従業員が個人アカウントで業務に生成AIを使用することは、営業秘密の保護喪失や守秘義務違反といった重大な法的リスクを伴います。一方で、業務効率化とのバランスを取るため、適切な社内ルール整備とリテラシー向上が不可欠です。

法人プランと個人プランの違い

ChatGPT、Claude、Geminiいずれも、個人プランと法人プランを明確に区別しています。

• 法人プラン: サービス提供者が秘密保持義務を負う旨が利用規約に明記されている
• 個人プラン: そのような秘密保持義務の規定がない、または制限的

つまり、従業員が個人プランで会社情報を入力した場合、サービス提供者に秘密保持義務を負わせることができない可能性があります。

OpenAI サービス契約：(ChatGPT：「7. 機密保持」参照）
Commercial Terms of Service：（Claude：「E. Confidentiality」参照）
Cloud のデータ処理に関する追加条項：（Gemini：「7.1.1c.」参照）

営業秘密保護の喪失リスク（秘密管理性の欠如）

(1) 秘密管理性とは

不正競争防止法上の「営業秘密」として保護を受けるには、次の3要件を満たす必要があります。

• 秘密管理性（秘密として管理されていること）
• 有用性
• 非公知性

(2) 個人アカウント使用による秘密管理性の喪失

従業員が無制限に個人プランの生成AIで自社情報を処理している場合、企業が当該情報を「秘密として管理していた」とは認められず、秘密管理性の要件を欠くと判断されるおそれがあります。

対象となる情報の例:

• 顧客企業リスト
• 社内会議議事録
• 営業ノウハウ、技術情報 など

結果として、万が一情報が流出・悪用された場合でも、営業秘密としての法的保護を受けられなくなる可能性があります。

秘密保持義務違反のリスク

従業員が入力する情報が、自社ではなく他者の秘密情報である場合（秘密保持契約に基づき開示されている情報など）、守秘義務違反行為として構成されます。

また、この守秘義務違反のリスクは、法人アカウントを使用している場合でも同様に発生します。生成AIへの入力自体が、契約上の「第三者への開示」に該当する可能性があるためです。

業務効率化とのバランス

従業員が企業に無断で個人アカウントを使用している場合、情報管理上の重大なリスクが発生する一方で、DX推進や業務効率化の観点からは、生成AI活用を一律に禁止することも現実的ではありません。

このバランスを適切に図るため、以下の対応が必要です。

推奨される対応策

① 社内規程の整備

• 生成AI利用に関する社内規程を作成し、情報リスクと業務効率化のバランスを図るルールを明確化
• 入力禁止情報の範囲、利用可能なサービス・プラン、承認フローなどを規定

② 従業員のリテラシー向上

• 生成AIのリスクと適切な使用方法について、従業員教育・研修の機会を提供
• プロンプトに含めてはならない情報、出力結果の検証義務などを周知

③ 法人アカウントへの統一と情報管理体制の構築

• 使用する生成AIアカウントは法人アカウントに限定し、個人アカウントの業務利用を原則禁止
• ログ管理、アクセス権限設定など、企業側で情報管理が可能となる体制を整備