ChatGPTに個人情報を入力していいか——判断基準と注意点
「chatgpt 個人情報 入力」で検索する読者に向けて、ChatGPTに個人情報を入力していいか——判断基準と注意点を切り口に、実務で確認すべき使い方・注意点・導入判断を整理します。中小企業で無理なく試すための論点も解説します。
「chatgpt 個人情報 入力」で検索している人が知りたいのは、単語の定義だけではなく、自社で使える業務、避けるべきリスク、導入順序です。この記事では、ChatGPTに個人情報を入力していいか——判断基準と注意点を切り口に、中小企業が実務で確認すべき判断材料を整理します。
1. AIに顧客の個人情報を入れていいのか——一番大事な「3つの分かれ目」
ChatGPT などの生成 AI に顧客の個人情報を入れていいかは、「個人版か業務契約版か」「会話を学習に使わない設定がオンになっているか」「データの中身は何か」の3点で白黒が決まります。この3つを揃えれば多くの業務利用は可能で、どれか1つでも揃わないなら一旦止める、という判断軸を持つだけで、社内の混乱はかなり減ります。
分かれ目1: 「個人版」と「業務契約版」では入っているルールが違う
ChatGPT には大きく「個人版(Free / Plus / Pro)」と「業務契約版(Business / Enterprise)」の2系統があります。一番大きな違いは、入力した会話を OpenAI が AI の改善に使う(学習に使う)かどうかが、最初からどう設定されているかという点です。
個人版は、設定をいじらないかぎり「会話が学習に使われる可能性がある」状態です。一方の業務契約版は、入力データを学習に使わないことが最初から会社対会社の契約に書かれており、設定をいじる必要がありません。学習に使われるというのは、ChatGPT が入力された内容を覚えていって、後日まったく別の人が似た質問をしたときに、その内容を回答に紛れ込ませてしまう可能性がある、という意味です。中小企業の顧客情報がこういう形で外に出てしまうと、後から取り消すことは事実上できません。
つまり「個人事業主として個人版の月20ドルのプランを使っている」状態と「会社として Businessプランを契約している」状態では、同じ ChatGPT というアプリでも、入れていいデータの幅がまったく違います。
分かれ目2: 「会話を学習に使わない設定」はオンになっているか
個人版を業務で使う場合、最低限やっておくべきは「会話を学習に使わない設定」をオンにすることです。専門用語では「オプトアウト」と呼ばれますが、要するに「私の会話は AI の勉強材料に使わないでください」と意思表示するスイッチです。次の章で画面操作の手順を詳しく書きますが、ChatGPT 右上のアイコンから「設定」→「データコントロール」と進み、「すべての人のためにモデルを改善する」をオフにするだけで完了します。
ただし、ここに重要な注意点が2つあります。第一に、この設定をオンにする前に入力した会話は既に学習対象になっている可能性があり、後から「あの会話だけは学習から外して」と言うには別途オプトアウト申請(privacy.openai.com の専用フォーム)が必要です。第二に、この設定は端末ごと・アカウントごとに行うため、社員が新しい端末で ChatGPT を使い始めたら、本人がもう一度オンにする必要があります。
分かれ目3: そもそも入れていいデータの中身か
3つ目の分かれ目は、入力するデータそのものの中身です。「個人情報」と一口に言っても、影響度合いは段階があります。社名と部署名だけなら多くの場合は問題ありませんが、顧客の氏名・電話番号・住所・メールアドレスがセットで並んだリストとなると話が変わります。さらに、健康情報・マイナンバー・銀行口座情報・人事評価・刑事歴のようなセンシティブ情報(個人情報保護法の用語では「要配慮個人情報」)になると、業務契約版でも入力には慎重な判断が必要です。
判断の目安としては、「もしこのデータがそのまま外部に漏れたら、本人に説明できるか」「漏れたら賠償・謝罪・関係修復のコストが事業の利益を超えるか」の2問を自分に問うと、入れていいかどうかが見えてきます。
3つの分かれ目を1枚にまとめる判断フロー
