ChatGPT業務利用の禁止事項と社内セキュリティポリシーの作り方

ChatGPT業務利用の禁止事項とセキュリティポリシーの作り方を案内するミフオ

「ChatGPTは便利だから各自の判断で使ってよい」とした結果、社員が顧客リストをそのまま入力していた。禁止事項とポリシーが先にないと、事故は使い始めた翌日に起きます。

ChatGPTを業務に導入する企業が増えています。一方で「何を入力してよいか」「どのプランで使うか」を決めないまま、現場の利用が先行しているケースは少なくありません。

この記事では、ChatGPTを業務利用する際に定めるべき禁止事項と、社内セキュリティポリシーの具体的な作り方を整理します。そのまま使えるポリシー文例も掲載しています。

この記事でわかること(結論)

  • 禁止事項の3分類:個人情報・経営情報・認証情報の3種を具体例付きで押さえられます。
  • セキュリティポリシーの基本項目:利用対象者・プラン選定・データ管理・出力責任の4項目がわかります。
  • 現場の事故パターンと対策:コピペ事故・鵜呑み・外部共有ミスの3パターンと防ぎ方がわかります。
  • 禁止の代わりになる安全運用:匿名化・要約ルール・レビュー体制の具体的なやり方がわかります。
  • ポリシー文例:社内展開にそのまま使えるテンプレートが手に入ります。

ChatGPTの業務利用でまず決めるべき禁止事項

ミフオがホワイトボードでChatGPTへの入力禁止情報(個人情報・経営情報・認証情報)を示している画像

禁止事項は「個人情報」「経営情報」「認証情報」の3分類で整理します。3つに分けておくと、現場の担当者が迷ったときに「どのカテゴリに当てはまるか」で判断できます。

個人情報・顧客情報

氏名・住所・電話番号・メールアドレスなど、個人を特定できる情報は入力禁止です。顧客リスト、取引先の担当者名、従業員の人事評価・給与情報も含みます。ChatGPTの無料プランでは入力データがモデルの学習に使われる可能性があり、一度入力した情報の削除を保証できません。

未公開の経営情報・契約情報

決算前の売上データ、M&A検討資料、未発表の製品・サービス情報、契約書の条件・金額など、社外に漏れた場合に経営上の損害が生じる情報は入力しません。「社内では当たり前の数字」でも、外部に出れば重大なインシデントになります。

認証情報・ソースコード・機密文書

パスワード、APIキー、社内システムのソースコード、NDA対象の文書は入力禁止です。特にAPIキーは入力するだけで第三者に悪用されるリスクがあります。「コードのバグを直したい」という意図でも、認証情報が含まれていないか確認してから入力してください。

ChatGPT向け社内セキュリティポリシーの基本項目

ポリシーは「誰が使うか」「どのプランで使うか」「データをどう扱うか」「出力の責任は誰か」の4軸で設計します。この4つが決まっていれば、現場で判断に迷う場面が大幅に減ります。

利用対象者

全社員に開放するか、部署や役職で限定するかを決めます。最初から全社展開せず、情報リテラシーの高い部署から段階的に広げる方法が安全です。管理職の承認を利用開始の条件にするかどうかも明記します。

利用可能プラン・アカウント管理

ChatGPTのプランによってデータの扱いが異なります。無料プランは入力データがモデル学習に利用される可能性があるため、業務利用には原則としてTeamプランまたはEnterpriseプランを前提にします。個人アカウントでの業務利用は禁止し、法人契約の管理アカウントに統一してください。

データ保存と共有ルール

会話履歴の保存期間、共有リンク機能の使用可否、出力結果のローカル保存ルールを定めます。ChatGPTの共有リンクは、URLを知っている人なら誰でも会話内容を閲覧できます。業務利用では共有リンクの使用を原則禁止とし、必要な場合は管理者の承認を必須にします。

出力の確認責任

ChatGPTの出力をそのまま社外に出さないことを明文化します。数値や法的情報は必ず人間が裏取りすること、出力に自分の名義で署名する場合は内容の責任を自分が負うことをポリシーに含めます。「AIが言ったから」は社外への説明として通用しません。

