで業務利用:社員が自宅で個人プランを使い、会社の情報を入力する
中小企業のほうがむしろリスクは高いのが現実です。
「うちは小さいから狙われない」という思い込み
「うちのような小さな会社の情報なんて、誰も興味ない」と思うかもしれません。しかし問題は外部からの攻撃ではなく、自社の情報が外部AIの学習データに混入することです。
たとえば取引先のNDA対象資料を社員がClaudeに貼り付けて要約させた場合、NDA違反で取引停止になる可能性があります。情報漏洩は「狙われる」のではなく、社員の不注意で「漏らしてしまう」リスクです。
入力してはいけない情報7分類(社員配布用チェックリスト)
ここが本記事の核心です。社員が判断に迷うことなく即座に「これはダメ」と分かるチェックリストを作りました。社内で印刷・配布してそのまま使えます。
①個人情報(氏名・住所・電話番号・メールアドレス)
NG例:「以下の顧客リストを業種別に分類して」→ 氏名・連絡先入りCSV貼り付け
個人情報保護法上、本人の同意なく第三者(AIサービス事業者)に提供することはできません。集計や分類が必要な場合は、氏名を「顧客A、顧客B」に置換してから渡すのが鉄則です。
②取引先の機密情報(契約書・見積書・NDA対象資料)
NG例:「この契約書のリスク条項を整理して」→ 取引先名入り契約書のPDFを添付
NDA(秘密保持契約)対象の資料は、取引先の許可なくAIに入力するとNDA違反になります。社名を伏せても、文脈から特定可能な情報があれば同じくNGです。
③未公開の財務情報(売上・利益・原価・人件費)
NG例:「うちの今期の売上3億円、利益5,000万円から来期目標を立てて」
未公開財務情報は、上場/非上場に関わらず経営判断の核となる情報です。「弊社」「ある会社」と抽象化するか、比率・倍率に変換してから相談しましょう。
④採用候補者・社員の評価情報
NG例:「以下の応募者5名の履歴書を評価して採用順位をつけて」
応募者・社員の評価情報は個人情報+センシティブ情報の合わせ技です。万一漏洩した場合、当事者からの訴訟リスクもあります。氏名・所属を完全に匿名化してから一般論として相談するのが安全です。
⑤パスワード・APIキー・認証情報
NG例:「このAPIキーで動くプログラムを書いて」→ 実際のキーを貼り付け
これは絶対NGの最たるものです。APIキーやパスワードは絶対にAIに入力せず、{API_KEY} のような変数名で置換してから相談します。
⑥未公開の事業計画・M&A情報
NG例:「来月発表予定の新サービス『○○』のプレスリリース原稿を書いて」
未発表の事業計画は、情報漏洩=ビジネスインパクトに直結します。新サービス名や具体的な数値を伏せ、仮称・仮の数字で相談する運用にしましょう。
⑦顧客のクレーム・トラブル個別情報
NG例:「○○様からのクレームメール、返信文を書いて」→ 顧客名入りメール本文を貼り付け
クレーム情報は個人情報+紛争情報のセンシティブな組み合わせです。顧客名・案件名を「お客様」「該当案件」に置換してから相談してください。
この7分類は記事#9の失敗7パターンとあわせて読むと、より具体的に回避策が分かります。
主要AIサービスのデータ取扱仕様(2026年5月版)
入力したデータがAIサービス事業者にどう扱われるかを把握しておくことが、社内ルール作りの前提です。
Claude(Anthropic)の仕様
| 項目 | 個人プラン(Free/Pro/Max) | 法人プラン(Team/Enterprise) |
|---|---|---|
| 学習利用 | デフォルトで利用される | 利用されない(企業がコントローラー) |
| オプトアウト | アカウント設定から可能 | デフォルトで対象外 |
| データ保存 | 削除後30日以内に自動削除 | 同左 |
| 安全性レビュー | スタッフが見る可能性あり | 同左(違反検知時) |
ポイント:個人プランをそのまま業務で使うと、入力情報がAIの学習データに混入する可能性があります。社内導入を本格化するならTeamプラン以上が安全。
ChatGPT(OpenAI)の仕様
