AI 情報漏洩 対策 企業 完全ガイド 2026|社員10〜100人の会社の社長が今週やるべき12チェックと就業規則追記例・社員教育テンプレート決定版
「社員がChatGPTやClaudeに社外秘を貼り付けていないか不安だが、何から手をつければいいか分からない」と感じている、社員10〜100人規模の会社の社長・役員の方向けに、2026年4月時点のAI情報漏洩の3パターン・今週やるべき12のチェック・プラン選び・就業規則追記例・社員教育15分テンプレート・事故対応5ステップまでを、法律用語と技術用語を最小限にして1本にまとめた決定版ガイド
AI 情報漏洩 対策 企業 を検索したあなたへ
この記事は、社員10〜100人規模の会社の社長・役員で、現場がChatGPT・Claude・Gemini・Copilotなどを業務で使い始めているのを把握しているものの、「禁止はしたくない・でも事故は怖い」という板挟みで止まっている方に向けて書いています。具体的には、経理担当者が請求書PDFをAIに投げていないか、営業が顧客名の入った提案書の下書きをAIに書かせていないか、人事が履歴書をAIにサマってもらっていないか、というような現場の動きが気になっている状況を想定しています。
おそらくあなたは、AI 情報漏洩 対策 企業・生成AI 社内ルール 中小企業・ChatGPT 禁止 情報漏洩などで検索して、弁護士事務所や大手SIerの解説ページは見つけたけれど、「ガイドラインを策定しましょう」「DLP(情報漏洩防止ツール)の導入をご検討ください」という抽象的な答えばかりで、結局自社で来週までに何をやればいいのかが見えず、画面を閉じたのではないでしょうか。確かにAI情報漏洩の話は、法律・セキュリティ・ITが絡み合うため、中小企業の経営者が1人で全体像をつかむのは難しい領域です。
私はこの1年、社員10〜100人規模の会社の社長・役員の方に、AIの業務活用と情報漏洩対策をセットでお伝えしてきました。そこで見えたのは、中小企業で起きるAI情報漏洩の9割は「禁止が不十分」か「社員が学習設定を誤解している」か「退職者管理が緩い」のいずれかで、逆にいえば今週12項目のチェックと月1回の棚卸しを回すだけで、事故の大半は防げるという線引きです。
この記事では、2026年4月時点で中小企業の社長が押さえるべきAI情報漏洩対策の全体像・12の今週チェック・プランとデフォルト設定・就業規則追記例・社員教育テンプレート・事故対応5ステップ・社長が社員から聞かれる10のQ&Aまでを、非エンジニアの方が1時間で読み切れて、来週月曜から実行に移せるレベルで整理します。
この記事で分かること:
- 中小企業で起きるAI情報漏洩の3パターンと実例
- 今週社長が着手すべき12のチェック項目
- プラン選びの基本(Free/Pro/Team/Enterpriseの違い)
- 就業規則・情報セキュリティ規程の追記例(コピペOK)
- 社員教育15分テンプレート(スライド構成つき)
- 事故が起きたときの対応5ステップ
- 社員・取引先・監査法人に聞かれる10のQ&A
注: 本記事は2026年4月時点の主要AIサービス(Claude・ChatGPT・Gemini・Copilot等)の仕様と、個人情報保護法・経済産業省のAIガイドライン(2024年公表・順次改定)を前提に執筆しています。細かな仕様や法令解釈は更新されるため、重要な判断は顧問弁護士・社労士・セキュリティ専門家にご確認ください。
ここから先は、AI情報漏洩の実例・今週の12チェック・就業規則追記例・社員教育テンプレート・事故対応までをまとめます
第1章 中小企業で起きるAI情報漏洩|3つのパターンと実例
中小企業で実際に起きるAI情報漏洩は、経路で分けると3パターンに収まります。社長がまず押さえるべきは、この3パターンの違いと、自社で優先して潰すべきはどれかを見極めることです。
パターン1: 社員が個人アカウントに社外秘を入力する
最も多いパターンです。社員が自分のプライベートなGmailで登録した無料プランのChatGPTやClaudeに、会社の顧客リスト・社員の給与データ・契約書のドラフト・社内の未発表資料などを貼り付けて作業するケースです。
