改善JAPANはJAPANはジャパンは『改善で世界を一歩進める』をテーマに取り組んでいきます。

生成AI・汎用AI業務利用のセキュリティ

最終更新: 2026-07-11

💬 ChatGPT を仕事で使ってみたいけど、機密情報を入れて漏れたりしないの、、、?

💬 社員が勝手に生成AIを使い始めていて、何を入れているのか把握できていない、、、。

💬 生成AIの社内ルールって、いったいどこから作ればいいの?

そんな悩みにお答えします。

目次

☑ 記事の内容

  1. なぜ生成AIの業務利用で情報漏洩が起きるのか ── 3 つの典型パターン
  2. 生成AIに 入れてはいけない情報 の早見表
  3. 生成AI 社内ルール(利用ガイドライン)の作り方 5 ステップ
  4. SECURITY ACTION ★宣言 で情報セキュリティの土台を固める
  5. 製造業での実務例 ── 図面・原価・顧客情報をどう扱うか

私は自動車メーカーの工場で改善活動の指導を 10 年以上行ってきました。実績を金額に換算すると 1 億円以上の改善を行ってきた、いわゆる改善のプロです。あわせて中小企業診断士として、自社の情報セキュリティ基本方針を自分の手で策定し、IPA の「SECURITY ACTION」自己宣言まで実際に手を動かしてきました。現場では「ChatGPT が便利だからと社員が自由に使い始めて、気付いたら顧客の図面や原価を入力していた」というヒヤリとするケースを何度も見てきました。本記事は、生成AI・汎用AIを業務で 安全に 使うための情報漏洩対策・入れてはいけない情報・社内ルールの作り方を、中小製造業の現場目線で実践的に解説していきます。

そんなわたしが解説していきます。

本記事は、ChatGPT のような 汎用AI・生成AIを日常業務で使うときのセキュリティ に絞って深掘りした内容です。AI 導入そのものの全体像 (どんなユースケースがあるか・費用相場・補助金) から知りたい方は、まずまとめ記事 ▶ AI導入完全ガイド を読んでください。

なお、補助金を使って AI 型のツールを導入する記事 ▶ IT導入補助金2026 で AI 型ツールを導入する 4 つのポイント では、情報漏洩リスクと SECURITY ACTION ★宣言に 要点だけ 触れました。本記事は、その 続きにあたる回収先 です。「入れてはいけない情報の線引き」「社内ルールの作り方」「SECURITY ACTION の進め方」を、補助金の枠を外して 日々の生成AI利用の側から一段深く 解説していきます。

なぜ生成AIの業務利用でセキュリティが問題になるのか

「ChatGPT に社内資料を貼り付けて大丈夫なのか」── これは生成AIを業務で使い始めた企業が、まず最初にぶつかる不安です。結論から言うと、使い方を間違えれば ChatGPT の入力欄が情報漏洩の入り口 になります。なぜそうなるのか。生成AIは、これまで社内で使ってきたソフトウェアとは 情報の流れが根本的に違う からです。ここを最初に押さえないと、対策の方向を間違えます。表計算ソフトやワープロは、入力した情報が自分のパソコンの中に留まります。ところが生成AIは、入力した文章がインターネットの向こう側のサーバーに送られて、そこで処理されて返ってきます。つまり「入力した瞬間に、情報が社外に出ている」のです。

生成AIは「入力した情報が外部サーバーに送られる」のが前提

ChatGPT にせよ、他の生成AIにせよ、あなたが打ち込んだ文章 (プロンプト) は提供元のサーバーに送信されて処理されます。これは不具合ではなく、そういう仕組みだから動くのです。ですから「社外に出したくない情報を打ち込む」こと自体が、すでにリスクの入り口になります。

