【2026年】生成AIのセキュリティ対策7か条|中小企業向け
こんにちは、合同会社SAi代表の佐藤です。「生成AIを業務に取り入れたいが、セキュリティのルールをどう作ればいいかわからない」「ガイドラインを作りたいけど時間がない」——中小企業の経営者・情シス担当者からよくいただく相談です。
結論からお伝えすると、生成AIのセキュリティ対策は「7か条」に絞ればA4 1枚で運用できます。完璧を求めず、まず7項目だけ押さえることで、サムスン事件のような重大漏洩はほぼ防げます。
この記事では、累計100社以上の中小企業AI導入を支援してきた立場から、「中小企業がそのまま使える7か条」「実装の優先順位」「専用AIへの移行判断軸」を本音で解説します。記事末にA4 1枚で配布できるガイドラインテンプレも掲載しています。
結論:中小企業の生成AIセキュリティは「人 × 仕組み」の両輪で十分
先に結論です。生成AIのセキュリティ対策は、
| 軸 | 何をするか | 効果 |
|---|---|---|
| 人 | 利用ルール策定+社員教育 | 入力層リスクを低減 |
| 仕組み | 設定変更+法人向けプラン+専用AI | システム・認証層リスクを低減 |
の両輪で構成されます。
中小企業の場合、「100点を目指さず80点を全社員に徹底する」ことが現実解です。完璧なルールを作って誰も読まない状態より、A4 1枚のシンプルなルールを全社員が守る方がはるかに安全です。
それでは、7か条を順に見ていきます。
生成AI利用の7か条
第1条:機密情報は入れない(入力前に3秒考える)
最も重要な原則です。生成AIに入力する前に、「これがネットに公開されても問題ないか」を3秒考える習慣を全社員に徹底します。
入れてはいけない情報の例:
- 顧客の氏名・住所・電話番号など個人情報
- 取引先との契約書・見積書・受注金額
- 社内の人事情報(給与・評価・採用候補者)
- 開発中の製品仕様・ソースコード・図面
- 売上・利益などの非公開財務情報
- システムのパスワード・APIキー・接続情報
サムスン電子では、エンジニアが「業務効率化のため」に半導体ソースコードをChatGPTに入力し、20日間で3件の重大漏洩が発生しました。世界トップクラスの企業でも、社員一人の判断ミスで起きます。
第2条:履歴設定を必ずオフにする
ChatGPTの無料版・Plus版では、デフォルトで会話履歴がモデル改善(学習)に利用される設定になっています。
設定変更手順:
- ChatGPT画面右上のアカウントアイコンをクリック
- 「Settings」→「Data Controls」を開く
- 「Improve the model for everyone」(または「Chat history & training」)をオフに設定
無料版・Plus版いずれもこの設定が可能です。全社員に対して導入時に必ず設定変更を確認する運用にしてください。
第3条:法人プラン(Enterprise / Team)を検討する
業務での本格利用には、OpenAI公式の法人向けプランを検討します。
| プラン | 月額 | 主な特徴 |
|---|---|---|
| ChatGPT Team | 1ユーザー約3,800円/月 | 学習に使われない、管理コンソール、SOC2 Type2 |
| ChatGPT Enterprise | 要問合せ(数万円/人〜) | 上記+シングルサインオン、監査ログ、暗号化強化 |
法人プランはデフォルトで入力データが学習に使われない設定になっています。10名以上の規模で生成AIを業務利用するなら、コスパも含めて法人プランが現実解です。
ただし、「OpenAIのサーバーにデータが送信される」という根本構造は変わらない点には注意が必要です。本当に機密度が高い業務は、第7条で触れる「専用AI」への移行を検討してください。
第4条:認証を強化する(2要素認証+パスワード管理)
2025年2月に2000万件超のOpenAIアカウント認証情報がダークウェブで販売される事件が発生しました。日本国内でも2023年時点で661件の流出が確認されています。
