セキュリティ・ガバナンス |

社員が生成AIに何を入力してるか把握してる?入力NGリスト&チェックシート付き

入力NGリスト&チェックシート - 生成AIセキュリティの基本 - 株式会社BoostX

「ChatGPTにお客さんの名前、入力していいの?」「契約書の内容をAIに要約させたいんだけど、これってアウト?」——こんな疑問、社内で飛び交っていませんか。

生成AIを業務で使う企業が増えるなか、「何を入力していいのか分からない」という声は本当に多いです。そして怖いのは、分からないまま使っているケース。もっと怖いのは、分からないから使わないという判断で機会を失っているケース。

この記事では、生成AIに入力してはいけない情報を5つのカテゴリに整理し、業務シーン別の判断基準と、印刷して使えるチェックシートをお渡しします。ルールさえ決めれば、生成AIは安全に使えます。入力NGの判断基準は、生成AIの情報漏洩リスクへの対策全体像と合わせて押さえておくと、社内のセキュリティ方針がより明確になります。

なぜ生成AIへの入力内容に注意が必要なのか

【結論】Web版の生成AIに入力した情報は、AIの学習データに使われる可能性がある。一度学習に使われた情報は削除できない。

まず押さえてほしいのは、ChatGPTやGeminiなどの無料プラン・個人向けプランでは、入力した内容がAIモデルの学習に使われる可能性があるということ。これが「入力に注意が必要」な最大の理由です。

「学習に使われる」とは具体的にどういうことか

簡単に言うと、あなたが入力した文章が、AIの「知識」の一部になる可能性があるということです。つまり、別のユーザーがAIに質問したとき、あなたが入力した情報がヒントとして使われるかもしれない。

もちろん、入力した文章がそのまま他人に表示されるわけではありません。ただ、学習データに含まれた情報が断片的に出てくるリスクはゼロとは言い切れないんです。

Web版とAPI版でデータの扱いが違う

ここは意外と知られていないポイントです。同じChatGPTでも、利用形態によってデータの扱いがまるで違います

利用形態 学習への利用 向いている用途
無料プラン(Web版) 原則あり 個人的な調べ物、文章の壁打ち
有料プラン(Team/Enterprise等) なし(設定可能) 社内業務全般
API接続 なし 自社システム連携、カスタムツール

率直に言うと、無料プランのまま業務利用しているのが一番リスクが高い状態です。有料プランへの切り替えやAPI利用を検討するだけで、リスクは大幅に下がります。

ただし、有料プランやAPI版でも機密情報の入力は避けるべきです。通信経路やログ管理の観点から、リスクがゼロになるわけではありません。ここを「有料版なら何でもOK」と誤解している方が多いので、注意してくださいね。こうしたデータの取り扱い状況を正確に把握するには、社員の生成AI利用ログを管理する体制づくりが欠かせません。

絶対にNGな5つの情報カテゴリ

【結論】入力NGは「個人情報」「機密情報」「財務情報」「認証情報」「未公開情報」の5カテゴリで覚える。迷ったらこの5つに該当するか確認すればOK。

「何がNGか分からない」のが一番の問題。でも、覚えるべきカテゴリはたった5つです。1つずつ見ていきましょう。

カテゴリ①:個人情報

氏名、住所、電話番号、メールアドレス、マイナンバー。お客さんの情報はもちろん、社員の個人情報も同じくNGです。「山田さんの評価を書いて」とAIに頼む場面を想像してみてください。その時点で個人情報を外部サービスに渡していることになります。

カテゴリ②:機密情報

取引先の社名、契約内容、NDA(秘密保持契約)の対象となる情報。「A社との契約書を要約して」とそのまま貼り付けるのは完全にアウトです。

カテゴリ③:財務情報

売上額、利益率、取引金額、給与データ。経理担当者が「この仕訳を確認して」とAIに入力するとき、金額や取引先名が含まれていないか要チェック。

カテゴリ④:認証情報

パスワード、APIキー、アクセストークン、ログインID。「このエラーを解決して」とコードを貼り付けたら、そこにAPIキーが含まれていた——というケースは実際に起きています。エンジニアだけの話ではなく、Google Workspaceの設定情報なども含まれます。

