Security & Guidelines
中小企業のための安全なAI利用・セキュリティガイドライン策定法
「AIを使うことで、顧客情報や社外秘のプロジェクトデータが漏洩しないか心配である」というのは、セキュリティ担当者が不在となりがちな中小企業にとって重要な課題です。本ページでは、情報漏洩を防ぎ安全に活用する実務のセキュリティチェック項目を詳しく解説します。
◉ このセクションの要約(キーテイクアウト)
- 入力禁止データの明確化: 個人情報、機密データ、未公開プロジェクト情報などの入力を一律禁止ルールにします。
- データ学習オフ設定の徹底: 利用するAIツールの設定を見直し、入力されたテキストがAIモデルの学習に使用されないように制御します。
- 著作権とファクトチェックの義務化: AIの誤情報(ハルシネーション)を考慮し、生成されたアウトプットは人間が確認した上で公開するルールを定義します。
1. AIに入力してはいけない情報の定義
情報漏洩事故を防ぐ第一歩は、「入力してはならない情報」を明確に定義し、社員に教育することです。
◉ 入力禁止データの具体例
- ・個人情報: 顧客の名前、電話番号、住所、メールアドレス、社員の個人データなど。
- ・契約情報・機密事項: 競合他社との契約書内容、未公開の製品スペック、社外秘の経営企画データ。
- ・ソースコード・認証情報: 自社の独自システムのソースコード、APIキーやパスワードなど。
2. 今すぐできるデータ漏洩防止の設定対策
AIツール(例:ChatGPT)の利用にあたっては、デフォルトでオンになっているデータ収集(学習利用)を必ずオフにするよう設定を定めます。
- ChatGPTの設定: 「Data controls」設定から「Chat history & training(チャット履歴と学習)」をオフにします。
- 法人向けプランへの移行: データがデフォルトで学習に使用されないようになっている「ChatGPT Team/Enterprise」や、API経由でアクセスする独自開発ツールを活用します。
- 認証付きアクセス: 社員のアクセス管理として、SSO(シングルサインオン)や多要素認証(MFA)を適用できるツールを選びます。
3. 簡単!社内AIガイドラインの基本構成テンプレート
ガイドラインは難解なものにする必要はありません。以下の3点をA4用紙1枚にまとめるだけで、初期のセキュリティ規約として十分に機能します。
構成1: ガイドラインの適用対象
全社員(パート・アルバイト・委託業務従事者を含む)が、業務中にAIを使用する際の一律ルールと定義します。
構成2: 入力規則・学習オフ設定の義務
個人情報や会社の機密データなどの入力を厳禁とし、各デバイスの学習拒否設定、または承認されたツールの使用を義務づけます。
構成3: 生成結果の利用ルールと検証の義務
生成されたデータ(テキストや画像など)に他者の著作権侵害や嘘の情報(ハルシネーション)がないか、公開前に必ず担当者がダブルチェックします。
◉ 社内AI利用ガイドライン & セキュリティ規約ひな形
「A4サイズ1枚ですぐ社内展開できる利用規約テンプレート」「セキュリティ確認済みAIツール選定チェックシート」を含んだ実践ガイドブックを無料で配布しています。