Blog 業務効率化・自動化

生成AIポリシー不在の危険|中小企業が部門別ルールで防ぐ漏洩の実態3例

公開 2026.06.29 ・ 読了目安 約15分

「うちは特に決めていないけど、各部署が便利だからとChatGPTを使い始めているらしい」——中小企業の情報システムや総務の担当者からは、こうした不安が定番の悩みです。誰が、どの業務で、どんな情報を入力しているのか把握できていない。けれども「禁止すると現場が反発するし、生産性も落ちる」と感じて、ルールづくりに踏み切れないまま数ヶ月が過ぎている、という状態です。

この記事では、生成AIのポリシー(運用ルール)が部門に存在しないまま使われ続けると、どんな情報漏洩が起こりうるのかを営業・人事総務・開発の3部門の実態に沿って整理し、部門別ルールがあると何を守れるのか、そして自社だけでルールを作りきる難しさはどこにあるのかを解説します。

30-SECOND SUMMARY忙しい方へ|この記事の結論
  1. 生成AIは月20ドル(約3,000円)程度から導入でき、ポリシーを決める前に各部門が先に使い始める「順序の逆転」が中小企業で広がっています。把握できない使い方=シャドーAIが空白を生みます。
  2. ルール不在では、営業の顧客情報・人事の個人情報・開発のAPIキーが、悪意なき入力から外部へ流出しうります。年に1,000件規模に達することもあり、流出リスクの約9割(90%)は人的ミスから生まれます。
  3. ルールは活用の妨げではなく安全に使う土台です。まずは入力禁止の3件を全社共有し、部門ごとに1〜2件の具体ルールを足すところから、30分の共有1回で始められます。

ポリシー不在のまま、各部門が思い思いに生成AIを使い始めている

本記事のテーマに関連するサービスとして、BoostXではAI自動化の支援を提供しています。

2023年以降、ChatGPTやClaude、Geminiといった生成AIは、月20ドル(約3,000円)程度の有料プランから1人単位で導入できる身近なツールになりました。2つ契約しても月6,000円程度で、1社あたりの初期負担はごく小さいものです。導入のハードルが下がったことは前向きな変化ですが、その裏で多くの中小企業が直面しているのが「会社として何も決めないうちに、現場が先に使い始めてしまう」という順序の逆転です。情報システムや総務が把握する前に、営業も人事も開発も、それぞれ自分の判断で生成AIを取り込み始めています。10人の部署なら10通りの使い方が、3日もあれば社内に広がっていきます。

把握できないまま広がる「シャドーAI」という空白

会社が公式に許可していないツールを、現場が業務で使う状態を「シャドーAI」と呼びます。社員が個人アカウントで無料版のChatGPTを開き、顧客とのやり取りや社内資料をそのまま貼り付けて要約させる。1人が1日に3件貼り付ければ、月20日で60件、年に700件を超える入力が積み上がります。悪意はなく、むしろ「早く仕事を片付けたい」という前向きな気持ちから起きます。問題は、その入力内容を会社側が1件も確認できない点です。10部門あれば10通りの使い方が、誰の目にも触れないまま並行して進んでいきます。

私は、こうした状況に対して全面禁止という判断は、かえって現場が黙ってツールを使う”シャドーAI”を生むだけになると考えています。便利さを一度知った現場は、禁止されても個人の端末でこっそり使い続けるからです。大切なのは、使わせないことではなく、安全に使える線引きを部門ごとに用意することです。

部門ごとに扱う情報が違うから、一律のルールでは守りきれない

営業が扱うのは顧客情報や商談メモ、人事総務が扱うのは個人情報や評価データ、開発や情報システムが扱うのはソースコードやAPIキーです。この3部門だけ見ても、守るべき情報の種類も漏れたときのダメージも大きく異なります。「会社全体で生成AIを使ってよい・悪い」という1枚の方針だけでは、各部門の現場で本当に必要な線引きには届きません。だからこそ、ポリシーは全社共通の3〜5件の基本方針と、部門ごとに1〜2件足す具体ルールの2階建てで考える必要があります。