実例として、営業担当者が見積書の下書きのためにExcelの顧客リストを丸ごと貼り付けたケース、経理担当者が月次の試算表をPDF化してAIにまとめさせたケース、人事担当者が応募者の履歴書を要約させたケースなどが典型的です。無料プランは会話内容が学習に使われる設定がデフォルトの場合があり、その場合は将来の回答に情報が残留するリスクがあります。
この経路の問題は、会社側からは痕跡が追いにくいことです。社員の個人PC・個人スマホ・個人アカウントで完結しているため、社内のログには一切残らず、情報漏洩が起きていても気づくのは数か月後・数年後になります。
パターン2: 会社アカウントで学習設定を誤解したまま利用する
次に多いのは、会社として法人プランを契約しているのに、学習設定やデータ保持設定の理解が曖昧で、「契約しているから安全」と思い込んでいるケースです。
実例として、個人向けのProプランを会社のクレジットカードで決済しているだけで「法人契約している」と勘違いしているケース、Team以上のプランに入っているが管理画面で学習しない設定にするチェックボックスを有効化していないケース、APIと普通のチャット画面の扱いの違いが分からずに社外秘をどちらにも投げているケースなどがあります。
多くのAIサービスは、Teamプラン・Enterpriseプランでは会話内容を学習に使わない設定がデフォルトになっていますが、無料プラン・個人向け有料プランでは設定が異なる場合があります。社長は「うちは何プランで、学習設定はどうなっているか」を必ず把握しておく必要があります。
パターン3: 退職者アカウント・共有アカウントから流出する
3つ目は、アカウント管理の緩さに起因する流出です。
実例として、退職した社員のアカウントを削除せず放置したまま、退職者が自分のメールアドレスで過去の会話履歴にアクセスできる状態になっているケース、部署で1つの共有アカウントを使い回していて誰がいつ何を入力したか追えないケース、退職者が引き継ぎ時にAIのプロジェクトやナレッジごと個人メモに持ち出したケースなどがあります。
退職者アカウントの即時無効化と、共有アカウントの廃止(1人1アカウント原則)は、AI情報漏洩対策の基本中の基本です。
第2章 なぜ中小企業でAI情報漏洩対策が今ホットなのか|3つの外部圧力
AI情報漏洩対策を先送りにしたいと感じるのは自然な反応ですが、2026年時点で中小企業にも無視できない3つの外部圧力が生まれています。
圧力1: 取引先からの監査要求が増えている
大企業・上場企業・官公庁と取引のある中小企業では、取引先の調達部門・情報セキュリティ部門から「貴社のAI利用ルールを教えてください」「生成AIに当社の機密情報を入れていないか確認したい」という質問が、見積依頼と同じレベルの頻度で来るようになりました。
2026年現在、大手企業の取引先審査・更新審査のチェックリストには、生成AI利用ポリシー・学習設定・社員教育の3項目が追加されているケースが多くなっています。中小企業側で「うちはAIは禁止しています」とも「きちんと管理しています」とも答えられない状態だと、新規取引の失注や既存取引の縮小につながります。
圧力2: 個人情報保護法・業界ガイドラインの運用が厳しくなっている
日本の個人情報保護法では、個人データを第三者に提供する場合に本人同意などのルールがあります。AIサービスに個人情報を入力して学習に使われる設定のままだと、この第三者提供に該当する可能性があります。2024年以降、経済産業省・総務省・厚生労働省などの業界ガイドラインで生成AIの扱いが順次明記され、2026年現在は行政・医療・金融・士業などの規制業種で運用ルールが具体化しています。
中小企業でも、BtoB向けサービスを提供している会社・個人情報を扱う会社(EC・人材・士業・医療・教育など)は、ガイドライン違反時に顧客離反・行政指導・業界団体からの指摘を受けるリスクが高まっています。
圧力3: サイバー保険の要件にAIリスクが入ってきた
中小企業向けのサイバー保険・情報漏洩保険の商品では、2025年以降、契約時・更新時の告知事項に生成AIの利用ポリシー・学習設定・社員教育の有無が含まれるケースが出てきました。加入済みの保険でも、AI経由の情報漏洩が免責になるか、補償範囲が縮小される改定が入る可能性があります。
サイバー保険に加入している中小企業は、来年の更新前に自社のAI利用ルールと保険の告知事項を照らし合わせておく必要があります。
