社内向けAIポリシー 別紙
生成AIに入力してはいけない情報リスト
安全な業務利用のための機密情報・個人情報の扱い方
1. 本資料の目的
本 資料は、生成AIを安全に業務活用するために、入力してはいけない情報と、入力可能な情報の基準を明確にすることを目的としています。
生成AIは非常に便利な一方で、誤った使い方をすると情報漏洩、法令違反、契約違反、企業や個人の信用失墜といった重大なリスクにつながる可能性があります。本資料は、そうしたリスクを未然に防ぐための実務向け指針です。
2. 絶対に入力してはいけない情報(入力禁止)
以下の情報は、いかなる場合でも生成AIに入力してはいけません。
2-1. 個人情報
以下はすべて入力禁止です。
- 氏名
- 住所
- 電話番号
- メールアドレス
- マイナンバー等の個人識別番号
- 顔写真・音声データ
- IPアドレス・位置情報
- 健康・病歴・障害等の要配慮個人情報
- 学歴・勤務先・所属
※ 顧客・社員・取引先・採用候補者など、すべての個人が対象となります。
2-2. 機密情報・社外秘情報
- 取引先の詳細情報
- 契約書・見積書・請求書の原本
- 未公開の事業計画
- 売上・利益・原価などの経営数値
- 未公開の社内マニュアル
- 議事録・社内チャットの原文
2-3. セキュリティ情報・認証情報
- パスワード
- APIキー
- アクセストークン
- SSH秘密鍵
- クラウド管理画面の認証情報
- 無線LAN(Wi-Fi)の接続情報
2-4. 顧客提供データ・業務データ原本
- 顧客の設計書
- 顧客のソースコード
- 業務で扱うCSV・Excelなどの原本データ
- 顧客アンケートの生データ
- 顧客とのメール原文
3. 条件付きで入力してよい情報(必ず「匿名化・加工」を行う)
以下は、そのまま入力することはできません。必ず匿名化・一般化・抽象化を行ってください。
具体例
顧客事例
✕「A社の売上は昨年3億円」
◯「ある中小企業の売上が数億円規模だったケース」
ソースコード
✕ 実際のプロジェクトのコード
◯ 構造のみを残したサンプルコード
契約内容
✕ 契約書全文
◯ 条文構造のみを要約した内容
4. 入力して問題ない情報(原則として安全)
以下は原則として入力可能です。
- 公開されているWebサイトのURL
- 法律・制度・一般的な知識
- 書籍の短い引用(必ず出典を明記)
- 自身が作成した文章・アイデア
- 架空の数値・氏名・企業名などのダミーデータ
5. よくある危険な入力例(実務上のリスク)
| 入力例 | 主なリスク |
|---|---|
| この顧客リストを要約して | 個人情報の外部送信 |
| この契約書をチェックして | 機密情報の漏洩 |
| 本番APIキーはこれです | 不正アクセス・乗っ取り |
| A社の売上予測を作って | 守秘義務違反・信用低下 |
6. 安全に利用するための基本ルール
- 業務データは必ず匿名化してから利用する
- 入力前に「この情報は外部に出してよいか?」を必ず確認する
- 判断に迷う場合は、必ず責任者・管理者に確認する
- 顧客データ・個人情報は原則として生成AIに入力しない
7. 重要な考え方
生成AIは、入力した情報を外部のサーバーに送信して処理する仕組みです。社内専用ツールと同じ感覚で扱うことはできません。
「入力=社外に送信している」 という意識を必ず持つことが、安全利用の第一歩です。