ルール不在で起こりうる情報漏洩の実態3例(営業・人事総務・開発)

部門別の生成AI利用で起こりやすい情報漏洩と、部門別ルールで防げる観点の比較図
部門別に見た生成AI利用の漏洩リスクと、ルールで守れる観点

ここでは、ポリシーが無いまま生成AIが使われた場合に起こりうる情報漏洩を、営業・人事総務・開発の3部門に分けて整理します。いずれも特定の企業で起きた事例ではなく、中小企業で構造的に起こりやすいパターンとして読んでください。共通しているのは「悪意ではなく、便利さからの何気ない入力が引き金になる」という点で、1回の貼り付けが10件単位の情報流出につながります。

営業部門:顧客情報・商談メモをそのまま要約させてしまう

営業担当が、商談後のメモを生成AIに貼り付けて「議事録に整えて」と依頼する。この1回の操作で、相手企業の担当者名、検討中の金額、競合の名前、内部での懸念といった情報が、そのまま外部のサービスへ送られます。無料版や個人プランでは、入力した内容がAIの学習に使われる設定になっている場合もあり、その線引きを現場が正しく理解しているとは限りません。1人の営業が週5件の商談をこなせば、月20件、年に240件分の顧客情報が無管理のまま外へ出ていく計算になります。営業が5人いれば、年に1,200件規模に膨らみます。

個人情報保護委員会も、生成AIサービスに個人情報を入力する際の注意点について公的に注意喚起を行っています(生成AIサービスの利用に関する注意喚起等について(令和5年6月2日))。顧客の氏名や連絡先を含む商談メモは、まさにこの注意喚起が想定している情報そのものです。

人事・総務部門:個人情報・評価データの入力リスク

人事や総務は、社員の氏名、住所、マイナンバーに関わる書類、人事評価のコメントといった、最も機微な個人情報を日常的に扱います。「評価コメントの文面を整えたい」「就業規則の改定案をたたき台にしたい」といった場面で、社員個人が特定できる情報をそのまま生成AIへ入力してしまうと、本人の同意なく個人データを第三者のサービスへ提供したと評価されかねません。1人の評価データには10件以上の機微な情報が含まれることもあり、30人分をまとめて扱えば300件超の個人情報が1回の作業で外部に渡るおそれがあります。

私は、中小企業のデータ流出リスクの約9割(90%)は、高度なサイバー攻撃ではなく人的ミスから生まれると考えています。外部からの巧妙な攻撃よりも、「これくらいなら大丈夫だろう」という現場の小さな判断の積み重ねのほうが、はるかに多くの漏洩を生んでいるのが実態です。残りの1割(10%)の高度な攻撃に高額な対策費をかける前に、まず90%を占める人的ミスの入口を、ルール1枚で塞ぐほうが先決です。

開発・情報システム部門:ソースコード・APIキーの流出

開発や情報システムの現場では、エラーの原因を調べるためにソースコードをまるごと生成AIに貼り付けて「どこが悪いか教えて」と尋ねる使い方が広がっています。このとき、コードの中に接続用のパスワードやAPIキーが書かれたまま送信されると、自社システムの入口の鍵を外部に渡すのと同じことになります。APIキーが1本漏れれば、攻撃者はそのキーを使って正規の利用者になりすまし、課金や情報取得を行える場合があります。たった1回の貼り付け、1本のキーの流出が、復旧に数日かかる大きな損失に直結しかねません。

API版にすれば安心という声もよく聞きますが、私はこれを思考停止だと考えています。APIキーが1つ漏れたときのダメージは、Web版の学習利用よりはるかに大きくなる場合があるからです。どの方式を使うかという入口の議論に30日かけるよりも、何を入力してよくて何を入力してはいけないかという中身のルールを3件だけ先に決めるほうが、はるかに重要です。

