- はじめに——「うちの会社ではAIに機密情報は入力していません」は本当か?
- 【事例1】Samsung半導体部門——ChatGPTへのソースコード貼り付け(2023年3月)
- 【事例2】Microsoft Copilot——機密ラベル付きメールのAI要約バグ(2026年2月)
- 【事例3】法律事務所——AIツールへの秘匿特権情報の入力(業界全体の課題)
- 【事例4】その他の注目すべき漏洩パターン
- 事例から見える「漏洩パターン」の共通点
- データ分類フレームワーク——「AIに入力していいデータ」を定義する
- AI入力前チェックフロー——実務で使える5ステップ
- ツール別DLP設定ガイド——ChatGPT・Claude・Dify
- 中小企業が今日から実装できるDLP施策チェックリスト
- よくある質問(Q&A)
- まとめ——「何を入力するか」を管理することが、最も費用対効果の高いAIセキュリティ対策
- 参考リンク
はじめに——「うちの会社ではAIに機密情報は入力していません」は本当か?
2026年現在、ChatGPTやClaudeなどの生成AIは多くの企業の業務に浸透しています。コード修正、議事録作成、提案書の下書き——便利なのは間違いありません。
しかし、すでに世界ではAIへの入力を通じた機密情報の漏洩事故が複数報告されています。Samsung、Microsoft、法律事務所……いずれも「悪意」ではなく「日常業務の延長」で発生しました。
本記事では、実際に報道されたインシデント事例を分析し、「そもそも何を入力してはいけないのか」を定義するデータ分類フレームワーク、そしてAI入力前にチェックを挟むDLP(Data Loss Prevention:データ損失防止)の仕組みを、中小企業が今日から導入できるレベルで解説します。
関連記事:AIのセキュリティ対策全体を把握したい方は、まず「中小企業が今すぐ始めるべきAIセキュリティ対策」をご覧ください。
【事例1】Samsung半導体部門——ChatGPTへのソースコード貼り付け(2023年3月)
何が起きたか
韓国Samsung Electronicsの半導体部門で、エンジニアがChatGPTに機密情報を入力するインシデントがわずか20日間で3件発生しました。
インシデントの内容:
| 事例 | 入力した内容 | 目的 |
|---|---|---|
| 事例A | 半導体製造設備データベースのソースコード | バグ修正の解決策を得るため |
| 事例B | 不良設備検出用プログラムコード | コードの最適化を依頼するため |
| 事例C | 社内会議の録音を文字起こししたテキスト全文 | 議事録を自動作成するため |
なぜ問題なのか
当時のChatGPT(消費者向けプラン)は、ユーザーの入力データをモデルの学習に利用する仕様でした。つまり、入力されたソースコードや会議内容がOpenAIのサーバーに保存され、モデル改善のために使用される可能性があったのです。
Samsung側は入力されたデータの取得・削除が困難であることを認め、1プロンプトあたり1,024バイトのアップロード制限を「緊急措置」として導入。その後、全社的に生成AIツールの使用を一時禁止しました。
この事例から学ぶべきこと
- 「業務効率化のため」という善意の利用でも漏洩は起こる。3件とも悪意はなく、通常業務の延長でした。
- 消費者向けプランと法人向けプランでは、データの取り扱いがまったく異なる。無料版や個人向け有料プランでは、入力データが学習に使われる設定がデフォルトの場合があります。
- 事後対応ではなく事前のルールが必要。禁止令では利便性とのバランスが取れず、後に同社はセキュリティ対策を整備した上でChatGPT利用を再開しています。
【事例2】Microsoft Copilot——機密ラベル付きメールのAI要約バグ(2026年2月)
何が起きたか
Microsoft 365 Copilotにおいて、「Confidential(機密)」ラベルが付いたメールをAIが読み取り、要約してしまうバグが数週間にわたって発生しました。本来、DLP(データ損失防止)ポリシーにより、機密ラベル付きメールはCopilotが処理しないよう設定されていたにもかかわらず、このポリシーが正常に機能しませんでした。
Microsoftは2026年2月に修正パッチの展開を開始しましたが、影響を受けた顧客数は公表されていません。
なぜ問題なのか
このケースの恐ろしさは、ユーザーが何も入力していないのに、AIが勝手に機密情報にアクセスしていた点にあります。従業員が意図的に機密データを入力するリスクだけでなく、AIツールの内部動作そのものがDLPを迂回するリスクがあることを示しています。
