記事執筆背景
企業で「ChatGPTを導入してみたい」「業務で使ってみたい」という声が増える一方で、実際の現場では「どんな使い方から試せばいいのか分からない」という相談も少なくありません。
ツールとしての可能性は感じていても、具体的なユースケースに落とし込めず、結局“触ってみただけ”で止まってしまう。そんな状況が起きがちです。
その不安の中心にあるのが、データの取り扱いです。特に企業では、顧客情報だけでなく、開発情報・営業戦略・提案書・社内ノウハウといった「企業秘密」に触れる場面が多く、「どこまで入力していいのか」「入力した情報は学習に使われるのか」といった点が導入検討の壁になりやすいと感じています。
しかし、この論点は専門用語が多く、プランや設定の説明も複雑になりがちです。その結果、必要以上に怖がってしまったり、逆に十分な理解がないまま使ってしまったりと、判断がぶれやすい領域でもあります。
そこで本記事では、あえてテーマを「秘密情報」に絞り、ユースケースの発想 → リスクの把握 → プラン選定 → 運用・実装の進め方までを、できるだけ具体的に整理して提示します。
「何をどう考えれば安全に使い始められるのか」をイメージしやすくすることで、関連するリスクや法規制も含め、全体像を手触り感のある形で把握できるようにすることを目的としています。
秘密情報を活用したユースケース
提案資料などへのユースケース
「営業・販促」で、自社の顧客リスト(顧客名簿) を起点にして活用するケースは、最もイメージしやすいユースケースです。
やることはシンプルで、次の3つを組み合わせて 顧客ごとにパーソナライズされた提案資料 を作ります。
- 秘密情報:自社の顧客リスト(会社名、担当部署、過去の相談メモなど)
- 公開情報:相手企業のWebサイト情報(事業内容、ニュース、採用、サービスなど)
- 社内資料:自社のサービスパンフ、導入事例、FAQ、提案書テンプレなど
たとえば、顧客リストにある会社名を起点に相手の公開情報を整理し、そこに自社の資料を当てはめることで、ChatGPTに「この会社向けの提案の叩き台」を作らせるイメージです。具体的には、提案書そのものだけでなく、以下のような“営業の準備物”をまとめて作りやすくなります。
- 提案書の構成案(章立て・流れ)
- 相手企業の状況に合わせた訴求ポイントの整理
- 使うべき導入事例・説明パートの候補出し
- 提案メールの文案(送付文やフォロー文面)
- 想定QA(相手から聞かれそうな質問と回答案)
さらに最近は、ChatGPTの役割は「文章を出すだけ」にとどまりません。たとえば提案の中で使う 図解や簡易デザイン も、指示次第で一緒に作れます。
- 提案資料に入れる 概念図・比較表・プロセス図 のラフ案
- HTML を使った1枚ものの提案ページ(簡易LPのたたき台)
- SVG を使ったベクター図形(サービス構成図、ロードマップ図、アイコン風パーツ)
もちろん最終的な仕上げはPowerPointやFigma等で整えるとしても、「言いたいこと」を文章だけでなく視覚的な資料の形まで一気に持っていけるのは、営業・提案の現場ではとても有効です。
行政でも機密情報の重要性が鍵
「機密情報をどう扱えるか」は、民間企業だけの悩みではありません。デジタル庁も、生成AIを行政業務で本格活用していく上で 機密性のある情報を扱える利用環境 が普及のカギ になることを、技術検証の設計そのものに組み込んでいます。実際、検証のキークエスチョンとして「最新の生成AIが利用可能で、機密性2情報 が扱える環境を用意したら、自発的な業務利用はどの程度進むか」を明示しています。
そして結果ですが、デジタル庁が「最新の生成AIが使えて、機密性2情報が扱える環境」を整え、活用機能も提供したところ、2025年2月時点で週間平均ユーザー数134名・平均APIリクエスト数1,877回 に到達したと報告されています。さらに 生成AIアプリが累計85個作成され、アンケート対象117名のうち 10%(12名)が自ら生成AIアプリを開発し、そのうち 8名はチームに共有して活用していた、という数字も出ています。
要するに、行政のように情報統制が厳しい現場でも、「機密性のある情報を扱える前提」を作ることで利用が進み、単なるチャット利用に留まらずアプリ化・チーム展開 まで波及していく、ということです。企業のChatGPT導入でも同様に、“何を入れてよいか” を曖昧にしたまま始めるのではなく、秘密情報を安全に扱える設計(環境・ルール・支援)を先に用意することが、活用を前に進める現実的なポイントになります。
引用元:「2024年度 生成AIの業務利用に関する技術検証および利用環境整備を行いました」
デジタル庁
【生成AIを用いた資料パンフレット作成の例】
ChatGPT導入のためのデータ検討の全体像