入力が AI の学習(改善)に使われる設定があること

さらに注意したいのが、入力した内容が AI の学習(サービス改善)に使われる場合がある ことです。無料版や個人向けのプランでは、入力データが学習に回る設定が既定になっていることがあります。学習に使われると、その情報が巡り巡って 他の利用者への回答に反映される可能性 がゼロとは言い切れません。

便利さと引き換えに、社員が無自覚に機密を入力してしまうこと

生成AIの怖さは、悪意ではなく 善意と便利さ から事故が起きる点です。「議事録を要約させたい」「見積のたたき台を作りたい」── どれも真面目な仕事です。ところがその文章の中に、顧客名・図面・原価がそのまま入っていた、というのがよくある落とし穴です。悪気がないからこそ、ルールがないと止められません。

特に崩れやすいのは「機密性」

情報セキュリティには 機密性・完全性・可用性 という 3 つの柱があります。

  • 機密性: 見せてよい人にだけ見せる (漏らさない)
  • 完全性: 情報が正しく保たれる (改ざんされない)
  • 可用性: 使いたいときに使える (止まらない)

生成AIの業務利用でまず崩れやすいのは、この中の 機密性 です。ですから本記事は「機密を漏らさない」ことに軸を置いて解説していきます。

ChatGPT など生成AIで起きる情報漏洩の 3 つの典型パターン

ChatGPT をはじめとする生成AIの情報漏洩は、突き詰めると 3 つの型 に集約されます。IPA が毎年公表している ▶ 情報セキュリティ10大脅威 でも「内部不正による漏えい」「設定不備」が上位常連ですが、これを生成AI利用に引き付けると次の 3 パターンになります。ここは「型を挙げて終わり」にはせず、なぜ起きるのかという根っこ まで掘り下げるのが本記事のねらいです。

  1. 機密のプロンプト入力
  2. 学習利用による残存
  3. アカウント管理の甘さ

パターン 1 ── 機密のプロンプト入力

最も多いのがこれです。顧客名・図面・原価・個人情報を、そのままプロンプトに貼り付けてしまう パターンです。ChatGPT に「この見積、もっと分かりやすい文面にして」と実額入りの見積書を丸ごと貼る ── これで実額と取引先名が社外のサーバーに渡ります。過去に大手企業で、社員が ChatGPT にソースコードや社内会議の内容を入力して問題になった事例が報じられたのも、突き詰めればこのパターンです。悪意はなく、ただ便利に使おうとしただけ、という点が共通しています。

パターン 2 ── 学習利用による残存

パターン 1 で入力した情報が、提供元の学習に使われて残る のがパターン 2 です。学習に使われる設定のまま機密を入力すると、その情報が将来の回答に間接的に反映される可能性が残ります。一度出した情報は「なかったこと」にするのが難しいのです。

パターン 3 ── アカウント管理の甘さ

意外と見落とされるのが アカウントまわり です。

  • 1 つのアカウントを社員みんなで共用している
  • パスワードが単純で使い回されている
  • 退職した社員のアカウントが放置されている
  • 無料版が部署ごとにバラバラに乱立して、誰が何を使っているか分からない

これらは生成AI固有の問題ではなく、昔からある情報セキュリティの基本の穴です。生成AIが加わることで、その穴から漏れる情報の中身が より機密性の高いもの に変わってしまうのです。

3 パターンの共通の根っこ

3 つのパターンをよく見ると、根っこは 1 つです。それは「誰が・何を・どのツールに入れているかを、会社が把握できていない」こと。裏を返せば、この把握さえできれば対策の 8 割は片付きます。だからこそ、次章以降の「入れてはいけない情報の線引き」と「社内ルール」が効くのです。

生成AIに入れていい情報 / 絶対に入れてはいけない情報【早見表】

対策の第一歩は、自社の情報を 3 つに仕分けして、生成AIに入れてよい線を引く ことです。この線引きが社内で共有できれば、社員は迷わなくなります。まずは下の早見表を頭に入れてください。この 1 枚を印刷してパソコンの横に貼るだけでも、事故はぐっと減ります。