さらに、2025年にはセキュリティ研究者がM365 Copilotの「EchoLeak」脆弱性を発見しています。これは外部から送信されたメールに悪意ある指示を埋め込むことで、ユーザーがクリックせずともCopilotに機密データを外部送信させる「ゼロクリック攻撃」です。Microsoftは2025年5月にパッチを適用しましたが、こうしたAI特有の脆弱性は今後も発見される可能性があります。
この事例から学ぶべきこと
- AIツールのDLP連携は「設定して終わり」ではない。バグやアップデートによってポリシーが無効化される可能性があります。
- AIが社内データにアクセスする範囲(スコープ)を定期的に監査すべき。
- プロンプトインジェクション(間接的指示注入)は実在する脅威。AIが外部メールの内容を処理する場合、その中に攻撃コードが含まれる可能性を考慮する必要があります。
関連記事:プロンプトインジェクションを含むAI脅威への対策は「AIインシデント対応計画の策定ガイド」で詳しく解説しています。
【事例3】法律事務所——AIツールへの秘匿特権情報の入力(業界全体の課題)
何が起きているか
特定企業の大規模インシデントとして報道されたケースではありませんが、法律業界では生成AIへの機密データ入力が構造的な問題として認識されています。
アメリカ法曹協会(ABA)の2024年法務テクノロジー調査によると、弁護士のAI利用率は2023年の11%から2024年には30%に約3倍増加しました。一方、AIの利用ポリシーを整備している法律事務所はわずか10%にとどまっています。
現場で報告されている典型的なリスク行動は以下の通りです。
- パラリーガルが機密性の高い準備書面をオンラインAIに貼り付けて要約を取得
- 弁護士がAI文法チェッカーに秘匿特権のある文書テキストを入力
- パートナーがAIでメール下書きを作成する際に、秘匿特権情報を含めてしまう
ABAは2024年7月に公式倫理意見(Formal Opinion 512)を公表し、AIツール利用時の守秘義務について明確な指針を示しました。アーカンソー州最高裁判所は、AI利用時に機密データの保持・再利用がないことを確認する義務を弁護士に課す規則を採用し、違反は懲戒事由になり得るとしています。
この事例から学ぶべきこと
- 「AI利用率は急増しているのに、ポリシー整備が追いついていない」のは法律業界に限った話ではない。多くの中小企業が同じ状態です。
- AIに入力したデータは「会話が終わったら消える」とは限らない。AIプロバイダーのデータ保持ポリシーを確認する必要があります。
- 業界の規制当局がAI利用に関する倫理・コンプライアンス要件を強化する流れは不可逆的。
【事例4】その他の注目すべき漏洩パターン
| パターン | 概要 | 影響 |
|---|---|---|
| AI文字起こしツール経由の漏洩 | 社員が無許可のAI文字起こしツール(例:Otter.ai等)で社内会議を録音・テキスト化し、機密情報がサードパーティに送信された。米国では実際に企業秘密不正流用法(DTSA)に基づく訴訟が提起されている | 退職後もAI事業者側にデータが残るリスク |
| GitHub Copilotキャッシュからの漏洩 | Microsoft CopilotとBingのキャッシュ機構の脆弱性により、IBM、Google、PayPal等16,000以上の組織のプライベートGitHubリポジトリの内容が外部からアクセス可能になっていた | アクセスキー・セキュリティトークン等の知的財産が露出 |
| Copilot Studioのプロンプトインジェクション | ノーコードで作成したAIエージェントが、簡単なプロンプトインジェクションにより顧客のクレジットカード情報などを漏洩させられることがセキュリティ研究者によって実証された | 開発者以外がAIエージェントを作成できる環境では、セキュリティ品質の担保が困難 |
関連記事:管理外のAIツール利用(シャドーAI)の全体像と対策は「シャドーAI対策ガイド」をご覧ください。
事例から見える「漏洩パターン」の共通点
上記の事例を分析すると、AIデータ漏洩には3つの共通パターンがあることがわかります。
| パターン | 説明 | 該当事例 |
|---|---|---|
| ①意図しない入力 | 業務効率化のつもりで、従業員がAIに機密データを入力してしまう | Samsung(ソースコード)、法律事務所(準備書面) |
| ②AIの過剰アクセス | AIツールが設定上のバグや過剰な権限により、本来アクセスすべきでないデータを処理してしまう | Microsoft Copilot(機密メール)、Copilot Studio(過剰権限) |
