【2025年版】生成AIに入力してはいけない情報とは?情シス・監査部門が押さえるべきルール策定4ステップ
結論:入力ルールは「入れてはいけない情報」を先に決める
生成AIの入力管理では、使い方を細かく決めるより、入れてはいけない情報を明確にする方が運用しやすいです。
多くの企業では、個人情報・機密情報を中心に禁止事項を定義し、迷ったら相談する運用を取っています。
なぜ入力管理が重要なのか:事故は「出力」より「入力」から始まる
現場で起きがちなトラブルには、次の共通点があります。
- 下書き目的で顧客情報をそのまま入力してしまった
- 社外秘資料を要約させてしまった
- 入力データの扱いがツールごとに異なることを理解していなかった
生成AIでは、入力した情報がどのように扱われるかはサービスや設定に依存します。そのため、出力チェックだけではリスクを防ぎきれません。
用語解説(初心者向け)
- プロンプト:生成AIに与える指示や入力文
- 入力データ:プロンプトに含める文章・数値・資料など
- 機密情報:社外に漏れると不利益が生じる社内情報(定義は社内規程による)
手順:プロンプト入力ルールを作る4ステップ
ステップ1:入力禁止情報をカテゴリで整理する
最初は、細かい例外を作らずにシンプルに分類します。
代表的な禁止カテゴリ例
- 個人情報(氏名、連絡先、ID等)
- 顧客・取引先に関する非公開情報
- 社外秘・未公開情報(契約、価格、戦略等)
これらは原則禁止とし、例外は後から検討します。
ステップ2:「加工してもNG」なケースを明記する
現場で多い誤解は、「そのまま入れなければ大丈夫」という認識です。
明記したいポイント例
- 要約・言い換えでも元情報が機密なら入力しない
- マスキングが不十分な場合は入力しない
- 複数情報を組み合わせて特定できる場合もNG
加工=安全ではないことを明確に伝えましょう。
ステップ3:入力OKな例も併記する
禁止事項だけを並べると、現場は萎縮して使わなくなります。
入力OKの例(一般的なケース)
- 公開情報のみを使った調査
- 架空データでの文章構成練習
- 社内公開済み資料の表現改善(範囲は要確認)
OK例を示すことで、安心して使える領域が明確になります。
ステップ4:迷った場合の判断ルートを用意する
グレーなケースは必ず発生します。判断に迷ったときの「止めどころ」を作っておきましょう。
判断ルール例
- 自分で判断できない場合は入力しない
- 上長・情シス・情報管理担当に相談する
- 急ぎでも例外扱いはしない
これにより、個人判断による事故を減らせます。
注意点:プロンプト入力管理でありがちな失敗
- ツールごとの規約を読まずに一律判断する → データの扱いはサービスごとに異なります(要確認)
- 出力チェックだけで安心する → 入力時点でリスクが発生しています
- 例外ルールを増やしすぎる → 現場で理解されなくなります
- ルールを文書化せず口頭運用する → 監査時に説明できません
すぐ使えるチェックリスト:プロンプト入力ルールの最低限要件
- [ ] 入力禁止情報のカテゴリを定義している
- [ ] 加工してもNGなケースを明記している
- [ ] 入力OKの具体例を示している
- [ ] 迷った場合の相談先が決まっている
- [ ] 定期的な見直しを前提としている
参考資料(公式・一次情報)
- 経済産業省:AI事業者ガイドライン(第1.1版)
- 個人情報保護委員会:個人情報保護法ガイドライン
- NIST:AI Risk Management Framework 1.0
- OECD:AI Principles
※本記事は一般的な情報提供を目的としており、法務・監査の個別助言ではありません。最終判断は社内ルールおよび専門家にご確認ください。