注: 法令・ガイドライン・保険約款の具体的な解釈と適用は個別事情で変わります。重要な判断の際は必ず顧問弁護士・社労士・保険代理店にご相談ください。
第3章 今週社長が着手すべき12のチェック
ここから本題です。社員10〜100人規模の会社の社長が今週中に着手すべき12のチェック項目を、所要時間つきで並べます。すべて終わらせる必要はなく、上から順にできるところまで進めるだけでも、リスクは大きく下がります。
チェック1(10分): 自社で利用中の主要AIサービスを棚卸しする
経理・総務・情シス・現場マネージャーの3〜5名にヒアリングして、社内で使われているAIサービスを書き出します。典型的には次のものが出てきます。
- Claude(Anthropic)
- ChatGPT(OpenAI)
- Gemini(Google)
- Microsoft Copilot
- Notion AI
- Grammarly・DeepL などの翻訳・校正系
- 議事録特化AI(Notta・tl;dv 等)
- 画像生成系(Midjourney・Adobe Firefly 等)
個人アカウントで使われているものも含めて全て書き出すのが重要です。
チェック2(10分): 利用者数と契約プランを把握する
チェック1で洗い出したサービスごとに、利用者数・契約形態(会社契約/個人契約/混在)・プラン名(Free/Pro/Team/Enterprise)を一覧化します。エクセル1枚で十分です。
チェック3(15分): 学習設定の現状を確認する
主要サービスの管理画面にログインし、会話内容が学習に使われる設定になっているかを確認します。Claude・ChatGPT・GeminiのTeamプラン以上は、原則として学習しない設定がデフォルトですが、チェックボックスが無効化されているケースがあるので目視で確認します。
チェック4(15分): これまで入力された可能性のある社外秘を現場にヒアリングする
社員を責める場ではなく、「今後のルール作りのため」と伝えて、次の5項目を現場に聞きます。
- 顧客リスト・顧客名の入った資料を入力したことはあるか
- 社員の人事情報・給与・マイナンバーを入力したことはあるか
- 契約書・見積書の原本を入力したことはあるか
- 未公開の財務情報・経営情報を入力したことはあるか
- 取引先のロゴ・商標が入った資料を入力したことはあるか
いずれかにYesがあれば、該当サービスの管理画面から過去の会話履歴を確認・削除します。
チェック5(20分): 会社契約の主要AIを1〜2本に絞り、学習しない設定を全社で有効化する
主力AIをClaudeなら Teamプラン、ChatGPTなら Teamプラン / Enterprise に統一し、管理画面で学習しない設定を全員にデフォルト適用します。複数サービスの並行利用はセキュリティとコストの両面で管理コストが跳ね上がるため、主力1本+補助1本程度に絞るのが基本です。
チェック6(20分): 個人アカウントの業務利用を禁止する通達を出す
全社宛のメール・チャットで、次の3点を通達します。
- 業務での生成AI利用は会社契約のアカウントのみとする
- 個人アカウント(プライベートメールで登録したもの)での業務利用は禁止する
- 違反が判明した場合の対応(原則として指導・再発時に懲戒検討)
通達文のテンプレートは本記事の第5章に収録しています。
チェック7(30分): 就業規則・情報セキュリティ規程にAI利用条項を追記する
就業規則の服務規律、または情報セキュリティ規程にAI利用に関する条項を追記します。条項案は本記事の第5章に収録しています。就業規則の改定は10人以上の事業場では労働者代表の意見書が必要になるため、社労士に相談の上で進めます。
チェック8(30分): 入力禁止情報リストを1枚作る
A4 1枚で「AIに絶対に入力してはいけない情報リスト」を作ります。典型的な禁止情報は次のとおりです。
- 個人情報(顧客・社員・取引先担当者の氏名・住所・電話・メール・マイナンバー)
- 財務の未公開情報(試算表・決算見通し・給与台帳)
- 契約書・見積書の原本(取引先名が特定できる状態のもの)
- 未公開の経営情報(M&A・新商品・組織変更)
- 認証情報(パスワード・APIキー・トークン)
- 医療情報・健康診断データ
このリストは第3章末尾の書式例をベースに作成できます。