カテゴリ⑤:未公開情報

新商品の企画、M&A情報、人事異動の内示、未発表の決算情報。これらはインサイダー取引や競合への情報漏洩に直結するため、プランの種類に関係なく絶対NGです。

万が一、これらのNG情報をうっかり入力してしまった場合に備えて、情報漏洩時の初動対応フローとインシデント対応マニュアルをあらかじめ整備しておくことも重要です。

「ルールがないまま使わせるのが一番危険です。でも、ルールが厳しすぎて誰も使わないのも、それはそれで大きな機会損失。大事なのは『これはOK、これはNG』のラインを明確にして、安心して使える状態をつくること」

— 生成AI顧問の視点

生成AIの安全な運用ルールの設計について、もっと詳しく知りたい方は生成AI顧問サービスとはもあわせてご覧ください。

業務シーン別・OK/NG判断チャート

【結論】営業・人事・経理の3部門で、よくある入力シーンのOK/NGを一覧化。迷ったときはこの表を見て判断する。

5カテゴリを覚えても、実際の業務では「これはどっちだろう?」と迷う場面が出てきます。そこで、よくある業務シーンごとにOK/NGを整理しました。

営業部門のOK/NG

やりたいこと 判定 理由・対処法
提案書の構成を考えてもらう OK 顧客名・金額を含めなければ問題なし
商談メモをそのまま要約 NG 顧客名・金額を伏せてから入力
断りメールの文面作成 OK 一般的なシーン設定であればOK
見積書の内容を確認させる NG 金額・取引先名が含まれるため

人事部門のOK/NG

やりたいこと 判定 理由・対処法
求人票の文面を考えてもらう OK 業種・ポジション情報は公開情報
社員の評価コメントを作成 NG 個人名・評価内容は個人情報
面接の質問リスト作成 OK 一般的な質問の作成なら問題なし
履歴書のスクリーニング NG 氏名・住所・学歴は個人情報

経理部門のOK/NG

やりたいこと 判定 理由・対処法
勘定科目の判断を聞く OK 一般的な仕訳ルールの質問は問題なし
請求書の内容を確認させる NG 取引先名・金額が含まれるため
税務の一般的な質問 OK 公開されている税制情報は問題なし
決算データの分析 NG 未公開の財務データは入力禁止

ここだけの話ですが、「うちは有料プランだから大丈夫」と安心して、取引先名をそのまま入力している企業は意外と多いです。有料プランでも、NG情報は変わりません。プランが変わるのは「学習に使われるかどうか」であって、「情報が外部に出るリスク」はまた別の話なんですね。こうした生成AIの情報漏洩リスクの全体像を理解しておくと、部門ごとの判断基準もブレにくくなります。

こうしたルールの整備や社員への浸透は、生成AIコンサルティングでも支援しています。自社だけでは判断が難しい場合は、専門家に相談するのも手です。

安全に使うための「置き換えテクニック」

【結論】入力NGな情報も、匿名化・抽象化すれば安全に活用できる。「A社」「X万円」への置き換えがカギ。

「NG情報が多すぎて、結局AIを使えないじゃないか」と思った方もいるかもしれません。でも、安心してください。置き換えるだけで安全に使えるケースがほとんどです。

すぐに使える置き換えルール

元の情報 置き換え例
株式会社◯◯商事 A社、クライアントX
山田太郎 部長 担当者A、先方の責任者
年間契約額3,500万円 年間X万円、数千万円規模
東京都港区赤坂1-2-3 東京都内、都心部
社員番号 E-2024-0158 社員B、入社2年目の若手

置き換えの実践例

たとえば、商談メモの要約を頼みたい場合。

NG例

「2/10に株式会社◯◯商事の山田部長と面談。年間3,500万円の契約更新について協議。先方は価格見直しを要望。」

OK例

「2月にA社の担当者と面談。年間X万円の契約更新について協議。先方は価格見直しを要望。」

AIの出力品質はほとんど変わりません。固有名詞や具体的な金額がなくても、AIは文脈を読んで適切な要約を返してくれます。誤解を恐れずに言うと、置き換えの手間は30秒程度。この30秒で情報漏洩リスクをゼロに近づけられると考えれば、やらない理由がないですよね。

なぜBoostXが多くの企業に選ばれているのか、その理由は選ばれる理由で詳しく紹介しています。

印刷して貼れるチェックシート

【結論】AI入力前に5つの項目を確認するだけで、情報漏洩リスクを大幅に減らせる。印刷してデスクに貼っておこう。

ここまでの内容を、1枚のチェックシートにまとめました。社員全員のデスクに貼れるようにシンプルにしています。

生成AI入力前チェックシート

入力する前に、以下の5項目を必ず確認してください

確認1 個人情報(氏名・住所・電話番号・マイナンバー等)が含まれていないか?