生成AIに入れていい情報 / 絶対NGの情報 早見表

🟢 そのまま OK 気にせず使う ・すでに公開済みの自社資料 ・製品カタログ・公表資料 ・一般的な業務知識 ・法律の一般論・言葉の意味 ・自分でゼロから書いた 下書き (機密を含まない)

🟡 加工すれば OK 加工してから入れる ・社内の営業資料 ・社内の財務数値 ・未公開の計画 ▼ 加工の一手間 ・匿名化 (「A 社」に置換) ・抽象化 (「ある部品」に) ・ダミー化 (実額→仮の数字)

🔴 絶対 NG 生成AIに入れない ・個人情報 (氏名・住所・ 電話・マイナンバー) ・図面・仕様書・設計データ ・原価・見積の実額・利益率 ・取引先名と取引条件 ・パスワード・ID・認証情報 ・未公開の経営数字 (決算前の売上・資金繰り)

まず情報を「機密 / 内部 / 公開」の 3 つに仕分けし、この線引きを社内で共有する

まず情報を 3 つに分ける ── 機密 / 内部 / 公開

情報セキュリティの世界では、情報を扱いの重さで分類します。難しく考えず、次の 3 つで十分です。

クラス 生成AIへの入力
機密 顧客の図面・仕様・原価・個人情報・取引条件 絶対に入れない
内部 社内の営業資料・財務数値・未公開の計画 加工しないと入れない
公開 製品カタログ・公表済み資料・一般的な業務知識 そのまま入れてよい

この 3 分類は、私が自社の情報セキュリティ基本方針を作るときにも土台にした考え方です。

【絶対NG】入れてはいけない情報リスト

🚨 次の情報は、加工しても・匿名化しても、原則そのままは入れない と決めておくのが安全です。

  • 個人情報 (氏名・住所・電話番号・マイナンバー・顔写真)
  • 図面・仕様書・設計データ
  • 原価・見積の実額・利益率
  • 取引先名と取引条件
  • パスワード・ID・認証情報
  • 未公開の経営数字 (決算前の売上・資金繰り)

【条件付きOK】加工すれば使える情報

「内部」クラスの情報は、加工すれば 生成AIに相談できます。加工とは次のような一手間です。

  • 匿名化: 「A 社」「ある得意先」に置き換える
  • 抽象化: 具体的な製品名・型番を「ある部品」に丸める
  • ダミー化: 実額を「100 万円」など仮の数字に置換する

この一手間があるかないかで、リスクは大きく変わります。

【OK】そのまま入れてよい情報

逆に、次のような情報は気楽に使ってかまいません。生成AIの便利さを存分に活かせる領域です。

  • すでに公開されている自社資料・カタログ
  • 一般的な業務知識・法律の一般論・言葉の意味
  • 自分がゼロから書いた下書き文章 (機密を含まないもの)

早見表(まとめ)

判定 情報の例 対応
🟢 そのまま OK 公開資料・一般知識・自作の下書き 気にせず使う
🟡 加工すれば OK 社内資料・財務数値・計画 匿名化・抽象化・ダミー化してから
🔴 絶対 NG 図面・原価・個人情報・取引先名・認証情報 生成AIに入れない

この 1 枚を印刷してパソコンの横に貼るだけでも、事故はぐっと減ります。

生成AI 社内ルール(利用ガイドライン)の作り方 5 ステップ

「社内ルール」と聞くと分厚い規程集を思い浮かべるかもしれませんが、そんなものは要りません。中小企業なら A4 で 1〜2 枚 あれば十分に回ります。大事なのは立派さではなく、実際に守られること です。次の 5 ステップで作ります。

生成AI 社内ルール整備の 5 ステップ

1 使ってよいツールを 1〜2 個に決める 無料版の乱立を止め、できれば法人向けプランに寄せる

2 入れてはいけない情報を明文化する 早見表を自社の言葉に置換 (「図面は入れない」「原価は入れない」)