For Executives · 毎月限定5社

「AI、何から始めるか」を、
御社の事業に当てはめた戦略提案書

業界事例・ROI試算・3ヶ月導入ロードマップを含む全15章から、御社が今いちばん知りたい5章を選んで編集。代表 吉元が監修して3〜5営業日でPDFお届け。完全無料。

経営者・役員・部門長・AI推進ご担当者の方限定。御社の事業に当てはめた個別作成のため、立場が判断できない方への配信はお断りしております。

部門別ルールがあると、安全に使う土台ができて定着も進む

ここまで読むと「やはり生成AIは危ないから禁止すべきだ」と感じるかもしれません。しかし私は、ルールは生成AI活用の妨げではなく、安全に使うための土台だと考えています。たった3件の線引きが明確になるだけで、現場は「これは入力してよい」「これはダメ」を迷わず判断できるようになり、かえって生成AIを安心して使えるようになります。

「入力してはいけない情報」が決まると、現場が迷わなくなる

最初から完璧なルールを目指す必要はありません。まずは入力してはいけない情報など3〜5件だけ決めて全部門で共有するところから始めれば十分です。たとえば「顧客の氏名・連絡先」「マイナンバーに関わる情報」「APIキーやパスワード」の3件を禁止項目として全社で共有するだけでも、最も重いリスクの大部分は抑えられます。現場にとっても、覚えるべき線が3〜5本に絞られているほうが、20件の分厚い規程よりはるかに守りやすくなります。この3件の共有は、30分の朝礼1回でも始められます。

部門ごとの具体ルールで、守れる範囲が広がる

全社共通の3〜5件を土台にしたうえで、部門ごとに1〜2件の具体ルールを足していきます。営業なら「顧客名は伏せ字にしてから入力する」、人事総務なら「評価データは生成AIに入力しない」、開発なら「コードはキー情報を削ってから貼る」といった具合です。1部門あたり1〜2件のルールが加わるだけで、各現場で実際に起きやすい漏洩のパターンを、的を絞って防げるようになります。10部門あっても、足すルールは合計で10〜20件に収まります。総務省と経済産業省が公表するAI事業者ガイドライン(第1.2版)でも、AIを利用する企業が自主的にガバナンスを整えていくことの重要性が示されています。

ルールがあるからこそ、現場が安心して使い続けられる

線引きが曖昧なままだと、慎重な社員ほど「もしものことがあったら困る」と使うのをためらい、逆に無頓着な社員ほど自由に使ってしまう、というばらつきが生まれます。3件の禁止ルールがあると、この差がなくなります。「ここまではやってよい」と会社が明示することで、現場全体が同じ安心感の中で生成AIを使えるようになり、結果として活用が部門をまたいで広がっていきます。月20ドル(約3,000円)で導入したツールを、10人が安心して使い倒せる状態に変わるのです。守るためのルールが、使うための後押しにもなります。

部門別ルールを自社だけで設計しきるのが難しい4つの壁

「3〜5件から始めればいい」と聞くと、自社だけでも作れそうに思えます。実際、最初の3件を決めるところまでは社内でできることも多いです。ただ、部門別の実用的なルールにまで育て、半年(180日)以上にわたって運用し続けるとなると、次の4つの壁が立ちはだかります。

壁1:部門ごとの業務理解とリスクの翻訳

情報システムや総務が主導してルールを作ろうとすると、営業や開発の現場で実際にどんな入力が行われているかが見えにくい、という問題に直面します。現場の使い方を1部門ずつ丁寧に聞き取り、「この業務ではこの情報が危ない」とリスクに翻訳していく作業は、想像以上に手間がかかります。1部門あたり60分のヒアリングでも、10部門で600分、丸1日では終わりません。10部門あれば10通りの仕事の進め方を理解しなければならないのです。