出典:個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」(2023年6月2日)/BUSINESS LAWYERS「AIに個人情報を入れてはいけない? 個人情報保護法改正を見据えて弁護士が解説」。2. 個人情報保護委員会が言っている「3つの注意」を中小企業向けに翻訳する
個人情報を所管する国の機関である個人情報保護委員会は、2023年6月に「生成AIサービスの利用に関する注意喚起等について」という文書を出し、その後も継続して内容を更新しています。文書は法律家向けの硬い言葉で書かれていますが、中身を中小企業向けに翻訳すると「3つの注意」に集約されます。
注意1: 入力した個人情報は、AI 提供者の手に渡る前提で考える
委員会は最初の論点として、生成 AI に入力した個人情報は「サービス提供者(OpenAI や Google や Anthropic)に学習データとして集められる可能性があり、別のユーザーへの回答に意図せず出てしまう可能性がある」ことを明示的に注意喚起しています。これは2023年当時から繰り返し言われていることで、2024年・2025年の追加文書でも基本姿勢は変わっていません。
中小企業の社長向けに翻訳すると「ChatGPT に何かを入れた瞬間、そのデータは OpenAI(アメリカの会社)のサーバーに送られ、学習に使われる可能性がある。学習されると、別の人の質問に紛れ込んで出てしまうかもしれない」ということです。前章で説明した「学習オフ設定」や「業務契約版を使う」という対策は、この前提を踏まえた最低限の防衛策です。
注意2: 業務で個人情報を入れる時は「委託」として扱う
2026年4月に閣議決定された改正個人情報保護法では、ChatGPT や Salesforce、HubSpot のような外部のクラウドサービスに顧客情報を入れることを、個人情報の取り扱いを「委託」する行為として位置付ける方向で議論が進んでいます。委託とは外注のことで、外注先には「ちゃんとした会社か選ぶ」「ちゃんと使っているか監督する」「契約書で約束をかわす」の3つの義務が発生します。
中小企業向けに翻訳すると「ChatGPT を業務で使うなら、外注先と同じ扱いで、選定・監督・契約の3点を整える必要がある」ということです。具体的には、業務契約版(Business / Enterprise)を使うこと、年に1〜2回は OpenAI の最新の契約条項を読み直すこと、社内で「誰が責任者か」を決めておくこと——この程度のことで、外注先管理の最低限はクリアできます。
注意3: 漏れたら「速やかに」報告する義務がある
改正個人情報保護法では、個人情報の漏洩・滅失・毀損が起きた場合、個人情報保護委員会への報告と本人への通知を「速やかに」行うことが求められています。「速やかに」の解釈は実務上、漏洩を知ってから72時間以内が目安とされています。これに加えて、改正法では課徴金(行政が直接科す経済制裁)の制度が新設され、年商規模に応じた金額が科される可能性が出てきました。
「うちは10人の小さな会社だから委員会も見に来ない」という認識は、率直に言って2026年以降通用しません。改正法は事業規模による適用除外を設けておらず、JIPDEC(一般財団法人日本情報経済社会推進協会)の2024年春の調査でも、すでに35.0%の企業が生成 AI を利用し、34.5%が導入推進中という普及率です。中小企業も含めて、生成 AI 経由の個人情報漏洩は十分に「起こり得る事故」として扱われる段階にあります。
出典:個人情報保護委員会「生成AIサービスの利用に関する注意喚起等について」/JIPDEC「IT-Report 2024 Spring 生成AIと個人情報」/JIPDEC「IT-Report 2025 Spring 個人情報保護法のいわゆる3年ごと見直しについて」/Business & Law「生成AIへの個人情報・営業秘密・機密情報の入力」。3. ChatGPTに「学習させない設定」をする画面操作の手順
個人版 ChatGPT で「会話を学習に使わない設定」をオンにする操作は、画面の右上から始めて4ステップで完了します。スマホ(iPhone / Android)アプリでも PC ブラウザ版でも、メニューの階層はほぼ同じです。設定変更には費用はかからず、所要時間は1分程度です。ただし、設定変更の前に入力した会話は別途申請が必要なので、その点まで含めて手順を追います。
PC ブラウザ版での操作手順(4ステップ)
