• 作成日 : 2026年1月14日

ChatGPTで情報漏洩は発生する？対策や安全に利用するポイントを解説

「ChatGPTは便利だから使いたいが、社外秘や個人情報を預けて大丈夫か」と不安を抱く企業は少なくありません。実際には、入力内容・アカウント管理・チャット履歴の扱い方に注意することで、リスクの大きさは変わります。

当記事では、ChatGPTの情報漏洩リスクの種類やプランごとのセキュリティの違いを整理し、具体的な対策と社内ルールの整え方を解説します。

ChatGPTの情報漏洩リスクとは？

ChatGPTの情報漏洩リスクは、入力した社外秘や個人情報が意図せず第三者に渡ることに加え、共有リンクの誤設定や転送、画面共有やスクリーンショット、端末の紛失、アカウント乗っ取りなど運用面から発生します。

設定やプランによって会話の保存期間、学習への利用、管理者の統制範囲が変わる場合があり、やり取りを削除したり、保存しない設定を選んだりしても不正利用対策や法的義務のために限定的な確認・保持が行われる可能性もあります。

社内規程と契約条件を優先し、機密は入力しない、必要部分だけ要約して送る、氏名や金額は伏せ字にする、共有範囲を限定する、強固なパスワードと多要素認証を徹底する、といった基本対策が重要です。送信前に入力内容と共有範囲を確認し、共有リンクや履歴は不要になった時点で削除・整理しましょう。

ChatGPTの利用で注意したい情報漏洩リスクは？

ChatGPTの利用では、入力情報・アカウント・チャット履歴の3経路から機密が外部へ流出する恐れがあります。漏洩は説明負担や競争力低下、法令・契約違反のリスクを招きます。ここでは漏洩経路と会社への影響を解説します。

入力内容が外部に漏れる可能性

入力内容が外部へ漏れると、未公開情報や個人情報が第三者に渡り、競争力の低下や法的対応が発生します。漏洩の例としては、外部サービスへ送信されたデータの解析、端末のマルウェアやブラウザ拡張機能による盗み取り、画面共有や貼り付け先の誤り、権限の操作ミスなどによる共有リンクの誤った公開、の4つが挙げられます。

流出後は入札・商談で不利になり、顧客や取引先の信頼が損なわれます。損害賠償や契約解除、監督官庁対応、社内調査と再教育、再発防止の統制強化が必要になり、フォレンジック調査や広報対応の負担も増えます。復旧コストと機会損失が重なり、開発や営業が停滞する恐れがあります。

アカウント情報が流出するリスク

アカウント情報は、フィッシングによる窃取、パスワードの使い回し、端末の盗難・マルウェア感染、MFA未設定による不正ログインで流出しやすくなります。不正利用されると、本人になりすまして社内の問い合わせや取引先対応を行われるほか、保存済みの履歴や共有設定、連携サービスの情報が閲覧・持ち出される恐れがあります。

過去の会話にAPIキーや顧客名が含まれていれば二次被害が連鎖し、決済情報の不正利用やアカウント停止による業務停滞も起こり得ます。結果として、機密漏洩の拡大、取引停止、調査・通知・復旧などの対応費用、社名が絡む形での信用失墜が発生します。監査や社内規程違反の指摘につながると、再発防止の統制強化や教育負担も増えます。

チャット履歴が外部に流出する恐れ

チャット履歴は、共有リンクの公開、共同端末でのログイン状態の放置、ブラウザ同期やバックアップ先の設定ミス、スクリーンショットの拡散などで外部へ漏れる恐れがあります。履歴には、検討中の施策、社内課題、顧客とのやり取り要約、コード片や設定値が残りやすく、不正な目的を持つ第三者にとっては組織の弱点や担当者情報の手がかりになります。

漏洩すると、標的型メールなどの精度が上がり、追加の不正アクセスや詐欺被害を招きます。さらに、交渉経緯の露出で取引関係が悪化し、調査や監査対応が長期化して業務が停滞します。人事や評価に触れる内容が含まれる場合は、社内不信や労務トラブルにもつながります。

ChatGPTのプランごとのセキュリティの違いは？

ChatGPTのセキュリティは、個人向け（Free/Plus/Proなど）と法人向け（Business/Enterpriseなど）で「学習への利用の既定」「管理機能」「運用統制」の考え方が異なります。個人向けは、会話がモデル改善に使われる設定が既定で有効な場合があり、必要に応じて設定から停止できます。Temporary Chatは履歴に残らず学習にも使われず、最長30日で削除されるという案内があります。

一方、Business/Enterpriseは組織データを学習に使わない方針が既定で示され、明示的に共有へ同意した場合のみ例外となり得ます。ユーザー管理や利用状況の把握、SAML SSOや管理者ロールなどの統制機能が用意され、通信時と保存時の暗号化も案内されています。どのプランでも、社外秘は入力せず、必要なら伏せ字や要約で最小化しましょう。条件は更新されるため、運用前に公式情報で確認しましょう。

ChatGPTで情報漏洩を防ぐための方法は？

情報漏洩は、入力前のルールと設定、運用設計で抑えられます。対策は複数層で行い、目的に応じて個人向け機能と法人向けの仕組みを使い分け、残す情報を最小化することが要点です。ここでは具体的な方法を解説します。

個人情報・機密情報の入力を避ける

個人情報や機密情報を入力しないことが最も確実な対策です。入力内容は外部サービスへ送信されるため、設定や契約により保存や利用の扱いが変わります。顧客名簿、社員名、住所、電話番号、決済情報、認証情報、APIキー、パスワード、未公開の価格や仕様、契約書の全文、ソースコード内の秘密情報は入力対象から外しましょう。