「生成AIで業務課題を解決したい」と思ったとき、いきなりツール選定や運用ルール作りに入るより先に、ユースケースと“入力する情報”をセットで整理するのが、丁寧な導入としてかなりおすすめです。ここが曖昧なままだと、「何を入れていいのか分からない」「怖いから結局使わない」「現場ごとに運用がバラバラ」という状態になりやすいからです。
1) まずはユースケースを決める(何をやりたいか)
最初にやるのはシンプルで、「どんな業務で、何を良くしたいか」を言語化することです。
例:提案書作成の時間を短縮したい/問い合わせ対応を標準化したい/議事録から要点抽出したい、など。
ユースケースが決まると、次に自然に「そのために何の情報が必要か」が見えてきます。
2) 次に“生成AIに入力する情報”をリストアップする
ユースケースに対して、生成AIに入れそうな情報を洗い出します。ポイントは、抽象的に考えるのではなく、社内で実際に呼んでいる名前で並べることです。
- 議事録
- パンフレット/提案書テンプレ
- FAQ
- 仕様書
- 顧客リスト
- 過去メール など
3) 各データに“法的に付着している性質”をカテゴリ分けする
洗い出したデータは、次に 法的にどんな扱いの情報かを、ざっくりカテゴリで色分けしていきます。
ここは厳密な論文みたいにする必要はなく、まずはセレクト式(選択式)で十分です。
たとえば代表例はこうです。
- 秘密情報(例:企業秘密/第三者の秘密)
- 著作権(例:社内資料、外部記事、図表)
- 個人情報・個人データ(例:顧客担当者情報、メール署名、ログ)
- (必要に応じて)契約上の制約、ライセンス、持ち出し制限 など
今回の記事テーマである「秘密情報」でも、同じ“秘密”の中に 自社の企業秘密 と 取引先など第三者の秘密 が混ざることがあるので、最初の棚卸しで切り分けておくと後がスムーズです。
4) 表にして“一覧化”すると、検討が一気に前に進む
ここまで整理できたら、あとは 表にして一覧化するのが効果的です。
たとえば「データ項目(議事録/パンフ/顧客リスト…)」を縦に並べ、横に「カテゴリ(秘密/著作権/個人情報…)」を置くだけで、「何がリスクの中心か」「どれから対策すべきか」が見えるようになります。
この一覧ができると、次のステップ(プラン選定・設定・社内ルール作り)も、感覚ではなく “入力データ起点”で合理的に進められるようになります。
【リスク表のイメージ】
秘密情報には自分の秘密と他人の秘密の2種類がある
生成AIに「秘密情報」を入力するかどうかを考えるとき、最初に押さえておきたいのは、秘密情報と一口に言っても 性質が2種類に分かれるという点です。ざっくり言えば、自分(自社)の秘密なのか、他人(第三者)の秘密なのかという点です。
自分の秘密:不正競争防止法の「営業秘密」
まず「自分の秘密」とは、典型的には 会社が保有する秘密情報のことです。
これが法的に強く問題になってくる場面で中心になるのが、不正競争防止法に出てくる 「営業秘密」 という概念です。
営業秘密の定義は、不正競争防止法 2条6項に置かれています。条文上は要するに、
- 秘密として管理されている
- 事業活動に有用(技術上または営業上の情報)
- 公然と知られていない
という性質を満たす情報が「営業秘密」として保護される、という整理です。
言い換えると、「社内にある大事な情報」全部が自動的に営業秘密になるわけではなく、秘密として管理していることなどの要件を満たしたものが、法的に“自社の秘密”として保護される対象になってきます。
他人の秘密:秘密保持契約・職業上の義務などで守られる
一方で「他人の秘密」は、自社で作った情報ではなく、外部から預かった情報が中心です。たとえば、取引先から「この情報は内密で」と渡される資料や、共同開発で共有される設計情報などがイメージしやすいでしょう。
このタイプの秘密は、通常は 秘密保持契約(NDA) や契約条項によって、「この範囲の情報は秘密として取り扱う」「目的外利用しない」「第三者に開示しない」といった形で管理されます。つまり、守るべき理由は「法律上の営業秘密」だけでなく、契約上の約束として発生していることが多いわけです。
さらに、契約がなくても“当然に秘密として扱う義務”が生じる類型もあります。典型は、弁護士・医師などの専門職が業務上受け取る情報で、これは秘密保持契約を結んでいなくても、職業上の守秘義務や関連法令によって保護される情報になり得ます。
生成AI活用の設計では、まずこの2分類を前提に置くと、「何を入力してよいか/何は絶対に避けるか」の線引きが作りやすくなります。
自分の秘密(営業秘密)は情報管理規程で管理する