第一のステップは、ChatGPT にログインした状態で、画面右上にある自分のアカウントアイコン(自分のイニシャルか登録した画像)をクリックすることです。クリックすると下にメニューが開きます。
第二のステップは、開いたメニューの中から「設定(Settings)」を選びます。表示が英語になっている場合は同じ位置にある「Settings」を選んでください。設定画面が新しい窓のような形で開きます。
第三のステップは、設定画面の左側に並んでいるメニューから「データコントロール(Data controls)」を選びます。日本語環境なら「データコントロール」、英語なら「Data controls」と書かれています。右側にいくつかのスイッチが並んだ画面が出ます。
第四のステップは、その中にある「すべての人のためにモデルを改善する(Improve the model for everyone)」というスイッチを探し、オフ(左側に倒した灰色の状態)にします。これで「今後あなたが入力する会話は、AI の学習に使われない」状態になります。
スマホアプリ版での操作手順
スマホアプリでも基本は同じです。左上の三本線メニューを開いて自分のアカウント名をタップ、開いたメニューから「設定」、その中の「データコントロール」、「すべての人のためにモデルを改善する」をオフ——という流れです。アプリのバージョンによってアイコンの位置が多少変わりますが、「データコントロール」というメニュー名を探せばたどり着けます。
設定変更前に入力したデータはどうなるか
ここが見落とされがちな重要点です。今オンにした設定は「今後の会話」に対してのみ有効で、設定をオンにする前に入力した会話の学習からの除外はカバーしません。過去の入力分まで学習対象から外したい場合は、別途 OpenAI の Privacy Portal(privacy.openai.com)にアクセスし、「Do not train on my content(私の入力を学習に使わないでください)」というリクエストを申請する必要があります。
申請フォームは英語ですが、入力項目は「メールアドレス」「アカウント情報」「申請の趣旨を選ぶチェックボックス」程度で、特別な書面は不要です。社内で個人情報を含む会話をかなりの量入力してしまった後で気づいた、というケースでは、まずこのフォームから申請するのが第一歩になります。
学習オフ設定をオンにしても残るリスク
学習オフ設定をオンにしても、消えないリスクが2つあります。第一に、入力データそのものは OpenAI のサーバーに30日間(業務契約版や一部設定では短縮可)保存されており、不正アクセスや内部不正による漏洩リスクはゼロではありません。第二に、OpenAI が将来的にポリシーを変更する可能性があります。「学習に使わない」と約束していても、契約条項は将来変わり得ます。
このため、学習オフ設定は「最低限の防衛線」と理解し、過信せず、入力するデータそのものを選別する(次章で詳述)という姿勢を社内で共有することが大切です。
出典:マネーフォワード クラウド「ChatGPTに学習させない(オプトアウト)ための設定方法とは」/wiz LANSCOPE ブログ「ChatGPTに学習させない方法とは?画像付きでオプトアウト手順を解説」/MiraLabAI「ChatGPTオプトアウトの設定方法」。4. Free / Plus / Business / Enterprise の違いと安全性
業務で顧客情報を扱うレベルになると、月20ドル(約3,000円)の個人版 Plus では不安が残り、年契約で月20ドル/席、月契約で月25ドル/席(2席から)のBusinessか、それ以上のEnterpriseが現実的な選択肢になります。プランの違いを「学習対象/対象外」「月額」「最低契約席数」の3軸で並べると、選び方の判断がつきやすくなります。
プラン別の比較表
| プラン名 | 月額(1ユーザーあたり) | 学習対象/対象外(デフォルト) | 最低席数 | 中小企業の向き |
|---|---|---|---|---|
| Free | 0円 | 学習対象(要オプトアウト) | 1 | 個人の試用のみ |
| Plus | 20ドル(約3,000円) | 学習対象(要オプトアウト) | 1 | 個人事業主の試用、業務利用は学習オフ必須 |