必須の認証強化:
- 全アカウントに2要素認証(2FA)を設定
- パスワードは使い回し禁止、12文字以上の英数字記号混合
- パスワードマネージャー(1Password、Bitwarden、Microsoft Authenticator等)を全社導入
- 業務用アカウントと私用アカウントを完全分離
2要素認証は無料で設定できる、コスパ最強のセキュリティ対策です。これだけで認証情報流出リスクの大半を回避できます。
第5条:シャドーIT化を防ぐ(禁止より代替提供)
「ChatGPT利用禁止」とした結果、社員が私用アカウントで業務情報を入力するシャドーIT化が起きるのが最悪のパターンです。
サムスンも最終的に「禁止 → 社内独自AI構築」に方針転換しました。
中小企業向けの現実的な対応:
- 完全禁止ではなく「使っていい範囲」を明確化(第1条のリスト活用)
- 業務利用を許可するアカウント・プランを会社側が提供
- 機密情報を扱う業務は専用AIへ案内
- 違反時の罰則は明示しつつ、過度に厳罰化しない(報告のしやすさを優先)
「使うな」ではなく「このルールで、このツールを使ってね」が正解です。
第6条:個人情報保護法を遵守する
日本の個人情報保護委員会は2023年6月、生成AIサービス利用に関する注意喚起を発出しています。さらに2025年2月にはDeepSeek騒動を受けて、デジタル庁も生成AI全般について再度注意喚起を実施しました。
中小企業が押さえるべきポイント:
- 個人情報をプロンプトに入力する場合、利用目的の達成に必要な範囲内かを確認
- 入力した個人情報が機械学習に利用される可能性を認識
- 顧客向けに「AIを業務に利用している」旨のプライバシーポリシー明記を検討
- 顧客の個人情報を生成AIに入力する業務は、事前に利用目的を明示
個人情報を生成AIに入力する場合、個人情報保護法の「利用目的範囲外の処理」に該当する可能性があります。形式上の違反だけでなく、漏洩が発覚した際の責任問題にも直結するので、ガイドラインに必ず含めてください。
第7条:機密×常用×中核業務は「専用AI」に切り替える
7か条の最後にして、もっとも本質的な対策です。
第1条〜第6条はあくまで「ChatGPTを使う前提でのリスク低減」ですが、機密情報を扱う中核業務は、そもそもChatGPTを使わない設計に切り替えるのが最強です。
専用AI化の判断軸:
| 判断軸 | ChatGPT継続でOK | 専用AIへ移行検討 |
|---|---|---|
| 扱うデータの機密性 | 公開情報・社内一般情報 | 顧客個人情報・契約書・図面・コード |
| 利用頻度 | 月数十回程度 | 毎日・複数業務で常用 |
| 業務の重要性 | 補助的・社内向け | 中核業務・顧客接点 |
3つの軸で「機密 × 常用 × 中核」が揃ったら、専用AI構築の検討タイミングです。
弊社の事例では、契約書要約・議事録自動化・顧客対応チャットボット・社内文書検索などを、すべて外部送信を伴わない専用環境で構築しています。詳しくは 導入事例 をご覧ください。
実装の優先順位
7か条を「全部やる」のは大変なので、優先順位を示します。
| Phase | 期間 | やること | コスト |
|---|---|---|---|
| Phase 1 | 1週間 | 第1条(NG情報リスト化)+第2条(履歴オフ)+第4条(2FA) | 0円 |
| Phase 2 | 1ヶ月 | 第5条(代替アカウント提供)+第6条(個人情報ルール) | 1〜3万円 |
| Phase 3 | 2〜3ヶ月 | 第3条(法人プラン導入)+ガイドライン文書化 | 月数千円/人 |
| Phase 4 | 3〜6ヶ月 | 第7条(機密業務の専用AI化) | 月1万円〜 |
Phase 1の3つだけで、サムスン事件レベルの大規模漏洩はほぼ防げます。まずは1週間でPhase 1を完了させましょう。
A4 1枚で配布できるガイドラインテンプレ
社内配布用のテンプレを掲載しておきます。社名・連絡先を書き換えて、そのまま社内回覧できます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
