会社で生成AI を使う前に、上司に確認したい5つの質問
Samsung 解禁20日で3件漏洩・Anthropic 2025-08 学習反転事件を踏まえ、会社で生成AI を使う前に上司に投げる5問と『Plus課金=法人OK』の誤解を整理。月曜の朝に使えるテンプレ付き。
会社で ChatGPT を使っていいのか分からなくて、結局個人アカウントでこっそり業務に使っている ── そんな話、まわりでよく聞きます。
規定が曖昧、上司に聞きづらい、便利だから黙って使う。気持ちは分かる。
ただ事例を調べていくうちに、「Samsung が解禁から20日で3件の漏洩事故を起こして社内全面禁止になった」 とか、「Anthropic(Claude を作っている会社)が2025年8月にいきなり学習設定をデフォルトONに反転させた」 といった事件が出てきて、背筋が冷えました。「規定がないからOK」のつもりでやっていることが、実は会社にも本人にもかなり危ない橋になっている。
結論を先に言うと、5つの質問を上司に投げれば、会社の線が分かる。質問の中身も、上司にコピペで送れる形にして用意しました。
3分で読めて、月曜の朝に上司の席で使えます。
この記事は仕事編です 個人利用での線引き(何を入れていいか)は 生成AI 入れていい? 個人利用の20ケース早見表 を参照。事故ったあとの3手順は 事故時の逃げ道3手順 を、なぜ漏れるのかの経路は 漏れ方5つの経路 を併せてどうぞ。
個人利用と仕事の決定的な違い
先に、個人と仕事で何が変わるかを1枚にまとめておきます。
| 個人利用 | 仕事 | |
|---|---|---|
| 守る対象 | 自分のプライバシー | 会社・顧客・取引先の情報 |
| 判断主体 | 自分 | 会社規定 → 上司 → 自分 |
| 事故ったら | 自分が損する | 会社が損する・自分も処分される |
| 線引きの軸 | 4段階の早見表 | 会社の線を5つの質問で確認 |
個人利用は「自分のプライバシーをどこまで AI に渡すか」が主軸でした。仕事は 「自分のじゃない情報」がほとんど。だから判断軸が変わります。
自分が「これは大丈夫だろう」と思っても、会社が NG と言っていればアウト。仕事編の出発点は、自分の判断軸を作ることじゃなく、会社の判断軸を確認すること です。
5つの質問
ここからが本題。上司に投げる5つの質問を1つずつ見ていきます。最後にコピペ用テンプレもまとめます。
Q1. 会社の生成AI 利用ルールはありますか?
最初に聞くのはこれ。3パターンの返事を想定しておくと話がスムーズです。
規定がある会社
- どこに置いてあるか・最終更新日はいつかも聞く
- AI の進歩が早いので、半年前の規定は古い可能性あり
- 「2024年版」だったら、2025年8月の Anthropic 反転事件以降に更新されているか確認したい
規定がない会社
- 多くの中小企業はここ。「会社が何も言ってないからOK」と読むのは危険
- 規定がない=自分の判断で動くしかない=事故ったら全部自分の責任、になりがち
- → 後述する「規定がない会社の自衛策5項目」へ
規定を作っている最中
- 「ドラフトの段階でいいので見せてもらえますか」と踏み込む
- 自分の業務でやりたいことが、ドラフト的にOKかNGか先に聞ける
- 規定が固まる前に意見を出せるチャンスでもある
難しいですよね。でも目を逸らすとあっという間に被害に直結する。便利だけどそれだけ攻撃力が高いのも事実です。
Q2. どのプラン・どのアカウントで使うべきですか?