| ChatGPT Business | 20ドル/席(年契約)または25ドル/席(月契約) | 学習対象外(デフォルト) | 2席〜 | 30名以下の中小企業の本命 |
| ChatGPT Enterprise | 要問い合わせ | 学習対象外(デフォルト)+ 管理機能強化 | 個別 | 50名以上または高機密案件 |
| Enterprise | 個別見積もり | 学習対象外 + 監査ログ + SSO | 150席〜目安 | 大企業向け |
個人事業主は Plus + オプトアウトか Business か
ひとり事業主の場合、現実的な選択肢は「Plus(月20ドル)に契約してオプトアウト設定をオンにする」か「Business(最低2席、年契約なら月40ドル、月契約なら月50ドル相当)を契約してデフォルトで安全側に倒す」の2択になります。判断の軸は、顧客情報を入力する頻度と量です。週に数回、顧客の名前を含む文書を扱う程度なら Plus + オプトアウトで十分とも言えますが、顧客リスト全件や契約書全文を頻繁に扱うなら、最初から Business を契約しておく方が安心です。
ここで「Business は2席からだから一人事業主には合わない」という声がよくありますが、自分のアカウント1席 + 予備1席(あるいは外注パートナー1席)という構成で契約することが多く、年契約なら月40ドル、月契約なら月50ドル前後を業務上の保険料と捉えるかどうか、という判断になります。
30名規模の中小企業は Business が本命
社員30名規模の中小企業で AI 利用を社内展開する場合、Businessプランを30席契約(年契約なら月600ドル、月契約なら月750ドル)が現実的な本命です。Enterprise に切り替える判断は、「ユーザー権限の細かい管理が必要になった」「監査ログを社内で見たい」「他の業務システム(Microsoft 365 など)と SSO(シングルサインオン)で統合したい」というニーズが出てきた時点でよく、最初から Enterprise を選ぶ必要は多くの中小企業ではありません。
競合サービスの料金も並べておく
参考までに、ChatGPT 以外の主要な生成 AI サービスの業務版料金は次の通りです。Google Gemini(Google Workspace 内の Gemini Business / Enterprise)は1ユーザー月20〜30ドル、Microsoft 365 Copilotは月30ドル(年契約)、Claude Team(Anthropic 社)は月25ドル/席(年契約)または月30ドル/席(月契約)、最低5席です。複数サービスを併用する中小企業も増えていますが、最初の1本を決めるなら、自社の他システム(Microsoft 365 を使っているか、Google Workspace を使っているか)と整合する選択肢から始めるのが無難です。
出典:OpenAI 公式 ChatGPT Pricing/Google Workspace Gemini/Microsoft 365 Copilot 公式/Anthropic Claude 料金。料金は2026年5月時点、為替・改定により変動。5. 絶対にAIに入れてはいけない5業務——中小企業の現場で起きる典型パターン
中小企業の現場で実際に起きている「やってしまった」事例を集約すると、5つの典型パターンに収斂します。いずれも悪意ではなく、便利だから・早いから・気軽だから、という理由で起きています。Samsung(韓国のサムスン電子)の有名な事例も、社員が業務効率化のつもりで入力した結果でした。これらは業務契約版を使っていても判断に迷う領域なので、社内ルールとして明示的に「やらない」と決めておく必要があります。
パターン1: 顧客リストを Excel ごと貼って「分類して」と頼む
最も多いのが、CRM や Excel から抽出した顧客リストを ChatGPT にそのまま貼り付け、「業種別に分類して」「メール送信用にフォーマット整えて」と依頼するパターンです。一見すると単純な事務作業に見えますが、貼り付けた瞬間に氏名・電話番号・メールアドレス・会社名・商談履歴がまとめて外部サーバーに送られ、業務契約版でない場合は学習対象になり得ます。