3 アカウントとパスワードの管理ルール 共用禁止・12 文字以上・多要素認証 (MFA)・退職時は速やかに失効

4 全社員への周知と同意 説明会 or 社内掲示で同意を記録し、必ず日付を残す

5 相談先と違反時の対応を書く 「迷ったら誰に聞くか」「破ったらどうなるか」を 1 行ずつ

できあがりは「A4 1 枚 + 早見表 1 枚」で十分

第1ステップ ── 使ってよいツールを 1〜2 個に決める

まず 会社として使ってよい生成AIツールを絞ります。無料版が部署ごとに乱立している状態が一番危ないので、「業務で使うのはこのツールのこのプランだけ」と決めます。できれば後述する法人向けプランに寄せます。

第2ステップ ── 入れてはいけない情報を明文化する

前章の早見表を、自社の言葉に置き換えて 1 枚にします。「図面は入れない」「原価は入れない」「お客様の名前は伏せる」── 具体的な自社の用語で書くのがコツです。抽象的な「機密情報は入れない」だけでは、現場は何が機密か判断できません。

第3ステップ ── アカウントとパスワードの管理ルール

ここは情報セキュリティの基本そのものです。

  • アカウントは 共用しない (1 人 1 アカウント)
  • パスワードは 12 文字以上・使い回さない
  • 多要素認証 (MFA) を有効にする
  • 退職・異動時は速やかにアカウントを止める

これらは IPA の「情報セキュリティ5か条」にもそのまま書かれている内容で、生成AIに限らず全社に効きます。

第4ステップ ── 全社員への周知と同意

ルールは作っただけでは意味がありません。全社員に周知し、同意を得たことを記録 します。方法は会社の規模に合わせて選びます。

  • 説明会を開いて議事録と出席者名を残す
  • 社内に掲示して確認欄にサインをもらう
  • 個別に面談して記録を残す

いずれの場合も 日付を残す ことが大事です。あとで「聞いていない」を防ぎます。

第5ステップ ── 相談先と違反時の対応を書く

最後に「迷ったら誰に聞くか」「ルールを破ったらどうなるか」を 1 行ずつ書きます。1 人法人でも数十人の会社でも、この型は同じで回ります。相談先が明記されていれば、社員は勝手に判断せず確認してくれるようになります。

ルールは「A4 1 枚 + 早見表 1 枚」で十分

繰り返しますが、長い規程より 運用される短いルール です。A4 1 枚のルール本文と、前章の早見表 1 枚。この 2 枚があれば、中小企業の生成AI利用は十分に統制できます。まず作って回し、足りないところを足していく ── これが続けるコツです。

SECURITY ACTION ★宣言で土台を固める (小さく始める情報セキュリティ)

生成AIのルールだけを単独で作っても、土台がぐらついていては効きません。生成AIルールは、情報セキュリティ全体の土台の上に乗せる のが本筋です。その土台づくりに、中小企業向けに用意された仕組みが「SECURITY ACTION」です。補助金の申請要件としての位置付けは別記事 ▶ AI型ツールで使う場合のポイント で触れましたが、ここでは補助金と切り離して、実際に宣言まで進めるための中身と手順 に踏み込みます。

SECURITY ACTION ★★宣言までの 4 ステップ

1 基本方針を作る A4 1 枚で十分。 目的・適用範囲・ 守る約束を書く

2 外部公開する 自社サイトなどで 基本方針を 公開する

3 25 項目診断 「5 分でできる! 自社診断」25 項目 を実施し記録

4 自己宣言・掲示 IPA サイトで自己宣言 (事業者登録) → ロゴを自社サイトに掲示

★ 一つ星 = 情報セキュリティ 5 か条 (更新 / ウイルス対策 / パスワード / 共有設定 / 脅威把握) ★★ 二つ星 = 5 か条 + 基本方針の外部公開 + 25 項目の自社診断 生成AIを業務で使うなら ★★ 二つ星がおすすめ ── 基本方針に「AI に顧客データを学習させない」と書ける