| ③外部からの悪用 | プロンプトインジェクションや脆弱性の悪用により、攻撃者がAI経由でデータを窃取する | EchoLeak(ゼロクリック攻撃)、GitHubキャッシュ漏洩 |
重要なのは、パターン①だけでなく②③も現実に起きているということです。「従業員教育だけすれば安心」というアプローチでは不十分で、技術的な対策も組み合わせる必要があります。
データ分類フレームワーク——「AIに入力していいデータ」を定義する
DLPの出発点は、「何がどのレベルの機密情報なのか」を全社共通で定義することです。以下の3段階分類フレームワークは、中小企業が現実的に運用できるシンプルな形に設計しています。
3段階データ分類モデル
| 分類レベル | 定義 | 具体例 | AIへの入力 |
|---|---|---|---|
| レベル1:公開情報 | すでに公開されている、または公開しても事業に影響がない情報 | Webサイト掲載情報、プレスリリース、一般的な業界知識 | ✅ OK |
| レベル2:社外秘(内部情報) | 社外に出すべきではないが、漏洩しても致命的な損害は限定的な情報 | 社内手順書、会議の一般的な議題、プロジェクト名、組織図 | ⚠️ 条件付き(法人プラン+匿名化処理後のみ) |
| レベル3:機密情報 | 漏洩した場合に重大な事業・法的損害を引き起こす情報 | ソースコード、顧客個人情報(PII)、未公開財務データ、特許出願前の技術情報、契約書の具体的条件、認証情報(APIキー・パスワード等) | ❌ 禁止 |
判断に迷ったときの原則
「このデータをAIに入力していいか?」と迷ったら、以下の3つの質問でチェックしてください。
■ AI入力前のセルフチェック(3問テスト) Q1. この情報が競合他社に渡ったら、事業に損害があるか? → YES なら「レベル3:機密」→ AIへの入力禁止 Q2. この情報に個人を特定できる要素(氏名・メールアドレス・電話番号・住所等)が含まれるか? → YES なら「レベル3:機密」→ AIへの入力禁止(匿名化しても残留リスクあり) Q3. この情報はすでに自社Webサイトやプレスリリースで公開済みか? → YES なら「レベル1:公開」→ AIへの入力OK → NO なら最低でも「レベル2:社外秘」→ 法人プラン+匿名化が条件
AI入力前チェックフロー——実務で使える5ステップ
データ分類フレームワークを実際の業務に落とし込むための、具体的な運用フローを設計しました。
ステップ1:利用するAIプランを確認する
| 確認項目 | チェック内容 |
|---|---|
| 利用中のプランは法人向けか? | ChatGPT Team/Enterprise、Claude Team/Enterprise、Dify等のセルフホスト型を利用しているか確認。個人向け無料・有料プランでは入力データが学習に使用される場合がある |
| 学習オプトアウトは有効か? | 法人プランでもデフォルト設定を確認。ChatGPT Teamは学習オプトアウトがデフォルトだが、個人プランは手動設定が必要 |
| データ保持期間は? | プロバイダーのデータ保持ポリシーを確認。ZDR(Zero Data Retention)オプションの有無を確認 |
ステップ2:入力データの分類レベルを判定する
前節の「3段階データ分類モデル」と「3問テスト」を使い、入力予定のデータがレベル1〜3のどれに該当するか判定します。
ステップ3:レベル2データの場合は匿名化処理を行う
レベル2(社外秘)データを法人プランに入力する場合は、以下の匿名化処理を行います。
■ 匿名化処理チェックリスト □ 個人名 → 「担当者A」「担当者B」に置換 □ 会社名 → 「A社」「B社」に置換 □ 具体的な金額 → 「約○百万円規模」等のレンジ表記に変換 □ 日付 → 必要に応じて「20XX年Q1」等にぼかす □ プロジェクト固有コードネーム → 「プロジェクトX」に置換 □ メールアドレス・電話番号 → 完全削除
ステップ4:レベル3データは絶対に入力しない
レベル3(機密)データは、どのプランを使っていても、どれだけ匿名化処理をしても、AIへの入力は禁止です。
特に注意が必要なデータ:
- ソースコード(Samsung事例の教訓)
- 顧客の個人情報(氏名・住所・クレジットカード番号等)
- APIキー・パスワード・認証トークン(GitHub漏洩事例の教訓)
- 未公開の財務情報・契約条件
- 特許出願前の技術情報
ステップ5:入力記録(ログ)を残す
「いつ、誰が、どのAIツールに、どのレベルのデータを入力したか」を記録します。これはインシデント発生時の原因特定と、監査対応の両方に役立ちます。
関連記事:AIの利用ログ管理と監査体制の構築については「AI利用ログ管理・監査ガイド」をご覧ください。
ツール別DLP設定ガイド——ChatGPT・Claude・Dify