対策は、リストを貼る前に氏名・電話番号などの個人を特定する列を伏字(「顧客A」「顧客B」など)に置き換える、または ChatGPT 上ではなくローカルの Excel で同じ作業を関数で行う、という2択です。後者は「ChatGPT に Excel の関数を書かせて、その関数を自分の Excel で実行する」という運用にすると、データ自体は外に出さずに済みます。
パターン2: 人事評価会議の録音を議事録AIに流す
経営層・管理職の人事評価会議は、社員の個人情報の中でも最も機微な情報の塊です。録音を Whisper や議事録 AI(Notta、tl;dv 等)に流して要約させると、評価コメント、給与の話、昇進可否、退職可能性などが一気に外部サーバーに送られます。業務契約版を使っていても、こうした情報は「漏れた時の影響」が極めて大きく、議事録 AI には流さないという判断が無難です。
代替策としては、評価会議の議事録は手書きまたはローカルのワープロで取り、AI には「評価面談の進め方一般」のような形でしか相談しない、という運用線引きが現実的です。
パターン3: 求人応募者の履歴書を「適性を分析して」と入力
採用業務で履歴書 PDF を ChatGPT に貼り付け、「この応募者の適性を分析して」と頼むパターンも要注意です。応募者の氏名・住所・電話番号・学歴・職歴・場合によっては顔写真が一括で外部に送られます。応募者は採用プロセスへの同意はしていても、自分の情報が ChatGPT に入ることまでは同意していないため、改正個情法の「目的外利用」に該当する可能性があります。
対策は、履歴書からの分析依頼自体を控え、入力するなら「30代男性・IT 業界経験10年・営業職」のような個人を特定できない形に手動で要約してから ChatGPT に渡す、という運用です。
パターン4: 取引先との契約書全文をレビュー依頼
「取引先から契約書のドラフトが来た。法務に出す前に一度 ChatGPT で見てもらおう」というパターンも頻繁に起きます。契約書には取引先の社名・代表者名・契約金額・特記事項が含まれ、これは取引先の機密情報・営業秘密でもあります。自社の情報なら自社判断で入れる/入れないを決められますが、取引先の情報を勝手に外部に出すのは契約違反(守秘義務違反)になる可能性が高いです。
対策は、契約書を ChatGPT に見せる前に固有名詞(社名・人名・金額)を全て伏字に置き換える、または契約書のレビューは弁護士か顧問契約のある法務サービスに任せる、の2択です。
パターン5: マイナンバー・健康情報・銀行口座を絶対に入れない
5つ目は明確な禁止事項として共有しておきます。マイナンバー、健康情報(既往症、服薬歴、障害情報)、銀行口座番号、クレジットカード番号、運転免許証番号は、業務契約版を使っていても入力してはいけません。これらは個人情報保護法上の「要配慮個人情報」や金融関連の特別法(マイナンバー法、割賦販売法等)の対象で、漏洩した場合の法的責任の重さが他の個人情報と比較にならないレベルです。
Samsung 事例が示すもの
Samsung(韓国のサムスン電子)の半導体部門で2023年に起きた事例では、ChatGPT 利用許可からわずか20日間で3件の機密情報漏洩が発生しました。半導体設備の測定データベース処理ソフトのエラー解消でソースコードを入力した件、歩留まり把握プログラムのコード最適化でソースコードを入力した件、社内会議の録音をテキスト化してから ChatGPT で議事録を作成した件——いずれも社員は業務効率化のつもりで、悪意はありませんでした。Samsung はその後、社内での ChatGPT 利用を全面禁止しています。
この事例の教訓は2つあります。第一に、便利だから・早いからという理由で、人は機密情報も入れてしまうこと。第二に、社内ルールを口頭で伝えるだけでは不十分で、明文化と定期的なリマインドが必要なこと。中小企業でも全く同じ構造で事故は起こり得ます。
出典:PC Watch「Samsung、ChatGPTの社内利用で3件の機密漏洩」/Ledge.ai「サムスンが従業員のChatGPT利用を禁止、機密データ漏洩で」/AI Incident Database #768: ChatGPT Implicated in Samsung Data Leak/SAXA-DX Navi「ChatGPTで情報漏洩はあり得る?中小企業がとるべき7つの対策と事例」。6. 社員がうっかり個人情報を入れてしまった——その時の3つの対応