SECURITY ACTION とは

SECURITY ACTION とは、▶ IPA (独立行政法人 情報処理推進機構) が運営する中小企業向けの情報セキュリティ自己宣言制度 です。第三者が審査する認証ではなく、企業が自ら「情報セキュリティに取り組みます」と宣言する 仕組みで、中小企業でも取り組めるよう手続きが簡素化されています。

★ 一つ星 = 情報セキュリティ 5 か条

★ 一つ星は、▶ 情報セキュリティ5か条 に取り組むことを宣言します。5 か条とは次の 5 つです。

  1. OS やソフトウェアは常に最新にする
  2. ウイルス対策ソフトを導入する
  3. パスワードを強化する (長く・使い回さない)
  4. 共有設定を見直す (共有リンクの権限と期限)
  5. 脅威や攻撃の手口を知る

どれも生成AIの安全利用にそのまま効く、情報セキュリティの土台です。

★★ 二つ星 = 基本方針の公開 + 自社診断 25 項目

★★ 二つ星は、一つ星の内容に加えて次の 2 つを満たして宣言します。

  • 情報セキュリティ基本方針 を定めて 外部に公開 する
  • 「5 分でできる ! 情報セキュリティ自社診断」の 25 項目で自社診断 を行う

つまり「うちはこういう方針で情報を守ります」と明文化して公開し、25 項目のチェックで穴を洗い出す ── これが二つ星です。私自身も、自社サイトに基本方針を公開したうえで 25 項目の自社診断を通し、二つ星を目標に運用しています。

なぜ生成AIを使うなら ★★ が相性いいか

生成AIを業務で使うなら、私は ★★ 二つ星 をおすすめします。理由は明快で、二つ星で作る基本方針の中に「お客様からお預かりしたデータを、外部の AI の学習には使わせません」という姿勢を明記できるからです。この一文があるだけで、社員も取引先も安心して仕事を任せられます。生成AIの利用ルール (前章) と、この基本方針が上下でつながるのです。

★★宣言までの 4 ステップ

二つ星の宣言は、次の 4 ステップで進みます。

  1. 情報セキュリティ基本方針を作る (A4 1 枚で十分。目的・適用範囲・守る約束を書く)
  2. 自社サイトなどで外部公開する
  3. 「5 分でできる ! 情報セキュリティ自社診断」25 項目を実施 して記録を残す
  4. IPA のサイトで自己宣言 (事業者登録) し、ロゴの使用申請をして自社サイトに掲示する

大がかりな認証まではいらない ── まず小さく始める

「情報セキュリティ」と聞くと、ISMS 認証 (ISO 27001) のような大がかりな仕組みを想像して身構えるかもしれません。ですが中小企業が生成AIを安全に使うだけなら、そこまでは要りません。まずは SECURITY ACTION と A4 1 枚のルールから小さく始める ── これで十分に守れます。認証はもっと大きくなってから考えればよいのです。

業務で使う生成AIツールの選び方 (法人向けプラン・学習オプトアウト)

ツールの機能比較そのものは別記事に譲り、ここでは セキュリティ観点で見るべき 3 点 に絞ります。同じ ChatGPT でも、どのプランで契約するかでリスクが大きく変わるからです。

見るべき点 1 ── 入力データが学習に使われないか

第一に確認すべきは「入力した内容が AI の学習に使われないか」です。学習に使わない設定を「学習オプトアウト」、入力データをそもそも保持しない仕組みを「ゼロデータ保持 (ZDR)」と呼びます。この設定ができるツール・プランを選ぶのが基本です。