| 項目 | 個人プラン(Free/Plus) | 法人プラン(Team/Enterprise/API) |
|---|---|---|
| 学習利用 | デフォルトで利用される | 利用されない |
| オプトアウト | 設定→データコントロールから可能 | デフォルトで対象外 |
| データ保存 | 30日(オプトアウト時) | 同左 |
| 安全性レビュー | 違反検知時に確認あり | 同左 |
ポイント:ChatGPTもClaudeと同様、個人プランは学習利用がデフォルトON。社員が自宅で個人プランで業務情報を扱う運用は危険です。
学習利用オフ設定のチェック方法(個人プラン使用時)
社員に今すぐ確認してもらうことを推奨します。
【Claude】
1. 画面右上のアカウントアイコンをクリック
2. Settings → Privacy
3. 「Help improve Claude」をオフに設定
【ChatGPT】
1. 画面右下のアカウントアイコンをクリック
2. Settings → Data controls
3. 「Improve the model for everyone」をオフに設定ただし、オフにしても安全性レビュー時の確認は対象外ではないことに注意。本当に機密性が高い情報は、設定に関わらずAIに入力しないのが原則です。
中小企業がすぐ作れるAI利用社内規程の作り方(5項目テンプレ)
以下の5項目をそのまま社内規程として採用できます。会社名・サービス名を埋めるだけで運用開始できます。
①利用してよいAIサービスを指定
【AI利用社内規程 第1条 利用可能サービス】
業務利用が許可される生成AIサービスは以下に限定する:
- Claude(株式会社○○契約のTeamプラン)
- ChatGPT(株式会社○○契約のTeamプラン)
個人プランの業務利用は禁止する。②入力禁止情報を明記
【第2条 入力禁止情報】
以下の情報は生成AIに入力してはならない:
1. 個人情報(氏名・住所・電話番号・メールアドレス)
2. 取引先の機密情報(契約書・見積書・NDA対象資料)
3. 未公開の財務情報(売上・利益・原価・人件費)
4. 採用候補者・社員の評価情報
5. パスワード・APIキー・認証情報
6. 未公開の事業計画・M&A情報
7. 顧客のクレーム・トラブル個別情報
抽象化・匿名化したうえで相談することは可能。③利用シーンと承認フロー
【第3条 利用シーンと承認】
- 日常業務(メール下書き・要約・調査):承認不要
- 顧客向け公開資料の作成:上長承認後に利用
- 機密性の高い社内資料の作成:所属長+情シス担当の承認後に利用
- AIに新規にデータベース等を読み込ませる場合:経営層の承認必須④違反時の対応
【第4条 違反時の対応】
本規程に違反した場合、以下の対応を行う:
1. 該当社員へのヒアリング
2. 入力情報の影響範囲調査
3. 関係先(顧客・取引先)への報告(必要な場合)
4. 再発防止のための研修受講
5. 重大な違反は就業規則に基づき対処⑤定期見直しのタイミング
【第5条 規程の見直し】
本規程は以下のタイミングで見直す:
- 年1回(4月の年度初め)
- AIサービスの仕様変更があった場合
- 業界で重大な情報漏洩事案が発生した場合
- 新規AIサービスの導入を検討する場合この5項目テンプレは、記事#11の役割プロンプト完全ガイドで紹介した「人事担当ロール」のClaudeに渡せば、自社用の規程文書としてさらに肉付けしてくれます。
社員教育のやり方|30分でできる初回研修の進め方
規程を作っても、社員が理解していなければ意味がありません。30分の初回研修で全社員にインプットする手順です。
研修30分の構成案
| 時間 | 内容 |
|---|---|
| 0〜5分 | なぜAIセキュリティが重要か(事例3つ) |
| 5〜15分 | 入力禁止情報7分類の解説(具体例つき) |
| 15〜20分 | 社内規程5項目の読み合わせ |
| 20〜25分 | 質疑応答(よくある質問) |
| 25〜30分 | チェックリスト配布と署名 |