それでも事故は起きます。社員から「ChatGPT に顧客の名前と電話番号、入れちゃいました」と言われた瞬間に、社長が頭の中で動かすべき手順は3つです。改正個人情報保護法では漏洩の報告・通知は「速やかに」とされ、実務上は事象を知ってから72時間が一つの目安になります。慌てず、しかし手早く、次の順序で動きます。
対応1: まず3つを確認する(最初の30分)
最初の30分でやることは、社員から状況を聞き取り、次の3点を確認することです。第一に、入れたのが個人版か業務契約版か。第二に、学習オフ設定がオンになっていたか(個人版の場合)。第三に、入力した情報の中身——名前・電話番号だけか、契約書全文か、マイナンバー・健康情報・口座情報のような要配慮情報を含むか。
この3点が分かれば、その事案がどれくらい深刻かの初期判断ができます。業務契約版でかつ要配慮情報を含まないなら、対策はオプトアウト申請と社内再発防止で済むことが多く、個人版で要配慮情報を含むなら、後述の72時間プロセスに沿って本格対応が必要になります。
対応2: ログの削除依頼と漏洩通知の要否判断(24時間以内)
24時間以内にやることは2つあります。一つ目は、OpenAI の Privacy Portal(privacy.openai.com)から、該当する会話の削除と学習対象からの除外を申請することです。申請フォームは英語ですが、項目は限られており、社内で英語が分かる人がいれば30分以内に完了できます。社員自身のアカウントから申請する必要があるため、社員に画面操作を案内する形が現実的です。
二つ目は、個人情報保護委員会への報告と本人への通知が必要かを判断することです。改正個人情報保護法の運用では、要配慮個人情報を含む場合、または1,000人以上の個人情報が漏洩した場合は報告・通知が法的義務になります。それ以外でも、信用失墜・営業秘密の漏洩リスクが高い場合は、自主的な通知を行うかを経営判断で決めます。判断に迷ったら、顧問弁護士・社労士・税理士のいずれかに30分相談すれば、おおむね方向性は見えます。
対応3: 社内で再発防止の決め事(72時間以内)
72時間以内にやることは、社内での再発防止策を決めて全社員に共有することです。具体的には、起きた事案の事実関係(個人名は伏せて)、何が問題だったか、これから何を守るかの3点を、A4 一枚程度の文書にまとめ、朝礼やチャットで共有します。事故を起こした社員を責める姿勢で書くと「次は隠そう」というインセンティブが働いてしまうため、「便利だから誰でも起こし得る、だから社内ルールが必要」という枠組みで書くのがコツです。
中長期では、次章で扱う「AI 利用の社内ルール A4 一枚」を整備し、社員教育(30分の社内勉強会で十分)と、月1回程度の運用見直しを回す体制に切り替えていきます。
課徴金リスクの規模感
改正個人情報保護法では課徴金制度の導入が法案化されており、漏洩の事案によっては年商の数%が科される可能性があります。年商10億円の中小企業で売上の3%なら3,000万円規模、年商3億円でも900万円規模となり、サイバー保険でカバーされにくい行政処分のため、自社のキャッシュフローで支払う必要があります。これが「うちは小さいから関係ない」が通用しない経済的な理由です。
出典:個人情報保護委員会「個人データの漏えい等の事案が発生した場合等の対応について」/OpenAI Privacy Portal/Uravation「生成AI×個情法 完全対応ガイド」。7. 中小企業が今日決める「AI利用の社内ルールA4 1枚」
ここまでの内容を一枚の社内ルールにまとめると、A4一枚で十分に運用できます。下記のひな型は、30名以下の中小企業を想定して、入れていい情報・入れてはいけない情報・使っていいツール・違反時の対応・見直し頻度の5項目で構成しました。社内で配って、月1回の朝礼で読み合わせる程度の運用で、現場の事故は大幅に減ります。
A4 一枚ひな型(コピーして使えます)
当社の生成 AI 利用ルール(2026年X月版)
使っていい AI サービス ChatGPT Business プラン(会社契約)、Microsoft 365 Copilot(社内ライセンス分のみ)、Google Workspace 内の Gemini Business。これ以外の個人版 ChatGPT(Free / Plus)の業務利用は禁止する。