まず「自分の秘密」=営業秘密については、それが営業秘密(不正競争防止法上の保護対象)に当たるかどうかが出発点になります。ここで大事なのは、「社内で大事だと思っているか」ではなく、法律が求める要件(秘密管理性・有用性・非公知性など)を満たしているかで判断される、という点です。だからこそ、現場の感覚だけで線引きするのではなく、経済産業省が公表している「営業秘密管理指針」や「秘密情報の保護ハンドブック」などを参照しつつ、社内の管理体制(ルール・表示・アクセス制御・持ち出し管理など)を整備していくのが実務的です。
秘密情報の保護ハンドブック ~企業価値向上に向けて~
そして生成AI活用の文脈では、「営業秘密か/そうでないか」という0-100の二択にせず、営業秘密の中でも“入力してよい範囲”をさらに段階化(レベル分け)しておくと運用が一気に現実的になります。行政の検証でも「機密性◯相当まで扱える環境」といった発想が出てくるように、企業でも「最重要は不可・重要は条件付きで可」といった粒度のあるルールがある方が、現場は使い始めやすいからです。
具体的な決め方は、情報管理規程(営業秘密管理規程)の中で次の2パターンが取りやすいです。
- 個別指定(ホワイトリスト方式):ファイル名・データセット名・保管場所(例:このフォルダのこの資料だけ)など、対象を名指しして「この範囲は生成AI入力可」と決める
- グループ指定(レベル方式):社内の機密区分(例:レベル2=入力可/最重要=入力不可)でまとめてルール化する
どちらが良いかはユースケース次第ですが、共通して言えるのは、“生成AIに入れてよい営業秘密”を規程の中で明文化しておくと、現場が迷わず動けるうえ、監査・教育・事故対応まで含めて設計しやすくなるという点です。
他人の情報は契約で管理する
次に「他人の秘密」です。これは、自社で作った情報ではなく、取引先・委託元・顧客など第三者から“預かっている情報”を指します。生成AIに入力する場面で問題になりやすいのは、この第三者情報が多くの場合、秘密保持義務(NDAや契約条項)にもとづいて開示されている、という点です。
そのため、受け取った情報を
- 何の目的で使ってよいか(使用目的)
- どこまで社内共有してよいか(閲覧範囲)
- 外部に出してよいか(第三者提供)
- どう保管し、いつ返却・削除するか(管理方法・期間)
といった細かなルールは、法律が自動的に決めてくれるというより、契約(NDA/基本契約/委託契約等)の内容で決まるのが基本構造です。
生成AIへの入力は「第三者提供」扱いになりやすい
多くの秘密保持契約では、秘密情報の第三者への開示は原則として想定されていません。
そのため、たとえ社内のセキュリティが強固で、入力先の生成AIサービスが安全に見えたとしても、第三者(=AIベンダー/外部サービス)に情報を渡したと評価されれば、契約違反になる可能性が高いという整理になります。
つまり他人の秘密は、「社内で厳格に管理しているからOK」という話になりにくく、そもそも外部入力が許される設計かどうかが契約で決まる、という点が営業秘密との決定的な違いです。
どうすれば入力できる?──答えは「契約でOKをもらう」
では、他人の秘密を一切生成AIで扱えないのかというと、そうとも限りません。
扱いたいなら、原則としてやることは一つで、開示元との契約上、生成AIへの入力(利用)を許容する合意を取ることです。
- NDA/契約条項に「生成AI利用を含む」ことを明記する
- 生成AI利用の範囲(目的・対象情報・入力方法・保管・再利用可否)を限定して同意を得る
- 必要なら、利用するサービスや設定条件(学習利用しない等)も条件化する
こうして「約束の中に入れる」ことで、はじめて他人の秘密も、ルールの下で生成AI活用の検討対象に載せられるようになります。
ChatGPTへの他人の秘密情報の入力に同意してもらう場合の条項例
秘密保持契約との関係では、主に次のようなことを考えるといいと思います。
①どのようなサービス及びプラン条件下での入力を許すのかというモデル関係の条件
②入力する主体と使用するアカウントなどの入力主体関係の条件
③出力結果や出力情報の取り扱いなどの出力関係の条件
第○条(生成AIツールの利用に関する特則)
1. 受領者は、本契約に基づき開示された秘密情報を、以下の各号に定める条件をすべて満たす場合に限り、OpenAI, L.L.C.が提供するChatGPT(以下「本AIサービス」という)に入力して利用することができる。
(1) 対象サービスの限定
本AIサービスは、OpenAI, L.L.C.が直接提供するChatGPTに限るものとし、GPTs、カスタムGPT、プラグイン、その他第三者が提供する派生サービス、連携サービス等への秘密情報の入力は一切禁止する。
(2) 利用プランの限定
本AIサービスの利用は、OpenAI, L.L.C.のChatGPT法人プランであるChatGPT Business又はChatGPT Enterpriseプランその他これらに相当する後継プランであって、OpenAI, L.L.C.が利用規約において守秘義務を負い、かつ入力データを自社のAIモデルの学習に使用しないことを保証しているプランに限るものとする。