現場で起きやすい事故と対策

ChatGPT入力情報の3分類を示す図解。禁止(個人情報・経営情報・認証情報)、条件付き許可、許可をカード型で整理

現場で多い事故は「コピペ事故」「鵜呑み」「外部共有ミス」の3パターンです。いずれも「手順を1つ挟む」だけで防げます。

コピペ事故

社内資料をそのままChatGPTに貼り付けてしまい、機密情報が外部に送信されるケースです。防ぐには、入力前に「この情報は外部に出してよいか」を確認する1ステップを挟みます。チーム内で「入力前チェックシート」を作り、コピペの前に3秒だけ立ち止まる習慣をつけてください。

誤回答の鵜呑み

ChatGPTの回答をそのまま顧客に送り、誤った情報を伝えてしまうケースです。ChatGPTは自信を持って間違える特性があります。社外に出す文書・メールにAI出力を使う場合は、必ず別の情報源で事実確認してから送付するルールを設けます。

外部共有ミス

ChatGPTの共有リンクを社外の相手に送ってしまい、社内の会話内容が丸見えになるケースです。共有リンクの利用を禁止するか、Teamプランで管理者が共有範囲を制御する設定にします。

▶ 組織全体のガイドライン設計は生成AIの社内ガイドラインの作り方。ひな形構成と6つの決定事項をご参照ください。

禁止だけで終わらせない安全な代替運用

「禁止」だけでは現場は守りません。「こう使えば安全」という代替手段を示すことで、禁止事項の実効性が上がります。

匿名化して相談する

固有名詞を一般名詞に置き換えてから入力します。「A社のB氏」は「取引先担当者」に、具体的な売上金額はダミーの数値に差し替えます。情報の構造は残しつつ、特定できる要素だけを抜く方法です。

社内文書の要約ルール

機密文書そのものを入力するのではなく、要旨だけを入力して要約や整理を依頼します。固有名詞と数値を抜いた状態で依頼すれば、文書の構造化や論点整理にChatGPTを安全に活用できます。

レビュー体制を作る

AI出力のレビュー担当を決めます。重要度の高い出力(社外向け文書・意思決定に使う分析)は上長の確認を経てから使用する運用にします。レビューは「内容が正しいか」と「機密情報が混入していないか」の2つの観点で行います。

▶ バックオフィスでの具体的な安全利用法はバックオフィスの生成AI活用ガイド。個人情報を守る使い方と注意点をご参照ください。

そのまま使えるポリシー文例

以下の3分類表をベースに、自社の業務内容に合わせて調整してください。「条件付き許可」の列を充実させることが、現場が実際に守れるポリシーのポイントです。

ミフオが赤い旗を掲げ「その入力、本当に大丈夫?」とギザギザ吹き出しで注意を促す画像

分類 対象 条件・備考
禁止 個人情報・顧客情報 氏名・住所・連絡先・評価情報など。例外なし
禁止 未公開の経営情報 決算前データ・M&A資料・未発表情報
禁止 認証情報・ソースコード パスワード・APIキー・NDA対象文書
条件付き許可 社内文書の要約・整理 固有名詞・数値を除去してから入力
条件付き許可 メール・報告書の下書き 送信前に人間がレビュー。社外送付時は上長確認
条件付き許可 アイデア出し・壁打ち 機密に触れない範囲で利用。出力の採否は人間が判断
許可 一般的な調べもの 公開情報の整理・翻訳・言い換え
許可 文章の校正・推敲 機密情報を含まないテキストに限る

▶ 導入前のセキュリティ評価の進め方はAI導入前のリスク評価とは?セキュリティ確認の4ステップをご参照ください。

まとめ

ChatGPTの業務利用では、まず禁止事項を「個人情報」「経営情報」「認証情報」の3分類で明確にします。その上で、利用対象者・プラン・データ管理・出力責任の4項目でセキュリティポリシーを設計してください。

禁止するだけでなく「匿名化すれば使える」「レビューを通せば使える」という代替手段をセットで示すことが、現場が実際に守れるポリシーになるかどうかの分かれ目です。

▶ 企業の生成AI導入の意思決定プロセス全体は企業の生成AI導入で管理職が最初に決めるべき5つのことをご参照ください。

運営元について

AXメディアは、株式会社ジーズ AX事業部が運営しています。AX事業部では、AI研修・AIエージェント開発・ローカルLLM開発・補助金/助成金の活用支援を提供しています。

AX事業部のサービスを見る

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

こおじのアバター こおじ AXメディア ディレクター

「実務直結・標準化」を信条とする、AXメディアのディレクション担当。さくらこのセンパイ。個人のスキルに頼らない「仕組みとしてのAI活用」を追求しており、こおじが考案するプロンプト(センパイメソッド)は社内でも高く評価されている。