チェック9(20分): 社員向けの15分AI研修を開催する
全社員向けに15分の短い研修を開催します。内容は本記事の第6章に収録した社員教育テンプレートをそのまま使えます。録画して欠席者や新入社員にも流せるようにしておくと運用コストが下がります。
チェック10(15分): 退職者アカウントの即時無効化ルールを設定する
主要AIサービスの管理画面で、退職者のアカウントを即日無効化する運用を人事・情シスで合意します。退職予定者の最終出社日の翌営業日9:00までに無効化することを内規で定めます。
チェック11(15分): 月次棚卸しと四半期レビューの運用を設定する
月末にアカウント棚卸し(利用者・プラン・設定・退職者)、四半期末に利用実態レビュー(ヒヤリハット・改善点)を回す運用を決めます。担当者と所要時間を明記して、カレンダーに仕込んでおきます。
チェック12(10分): ヒヤリハット報告窓口を作る
「社外秘を入れてしまった気がする」「友人のメアドに履歴書を送ってしまったかも」という気づきが早く上がってくる仕組みを作ります。報告した本人を責めない運用(原則として懲戒対象としない)を明文化することがポイントです。専用のSlackチャンネル・メールアドレス・Googleフォームなど、既存のツールで十分です。
第4章 プラン選び|Free・Pro・Team・Enterpriseの違いと中小企業の現実解
中小企業の社長が最初に混乱するのが、各AIサービスのプラン体系です。2026年4月時点の主要AIのプランを、情報漏洩対策の観点で整理します。
Freeプラン(無料)
業務利用には原則として不向きです。学習設定・データ保持期間・管理者権限のいずれも、業務での利用に耐えるものではないサービスが多いため、業務利用は禁止とするのが無難です。例外として、個人情報を含まない公知の情報(ブログ記事の要約・一般的な文章校正)に限って使うルールを設けることはできますが、線引きが難しく社員が判断に迷うため、中小企業ではシンプルに禁止としたほうが管理が楽になります。
個人向けProプラン(月額20ドル前後)
個人事業主が1人で使う場合はProプランで十分ですが、社員を抱える会社が業務利用する場合は、Proの個人契約を複数並行させるのは推奨されません。理由は、会社側に管理権限がなく、退職時のアカウント回収・会話履歴の確認ができないためです。
Teamプラン(1人あたり月額25〜30ドル/約3,800〜4,500円)
中小企業の主力プランです。学習しない設定がデフォルトで、管理者による一括管理、メンバー追加・削除、請求一元化などが可能です。社員10〜50人規模なら、Teamプランへの移行が現実解です。
Enterpriseプラン
社員100人以上・規制業種・上場企業の取引先・情報漏洩が起きた時の影響が大きい業種(金融・医療・法務・広告など)ではEnterpriseが適しています。SSO(シングルサインオン)・監査ログ・データ保持期間のカスタマイズ・SLAなどが提供されます。
中小企業の現実解として、多くの会社にとっては主力AI(ClaudeかChatGPTのどちらか)1本のTeamプラン+必要に応じてCopilot(Microsoft 365に付属するAI)の組み合わせが、コストと管理負担のバランスが良い構成です。
注: プラン名・料金・機能は各社で頻繁に更新されます。契約前には必ず最新の公式ページで確認してください。
第5章 就業規則・情報セキュリティ規程の追記例
就業規則や情報セキュリティ規程にAI利用条項を追加する際の雛形です。自社に合わせて改変し、社労士・顧問弁護士の確認を経て導入してください。
5-1. 就業規則(服務規律)への追記例
第〇条(生成AIサービスの利用)
1. 従業員は、業務上の情報を生成AIサービス(ChatGPT、Claude、
Geminiその他のAIチャットサービスを含む。以下同じ)に入力する場合、
会社が指定するサービスおよびアカウントのみを使用しなければならない。
2. 従業員は、別紙「生成AI入力禁止情報リスト」に該当する情報を、
生成AIサービスに入力してはならない。
3. 従業員は、個人で契約した生成AIサービスのアカウントを
業務に使用してはならない。
4. 前各項に違反した場合、会社は必要に応じて指導、注意、