入れていい情報 公開情報、社内一般情報、商品・サービスの一般説明、契約書の雛形(取引先固有情報を伏せたもの)、社員自身の業務メールの下書き素材、求人票の一般文言。
入れてはいけない情報 顧客の氏名・電話番号・住所・メールアドレスがセットで並んだリスト。取引先との契約書全文・見積書・発注書・請求書の原本データ。社員の人事評価・給与情報。マイナンバー・健康情報・銀行口座番号・クレジットカード番号・運転免許証番号。求職者の履歴書原本。
うっかり入れてしまった時 入れた本人がすぐに上長と社内責任者(XX)に申告。30分以内に状況を共有、24時間以内に Privacy Portal から削除申請、72時間以内に再発防止策を全社員に共有。隠さず、責めず、改善する。
見直し このルールは月1回の朝礼で読み合わせ、半年ごとに内容を見直す。AI サービスの追加・変更は社内責任者(XX)の承認制とする。
教育担当者を決め、月1回の朝礼でリマインドする
A4 ルールを配るだけでは時間が経つと忘れられます。30名以下の中小企業なら、社長または総務担当者の1名を「AI 利用の教育担当者」に指名し、月1回の朝礼で2〜3分、ルールの読み合わせと最近の事案(外部の漏洩ニュースでも自社のヒヤリハットでもよい)の共有を行う運用が現実的です。教育担当者の人件費は別途追加せず、既存の役割の一部として割り振る形で十分機能します。
半年に1回はサービスの契約条項を読み直す
AI サービスは進化が速く、契約条項やプラン構成は半年単位で変わります。社内責任者は半年に1回、OpenAI・Microsoft・Google の最新の業務契約条項を確認し、データの取り扱いに変更がないかを点検します。これも30分程度の作業で、半年に1回というペースなら現実的に運用できます。
業務効率化と安全性の両立は「線引き」がすべて
中小企業の社長から「AI で業務を効率化したいが、顧客情報の扱いが不安で踏み込めない」という相談をよく受けます。実際のところ、効率化と安全性は「何を入れていいか、何を入れてはいけないか」の線引きさえはっきりすれば、両立できます。本記事の3つの分かれ目(個人版/業務契約版・学習オフ設定・データの中身)と、入れない5業務、A4 一枚ルールを社内に展開すれば、月1〜2時間の運用負荷で安全側に倒した運用が回ります。
完璧を目指す必要はありません。「最低限の防衛線を引いて、後は使いながら改善する」という姿勢で十分です。
まとめ:中小企業がAIに個人情報を入れる前の最初の3手
長くなったので、最後に最初の3手を再掲します。
- 使っている ChatGPT が個人版か業務契約版かを確認する。個人版なら、設定 > データコントロール > 「すべての人のためにモデルを改善する」をオフにする。業務で本格運用するなら、Businessプラン(年契約で月20ドル/席、月契約で月25ドル/席)への切り替えを検討する。
- 「絶対に入れない5業務」を社内に明示する。顧客リスト全件、人事評価会議の録音、求職者の履歴書、取引先の契約書原本、マイナンバー・健康情報・口座情報——この5つは業務契約版でも入れない。
- A4 一枚の社内ルールを配り、月1回の朝礼で読み合わせる。教育担当者1名を指名し、半年に1回はサービスの契約条項を読み直す体制を作る。
この3手を整えれば、改正個人情報保護法の課徴金リスクも、Samsung 事例のような社員のうっかり漏洩も、現実的なリスクとして管理できる範囲に収まります。完璧でなくていいので、まず今週中に1手目から始めることを推奨します。
関連して、AI 利用全体の社内ガイドライン整備についてはAI業務ガイドラインの作り方、改正個人情報保護法の全体像については改正個人情報保護法の経営インパクト、ChatGPT の業務利用全般についてはChatGPTを中小企業の業務で使う、AI 全体の経営判断についてはAIに奪われる仕事と奪われない仕事を併せてお読みください。
FULLFACT では、中小企業の AI 業務利用と個人情報保護の両立を、業務診断の中で具体的に整理する伴走支援を行っています。軽い課題なら数週間で論点が見えることもあり、構造的な再設計が必要なら腰を据えて磨き込みます。スコープと進め方は貴社のペースで。
よくある質問(FAQ)
ChatGPTの個人版に顧客の名前を入れたらどうなるか?
