従業員向けAI安全チェックリスト

まずは一つのルールから始める

従業員は今や執筆、要約、翻訳、コーディング、メモ作成、検索、意思決定支援のためにAIツールを使います。時間を節約できますが、新たなプライバシーやセキュリティリスクも生み出します。最も安全な職場習慣は簡単です：AIチャットボットを個人的なノートや信頼できる社内の金庫のように扱わないでください。

実際の問いは「このツールにプライバシー設定はあるか？」だけでなく、「レビュー、保存、暴露、または誤ったシステムに送信された場合に害を生むか？」です。もし答えがはいの可能性があるなら、貼り付ける前に止まり、まず承認されたワークフローを確認してください。

従業員向けAI安全チェック（10項目）

1. 無作為なAIアプリではなく、承認されたツールを使用する

従業員はまず会社が承認したAIツールを使用すべきです。アカウントの種類、管理コントロール、保持、接続アプリ、プライバシーの境界は製品ごとに異なります。見た目が似ていても、ガバナンスモデルは大きく異なる場合があります。

実用的な従業員のルールは簡単です：組織が承認したワークスペースツールを提供している場合、個人のAIアカウントを業務データに使ってはいけません。

2. 秘密情報を決して貼り付けないこと

パスワード、復旧コード、APIキー、アクセストークン、秘密鍵、データベース認証情報、またはWebhookの秘密をAIチャットボットに貼り付けないでください。一度漏れると、これらの秘密はシステム、クラウドサービス、リポジトリ、請求環境への直接的なアクセスを可能にします。

安全なパターンは、実際の秘密を次のようなプレースホルダーに置き換えることです。 [API_KEY], [TOKEN]、または [PASSWORD]。多くの場合、AIは問題の構造だけを必要とし、実際の値は不要です。

3. 顧客や従業員の機密データを貼り付けないこと

顧客のメール、電話番号、住所、サポートチケット、HR記録、給与明細、学生データ、医療情報、その他の個人を識別できる情報（PII）は、原則としてAIツールに貼り付けるべきではありません。

従業員はまず匿名化すべきです。実際の名前を「Customer A」のようなラベルに置き換え、 Customer A, 学生1、または Employee B、 不要な日付、識別子、口座参照を削除してから支援を求めてください。

4. 契約、法的草案、NDA対象の資料を汎用ツールに貼り付けないでください

法的文書にはしばしば機密義務、交渉履歴、価格条件、規制対象や特権情報が含まれます。より安全なアプローチは、全文を貼り付けるのではなく、テンプレート、チェックリスト、条項の説明を求めることです。

レビューが必要な場合は、境界が不明確な便利なチャットボットではなく、承認された会社のワークフロー内で編集済み（redacted）バージョンを使用してください。

5. 内部文書は推測で扱わず、分類に従って扱うこと

従業員は公開、内部、機密、および制限付き情報の違いを知っておくべきです。内部メモは無害に感じられるかもしれませんが、顧客の文脈、セキュリティ詳細、財務の仮定、ロードマップ項目など、消費者向けAIツールに貼り付けるべきでないものが含まれていることがあります。

分類がわからない場合は、そのデータを少なくとも内部扱いと想定し、確認するまでは外部や未承認のAIツールと共有しないでください。 詳細な解説は次を参照してください： Data Classification Explained .

6. 個人アカウントより職場アカウントを優先する

これは従業員にとって最も重要な区別の一つです。職場向け製品は通常より強固な管理環境を提供しますが、それがすべてに対して安全というわけではありません。

従業員はそれでも共有するデータを最小限にし、承認されたツールのみを使用し、会社の方針に従うべきです。職場アカウントは安全な出発点であり、免罪符ではありません。

7. 接続されたアプリ、エージェント、MCPスタイルのツールに注意すること

リスクはチャットインターフェースだけではありません。一部のAIツールは会社のデータを検索したり、ファイルを取得したり、接続されたアプリやカスタム統合を通じて行動を起こすことができます。