再発時には懲戒処分を行うことがある。ただし、従業員自身が
違反の可能性を会社に速やかに報告した場合は、
報告内容を踏まえて処分を軽減することがある。
5-2. 情報セキュリティ規程への追記例
第〇章 生成AIサービスの取扱い
第〇条(適用範囲)
本章は、会社が業務に使用する生成AIサービスの利用、
設定、アカウント管理、社員教育に関する事項について定める。
第〇条(利用可能なサービスとプラン)
1. 業務で利用可能な生成AIサービスおよびプランは、
情報システム管理者が別途定める「承認AIサービス一覧」による。
2. 承認AIサービス以外のサービスの業務利用は、
原則として禁止する。
第〇条(学習設定)
1. 承認AIサービスの管理者は、会話内容が学習に使われない
設定を有効化しなければならない。
2. 学習設定の確認は、月次棚卸しの一環として実施する。
第〇条(アカウント管理)
1. 生成AIサービスのアカウントは、会社メールアドレスで
1人1アカウントを原則とする。共有アカウントの利用は禁止する。
2. 退職者のアカウントは、最終出社日翌営業日午前9時までに
無効化する。
第〇条(入力禁止情報)
別紙「生成AI入力禁止情報リスト」に該当する情報は、
生成AIサービスに入力してはならない。
第〇条(ヒヤリハット報告)
1. 従業員は、入力禁止情報を入力した可能性に気づいた場合、
速やかに情報システム管理者に報告するものとする。
2. 報告された事案は、懲戒の対象とせず、再発防止の観点から
対応する。ただし、悪意・重大な過失がある場合はこの限りでない。
5-3. 別紙「生成AI入力禁止情報リスト」
生成AI入力禁止情報リスト(2026年〇月版)
以下の情報は、会社が契約する生成AIサービスであっても
入力を禁止する。
1. 個人情報
- 顧客、社員、取引先担当者の氏名、住所、電話番号、メールアドレス
- マイナンバー、免許証番号、パスポート番号
- 給与台帳、源泉徴収票、健康診断データ
2. 財務情報(未公開)
- 月次・年次の試算表、決算見通し
- 資金繰り表、銀行口座情報
3. 契約情報
- 契約書、見積書、発注書の原本
- 取引先名が特定できる状態の資料全般
4. 未公開の経営情報
- M&A、資本提携、新商品、組織変更、人事異動
5. 認証情報
- パスワード、APIキー、トークン
- クレジットカード番号、銀行口座情報
6. その他
- 医療情報、健康情報
- 知的財産権を侵害する可能性のある第三者資料
上記に該当する可能性がある情報は、入力する前に
情報システム管理者または直属の上長に相談すること。
5-4. 全社通達文のテンプレート
件名: 【重要】業務での生成AI利用ルールの変更について
社員各位
お疲れさまです。〇〇(社長名)です。
取引先からのお問い合わせ増加、および個人情報保護の
観点から、業務での生成AIサービスの利用ルールを
下記のとおり変更します。施行日は〇月〇日(〇)です。
【変更内容】
1. 業務での生成AI利用は、会社契約の承認サービス
(Claude Teamプラン)のみとする
2. 個人アカウント(プライベートメールで登録したもの)での
業務利用は禁止する
3. 入力禁止情報リスト(別添)に該当する情報は入力しない
4. 自身が過去に入力禁止情報を入力した可能性があると
気づいた方は、懲戒対象とせず再発防止の観点で対応する
ので、遠慮なく〇〇(担当者名)までご連絡ください
【社員向け15分研修】
〇月〇日(〇)〇〇時から、15分の説明会を
オンラインで開催します。録画は後日共有しますので、
予定が合わない方は録画を必ずご確認ください。
質問・相談は〇〇(担当者名)まで。
〇〇株式会社
代表取締役 〇〇
注: 上記の条項・文面は雛形です。貴社の事業内容・組織規模・取引先要件に応じて改変し、社労士・弁護士の最終確認を経て導入してください。
第6章 社員教育15分テンプレート|当日のスライド構成と台本
全社員向けの15分研修のスライド構成と台本です。そのまま使える7枚構成です。
スライド1: タイトル(1分)
タイトル: 生成AIの業務利用ルールの変更について サブタイトル: 社員のみなさんを守るための15分
台本: 「これは社員のみなさんを責める場ではなく、会社として取引先の信頼に応え、みなさんが安心してAIを使えるようにするためのルール説明です」