ここが今回の最大の落とし穴ポイント です。
会社で使えるプランは、ざっくり3階層に分かれます。
| 階層 | プラン例 | 学習対象 | 業務利用 |
|---|---|---|---|
| 個人 無料 | ChatGPT Free / Gemini 無料 / Claude Free / Copilot 無料 | デフォルト ON | ほぼ NG |
| 個人 有料 | ChatGPT Plus・Pro / Claude Pro・Max / Copilot Pro / Gemini Advanced | デフォルト ON(オフ設定可) | 規約上は個人利用前提 |
| 法人プラン | ChatGPT Business・Enterprise / Claude Team・Enterprise / M365 Copilot / Workspace Gemini | デフォルト OFF・契約で保護 | OK |
よくある3つの誤解を解いておきます
誤解1:「Plus を課金してるから法人利用OK」 → ❌ 個人プラン(Plus / Pro)は 規約上、個人利用前提。法人として安全に使えるのは ChatGPT Business 以上から。
誤解2:「Free → Plus にすれば安全になる」 → ❌ データの取り扱いは、Free と Plus で 基本的に同じ。学習設定オフは Free でも設定できます。Plus 課金は機能(GPT-5 や画像生成の上限)のためで、安全性のためじゃない。
誤解3:「学習オフにすれば全部OK」 → ❌ 学習オフでも、会話履歴はサーバーに保存されます。OpenAI / Anthropic の通常チャットは 手動で削除しない限り無期限保持(削除した場合は30日以内に完全削除)、Gemini 個人版は Keep Activity OFF でも 72時間 保持されます。完全にゼロになる訳じゃない。
特に怖いのが Gemini 個人版
Google Gemini の個人版(無料・Google One AI Premium)は、会話の一部を人間のレビュアーが読む可能性 が公式に明記されています。
機密情報や、他人に読まれたくない情報は入力しないでください。
─ Google Gemini 公式ヘルプ より(要旨)
レビューされた会話は 最大3年 保持される。これは Workspace 版(法人)では発生しない、個人版固有のリスクです。
Anthropic Claude 2025-08 反転事件
これが「規約は静かに変わる」を象徴する事件です。
Claude の個人プラン(Free / Pro / Max)は、それまで 「学習に使わない・30日で削除」 が既定でした。ところが2025年8月28日、Anthropic は規約を変更し、「学習に使う・5年保持」をデフォルトON に反転。既存ユーザーは2025年10月8日までに、オプトアウトするかどうかの選択を迫られました。
商用プラン(Team / Enterprise / API)は対象外。個人プランだけ条件が変わった のがポイントです。
仕事で生成AI を使うなら、半年に1回は学習設定を見直す くらいの感覚が要ります。
Q3. 入れていい情報・ダメな情報の線引きはどこですか?
情報を4分類して、プラン別の可否を整理すると分かりやすい。
| 分類 | 例 | 法人プラン | 個人プラン |
|---|---|---|---|
| 公開 | プレスリリース・自社HPに載っている内容 | OK | OK |
| 社内共有 | 社内マニュアル・部署内資料 | 上司に確認 | NG |
| 機密 | 顧客名・契約金額・設計図・ソースコード・営業秘密 | 上司に確認 | 絶対NG |
| 個人情報 | 従業員データ・顧客の氏名/住所/連絡先 | 上司+法務に確認 | 絶対NG |
やらかしがちなのが「他社から預かった情報」
取引先から NDA(秘密保持契約)付きで受け取った資料・顧客のクライアント情報。これは 会社の機密より厳しく扱う のが鉄則です。NDA 違反で会社が訴えられる可能性があるから。
社内資料は最悪「内輪の話で済んだ」になり得ますが、預かり情報は外向きの責任問題に直結します。
サムスン事例(2023年5月)
Samsung は2023年4月に ChatGPT を社内解禁しました。ところが、20日以内に3件の漏洩事故 が連続発生。
- 半導体エンジニアがバグ調査のために ソースコードを貼り付け
- 別のエンジニアが欠陥チップ識別用の テストシーケンスを入力
- 別の社員が 社内会議の録音を貼り付けて議事録化を依頼
5月1日、Samsung は社内全機器での生成AI 利用を全面禁止。3件とも上の表で言えば「機密」または「営業秘密」に該当する内容でした。
技術企業の半導体エンジニアですら、便利さに負けてやってしまう。これが現実です。
Q4. 出力を社外に出す時、最終チェックは誰がしますか?
生成AI の出力は そのまま社外に出さない。ハルシネーション(事実誤認)・著作権類似・古い情報の混入リスクがあるからです。
ここで上司に確認したいのは3点。
- 誰が最終チェックするか(自分か・上司か・専門部署か)
- チェック観点は何か(事実確認・著作権・社外秘混入・トーン)
- チェック記録は残すか(業界によっては監査ログとして必要)
「便利だから AI に書かせて、自分はざっと見るだけ」が一番危ない。AI の出力にもっともらしい嘘が混ざっていた時、責任を取るのは出した人です。
受託案件・クライアント納品物は契約も確認
ここは Lv1 ではちょっと重い話なので、該当する人だけ。
文化庁の「AIと著作権チェックリスト」(2024年7月)や経産省の「AIの利用・開発に関する契約チェックリスト」(2025年2月)以降、受託契約で「成果物への AI 利用禁止」「AI 利用時は事前承認必要」 と書かれているケースが増えています。
受託で AI 使う前に、契約書のその条項を確認しないと、後で契約違反になることがあります。心当たりがある人は、上司または法務に投げてください。
Q5. もし事故ったら、どこに報告しますか?