主要なAIツールごとに、DLP観点で確認すべき設定項目を整理します。
ChatGPT(OpenAI)
| プラン | データ学習 | DLP関連機能 |
|---|---|---|
| Free / Plus | デフォルトで入力データがモデル改善に使用される | 設定画面でオプトアウト可能だが、組織的な強制は困難 |
| Team | デフォルトでオプトアウト。ビジネスデータはモデル学習に使用されない | 管理者コンソールで外部共有の制限が可能 |
| Enterprise | データは学習に使用されない。SOC 2 Type II準拠 | SAML SSO、管理者ダッシュボード、データ保持期間のカスタマイズ、DLPポリシー連携 |
中小企業への推奨:最低でもTeamプラン以上を使用。個人プランの業務利用は禁止すべきです。
Claude(Anthropic)
| プラン | データ学習 | DLP関連機能 |
|---|---|---|
| Free / Pro | 安全性向上のためフィードバックが利用される場合あり | 個人レベルの設定のみ |
| Team | 会話データはモデル学習に使用されない | 管理者コンソール、メンバー管理 |
| Enterprise | データは学習に使用されない。SOC 2 Type II準拠 | SAML/OIDC SSO、RBAC(ロールベースアクセス制御)、監査ログ、ZDR(ゼロデータリテンション)オプション、AWS Bedrock / Google Vertex AIによるプライベートネットワーク展開 |
中小企業への推奨:TeamプランまたはAPI利用(APIは入力データがモデル学習に使用されない)。機密性が特に高い業務にはEnterprise / Bedrockの検討を。
Dify等のセルフホスト型
| 項目 | 特徴 |
|---|---|
| データの所在 | 自社サーバーまたは自社管理のクラウド上にデータが保持されるため、外部送信リスクは最小限 |
| DLPの実装 | 入力フィルタリングルールを自社で設計・実装可能。正規表現による個人情報検出、禁止ワードリストの適用等 |
| 注意点 | LLM APIへの接続部分ではデータが外部に送信されるため、APIプロバイダーのデータポリシーも確認が必要 |
中小企業への推奨:社内の技術リソースがある場合はDLP設計の自由度が最も高い選択肢。ただし、運用・保守の負荷も考慮すること。
中小企業が今日から実装できるDLP施策チェックリスト
大企業向けのDLPソリューション(Microsoft Purview、Palo Alto Enterprise DLP、Nightfall AI等)は強力ですが、高額で導入にも時間がかかります。以下は、予算やIT人材が限られた中小企業でも今日から始められる施策です。
【即日実施可能】コストゼロの施策
□ 1. AI利用ポリシーを1枚にまとめて全社共有する → 「レベル3データは入力禁止」「個人プランの業務利用禁止」の2点だけでもOK □ 2. 利用中のAIツールの設定を確認する → ChatGPTの「チャット履歴とトレーニング」設定をオフにする(個人プランの場合) → Claude APIの場合はデフォルトで学習対象外であることを確認 □ 3. 全従業員に「3問テスト」を周知する → 本記事のセルフチェック3問を印刷またはSlack/Teamsに固定投稿 □ 4. AI利用の簡易ログを残す仕組みを作る → スプレッドシートで「日付・利用者・ツール名・入力データの分類レベル・利用目的」を記録
【1週間以内に実施可能】低コストの施策
□ 5. 法人プランへ移行する → ChatGPT Team(月額$25〜/ユーザー)またはClaude Team(月額$25〜/ユーザー) □ 6. 業務で使用する生成AIツールの「承認リスト」を作成する → 承認されていないAIツール(シャドーAI)の利用を禁止 □ 7. 匿名化処理のテンプレートを作成する → レベル2データ入力時に使う「匿名化チェックリスト」をドキュメント化
【1か月以内に実施可能】本格的な施策
□ 8. ブラウザDLPツールを導入する → AI入力時にPII(個人情報)を自動検出・警告するブラウザ拡張機能の導入を検討 □ 9. 四半期ごとのAIセキュリティ研修を開始する → 本記事の事例を教材として使用可能 □ 10. AI利用に関するインシデント対応手順を策定する → 「機密データをAIに入力してしまった場合」のエスカレーション手順を明文化
関連記事:SaaSベンダーのセキュリティ評価方法については「AIベンダーSaaSセキュリティ評価ガイド」をご覧ください。
よくある質問(Q&A)
Q1. ChatGPTの無料プランで社内文書を要約するのは危険?
