現役のITエンジニアが、 システム開発の現場で求められる知識を発信
記事検索
生成AI関連記事検索
Keyword
Java
Java教材
Java教材のイメージ

生成AIに機密情報を渡していいの?

生成AI関連
目次
はじめに 用語の整理 機密情報 (Confidential Information) 営業秘密 (Trade Secret) 限定提供データ (Data Provided Under Restriction) これらの情報を生成AIに入力する際のリスク 1. 利用規約違反と学習への利用 2. 秘密保持義務違反 3. 著作権侵害のリスク 4. 監視・再利用リスク 受託開発で想定されるシナリオ どこまでの情報なら入力して良いのか Web版とAPI経由で違いはあるのか 利用規約・DPAで確認すべきポイント 1. 学習目的の利用(Training) 2. データ保持期間と監視(Retention & Monitoring) 3. DPA(Data Processing Agreement) 4. データの保存場所(Region) RAGやローカルLLMという選択肢 導入前に決めておきたい社内ルール まとめ 生成AI活用支援サービスのご紹介

はじめに

生成AIを業務に取り入れる相談が増える一方で、「どこまでなら社内データを入力してよいのか」「法的に問題はないのか」といった不安の声も多く聞きます。
特に受託開発のようにクライアント固有の情報を取り扱う業務では、社内のNDA(秘密保持契約)や委託契約に加えて、生成AIサービスの利用規約やデータ処理契約(DPA)を含めた複眼的な確認が必須です。
この記事では、機密情報・営業秘密・限定提供データの定義を押さえたうえで、生成AIに入力する際のリスクと、最低限チェックしたい契約・規約のポイントをまとめます。これから生成AIの活用を検討する初心者にもわかりやすい形で整理しました。

用語の整理

まずは、守るべき情報の定義を整理しましょう。

機密情報 (Confidential Information)

法律上に定義がある概念ではありませんが、社内規程や契約書で「第三者に開示しない」と定められているような、外部への開示や公表が想定されていない情報全般を指します。
顧客名簿、設計資料、価格表、NDA対象資料など、公開すると事業に不利益が生じる情報が該当し、機密レベルに応じた管理を行っている場合が多いと思われます。

営業秘密 (Trade Secret)

不正競争防止法2条6項で定義される法的用語です。以下の3要件を満たす情報が対象で、製造ノウハウや独自のアルゴリズム、ソースコードなどが典型例です。漏えい時には民事・刑事での責任が問われることがあります。

  1. 秘密管理性:秘密として管理されていること
  2. 有用性:事業活動に有用な技術上・営業上の情報であること
  3. 非公知性:公然と知られていないこと

限定提供データ (Data Provided Under Restriction)

不正競争防止法2条7項で定義される法的用語です。以下の5要件を満たす情報が対象で、ID/PWで管理された会員限定のマーケティングデータや、特定の相手にのみ共有される車両走行データなどが該当し、契約先以外へ無断で再提供することは禁止されています。

  1. 限定提供性:業として特定の者に提供する情報
  2. 相当蓄積性:電磁的方法により相当量蓄積されている
  3. 電磁的管理性:電磁的方法により管理されている
  4. 技術上又は営業上の情報:利活用されている情報
  5. 営業秘密に当たらない:両制度における保護の重複を避けるため

これらの情報を生成AIに入力する際のリスク

1. 利用規約違反と学習への利用

無料版や一部のコンシューマー向けAIサービスは、入力データをモデルの再学習(トレーニング)に利用することを規約で定めている場合があります。これを把握せずに機密情報を投入すると、AIがその情報を記憶し、他社のユーザーへの回答として出力してしまう(情報漏えい)リスクがあります。

2. 秘密保持義務違反

NDAや準委任契約で「第三者への提供禁止」「目的外利用の禁止」を定めている場合、クラウド上のAIサービスに入力すること自体が「第三者提供」とみなされる可能性があります。AIベンダーが「委託先」として提供した機密情報を適切に管理しているか、確認が必要です。

