安全・著作権・社内ガイドラインの作り方
このモジュールで学ぶこと
- ChatGPT利用に伴う情報セキュリティの基本
- 著作権・生成物の権利関係
- 機密情報を扱う際のルール
- 社内ガイドラインに盛り込むべき項目
- ハルシネーション(虚偽生成)への向き合い方
学習目標
- 業務でChatGPTを安全に使うための判断軸を身につける
- 自社の社内ガイドラインの素案を作成できる
- ハルシネーションを検知し、回避するチェックフローを設計できる
目次
セクション1: 情報セキュリティの基本
「入れてはいけない情報」の典型
ChatGPTに 入力すべきでない情報 の典型カテゴリを整理する。
| カテゴリ | 例 |
|---|---|
| 個人情報 | 顧客の氏名・住所・電話番号・メール |
| 機微情報 | マイナンバー・銀行口座・クレジットカード |
| 機密情報 | 未公開の財務情報・M&A情報・人事情報 |
| 認証情報 | パスワード・APIキー・トークン |
| 第三者の機密 | NDAで縛られた他社情報 |
| 知的財産 | 公開前の特許出願内容・営業秘密 |
これらは「ChatGPTに入力すること」自体が 情報漏洩 に該当する場合がある。社内規程と各種法令(個人情報保護法・不正競争防止法など)に必ず照らして判断する。
Free / Plus / Team / Enterprise でのデータ取扱の違い
OpenAIのプラン別データ取扱方針は変化が早い。以下は 2026-05時点の一般的な傾向 だが、必ず最新の公式情報で確認すること。
- 個人向けプラン(Free / Plus / Pro)はデータ学習設定をオプトアウトできる場合がある
- 法人向けプラン(Team / Enterprise)は学習に使われない契約となる場合が多い
- 機密情報を扱う業務は 法人向けプラン or APIの法人契約 を前提にする
「個人プランで業務情報を入れたら学習に使われた」という事故を防ぐため、 業務利用は法人向けプラン を基本にすることを勧める。
セクション2: 著作権と生成物の権利
生成物の権利
AI生成物の権利関係は 国・地域によって扱いが異なる 上、判例・法整備が進行中の領域だ。2026年5月時点で、以下のような論点がある。
- 完全にAI生成された文章・画像は 著作権の対象にならない とする見解(米国著作権局など)
- 人間の創作的寄与があれば著作権を主張できる場合もある
- 学習データに含まれた既存著作物との 類似性 が問題化するケースがある
業務で利用する際は、 自社の法務部門と確認 することが必須だ。本モジュールは法的助言ではなく、論点の整理として扱う。
引用と参照
ChatGPTが提示する 数字・引用・URL が実在しないケースがある(後述のハルシネーション)。業務文書で引用するときは、 必ず一次情報を自分で確認 する。
NG: ChatGPTが出した数字をそのまま提案書に貼る
OK: ChatGPTが出した数字 → 一次情報を検索して確認 → 一次情報のURL付きで引用
他者の著作物との関係
ChatGPTに 他者の著作物全文 を貼り付けて要約・改変させる行為は、利用規約・著作権法の両面で論点になる。社内向け要約は許容範囲とされる場合があるが、外部配布する場合は法務確認が必須だ。
セクション3: ハルシネーションへの対処
ハルシネーション(hallucination)とは、AIが もっともらしいが実在しない情報 を生成する現象だ。GPT-5系は前世代より大幅に減ったが、ゼロではない。
出典: Wikipedia "GPT-5" Capabilities(取得日: 2026-05-20・URL: https://en.wikipedia.org/wiki/GPT-5 )
ハルシネーションが起きやすい領域
- 統計・数字(年度・件数・パーセント)
- 法律・制度の細部
- 学術論文の引用(著者名・年・タイトル)