はい、リスクがあります。無料プランおよび個人向け有料プラン(Plus)は、デフォルトで入力データがモデル改善に利用される設定になっています。設定画面でオプトアウトは可能ですが、組織として全従業員の設定を統一的に管理する手段がありません。業務利用する場合はTeamプラン以上を使用し、データが学習に使用されないことが保証されたプランを選んでください。
Q2. APIを使えばデータは安全?
ChatGPT API、Claude APIともに、API経由のデータはデフォルトでモデルの学習に使用されない旨が各社の利用規約で明記されています。ただし「安全」とは、学習に使われないという意味であり、通信経路の暗号化、アクセス制御、APIキーの管理といった基本的なセキュリティ対策は引き続き必要です。
Q3. 自社のデータがAIの学習に使われたかどうか確認できる?
現状、一度AIに入力されたデータが学習に使われたかどうかを事後的に確認する確実な方法はありません。だからこそ、「入力する前に止める」予防的なDLPアプローチが重要です。
Q4. 小規模な会社にDLPは大げさでは?
本記事で紹介したDLP施策の多くは、専用ツールの導入を前提としていません。「データ分類ルールの策定」「3問テスト」「法人プランの利用」「簡易ログの記録」は、社員数名の企業でも今日から実施可能です。データ漏洩が起きてからの対応コスト(信用失墜、顧客離反、法的責任)を考えれば、予防策のコストは極めて小さいと言えます。
Q5. 将来的にAIのDLP問題は解決される?
AI事業者側のセキュリティ機能は急速に進化しています(ZDR、RBAC、監査ログ等)。しかし、EchoLeakのようなAI固有の新しい脆弱性は今後も発見されるでしょう。また、最大のリスク要因である「人間による意図しない入力」はツールだけでは完全に防げません。技術的対策と従業員教育の両輪が必要な状況は、当面変わらないと見るべきです。
まとめ——「何を入力するか」を管理することが、最も費用対効果の高いAIセキュリティ対策
本記事で紹介した事例はいずれも、悪意ある攻撃ではなく「日常業務の延長」で発生した漏洩です。
ファイアウォールやアンチウイルスでは、「従業員が善意でChatGPTにソースコードを貼り付ける行為」を防ぐことはできません。だからこそ、AIセキュリティの最前線は「入力の管理」にあります。
今日からできることを3つに絞ります。
1. データ分類ルールを決める。「レベル1:公開」「レベル2:社外秘」「レベル3:機密」の3段階を定義し、レベル3はAI入力禁止と明確にする。
2. 法人プランを使う。個人プランの業務利用は禁止し、データが学習に使用されないプランで統一する。
3. 「入力する前に考える」習慣を作る。本記事の3問テストを全社に展開し、AI利用のたびに10秒のセルフチェックを習慣化する。
この3つだけで、AIデータ漏洩リスクの大部分を低減できます。まずは「知って使う」ことから始めましょう。
参考リンク
- Bloomberg — Samsung Bans Generative AI Use by Staff After ChatGPT Data Leak(2023年5月)
- TechCrunch — Microsoft says Office bug exposed customers’ confidential emails to Copilot AI(2026年2月)
- FTC — AI Companies: Uphold Your Privacy and Confidentiality Commitments(2024年1月)
- ABA — How to Protect Your Law Firm’s Data in the Era of GenAI(2024年12月)
- CPO Magazine — 2026 AI Legal Forecast: From Innovation to Compliance(2026年1月)
免責事項:本記事は2026年3月時点の公開情報に基づく情報提供であり、法的アドバイスやセキュリティの保証を行うものではありません。具体的なセキュリティ対策の実装については、情報セキュリティの専門家にご相談ください。AIツールの利用規約・データポリシーは頻繁に更新されるため、最新情報は各公式ソースで確認してください。
コメント