確認2 取引先名・契約内容・NDA対象の情報が含まれていないか?

確認3 売上額・利益率・取引金額・給与データが含まれていないか?

確認4 パスワード・APIキー・ログインIDが含まれていないか?

確認5 未発表の企画・人事異動・M&A・決算情報が含まれていないか?

1つでも該当したら → 匿名化・置き換えしてから入力

「チェックシートの目的は『使わせない』ことではなく、『安心して使える状態をつくる』こと。ルールが明確になれば、社員は迷わずAIを活用できるようになります」

— 生成AI顧問の視点

チェックシートの運用が定着してきたら、年に一度は生成AIの社内監査で確認すべき10項目に沿ってルールの見直しを行うと、形骸化を防げます。

ポイント

このチェックシートはあくまで汎用版です。自社の業種や取り扱いデータに合わせてカスタマイズすると、さらに実効性が上がります。カスタマイズが必要な場合は、無料相談で具体的なアドバイスが可能です。

よくある質問

Q.お客さんの名前を生成AIに入力してもいいですか?

A.原則NGです。「A社」「クライアントX」のように匿名化してから入力してください。有料プランでも、お客さん情報を外部サービスに渡すこと自体がリスクになります。「学習に使われない=安全」ではない点に注意してくださいね。

Q.議事録をそのままAIに要約させてもいいですか?

A.そのままはNGです。議事録には個人名、金額、社内事情が含まれていることが多いので、まず該当箇所を「担当者A」「X万円」のように伏せてから入力しましょう。ひと手間かかりますが、30秒の作業でリスクを大幅に減らせます。

Q.API版なら何を入力しても安全ですか?

A.ケースバイケースですが、「何でもOK」ではありません。API版は入力データがAIの学習に使われない設定が一般的です。ただ、通信経路の暗号化やログの管理体制は提供元によって異なります。機密性が高い情報は、API版でも匿名化して入力するのがベストです。

まとめ

入力NGのルールづくりは、生成AIを安全に活用するための第一歩です。ただ、ルールだけでは組織全体のリスクはカバーしきれません。誰が管理責任を持つのかというAIガバナンス体制の構築まで視野に入れると、情報漏洩リスクへの備えはより盤石なものになります。

チェックシートのカスタマイズや、社員向けの研修を検討されている方は、無料相談の流れをご覧ください。御社の業種や取り扱いデータに合わせた、実践的なアドバイスをお伝えします。

この記事のまとめ

  • 生成AIの無料プラン(Web版)は入力データが学習に使われる可能性がある。業務利用なら有料プランかAPI版を検討する
  • 入力NGは「個人情報」「機密情報」「財務情報」「認証情報」「未公開情報」の5カテゴリで判断する
  • NG情報も「A社」「X万円」のように置き換えれば安全に活用できる。置き換えの手間は30秒程度
  • チェックシートを印刷してデスクに貼り、入力前に5項目を確認する習慣をつける
  • 「何がNGか分からないから使わない」は最大の機会損失。ルールを決めれば安心して使える

執筆者

吉元大輝(よしもとひろき)

株式会社BoostX 代表取締役社長

中小企業の生成AI導入を支援する「生成AI伴走顧問」サービスを提供。業務可視化から定着支援まで、一気通貫で企業のAI活用を推進している。

※本記事の情報は2026年3月時点のものです。

SNSで共有する
𝕏
f
無料個別相談

貴社の業務に、 AIという確かな選択肢を。

「何から始めればいいか分からない」という段階でも構いません。現状の課題を伺い、最適な導入計画をプロと一緒に整理します。

\ 専門家による30分のヒアリング /

無料相談を予約する

オンライン対応可能・強引な勧誘なし

まずは資料で情報収集したい方へ

サービス概要・料金・導入事例をまとめた資料を無料でお送りします。

資料をダウンロード

関連記事

ブログ一覧を見る
資料請求 無料相談を予約