アプリ、コネクタ、またはエージェントを有効にする前に、次の3つの質問をしてください：何にアクセスできるか、何を送信できるか、そして後で簡単に削除できるか？答えが不明確なら、接続しないでください。

8. AIの出力は間違っている、不完全である、または安全でない可能性があると仮定すること

従業員はAIの出力をそのまま本番システム、顧客向けコミュニケーション、法的文書、またはセキュリティ判断にコピーしてはなりません。必ずレビューしてください。

適切なルールは次のとおりです：AIを判断の代替ではなく、作業を加速するために使ってください。 事実、権限、計算、引用、そして機密性の高い文言を 出力を基に行動する前に確認してください。

9. まずは機密を伏せ、次に要約し、最後に貼り付ける

従業員がAIの助けを必要とするとき、安全な順序は次のとおりです：

• 機密情報を伏せる
• 実際の問題を要約する
• 必要最小限だけを貼り付ける

これは、メール、チケット、インシデントメモ、コードスニペット、スプレッドシート、 および会議の要約に適用されます。例えば、名前や口座番号が含まれた顧客からの苦情全文を貼り付ける代わりに、遅延出荷への応答を穏やかに書き直すよう依頼してください。

10. ミスやリスクのある使用を早期に報告する

従業員は誤って何かを貼り付けた、間違ったツールを接続した、またはAIが安全でない方法で使用されているのを見た場合に何をすべきかを知っておくべきです。早期の報告は静かに後始末するよりも優れています。

強固な会社の慣行は、従業員に報告のための明確な経路を提供することです：

• 機密データの誤共有
• 疑わしいAI生成の出力
• 危険なプロンプトパターン
• 未承認のツールやコネクタ
• 顧客に影響を与える幻覚（hallucinations）
• 内部ポリシーに関する質問

簡単な従業員向けチェックリスト

業務でAIを使用する前に、従業員は次を確認するべきです：

• これは承認された会社のAIツールですか？
• 正しい職場アカウントにサインインしていますか？
• コンテンツに秘密、PII、契約、法的資料、または制限付き内部情報が含まれていますか？
• 名前、ID、トークン、内部の詳細を先に伏せ字にできますか？
• このコンテンツは内部、機密、または制限付きとして分類されていますか？
• 理解していないアプリ、エージェント、または外部ツールを今接続しようとしていますか？
• 出力を送信または使用する前に人のレビューが必要ですか？
• 何か問題が起きた場合にミスを報告する方法を知っていますか？

そのチェックリストは意図的に簡潔です。目的は従業員をAIを恐れさせることではありません。安全な利用をデフォルトの行動とすることが目標です。

このチェックリストに関連する読み物として、次を組み合わせてください： AI Chat Privacy Settings , What You Should Never Share with AI Chatbots 、および Data Classification Explained .

最終的な要点

従業員はAIをうまく使うためにセキュリティ専門家になる必要はありません。しかし、いくつかの強い習慣が必要です：承認されたツールを使う、機密データを保護する、個人アカウントより職場アカウントを優先する、出力を行動する前にレビューする、そして接続されたアプリやエージェントに注意すること。

最良のAI安全チェックリストは長いポリシー文書ではありません。人々が日常的に実行できる短い行動のセットです。

公式参考資料とさらなる参考文献

• OpenAI: Data Usage for Consumer Services FAQ
• OpenAI: Apps in ChatGPT
• OpenAI: ChatGPT Apps with Sync FAQ
• Anthropic Privacy Center: Commercial products
• Anthropic Privacy Center: Consumer products
• Google Workspace: Gemini privacy and data protection
• Microsoft Learn: Microsoft 365 Copilot Chat Privacy and Protections
• OWASP GenAI: Sensitive Information Disclosure
• CISA: AI Data Security Best Practices
• NIST: Generative AI Profile

よくある質問