壁2:法令・ガイドラインとの整合

個人情報保護法や各種ガイドラインは改定されますし、生成AIに関する公的な指針も更新が続いています。自社のルールがこうした外部の基準とずれていないかを確認し続けるには、法令の動きを継続的に追う必要があります。月に2時間でも最新動向を追う担当を置くのは中小企業には負担が重く、本業の片手間に1年分の改定をすべて把握するのは、現実的には難しい部分です。

壁3:ツール仕様の理解と選定

同じ生成AIでも、無料版・月20ドル(約3,000円)の有料版・API版・法人向けプランで、入力データが学習に使われるかどうかの扱いが変わります。主要な3〜4社のサービスだけでも、確認すべき設定項目は10件を超えます。前述のとおり「API版なら安心」と単純化できるものではなく、それぞれの仕様を正しく理解したうえで、自社の使い方に合う設定を選ぶ判断が求められます。この技術的な見極めを、専門外の担当者だけで行うのは負担が大きい領域です。

壁4:作って終わりにせず、運用・更新し続ける

最大の壁は、ルールを作った後にあります。私は、ルールがなければ導入したツールは180日(半年)も経たないうちに使われなくなると考えていますが、同じことがルール自体にも起こります。一度文書を作っても、現場に周知されず・新入社員に引き継がれず・ツールの変化に追従できないまま、180日後には誰も見ない形骸化した規程になっていきます。月1回、30分でも見直す運用を続けられるかどうかが分かれ目で、作る労力よりも、1年・2年と運用し続ける仕組みを保つことのほうが、はるかに難しいのです。

ビフォーアフター:部門別の生成AIルールでここまで変わる

BEFORE

ルール不在の30日間

1日目、営業担当が商談メモ20件分を無料版の生成AIに貼り付けて議事録化しています。15日目、人事担当が評価コメントの推敲のために、社員5人分の個人情報を含む文面を入力します。28日目、開発担当がエラー調査でAPIキー入りのコードを貼り付けます。この30日間で外部に渡った情報は、判明しているだけで100件を超えますが、情報システムは1件も把握できていません。経営層が「うちは大丈夫なのか」と尋ねても、誰も「大丈夫です」と言い切れない。何かが漏れているかどうかすら確認できない——これがルール不在の30日間の実態です。

AFTER

部門別ルール運用後の30日間

全社で「顧客の氏名・連絡先」「マイナンバー関連」「APIキー・パスワード」の3件の入力禁止が共有され、部門ごとに1〜2件の具体ルールが加わっています。営業は顧客名を伏せ字にしてから入力し、人事は評価データを生成AIに入れず、開発はキー情報を削ってからコードを貼る。月1回、情報システムが各部門の使い方を5分ずつ、合計30分で確認し、新しいツールが出れば線引きを見直します。この30日間で機微な情報の無管理な入力はほぼゼロになり、それでいて現場は前より迷わず生成AIを使えています。

違いを生んでいるのはツールではなく運用設計

BeforeとAfterで使っているツールは、どちらも同じ生成AIです。違いを生んでいるのは、ツールの性能ではなく「誰が・何を・どう入力してよいか」を部門ごとに決め、月1回・30分でも見直し続ける運用設計のほうです。月20ドル(約3,000円)の高機能なプランに乗り換えても、運用が無ければBeforeのままですし、無料版でも3件のルールと月30分の運用が整っていればAfterに近づけます。もし「うちはまだBefore寄りだ」と感じた方は、次のセクションで具体的な相談の入口を案内します。

よくある質問

Q生成AIの利用は、いっそ全面禁止にしたほうが安全ではないですか。

A全面禁止という判断は、かえって現場が黙ってツールを使う”シャドーAI”を生むだけになりがちです。便利さを知った現場は、禁止されても個人の端末で使い続けます。把握できない使い方が増えるほど、漏洩リスクはむしろ高まります。禁止ではなく、まず3件の入力禁止ルールから始めて、安全に使える範囲を明示するほうが現実的です。3件なら、30分の共有1回で全社に行き渡ります。