見るべき点 2 ── 法人向けプランか

無料版・個人向けプランは、入力が学習に使われやすい傾向があります。一方 法人向けプラン (ビジネス版・エンタープライズ版) は、既定で学習オプトアウトになっていることが多く、業務利用に向いています。少人数の会社でも、業務で本格的に使うなら法人向けプランを検討する価値があります。

見るべき点 3 ── 管理者機能があるか

法人向けプランの多くには 管理者機能 が付いています。誰がアカウントを持っているか一覧できたり、退職者のアクセスをまとめて止められたりします。前章の第3ステップ (アカウント管理) を回すうえで、この管理者機能があると格段に楽になります。

契約前に確認する 3 つの言葉

契約前に、提供元の利用規約やプライバシーポリシーで次の 3 つの言葉を探して確認します。

  • 学習利用: 入力データを学習に使うか、オプトアウトできるか
  • データ保持期間: 入力がどれだけの期間サーバーに残るか
  • サブ処理者 (再委託先): データの処理を他社に再委託していないか

この 3 点が明記され、納得できるツールを選べば、生成AIは安心して業務の戦力になります。

製造業での実務例 ── 図面・原価・顧客情報を生成AIでどう扱うか

改善ジャパンの読者の中心は中小製造業です。そこで、製造業でよく出てくる情報を 生成AIでどう扱うか を具体例で示します。「入れない」だけでなく「工夫すれば使える」ところまで踏み込みます。

図面・仕様書

図面や仕様書は 原則、生成AIに入力しません。どうしても相談したい場合は、寸法・型番・公差などの固有情報を消して「こういう形状の部品を加工する一般的な手順は?」と一般論として聞く形に変えます。図面そのものを渡さず、聞きたい論点だけを抽象化するのがコツです。

原価・見積

原価や見積の 実額は入れません。代わりに 比率やダミー数字 に置き換えます。「材料費が全体の 60%、加工費が 25%、この構成でコストを下げる打ち手は?」のように、構造だけを相談すれば、実額を出さずに知恵は借りられます。

顧客情報・取引先名

取引先名や顧客の固有名詞は伏せ、「ある得意先」「A 社」として扱います。「納期遅延のお詫びメールを、ある得意先向けに丁寧な文面で」と頼めば、固有名詞なしでも十分に実用的な下書きが得られます。

使ってよい生成AI活用

逆に、次のような使い方は積極的に活用してかまいません。生成AIが本領を発揮する領域です。

  • 会議の議事録の要約 (機密の固有名詞を伏せたうえで)
  • メール文面・お知らせ文の下書き
  • 作業手順書・マニュアルの骨子づくり
  • 新人教育資料のたたき台

「入れない工夫」を仕組みにする

大事なのは、この「置き換える一手間」を 個人の心がけでなく仕組みにする ことです。「貼り付ける前に、固有名詞と実額を置換する」というチェックを 1 手間、社内ルールに組み込みます。習慣になれば、社員は自然と安全な使い方をしてくれるようになります。

それでも漏れたら ── インシデント発生時の対応 4 ステップ

どれだけ気を付けても、事故はゼロにはなりません。大事なのは 起きたときに慌てず動ける準備 です。次の 4 ステップを、あらかじめ決めておきます。

第1ステップ ── 止める

まず被害を広げないために 止めます。該当するアカウントを停止し、共有リンクが出ていれば失効させます。原因の特定より先に、まず出血を止めるイメージです。

第2ステップ ── 記録する

次に「いつ・誰が・何を・どのツールに入れたか」を記録します。この記録が、次の範囲判定と再発防止の土台になります。記憶は消えるので、早めに書き出します。

第3ステップ ── 範囲を見極める

漏れた情報に 個人情報が含まれるか を見極めます。含まれる場合は、公的機関への報告が必要になることがあります。何が漏れて、誰に影響するかを冷静に切り分けます。

第4ステップ ── 再発防止

最後に、なぜ起きたかを踏まえて ルール・教育・ツール設定 を見直します。「入れてはいけない情報の早見表が周知されていなかった」「無料版を使っていた」など、原因に応じて社内ルールとツール選定に立ち返って手当てします。