スライド2: なぜ今このルールを作るのか(2分)
要素:
- 大手取引先からAI利用の質問が増えている
- 個人情報保護法・業界ガイドラインが生成AIを明記する方向
- サイバー保険の要件にAIリスクが入ってきた
台本: 「取引先の調達部門から『生成AIをどう扱っていますか』と聞かれる頻度が明らかに増えました。答えられないと受注できない案件が出てきています」
スライド3: AIでよく起きる3つの情報漏洩パターン(2分)
要素:
- パターン1: 個人アカウントに社外秘を入力
- パターン2: 学習設定の誤解
- パターン3: 退職者アカウント放置
台本: 「9割の事故は1番目、個人のプライベートなAIアカウントに会社の資料を貼ることで起きます」
スライド4: 入力してはいけない情報リスト(3分)
要素: 入力禁止情報リストの6カテゴリーを見せる(個人情報・財務・契約・未公開経営・認証・医療)
台本: 「迷ったら『この情報、社外に出せますか』と自問してください。出せないものは入れない、が原則です」
スライド5: これからの使い方(3分)
要素:
- 会社契約のClaude Teamプランを使う
- アカウントは会社メアドで発行
- 個人アカウントでの業務利用は禁止
- 便利な使い方3例(議事録・資料要約・メール下書き)
台本: 「禁止するのが目的ではなく、安全な範囲でフル活用してもらうためのルールです。便利な使い方も3つご紹介します」
スライド6: ヒヤリハット報告のすすめ(2分)
要素:
- 報告窓口の案内
- 報告した本人は責めない(原則として懲戒対象としない)
- 過去の入力も遡って確認・削除できる
台本: 「もし過去に社外秘を入れてしまった心当たりがあっても、今日中に教えてください。一緒に削除と再発防止を考えます。隠されると後で対応できなくなるのが一番困ります」
スライド7: Q&A(2分)
要素: 質疑応答のスペース
台本: 「何でも聞いてください。後から個別でも大丈夫です」
第7章 事故が起きたときの対応5ステップ
「社員が顧客リストを貼り付けてしまった」「契約書を個人アカウントで要約させていた」という事案が発覚したときの、初動5ステップです。
ステップ1(1時間以内): 事実関係を確認する
責める姿勢ではなく、次の5項目を冷静に確認します。
- いつ(日時)
- どのサービスに(Claude・ChatGPT等)
- どのアカウントで(会社・個人)
- どの情報を(どこまで具体的に)
- 何回くらい(1回か反復か)
ヒアリングは可能な限り文書(Google Docsのメモなど)で記録します。
ステップ2(当日中): 該当サービスで履歴を確認・削除する
本人のアカウントにログインしてもらい、該当会話を特定・削除します。学習設定が「使わない」になっていれば、削除後の残留リスクは相対的に低くなります。学習に使われる設定だった場合は、サービス提供元のサポートに削除依頼を出せるか確認します。
ステップ3(翌営業日中): 対象となった情報の当事者を特定する
顧客情報が含まれていた場合は、その顧客(法人・個人)を特定し、連絡の要否を判断します。個人情報の漏洩が起きた場合、個人情報保護委員会への報告義務・本人への通知義務が発生する可能性があります。個人情報保護法の運用ガイドラインに従って対応します。
ステップ4(1週間以内): 外部専門家に相談する
次の3者への相談を検討します。
- 顧問弁護士: 法的対応の要否、損害賠償リスク
- 顧問社労士: 当該社員への処分の妥当性
- サイバー保険の代理店: 保険適用の可否、通知義務
社員を個人的に責める対応は厳禁です。本人が萎縮して事実を伏せると、より大きな事故につながります。
ステップ5(2週間以内): 再発防止策を決めて全社共有する
事案を匿名化して全社共有し、どうすれば防げたかを次の観点で整理します。
- ルールが明確だったか(明文化)
- ルールが伝わっていたか(教育)
- ルールを守りやすい環境があったか(会社契約のAIがあったか)
- 早期発見の仕組みがあったか(ヒヤリハット窓口)
この振り返りを、次回以降の棚卸し・研修に反映します。
注: 個人情報漏洩が発生した場合の具体的な通知義務・報告義務は、個人情報保護法と業界ガイドラインによって変動します。必ず弁護士と個人情報保護委員会の最新情報をご確認ください。