デフォルト設定のままだと、入力した会話は OpenAI の学習データとして使われる可能性があります。後から学習させない設定にしても、過去に入力したデータの学習除外は別途 Privacy Portal 経由で申請する必要があります。顧客の名前・電話番号・契約金額など個人情報を業務で扱うなら、Business 以上の業務契約版(学習対象外がデフォルト)に切り替えるのが最初の一歩です。
学習させない設定はどこにあるか?
ChatGPT 画面右上のアカウントアイコンから「設定」を開き、左メニューの「データコントロール」に進み、「すべての人のためにモデルを改善する」をオフにします。スマホでも同じ場所にあります。ただしこの設定は「今後の会話」に対してのみ有効で、過去の会話は別途 privacy.openai.com から「Do not train on my content」を申請する必要があります。
うちは10人しかいない小さい会社だから関係ないのではないか?
関係あります。改正個人情報保護法は事業規模による適用除外を設けておらず、年商規模・従業員数を問わず、個人情報を扱うすべての事業者が対象です。2026年4月閣議決定の改正法では課徴金制度も新設されたため、漏洩が起きれば中小企業でも数百万〜数千万円規模のリスクになります。
社員がうっかり顧客情報を入れたらどうするか?
まず3つを確認します。第一に、入れた人の ChatGPT が個人版か業務契約版か。第二に、学習オフ設定がオンだったか。第三に、入力した情報の種類(名前のみか、契約書全体か、マイナンバー・健康情報か)。学習対象になり得る個人版で機微情報が入った場合は、Privacy Portal から過去会話の削除申請、個人情報保護委員会への報告要否判断、本人への通知要否判断を、72時間を目安に進めます。
Gemini や Claude も同じ注意が必要か?
同じです。Google Gemini も Anthropic Claude も、個人向け無料プランは入力データが学習に使われる可能性があり、業務契約版(Google Workspace 内の Gemini、Claude Team など)は学習対象外がデフォルトです。学習オフの設定場所はサービスごとに違いますが、判断軸は同じ「個人版か業務契約版か」「学習オフ設定済みか」「データの中身は何か」の3点です。
取引先の社名・住所だけならChatGPTに入れていいか?
業務契約版で、かつ取引先の機密情報や契約金額が含まれていない一般的な社名・所在地レベルなら、多くの場合は問題ありません。ただし契約書の文面・見積金額・発注内容を含む場合は、取引先の営業秘密として扱う必要があり、勝手に外部サービスに入れることは契約上の守秘義務違反になる可能性があります。判断に迷ったら、取引先の同意を得るか、固有名詞を伏字に置き換えてから ChatGPT に渡すのが安全です。
業務契約版を契約すれば、社員教育はいらないか?
契約だけでは不十分です。Business 契約は「学習に使われない」というデフォルト設定を提供しますが、何を入れていいか・何を入れてはいけないかの判断は社員自身がします。マイナンバー・健康情報・取引先の契約書原本は Business でも入れてはいけません。30分程度の社内勉強会と、A4 一枚のルール配布、月1回の朝礼リマインドの3点を組み合わせるのが現実的な運用です。