スライド資料は記事#11の役割プロンプトで「研修講師AI」を作り、社内向けスライド原稿を一気に作るのが効率的です。
一人ひとりに渡すチェックリスト(A4 1枚)
【AI利用 セルフチェックリスト】
業務でClaude/ChatGPTに入力する前に、以下を確認しましょう。
□ 個人情報(氏名・住所・電話番号)を含まないか
□ 取引先の機密情報を含まないか
□ 未公開の財務情報を含まないか
□ 採用候補者・社員の評価情報を含まないか
□ パスワード・APIキーを含まないか
□ 未公開の事業計画・M&A情報を含まないか
□ 顧客のクレーム・トラブル個別情報を含まないか
→ 1つでも該当する場合:
匿名化・抽象化してから入力する/または相談しない
研修受講日: / /
所属: 氏名: 署名:入社時オリエンへの組み込み
新入社員・中途入社者に対しても、入社時オリエンテーションの必須項目として組み込んでください。記事#13のProjects完全活用ガイドで「社員研修用Projects」を作っておけば、いつでも同じ品質の研修ができます。
もし情報漏洩が起きたら|初動対応3ステップ
万全の対策をしても、万一の事態は起こり得ます。起きた直後の3ステップを経営者として把握しておいてください。
Step 1:状況把握(漏洩後30分以内)
- 誰が:該当社員の特定
- 何を:入力した情報の内容(スクリーンショット取得)
- どこに:使ったAIサービス(Claude / ChatGPT / その他)
- いつ:日時の特定
- どのプランで:個人プランか法人プランか
この5点をまず30分以内に把握します。社員を責める段階ではなく、事実確認が最優先です。
Step 2:影響範囲特定(漏洩後2時間以内)
- 入力情報に個人情報は含まれていたか
- 取引先の機密情報は含まれていたか
- 漏洩した場合、法的義務は発生するか(個人情報保護法、業界規制、契約義務)
- 取引先・顧客への説明責任は発生するか
判断に迷う場合は、弁護士・社労士・行政書士など顧問専門家に即連絡してください。
Step 3:関係先連絡+再発防止(漏洩後24時間以内)
- 個人情報を含む場合:個人情報保護委員会への報告(要件次第で義務)
- 取引先機密の場合:取引先への連絡+謝罪
- 社内:緊急の研修+規程改定
初動を誤ると、企業の信用毀損につながります。「隠す」「様子を見る」は最悪の選択です。
安心して社内浸透させる選択肢
ここまで読んで「規程作りも社員教育も自社だけで進めるのは現実的に難しい」と感じた経営者向けに、私たちは月額制の伴走コンサル「Claude導入支援」を提供しています。
AI セキュリティ規程の作成支援、社員研修の実施、情報漏洩リスク評価まで、3か月〜6か月で社内に安全に定着させる支援を行っています。詳細はClaude導入支援サービスページを参照してください。
無料の30分相談(オンライン)では、自社のAI利用状況の棚卸しと、優先的に整備すべきセキュリティ施策のアドバイスを行います。
まとめ|中小企業のAIセキュリティは「ルール」「教育」「初動」の3点セット
この記事のポイントを3つにまとめます。
- ルール:入力禁止情報7分類+社内規程5項目テンプレで明文化
- 教育:30分の初回研修+チェックリスト署名で全社員にインプット
- 初動:万一の事態は30分以内の事実把握+24時間以内の関係先連絡
AI セキュリティは、最新のサイバー攻撃対策のような高度な技術ではありません。社員全員が「何を入れていいか/ダメか」を判断できる状態を作るだけで、リスクの9割は防げます。
シリーズ記事として失敗7パターン、Projects完全活用ガイド、スタートガイドもあわせて読むと、自社のAI導入ロードマップが安全に組めます。
宮崎の中小企業が安心してAI活用を進めるために、まずは今日、社員に7分類チェックリストを配るところから始めてみてください。
執筆者
株式会社multi-solution | 宮崎の中小企業のClaude(クロード)導入を支援。月額3プラン+単発相談プランで、AIセキュリティ規程の整備から社員研修、社内人材を「教える側」に育てるOJTまで、伴走型コンサルティングを提供しています。