必要な場合は要約に切り替え、固有名詞は仮名化し、数値は範囲や割合に置き換える方法が有効です。情報分類に基づき、社外秘や極秘の資料は持ち込まない運用にします。社内テンプレートに匿名化手順を入れ、貼り付け前の確認とレビューを必須化すると事故が減ります。判断に迷う情報は入力しないほうが安全です。

履歴オフ機能を使って情報を保護する

履歴オフや学習への提供停止を設定すると、入力内容の二次利用リスクを下げられます。個人向けChatGPTでは設定のデータ管理でモデル改善への提供をオフにでき、新しい会話は学習に使われません。この設定はアカウント単位で反映され、端末ごとに別管理になりにくい点も利点です。

一方で会話自体は履歴に残るため、共有端末ではログアウトと画面ロックを徹底します。短期間だけ使う場合はTemporary Chatを選ぶと会話が30日以内に削除されます。いずれも共有リンクの公開やスクリーンショット拡散を防ぐ機能ではないため、手順を運用マニュアルに明記し、周知と定期監査を行いましょう。

API接続を使って運用する

業務利用はAPI接続で社内システムとして運用すると、統制をかけやすくなります。OpenAIのAPIは原則として送信データが学習に使われず、明示的に共有へ同意しない限り改善目的の利用は行われません。APIの入出力は一定期間のログ保管後に削除される方針も示されています。要件が厳しい場合は、ログ保持をさらに抑える選択肢の有無を含めて検討しましょう。

社内側では、利用目的の限定、入力前のマスキング、鍵情報の集中管理、アクセス権限と監査ログの整備、委託先を含む取り扱い規程の策定をセットで行います。利用画面をフォーム化し、貼り付けを最小化すると誤入力や誤共有も減るでしょう。

ChatGPTの企業向けプランを導入する

企業向けプランの導入は、個人利用より情報管理の前提を整えやすい方法です。ChatGPT EnterpriseやBusinessなどは、組織の入力と出力を既定で学習に使わない方針が明記されています。管理者は認証や権限を統制でき、SSOや自動プロビジョニングで利用者の追加と停止を運用できます。保持期間の制御や社内データ連携の許可範囲も管理できるため、機密度の高い部署ほど効果が出ます。

要件を満たす場合はデータ保持の厳格化や保管地域の選択も検討対象です。暗号化や監査対応の仕組みと合わせ、社内規程と教育をセットで回すと安全性が上がります。全社展開の標準にしやすく、導入判断もしやすくなります。

ChatGPTを安全に利用するためのポイントは？

ChatGPTを安全に使う要点は、入力の最小化と権限管理、監査の仕組みを社内標準としてそろえることです。教育と棚卸し、インシデント対応まで継続が必要です。ここでは安全に利用するためのポイントを解説します。

社内利用のルール・ガイドラインを整備する

社内ルールは、入力してよい情報の範囲と手順を明文化し、現場が迷わない状態にします。個人情報、契約書原文、未公開の価格や仕様、認証情報やAPIキーは入力禁止とし、必要時は匿名化や要約で代替します。利用目的の限定、出力の社外送信前レビュー、記録の保管期間、共有リンクの扱い、画面共有時の注意、違反時の対応も決めましょう。

また、情報区分ごとにテンプレートとチェックリストを用意し、外部委託先を含めた持ち込み可否もそろえます。例外が必要な場合は申請窓口と承認者を定めます。学習への提供停止や一時チャット、法人向けでは既定で学習に使われない扱いなども整理し、用途別に使い分けましょう。

アカウント管理の徹底で安全性を高める

アカウント管理は、乗っ取りによる履歴閲覧や不正投稿を防ぐ最優先の対策です。多要素認証を必須にし、パスワードは使い回しを禁止し、復旧用のメールや電話番号も最新に保ちましょう。可能なら法人向けのSAML SSOを有効化し、退職や異動時はSCIMなどでアカウントを自動停止できる状態にします。

また、管理者権限は最小化し、共有アカウントは禁止します。端末は画面ロックとOS更新を徹底し、ブラウザ拡張機能は業務許可制にします。フィッシング訓練も行い、認証情報の入力先を都度確認する習慣を定着させることも大切です。監査ログの取得と権限棚卸しを定期的に実施し、招待や共有リンクの作成権限も役割ごとに制限して、不要な外部共有を減らしましょう。

セキュリティ対応ツールと連携して安全性を強化する

ChatGPTを安全に活用するには、DLPやCASB、プロキシ、EDRなどのセキュリティ対応ツールと連携して、多層的にリスクを抑えることも大切です。機密情報の検知やマスキングを自動化し、外部サービスへのアクセス制御やログ監査を行えるようにします。利用状況を可視化し、異常な操作があれば速やかに確認できる体制を整えます。

また、ツール任せにせず、運用ルールと組み合わせて定期的に設定を見直すことも意識します。導入前後でセキュリティポリシーとの整合性を確認し、想定外の情報が送信されていないかも点検しましょう。

ChatGPTを安全に活用して情報漏洩を防ぎましょう

ChatGPTは、入力内容・アカウント・チャット履歴を通じて情報が漏洩するリスクがあります。社外秘や個人情報は入力せず、履歴オフやTemporary Chat、企業向けプランやAPI接続を活用し、共有リンクや画面共有にも注意しながら、権限管理と社内ルール、セキュリティツール連携を徹底して安全に運用しましょう。あわせて、定期的に設定や契約条件も見直すことも大切です。

• 監修：マネーフォワード クラウド

  マネーフォワード クラウドが監修する「AIの基礎知識」です。ビジネスや生活に役立つAIの基本と最新情報を分かりやすく解説。AIを身につけ、新しい一歩を踏み出すのを応援します。