個人情報の漏えいは報告義務がある場合がある

🚨 個人情報の漏えい・滅失・毀損が起きた場合、▶ 個人情報保護委員会 への報告と本人への通知が 法律で義務づけられている ケースがあります。件数や内容によって扱いが変わるので、個人情報が絡む事故のときは、この公的窓口の案内を必ず確認してください。

AI 利用全般の考え方は、▶ 経済産業省・総務省の AI事業者ガイドライン も参考になります。

よくある質問 Q&A

Q1: 無料版の ChatGPT を業務で使うのは危険ですか?

業務では推奨しません。無料版・個人版は入力が学習に使われやすく、管理者機能もないため、誰が何を入れているか把握できません。業務で本格的に使うなら、学習オプトアウトが効く法人向けプランに寄せてください。

Q2: 「入力しない」だけで本当に守れますか?

「入力しない」は最も強力な対策ですが、それだけでは 社員全員が同じ判断をしてくれる保証 がありません。だからこそ早見表で線引きを共有し、社内ルールで仕組みにする必要があります。個人の心がけを、会社の仕組みに変えるのがポイントです。

Q3: 社員が個人スマホで勝手に使うのはどう防ぐ?

技術だけで完全に防ぐのは難しいので、ルールと教育 で守ります。「業務情報は指定ツール以外に入れない」を明文化し、なぜ危険かを教育で共有します。私物端末の業務利用は原則禁止としておくのが安全です。

Q4: 生成AIに入れた情報は消せますか?

確実に消せるとは限りません。会話履歴を消せるツールもありますが、学習に使われた後だと完全には取り消せない場合があります。だからこそ「後で消す」前提ではなく「最初から入れない」が鉄則です。

Q5: SECURITY ACTION は生成AIを使うのに必須ですか?

生成AIを使うだけなら法律上の必須要件ではありません。ただし、情報セキュリティの土台を 公的に認められた形で整える 手軽な方法として強くおすすめします。特に補助金で AI ツールを導入する場合は申請要件に関わるので、▶ AI型ツールで使う場合のポイント もあわせて確認してください。

Q6: 小さな会社(数人)でも社内ルールは要りますか?

要ります。むしろ人数が少ないほど 1 人の事故が会社全体に直結します。数人の会社なら A4 1 枚のルールと早見表 1 枚で十分です。私自身、少人数の体制でも基本方針とルールを整えて運用しています。規模の大小ではなく、扱う情報の重さで判断してください。

まとめ

生成AI・汎用AIを業務で安全に使うために、本記事で押さえてほしい 3 行サマリーは以下の通りです。

  1. 生成AIは「入力が外部に出る・学習に使われる」前提で使う ── 機密性がまず崩れる
  2. 入れてはいけない情報を早見表で決め、社内ルール 5 ステップを A4 1 枚 で回す
  3. SECURITY ACTION ★宣言 で情報セキュリティの土台を固め、学習オプトアウトの効くツールを選ぶ

生成AIは、使い方さえ間違えなければ、中小製造業にとって強力な戦力になります。怖がって使わないのも、無防備に使うのも、どちらも損です。線引きを決めて、仕組みにして、土台を固める ── この 3 つをコツコツと積み上げて、安全に活用していきましょう。

関連記事

外部の公的情報源

個別相談

「生成AIを安全に使いたいが、社内ルールをどう作ればいいか分からない」「SECURITY ACTION の基本方針づくりと自社診断を一緒に進めたい」「製造業の現場で図面・原価をどう扱うか相談したい」── そんなお悩みは、▶ あすなろ経営研究所 までお気軽にご相談ください。中小企業診断士として、情報セキュリティ基本方針の策定から生成AIの社内ルール整備まで伴走します。

最新情報をチェックしよう!