第8章 社長が聞かれる10のQ&A
社員・取引先・監査法人から、社長がよく聞かれる10の質問と、標準的な回答例です。
Q1: 生成AIは全面禁止にしたほうが安全ではないですか
全面禁止は短期的には安全に見えますが、他社に対する業務効率で差がつき、若手社員の離職リスクや採用競争力の低下を招きます。2026年時点の実務としては、会社契約の学習しない設定のAIを1本用意し、入力禁止情報リストを明確にした上で活用する、が中小企業のスタンダードです。
Q2: Claude と ChatGPT、どちらを会社契約にすべきですか
用途の中心が文書作成・議事録・要約・社内ナレッジQ&Aなど一般オフィス業務なら、どちらでも大きな差はありません。すでに社内でよく使われているほう、または経営者ご自身が使いやすいと感じるほうを基本にすると、浸透が速くなります。特にこだわりがなければClaude Teamプランから始めるのが、非エンジニアの方には運用しやすい選択肢です。
Q3: Microsoft Copilot を契約していれば他のAIは不要ですか
Microsoft Copilotは、Word・Excel・Outlook・Teamsなどの既存の業務アプリに組み込まれているAIで、Microsoft 365をすでに使っている会社なら導入障壁が低いのが利点です。ただしCopilotと、Claude・ChatGPTのようなチャットメインのAIは得意分野が異なります。既存のExcel・Wordの中で完結する作業が多い会社はCopilotで十分、独立したチャットで幅広く相談したい用途が多い会社はClaude/ChatGPTも併用、というのが中小企業の現実解です。
Q4: 社員が自腹で契約したAIを業務に使っていたらどうすべきですか
本人を責めるのではなく、会社契約のAIに切り替えられる受け皿を先に用意することが先決です。会社側が何も用意していない状態で「個人アカウント禁止」とだけ通達すると、隠れて使われるだけで事故リスクが上がります。会社契約のアカウントを配布→個人アカウントでの業務利用を禁止、の順序で通達します。
Q5: 取引先から「生成AIに当社の情報を入れていないか」と質問されました
3点セットで回答します。
- 弊社で業務利用しているAIはClaude Teamプランで、会話内容が学習に使われない設定で運用しています
- 社員向けに入力禁止情報リストと就業規則条項を整備し、全社員への研修を〇月に実施しました
- 退職者アカウントは最終出社日翌営業日に無効化する運用です
書面での回答が求められる場合は、就業規則抜粋と入力禁止情報リストを添付することもできます。
Q6: AIに頼りすぎて社員が考えなくなるのが心配です
現実には、定型業務をAIに任せた分、社員は顧客対応・企画・判断に時間を使えるようになる、という事例のほうが多く見られます。導入時に「AIに任せる業務」と「人間が判断する業務」の線引きを明文化すると、社員も安心して使えます。判断業務(採用・与信・懲戒・人事評価など)はAIに最終判断をさせない、を内規に明記する運用が一般的です。
Q7: AIの回答を信じて業務に使って失敗したら、誰の責任ですか
AIの回答を業務判断の一次情報としてそのまま採用することは避け、人間がファクトチェック・承認するプロセスを挟む運用が基本です。就業規則・業務マニュアルに「AIの回答は参考情報であり、最終判断は担当者が行う」旨を明記しておくと、責任の所在が明確になります。
Q8: 会話履歴は取引先に開示することがありますか
原則として開示しませんが、取引先との契約や法令に基づく開示請求があった場合は、管理画面から該当会話を抽出して提出する運用になります。Teamプラン以上では、管理者が全メンバーの会話履歴を閲覧できる機能がある場合があるため、プライバシーの観点から「管理者が閲覧する可能性があること」を社員にも事前に説明しておきます。
Q9: 外国のAIを使っていて、海外にデータが保存されるのは大丈夫ですか
主要なAIサービスはデータセンターが海外にある場合が多く、個人情報保護法の外国第三者提供に該当する可能性があります。サービスによっては日本リージョンを選べるプランがあり、金融・医療などの規制業種ではそれを前提にする場合があります。通常のBtoB事業・バックオフィス業務では、Teamプランで学習しない設定+契約ベースで対応し、顧問弁護士に年1回確認する、くらいの運用が現実的です。