3. 著作権侵害のリスク

他人が作成した著作物(ニュース記事や小説、他社のソースコードなど)を権利者の許可なく、「享受目的(表現出力目的)」を意図して生成AIに入力し、そのAI生成物を利用した場合は、著作権法30条の4等を適法化根拠とできず著作権侵害に該当します。

4. 監視・再利用リスク

学習に使われない設定(オプトアウト設定)であっても、「不正利用の監視(Abuse Monitoring)」を目的として、AIツールを提供する組織が一定期間データを閲覧できる権限を持っている場合があります。極めて高度な機密情報の場合、このリスクも考慮しなければなりません。

機密情報入力リスク

Nano Banana Proで生成

受託開発で想定されるシナリオ

  • クライアントから受領した要件定義書や設計書をAIに要約させたい
  • 障害ログや問い合わせログを生成AIで分析し、回答案を作成したい

これらはいずれもクライアントの財産であり、NDAや基本契約では通常「委託先は受領した情報を目的外利用しないものとする」「第三者への提供は禁止」と定められています。安易にWeb上の生成AIに入力した場合、以下のリスクが生じます。

  • 契約違反による損害賠償請求
  • 受託プロジェクトからの排除や信頼失墜
  • 情報漏えい事故としての社内報告・公表義務

どこまでの情報なら入力して良いのか

  • OK例:公開済みのプレスリリース、自社Webに掲載済みのFAQ、社内で公開を許可したテンプレート、事実のみの一般情報など。
  • 判断が必要:匿名化・仮名加工済みデータ。特定の個人や取引先を識別できない状態に加工し、かつ再識別のリスクがないかを確認する必要があります。
  • NG例:未公開の顧客リスト、共同開発のソースコード、限定提供データの原本、契約書の生データ、パスワードやAPIキーなどの認証情報。

入力可否データ

Nano Banana Proで生成

原則として、「契約上第三者提供禁止」「営業秘密」「個人情報」のいずれかに該当する情報は、適切な契約(Enterprise契約等)がない限り、生成AIへ直接入力しない方針を明文化することをお勧めします。

Web版とAPI経由で違いはあるのか

ChatGPT(OpenAI社)を例に利用規約を紐解くと、Web版とAPI経由とでデータの扱いに大きな違いがあります。

項目 Web版(無料・Plus) Team / Enterprise版 API経由(Platform)
学習への利用 デフォルトで利用される
(オプトアウト設定可能)		 デフォルトで利用されない デフォルトで利用されない
不正監視の保存 される される(Enterpriseの一部で免除可) される(最大30日間保持
※一部例外申請あり
DPA締結 不可(標準規約のみ) 可能 可能

業務システムに組み込む場合はAPI経由、あるいはEnterprise版の利用が推奨されます。これらはデフォルトで学習利用がオフになっており、DPA(データ処理契約)の対象となるため、ビジネス利用における法的整合性がとりやすいためです。
※上記は2025年12月時点のOpenAI社の仕様に基づく一般的な解釈です。

利用規約・DPAで確認すべきポイント

1. 学習目的の利用(Training)

入力データがモデルの改善に使われる設定になっていないか。Web版を利用する場合はオプトアウト設定を行っているか。

2. データ保持期間と監視(Retention & Monitoring)

入力データがどこに保存され、いつ消去されるのか(APIでも通常30日は不正監視用に保持されます)。完全に保持させない「ゼロデータ保持(ZDR)」のオプションが必要か検討します。

3. DPA(Data Processing Agreement/Addendum)

個人データや欧州(GDPR適用圏)のデータを扱う場合は、データ処理者としての義務(目的限定、SCC等)をカバーするDPAが締結されているか確認します。

4. データの保存場所(Region)