QAPI版を使えば、入力した情報は漏れないので安心ですか。

A「API版にすれば安心」は思考停止だと考えています。API版は学習利用の扱いがWeb版と異なる場合がありますが、APIキーが1本漏れたときのダメージは、Web版の学習利用よりはるかに大きくなる場合があります。1本のキーで攻撃者が数日にわたり不正利用できることもあります。どの方式を使うかという入口に30日かけるよりも、何を入力してはいけないかという3件の中身のルールを先に決めるほうが重要です。

Qルール作りに費用や手間がどのくらいかかりますか。

A生成AIのツール自体は、ChatGPTやClaudeの有料プランで1人月20ドル(約3,000円)程度から始められます。2つ契約しても月6,000円程度です。ルール設計を専門家と進める場合、AI顧問(伴走)の費用相場は月10万〜30万円規模、ライトな伴走なら月4万〜10万円台からが一つの目安です。まずは全社共通の3件から始めれば、初期の負担を抑えながら、年に1,000件規模で起こりうる漏洩リスクを先に押さえられます。

Qルールを一度作れば、それで完成と考えてよいですか。

A作って終わりにすると、180日(半年)も経たないうちに形骸化します。現場への周知、新入社員への引き継ぎ、新しいツールへの追従が止まれば、文書は誰も見ない規程になってしまいます。月1回・30分でも各部門の使い方を確認し、線引きを見直し続ける運用のほうが、作る作業よりも大切です。1年で12回、2年で24回の小さな見直しを続けられる仕組みまで含めて設計することをおすすめします。

Q情報システム部門がない小さな会社でも、部門別ルールは作れますか。

A作れます。専任部門がなくても、総務や経営層が中心となって、まず全社で入力禁止の3件を共有するところから始められます。そのうえで、営業・人事・現場作業など使い方の違う3グループ程度に分けて、それぞれ1〜2件だけ具体ルールを足せば十分に機能します。10人規模の会社でも、合計5〜10件のルールがあれば回ります。規模が小さいほど、線引きはシンプルに保てます。設計の進め方に迷う場合は、伴走で一緒に整えることもできます。

まとめ

  • 生成AIは月20ドル(約3,000円)程度から導入でき、ポリシーを決める前に各部門が先に使い始める「順序の逆転」が中小企業で広がっています。把握できない使い方=シャドーAIが空白を生みます。
  • ルール不在では、営業の顧客情報・人事の個人情報・開発のAPIキーが、悪意なき入力から外部へ流出しうります。年に1,000件規模に達することもあり、流出リスクの約9割(90%)は人的ミスから生まれます。
  • ルールは活用の妨げではなく安全に使う土台です。まずは入力禁止の3件を全社共有し、部門ごとに1〜2件の具体ルールを足すところから、30分の共有1回で始められます。
  • 部門別ルールを自社だけで設計しきるには、業務理解・法令整合・ツール仕様・運用継続の4つの壁があります。特に180日以上「作って終わりにしない」運用が最も難しい部分です。
  • 違いを生むのはツールの性能ではなく、月1回・30分の運用設計です。「うちはまだBefore寄り」と感じたら、現状の使われ方を整理するところから無料相談でご相談ください。

監修者|生成AIの導入から定着まで伴走する専門家が確認しています

吉元大輝(よしもとひろき)

株式会社BoostX 代表取締役社長

中小企業の生成AI導入を支援する「生成AI伴走顧問」サービスを提供。業務可視化から定着支援まで、一気通貫で企業のAI活用を推進している。

公開日:2026年6月

この記事をシェア

読んで終わりにしないために

「自社の場合は、どうすれば?」
その答えを、30分で持ち帰る。

記事で分かるのは、一般論まで。現役の生成AI伴走顧問が、貴社の業務に当てはめて“次の一手”だけを一緒に整理します。

この30分で持ち帰れるもの

  1. 01

    自社業務に当てはめたAI活用マップ

  2. 02

    投資対効果(ROI)のシミュレーション

  3. 03

    いまの悩み・疑問への、その場の個別回答