Q10: AIの料金と、事故リスクの対策コストはどちらが高いのですか
中小企業の感覚値として、Teamプラン10人で月4万円程度のコストに対して、情報漏洩事故1件の対応コスト(謝罪訪問・調査・通知・保険・信頼回復)は数百万円〜数千万円になるのが一般的です。予防の投資対効果は桁違いに高いと考えて差し支えありません。ただし具体的な金額は業種・顧客規模・漏洩内容で変動するので、サイバー保険の代理店と顧問弁護士に年1回見積もっておくと、経営会議での判断材料になります。
第9章 まとめ|来週月曜から動く3ステップ
本記事のポイントをまとめます。
3つの基本指針
1つ目: 中小企業のAI情報漏洩の9割は「個人アカウント利用」「学習設定誤解」「退職者管理の緩さ」の3つで、どれも今週の12チェックで潰せる 2つ目: 全面禁止ではなく、会社契約のTeamプラン1本+入力禁止情報リスト+月次棚卸しで、管理コストを抑えながら安全に活用する 3つ目: 事故が起きたときは責めずに報告してもらう仕組み(ヒヤリハット窓口・懲戒対象にしない原則)を用意し、隠蔽による大事故を防ぐ
来週月曜から動く3ステップ
すべてを完璧にやろうとせず、次の順番で1週間ずつ進めていけば、1か月で基本的な体制が整います。
- 月曜〜火曜: 現状把握(チェック1〜4)
- 水曜〜木曜: 会社契約プランへの移行と学習設定(チェック5〜6)
- 金曜〜翌週前半: 就業規則追記と入力禁止リスト作成(チェック7〜8)
- 翌週後半: 全社研修とヒヤリハット窓口(チェック9〜12)
3か月継続するとどうなるか
3か月継続するメリットは、取引先からのAI質問に1週間以内に書面で回答できるようになり、監査・審査での減点が消え、新規取引の獲得率が上がる、という形で表れます。さらに、社員も安心してAIを使えるため、業務効率は禁止していた頃と比べて明らかに改善します。
AI情報漏洩対策は「禁止して守る」から「整備して使い倒す」に発想を切り替えると、中小企業でも十分に実行可能な領域です。まずは今週、12チェックの最初の4項目(現状把握)だけでも着手してみてください。
🎁 特典|Claude Cowork はじめての使い方ガイドPDF
本記事で紹介した12チェックリスト、就業規則追記例・情報セキュリティ規程条項、入力禁止情報リスト、全社通達文テンプレート、15分社員研修スライド台本、事故対応5ステップチェックリストを1つにまとめた「Claude Cowork はじめての使い方ガイドPDF(中小企業の情報漏洩対策編)」を無料配布しています。次のような方向けです。
- 来週月曜から着手したい中小企業の社長・役員
- 就業規則改定を社労士に依頼する際のたたき台が欲しい方
- 社員15分研修の台本とスライド構成をそのまま使いたい方
A4・全32ページ、条項・リスト・台本・チェックリスト全文付きで無料です。ダウンロード後すぐにお使いいただけます。
→ ダウンロードはこちら: /download/getting-started-claude-cowork
📚 参考リファレンス
- Anthropic公式 Claude プラン・企業向け機能ページ: https://www.anthropic.com/pricing
- Anthropic公式 プライバシーポリシー: https://www.anthropic.com/legal/privacy
- 個人情報保護委員会 公式サイト: https://www.ppc.go.jp/
- 経済産業省 AI事業者ガイドライン: https://www.meti.go.jp/
- 関連記事: Claude 無料プラン どこまで使える(2026年4月時点)
- 関連記事: AI導入が失敗する10の原因と中小企業の対策
- 関連記事: 議事録 AI 自動生成 完全ガイド 2026
- 関連記事: Claude プロジェクト機能 使い方 完全ガイド 2026
注: 本記事は2026年4月時点の主要AIサービスの仕様と日本の関連法令・ガイドラインを前提に執筆しています。条項・テンプレート・対応手順は貴社の事業内容・規模・取引先要件により最適解が異なるため、導入前に顧問弁護士・社労士・セキュリティ専門家にご確認いただくことを強く推奨します。
