ChatGPT、Gemini、Copilotといった生成AIが、いまや多くの会社の日常業務に入り込んでいます。文章の下書き、議事録の要約、メールの作成、データの整理など、活用の幅は広がる一方です。
その一方で、見落とされがちな大きなリスクがあります。それは、社内の機密情報や個人情報、営業秘密を生成AIに「入力」してしまうことによる情報漏えいです。便利さの裏側で、企業が法的責任を問われかねない問題として注目が高まっています。
本記事では、企業の経営者・法務担当者の方に向けて、生成AIへの情報入力リスクの本質と、今すぐ着手すべき具体的な対策をわかりやすく整理します。
そもそも「生成AI」とは何か
生成AIとは、基本的に、文章を書いたり、質問に答えたりできる人工知能のことです。多くは、利用者が「質問」や「指示」を入力すると、AIがそれに応じた「回答」を返す仕組みになっています。
ここで重要なのは、入力した情報がそのまま消えるとは限らないという点です。サービスやプランの設定によっては、入力内容がAIの学習データとして使われたり、思わぬ形で他の利用者への回答に影響したりする可能性があります。つまり、AIに打ち込んだ情報が「社外に出てしまう」リスクをはらんでいるのです。
2026年、生成AIは「実験」から「本格運用」の段階へ
ここ数年で、企業の生成AI利用は試しに使ってみる「実験段階」から、業務に組み込んで日常的に使う「本格運用段階」へと移りつつあります。それに伴い、行政によるルール整備も進んでいます。
個人情報保護委員会(※国の機関)は、AI開発における個人情報の取り扱い(AI学習目的での利用など)を主要論点の一つとする個人情報保護法の改正に取り組んでおり、改正法案が国会で審議されています(2026年6月時点)。この委員会は2023年6月にも、生成AIの利用に関する注意喚起を行っています。また、国が示すAI事業者向けのガイドラインは更新が重ねられ、自動的に判断・行動する「AIエージェント」への対応も論点として加わってきました。
こうした流れは、生成AIをめぐる企業の責任が、これまで以上に厳しく問われる時代に入ったことを意味します。「みんな使っているから」という感覚のまま放置していると、いざ問題が起きたときに会社が大きな責任を負いかねません。
特に入力に注意すべき情報
業務で生成AIを使う際、次の情報は安易に入力しないよう特に注意が必要です。
1.ひとつ目は、営業秘密です。顧客リスト、価格表、製品の設計情報など、社外に出れば競争力に直結する情報がこれにあたります。こうした情報は、秘密として適切に管理し(秘密管理性)、事業に有用で(有用性)、公然と知られていない(非公知性)という3つの要件を満たせば、営業秘密(不正競争防止法2条6項)として法的に保護され得ます。裏を返せば、社内で誰でも自由に閲覧できる状態に置いているなど管理がずさんだと、そもそも保護の対象になりません。社員がAIにこのような情報を入力していると、営業秘密として保護されなくなるおそれがないとはいえません。日頃の情報管理が、いざというときの法的保護を左右するのです。
2.ふたつ目は、個人情報です。氏名、住所、メールアドレスなど、特定の個人を識別できる情報を指します。個人情報を扱う事業者には、個人情報保護法のもとで、漏えいを防ぐための安全管理措置を講じる義務(安全管理義務)が課されています。AIへの不用意な入力は、この義務違反につながりかねません。
特に、病歴や犯罪歴、障害に関する情報など、特に慎重な取り扱いが望まれる要配慮個人情報については、入力は避けるべきです。
3.三つ目は、契約上の機密情報です。取引先との間で秘密を守る約束(秘密保持義務)を交わしている情報がこれにあたります。これをAIに入力して外部に流出すれば、契約違反として債務不履行責任を問われ、損害賠償を求められるおそれがあります。また、契約書で機密情報として特定されているもの以外でも、取引先が特定できる状態での質問・指示自体が、取引先との関係で問題となるおそれもあるでしょう。
今すぐ着手すべき4つの実務対策
では、企業は具体的に何をすればよいのでしょうか。柱となるのは次の4点です。
ひとつ目は、社内ルールの整備です。生成AIの利用ポリシーを定め、入力してはいけない情報を明確にします。なお、目的を伝えるだけでAIが自動的に社内データを参照・処理する「AIエージェント」を使う場合は、対話型とは別の注意点があります。この点は別記事「AIエージェントのリスクと対策」で詳しく解説しますので、あわせてご覧ください。
ふたつ目は、契約書の見直しです。取引先との秘密保持契約(NDA)に、生成AIの利用を制限する条項を加えることを検討する必要があるでしょう。
三つ目は、個人情報管理の更新です。プライバシーポリシーをAI利用の実態に合わせて見直し、従業員への教育を行います。
四つ目は、AIツール、プランの選定や設定の再確認です。入力した情報を学習に使わないと明示しているサービスやプラン、設定を選ぶことで、リスクを大きく下げられます。
よくあるご質問
社内のAI利用について、経営者や法務担当者の方からよく寄せられるご質問にお答えします。
Q1. AIに入力した情報が他人に見られることはありますか
無料のサービスはもちろん、有料サービスでも設定によっては、入力した内容がAIの学習に使われる場合があります。サービスの利用規約や設定で確認が取れない限り、機密情報は入力しないことが最も安全です。
Q2. 従業員が勝手に顧客情報をAIに入力したら、会社はどんな責任を負いますか
個人データが漏えいした、あるいはそのおそれが生じたとして、個人情報保護法に基づき個人情報保護委員会への報告や、本人への通知が必要になる可能性があります。さらに、取引先との秘密保持契約に違反すれば、債務不履行として損害賠償責任が生じることもあります。「従業員が勝手にやったこと」「知らなかった」では会社の責任を免れられないため、社内ルールの整備と従業員教育が重要です。
Q3. 社内のAI利用ポリシーは、どんな内容にすればよいですか
最低限、次の3点を盛り込むことをお勧めします。第一に、入力を禁止する情報のリスト(個人情報や営業秘密など)。第二に、使用してよいAIツールの指定、必要なAIツールの設定。第三に、違反や事故が起きた場合の対応手順です。適切な内容は業種や会社の規模によって変わりますので、自社の実態に合った形で整えることが大切です。
おわりに
生成AIは、正しく使えば業務を大きく効率化してくれる頼もしい道具です。だからこそ、入口でリスクを管理する仕組みを整えておくことが、安心して活用するための前提になります。社内ルールの整備や契約書の見直しは、一度きちんと手当てをしておけば、その後の不安を大きく減らすことができます。
なお、近年は人が一つひとつ指示しなくても自ら判断して動く「AIエージェント」の利用も広がっており、これには対話型AIとは異なる固有のリスクがあります。続編の「AIエージェントのリスクと対策」もあわせてお読みください。
当事務所では、会社の実情に合わせた生成AI利用に関する法律相談、依頼もお受けしておりますので、自社の対応に不安をお持ちの方は、どうぞお気軽にお問い合わせください。