〇〇株式会社 生成AI利用ガイドライン v1.0(2026年5月)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【目的】
生成AI(ChatGPT等)を業務に活用しつつ、情報漏洩・法令違反を防ぐ。
【1. 入れてはいけない情報】
以下を生成AIに入力する前に「ネットに公開されてもOK?」と3秒考える。
× 顧客の氏名・住所・電話番号
× 取引先との契約書・見積書・受注金額
× 社内人事情報(給与・評価・採用情報)
× 製品仕様・ソースコード・図面
× 売上・利益などの非公開財務情報
× パスワード・APIキー・接続情報
【2. 必須設定】
□ ChatGPT履歴を「学習に使わない」設定にする
□ 2要素認証(2FA)を有効化する
□ 業務用と私用アカウントを分離する
【3. 推奨ツール】
推奨: 〇〇株式会社が提供する法人向けプラン
非推奨: 個人の無料アカウント(業務利用禁止)
【4. 違反時の対応】
1. 違反者は速やかに上司・情シス部門に自己申告
2. 入力した情報の特定と影響範囲調査
3. 必要に応じて顧客・取引先への通知
【5. 機密度の高い業務】
顧客個人情報・契約書・図面など機密度が高い業務は、
ChatGPTではなく社内専用AI環境を使用すること。
(担当: 〇〇部 〇〇 / 内線: 〇〇〇)
【6. 質問・相談窓口】
□ 利用方法の質問: 〇〇部 〇〇
□ セキュリティ相談: 情シス部
□ 法令確認: 総務部
【7. 改定履歴】
2026/05/22 v1.0 制定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━このテンプレをそのまま社内回覧・印刷して配布することで、Phase 1〜2が一気に進みます。
ガイドライン作成・運用でハマりやすい3つのポイント
最後に、実際に多くの中小企業が躓くポイントを共有します。
ハマり①:完璧主義で1か月かかる
「ガイドラインを完璧に作ろう」として、関係部署のレビューに1ヶ月かけて未完成のまま放置——よくあるパターンです。
「A4 1枚で1週間以内に出す」のが正解。完璧な10ページより、A4 1枚を全社員が読む方がはるかに価値があります。
ハマり②:違反者を厳罰化して報告が来なくなる
「違反したら懲戒処分」と書いた結果、本当に違反が起きても誰も自己申告しなくなる現象です。
漏洩は早期発見・早期対応が命です。違反時の罰則より「自己申告したら不問にする」インセンティブの方が、結果的にセキュリティを高めます。
ハマり③:技術対策だけで満足する
法人プラン導入や2FA設定だけで「対策完了」とすると、肝心の「社員が機密情報を入力するパターン」(=サムスン事件)は防げません。
「人 × 仕組み」の両輪を意識してください。
専用AI構築という選択肢
ガイドラインだけでは限界があります。サムスンが最終的に「社内独自AI構築」に進んだように、機密業務はそもそも外部AIを使わない設計に切り替えるのが根本解決です。
弊社では、
- 初期費用0円・月額1万円〜
- フルスクラッチで貴社業務に合わせて構築
- データが外部に出ない設計(Azure OpenAI / オンプレ等)
- 営業から開発・運用まで自社完結
という形で、中小企業でも導入しやすい価格設計にしています。詳しくは サービス内容 と 導入事例 をご覧ください。
まとめ:A4 1枚から始めて、段階的に専用AIへ
最後に要点をおさらいします。
- 中小企業の生成AIセキュリティは「7か条」を押さえれば十分
- まずはPhase 1(NG情報リスト+履歴オフ+2FA)を1週間で完了
- 完璧主義より「A4 1枚を全社員が読む」が正義
- 機密×常用×中核業務は専用AI化が最強の対策
ガイドライン策定や専用AI構築でお困りでしたら、弊社が伴走支援できます。
「ガイドラインのレビューだけお願いしたい」というレベルのご相談でも構いません。お気軽にお問い合わせください。