これを 事故る前に 確認するのが大事です。事故ってから探し始めると、見つからない時間に「黙っておこうかな」の動機が働いてしまうから。
確認しておきたい報告ルート:
- 直属の上司
- 情シス・セキュリティ部門
- 法務(顧客情報・契約情報が漏れた場合)
- 該当顧客への通知判断(個人情報保護法の漏洩通知義務)
Samsung も最初の漏洩から全社禁止まで1ヶ月弱でした。最初の事故を隠さなかった からこそ会社として対処できた、とも言えます。
最初の小さな事故を上司に正直に話せる関係 ── これが結果的に会社も社員も守ります。
上司に投げる5問テンプレ(コピペ可)
ここまでの5問を、上司にそのまま送れる形に整えました。書面(メール or チャット)で残す のがおすすめです。後で「聞いてなかった」を防げます。
お疲れさまです。
最近、生成AI(ChatGPT・Claude・Gemini など)を業務で使えるかが気になっていて、
5つだけ確認させてください。
1. 会社の生成AI 利用ルールはありますか? あればどこを見ればいいですか?
2. どのプラン・どのアカウントで使うのが良いですか?
(個人ChatGPT で使っている人を見かけますが、それでOKでしょうか)
3. 入れていい情報・ダメな情報の線引きはどこですか?
(顧客情報・契約金額・社内資料・他社から預かった資料、それぞれ)
4. 出力を社外に出す時、最終チェックは誰の責任ですか?
5. もし事故った場合、どこに報告すればいいですか?
判断軸が知りたいだけなので、5分くらいで答えていただけると助かります。
よろしくお願いします。「5分くらいで」と書くのがコツです。上司も忙しいので、軽く投げて軽く返してもらう。それでも答えが返ってこなかったら、情シス・総務・法務のいずれかに上申ルートを切り替えます。
規定がない会社の人へ ── 自衛策5項目
「5つ全部投げてみたけど、ぜんぶ『規定ないから分からない』だった」場合の自衛策です。
- 個人アカウントの学習設定を OFF にする(ChatGPT・Claude・Gemini、3社とも5分以内で終わる)
- 無料プランで業務情報を入力しない(Plus / Pro でも、個人プランは規約上アウト)
- 法人プラン契約を上司に提案する(1人あたり月3,000円〜・1日5分の時短で元が取れる計算)
- 使った日時・内容を自分でメモする(後で「使ってない」と言われた時の自衛)
- 何かあった時の連絡先を、規定がなくても自分で決めておく(直属の上司+情シス+法務)
特に3つ目(法人プラン提案)は、上司を巻き込んで会社の判断を引き出すアクションです。提案する時の論点は、「月3,000円 × 5人 = 月15,000円」「1日5分時短 × 5人 × 20営業日 = 月8時間以上の時短」あたりが現実的。
まとめ
- 会社で生成AI を使うなら、5つの質問を上司に投げる
- 規定がない会社なら、個人 Free で業務情報を入れない・学習設定 OFF・法人プラン提案 の3点が最低限の自衛策
- 最大の地雷は 「Plus 課金してるから法人利用 OK」 の誤解。データ取り扱いは Plus でも Free と同じ
- Anthropic 2025年8月の反転事件のように、規約は静かに変わる。半年に1回は学習設定を見直す
「会社が何も言ってないから個人 ChatGPT で便利に使っちゃおう」が、実はいちばん危ないパターンです。便利さの代償が、本人ひとりの問題で済まないから。
月曜の朝、コーヒー片手に上司に投げてみてください。「ちょっと聞いていいですか」から5分で済む話です。
次に読むなら
- 生成AI に個人情報を入れちゃった どうする? ─ 事故ったあとの3手順
- 生成AI 入れていい? 個人利用の20ケース早見表 ─ 個人利用の線引き
- 学習だけじゃない 生成AI に入れた情報の漏れ方5つの経路 ─ なぜ漏れるか
参考にした一次ソース(2025年時点)
- Samsung 漏洩事件:Bloomberg / Samsung Bans ChatGPT ・ TechCrunch
- Anthropic 2025-08 規約改定:Anthropic 公式アナウンス
- OpenAI データ取り扱い:Data Controls FAQ ・ Enterprise Privacy
- Google Gemini 個人版人間レビュー:Gemini Apps Privacy Hub
- 日本の業界標準:JDLA 生成AI利用ガイドライン ・ 経産省 AI事業者ガイドライン
仕様は頻繁に変わります。一次ソースの確認日を併記しているのは、いつ時点の情報かを明示するため。読んでくれた人が、自分の会社の規定を確認しに行くための補助線 として使ってください。
