
ChatGPTの業務利用で怖いのは、悪意ある攻撃だけではありません。多くの場合、社員は業務を早く進めるために、会議メモ、顧客情報、ソースコード、契約書などを何気なく入力してしまいます。
便利さが先に広がり、会社として利用範囲や入力禁止情報を決めていない状態が続くと、情報漏洩・契約違反・監査不備につながります。重要なのは、使わせないことではなく、安全に使える状態を設計することです。
情報漏洩が起きる3つのパターン
- 社内資料の要約:議事録、契約書、提案書をそのまま貼り付ける
- 開発相談:ソースコード、エラーログ、APIキーを含む設定情報を入力する
- 営業・顧客対応:顧客名、取引条件、個人情報を含む文章を作らせる
まず社内で決めるべきこと
最初に必要なのは、難しいセキュリティ製品ではなく「判断基準」です。社員が迷わず判断できるように、AIに入力してよい情報、禁止する情報、確認が必要な情報を分けます。
- 入力禁止:個人情報、顧客情報、契約書、認証情報、APIキー、未公開財務情報
- 要確認:社内資料、議事録、提案書、設計書、ソースコード、ログ
- 利用可:公開済み情報、一般的な文章のたたき台、個人情報を含まないアイデア出し
技術的に確認するポイント
- 利用プランとデータ学習設定を確認する
- 個人アカウントではなく会社管理のアカウントに寄せる
- 多要素認証を必須にする
- APIキーや認証情報はSecrets Manager等で管理する
- ログに機密情報を残さない設計にする
- 社外送信前に個人情報や機密情報をマスキングする
禁止よりも「安全な導線」を作る
生成AIを全面禁止しても、現場は別の方法で使い続けることがあります。会社として使えるAI環境、相談窓口、簡単なルール、レビューの流れを用意する方が現実的です。
Liberta Structureで支援できること
ChatGPTや生成AIの利用ルール策定、社内説明資料、AI利用状況レビュー、ベンダー提案の確認、AWSやBedrockを使った安全なAI基盤設計まで支援できます。