(3) アクセス権限の制限
本AIサービスへの秘密情報の入力に使用するアカウントは、受領者の組織内において秘密情報を取り扱う権限を有する者として適切に指定された者のみがアクセス可能なものとし、一般従業員その他の権限を有しない者に開放してはならない。
(4) 使用目的の遵守
本AIサービスへの秘密情報の入力は、本契約で定める秘密情報の使用目的の範囲内に限るものとし、目的外の利用に供してはならない。
2. 受領者は、本AIサービスに秘密情報を入力したことにより出力された情報(以下「出力情報」という)についても、開示者の秘密情報と同等の保護義務を負うものとする。
3. 受領者は、本AIサービスに入力したプロンプト(秘密情報を含む入力内容)及び出力情報のログを、適切な方法により記録し、本契約の有効期間中及び終了後○年間保管しなければならない。開示者から要請があった場合、受領者は当該ログを開示者に提供するものとする。
4. OpenAI, L.L.C.が本AIサービスの利用規約を変更し、本条に定める条件を満たさなくなった場合(そのおそれがある場合を含む。)、受領者は直ちに本AIサービスへの秘密情報の入力を停止し、その旨を開示者に通知しなければならない。
*参考条項例となります。使用にあたっては必ず専門家のレビューを受けてください。
ChatGPTで秘密情報を守るためのプランや利用規約
ここまでで、ユースケースと入力データの棚卸し、さらに「秘密情報=自分の秘密(営業秘密)/他人の秘密(第三者の秘密)」という整理ができました。次はいよいよ、ChatGPTのモデル選択・利用プラン選択に進みます。結論から言うと、秘密情報を扱う前提では「どのモデルが賢いか」より先に、OpenAI側が“契約上”どこまで責任(守秘・取扱制限)を負う設計になっているかが重要です。
守秘義務(Confidentiality)が明示されるのは法人向けの契約側
ここで注意したいのは、ChatGPTには個人向けプランと法人向けプランがあり、OpenAI側が明示的に秘密保持(機密保持)を負う前提が置かれているのは、法人・ビジネス寄りの契約の方だ、という点です。
この違いをどこで確認できるかというと、OpenAIの利用規約群の中にある 「OpenAI Services Agreement」(日本語にすれば「OpenAIサービス規約」くらいのイメージ)です。ここには、そもそもこの規約が どの利用形態に適用されるのかが冒頭で整理されていて、一般に 法人プランやAPIなど、ビジネス寄りの利用に適用される一方で、個人向けプランには適用されない旨が明示されています。
つまり、「法人向けでないと秘密保持がない(=少なくとも契約上の前提が違う)」という話は、どの規約が適用されるかを見れば確認できます。
1人利用でも法人プランが必要になり得る
ここで現場で出てくる考えとして、「自分は経営者として1人で使う予定だから個人プランでいい」という発想です。
しかし、もし 営業秘密などの秘密情報を入力したいのであれば、秘密管理が重要になってくるため 法人プランを選ばざるを得ません。
他人の秘密(第三者情報)は、プランだけで自動的に解決しない
このプラン・規約の話は「自社の秘密(営業秘密)をどう扱えるか」の土台になりますが、他人の秘密(第三者から預かった情報)は、そもそもNDAや委託契約等で第三者提供が制限されているケースが多いです。
したがって、たとえ法人プランで守秘条項があったとしても、第三者情報を入力してよいかは“元の契約(同意)”が決める、という整理は変わりません。ここを混同しないことが、導入設計ではかなり重要になります。
まとめ:秘密情報を「使える状態」にして、はじめて導入が前に進む
ChatGPT導入でつまずきやすいのは、「生成AIを使うか/使わないか」以前に、どの情報を、どの条件で入力できるのかが曖昧なままスタートしてしまうことです。だからこそ本記事では、ユースケースを起点に入力データを洗い出し、秘密情報を「自分の秘密(営業秘密)」と「他人の秘密(第三者情報)」に分け、さらに前者は情報管理規程、後者は契約で管理するという整理を行いました。
結局のところ、生成AI活用は“便利な機能を触ってみる”だけでは定着しません。入力できる情報の範囲が明確になり、現場が安心して使える前提(ルール・契約・プラン)が整っていることが、活用の加速を決めます。逆に言えば、この前提さえ作れれば、提案資料のたたき台やメール、図解、社内共有用の1枚資料まで、アウトプットは一気に広がります。
まずは小さく、しかし設計は丁寧に。
「このユースケースなら、この情報まで。この条件なら、このプランで。」という形で、秘密情報を“守りながら使う”運用を組み立てていくことが、企業のChatGPT導入を成功させる最短ルートになります。