- 人物の経歴・発言
- URL・書籍のISBN
- マイナーな製品の仕様
これらは ChatGPTの応答を信用せず、必ず一次情報を確認 する領域だ。
検知フロー
- ChatGPTの応答に 数字・固有名詞・引用 が含まれているか確認
- 含まれていたら、 Web検索で一次情報を確認
- 一次情報が見つからなければ、 その記述を業務文書から削除
- 「ChatGPTがそう言っていた」を 根拠にしない
回避テクニック
プロンプト側でハルシネーションを減らせる工夫もある。
- 「知らない場合は『情報不足』と答えてください」を末尾に追加
- 「出典の明示が必要です。出典が示せない場合は記述しないでください」と制約
- WebSearch機能・Deep Research を使って一次情報を取得させる
セクション4: 社内ガイドラインの設計
業務でChatGPTを組織的に使うなら、 社内ガイドライン を文書化する。最低限盛り込むべき項目を示す。
1. 利用範囲
- 利用可能な業務(メール作成・議事録・分析 など)
- 利用禁止の業務(顧客対応の最終回答・診断結果の確定 など)
2. 利用可能なツール
- 個人プラン / 法人プラン / API のうち、どれを業務利用可とするか
- 私物デバイスからの利用可否
3. 入力禁止情報
- 個人情報・機密情報・認証情報の具体例
- 「迷ったら入れない」原則
4. 出力の取扱
- 出力をそのまま外部配布しない(最終チェック必須)
- 数字・引用・URLは必ず一次情報で確認
- 顧客向け文書は責任者の承認を経る
5. ログと監査
- 業務利用時はチャットを保管(命名規則・保存場所)
- 月1回のサンプリングレビュー
- インシデント発生時の報告フロー
6. 教育
- 全社員に対する研修(年1回以上)
- 新入社員向けオンボーディング
- ガイドライン違反時の対応
7. 改訂
- 半年に1回はガイドラインを見直す
- OpenAI側の仕様変更・法改正に追従する
これらを A4で5-10ページ程度 にまとめた社内ガイドラインを作るのが現実的な落とし所だ。
セクション5: 監査と運用
月次レビュー
- 業務利用件数の集計(部署別・用途別)
- インシデント有無の確認
- ガイドライン違反の検知
事故事例の蓄積
万一の事故(情報漏洩・誤情報配布など)は、再発防止のため 匿名化して社内共有 する。「他社で起きた事故」も社内研修で扱うと予防効果が高い。
担当者の指名
- 部署ごとの「ChatGPT利用責任者」を指名
- 全社のガイドライン改訂責任者を指名
- インシデント発生時の一次連絡先を明示
経営層の理解
ChatGPT利用は 経営層の理解 が不可欠だ。生産性向上の効果と、情報セキュリティのリスクの両面を定期的に経営に報告する。
まとめ
- 個人情報・機密情報・認証情報・第三者の機密は 入力禁止
- 業務利用は法人向けプランを基本にする
- 著作権・生成物の権利は法務部門と確認しながら運用
- ハルシネーションは数字・固有名詞・引用・URLで頻発する
- 業務文書では 一次情報を必ず自分で確認
- 社内ガイドラインに7項目(利用範囲・ツール・禁止情報・出力取扱・ログ・教育・改訂)を最低限含める
- 月次レビューと事故事例共有で組織として運用する
これでChatGPT実務活用コースの全10モジュールが完了する。
このコースを終えたあとに
ここまで読み進めた読者は、ChatGPTを 業務プロセスを実行する装置 として組み込む準備が整ったはずだ。
- 自分の業務で 最も時間を食っているタスク を1つ選ぶ
- このコースのテクニックでプロンプトを設計する
- 1週間運用してみて、効果を測る
- 必要なら Custom GPT 化する
この4ステップを 1業務ずつ進める ことで、ChatGPT活用が組織に定着していく。
技術選定・LLMO・社内導入の具体相談は、漆畑への問い合わせから可能だ。