国内法やクライアントとの契約により、データを国内サーバーに限定する必要がある場合、AIベンダーが提供するリージョン指定機能が使えるかを確認します。

RAGやローカルLLMという選択肢

  • RAG(検索拡張生成): 社内データをAIに「学習」させるのではなく、検索対象として外部データベースに置き、AIには回答の都度、必要な断片だけを参照させる仕組み。
  • ローカルLLM / 専用環境: 外部のクラウドへデータを送信せず、自社の閉域網(オンプレミスやプライベートクラウド)の中にAIモデルを構築する方法。

ローカルLLMの場合、営業秘密の秘密管理性が失われることは考えにくいでしょう。
一方で、RAGについては注意が必要です。利用者が営業秘密を含む出力情報を、営業秘密として認識できなければ、秘密管理性を満たさなくなる可能性が生じます。

導入前に決めておきたい社内ルール

  • 生成AIに投入できるデータ種別の一覧をルール化する
  • 生成AIサービス別に「許可済みAIサービス」「不許可サービス」を契約レベルで確認する
  • プロンプトに含める情報は「サマリのみ」「固有名詞はA社、B氏などに置換」などのマスキングルールを整備する
  • 生成AIの利用ログを一元管理し、監査可能な状態にする
  • RAGの場合、生成AIからの出力はすべて営業秘密として取り扱うような社内規程を定める

まとめ

生成AIは業務効率化に大きな可能性をもたらしますが、漫然と使うだけではコンプライアンス違反のリスクを招きます。
まずは「Web版とAPI版の違い」や「学習利用の有無」を正しく理解し、社内ルールを明文化することが第一歩です。さらに、機密性の高い情報はRAGや専用環境の構築によって、セキュリティを担保しながら活用することが可能です。
Tech Funでは、生成AI活用に向けた業務棚卸から、データガバナンスのルール策定、セキュアな検証環境の構築までを支援しています。

生成AI活用支援サービスのご紹介

Tech Funでは、お客様のフェーズに合わせ、生成AI活用に向けた支援を3つのパックでご提供しています。

  1. 無料診断パック:業務・プロセスの現状を無料で診断し、生成AI活用の可能性をレポートします。
  2. 検証(PoC)パック:診断で有効性が確認された業務を対象に、プロトタイプ構築を支援します。
  3. コンサルティングサービス:生成AI導入戦略の策定から運用体制構築までを包括的に支援します。

生成AIに限らず、Web・業務システム開発やインフラ設計など、技術領域を問わずご相談を承っています。「何から始めれば良いか分からない」という段階でも構いませんので、ぜひお気軽にお問い合わせください。

執筆・編集

Tech Fun Magazine R&Dチーム
Tech Funの生成AI研究に携わるエンジニアが、最新のAIモデル動向やプロンプト設計、実業務への応用手法など、生成AIに特化した知見を執筆・編集しています。
モデル評価や業務シナリオに応じたAI活用設計など、日々のR&D活動で得られる実践的なノウハウをわかりやすく紹介します。

RELATED
関連記事一覧

生成AI関連

小さく始める生成AI活用

生成AI関連

MCPサーバーを活用する【前編:自作編】

関連記事のトップに戻る
関連記事のトップに戻る
生成AI関連
生成AIの活用ノウハウや、派生する開発トピックの記事を掲載。
生成AIのイメージ
Java基礎
Javaの入門講座。基礎文法を
丁寧に解説しています。
Java基礎のイメージ
Java環境構築
Javaでアプリ開発を始めるため
の環境構築の手順を解説。
Java環境構築のイメージ
データベース環境構築
データベースを開発するために
必要な環境構築の手順を解説。
データベース環境構築のイメージ
システム開発の基本
システム開発のプロセスやプログ
ラムの基礎知識を解説。
システム開発の基本のイメージ

ARTICLE
生成AI関連記事一覧

生成AI関連

生成AIに機密情報を渡していいの?

生成AI関連

小さく始める生成AI活用

生成AI関連

MCPサーバーを活用する【前編:自作編】

記事一覧を見る