「生成AIを業務で使いたいが、社員の個人情報を入力して大丈夫か不安だ」
「社内でのAI利用ルールを整備したいが、何から手をつければいいかわからない」
このようなお悩みを抱える人事担当者の方も多いのではないでしょうか。
生成AIの業務活用が広がる一方、個人情報の取り扱いリスクへの対応は多くの企業で追いついていないのが現状です。適切なルールがないまま利用が進めば、意図せず社員や取引先、採用候補者の個人情報が外部に流出してしまう恐れがあります。
そこで本記事では、生成AIと個人情報に関するリスクの概要や実際に起きた漏洩事例、法令上の責任、人事部門が今すぐ取り組むべき対策まで解説します。
なお、生成AIの導入や個人情報の管理体制を整備する際に、人事・労務のプロ人材に相談するのもおすすめです。人事領域の専門家が多数在籍するcoachee人事シェアの活用をご検討ください。
生成AIの業務活用で個人情報はどう扱われるのか
ChatGPTをはじめとする生成AIは、業務効率化の手段として民間企業だけでなく、自治体でも普及が進んでいます。令和7年6月に公開された総務省の調査によると、生成AIを導入済みの団体は、都道府県で87%、指定都市で90%、その他の市区町村で30%と、幅広く活用されている実態が浮き彫りとなりました*。
しかし、生成AIに情報を入力する行為は、外部サーバーへデータを送信していることと同義です。
「手軽に使える便利なツール」という印象が先行しがちですが、入力した情報がどこに送られ、どのように扱われるのかを正しく理解することが、リスク対策をはじめるうえで重要です。
生成AIに入力した情報は基本的に学習される
生成AIにプロンプト(指示文)を入力すると、その内容はAI事業者が管理するサーバーに送信・保存されます。無料版やデフォルト設定のままで利用している場合、送信したデータはモデルの改善・学習に利用されてしまいます。
一度外部サーバーに送信した情報は、自分の手でコントロールできません。まずは「送信ボタンを押した瞬間に、入力したデータが手元を離れる」という認識をもつことが重要です。
無料版と法人向けプランでデータの取り扱いが異なる
生成AIサービスは、プランや設定によってデータの取り扱い方針が大きく異なります。主要サービスの違いを整理すると、以下のとおりです。
| サービス・プラン | 入力データの学習利用 | 備考 |
|---|---|---|
| ChatGPT 無料版・Plus | デフォルトで学習に利用される可能性あり | 設定でオプトアウト可能 |
| ChatGPT Team・Enterprise | 学習に使用しないことが規約上明示 | 法人向けのセキュリティ機能あり |
| Google Gemini(無料版) | 学習に利用される可能性あり | 管理画面から設定を変更可能 |
| Microsoft Copilot | 入力内容がそのまま学習に利用されることは基本的にない | 利用状況やエラー検知データなどは参照される場合あり |
社内で「とりあえず生成AIを使っている」という状態が放置されていると、サービスによっては知らないうちに社員の個人情報や機密データが学習対象となっている恐れがあります。
法人として生成AIを利用する場合は、各サービスの利用規約・プライバシーポリシーを必ず確認し、データの取り扱い方針を把握したうえで利用プランを選定しましょう。
何から対策を始めればよいかお悩みの方は、人事・労務領域のプロ人材が在籍するcoachee人事シェアまで、お気軽にご相談ください。
人事部門が特に注意すべき個人情報漏洩リスク
人事部門は社員の給与・評価・健康情報など、特に機微な個人情報を大量に扱うポジションです。人事実務としては、以下の3つのリスクに注意が必要です。
- 社員の個人情報を誤って入力してしまうリスク
- 採用候補者・顧客など第三者の情報が流出するリスク
- サイバー攻撃やプロンプトインジェクションによるリスク
それぞれ具体的に見ていきましょう。
社員の個人情報を誤入力してしまうリスク
人事担当者が日常的に扱う個人情報は多岐にわたります。
- 氏名・住所・生年月日・マイナンバー
- 給与・賞与・手当などの報酬情報
- 人事評価・勤怠記録
- 健康診断結果・休職歴
- 家族構成・扶養情報 など
こうした情報は、業務効率化を目的とした操作のなかで意図せず生成AIに入力されてしまうリスクがあります。
たとえば会議の議事録をAIに要約させた際、本文中に含まれていた社員名や評価内容がそのまま送信されてしまうことがあります。給与計算のデータをAIで整形しようとして、個人が特定できる情報ごと貼り付けてしまうケースも起こりえます。
採用候補者・顧客情報が流出するリスク
採用業務では、履歴書・職務経歴書・面接記録・選考評価コメントなど、候補者に関する情報を日常的に取り扱います。このとき、面接後のフィードバック文章をAIに整形・要約させてしまうと、候補者の氏名や経歴、評価コメントが入力データに含まれる恐れがあります。
万が一、候補者の情報が流出した場合に想定されるリスクは深刻です。
| リスクの種類 | 具体的な影響 |
|---|---|
| 法的リスク | 候補者からの損害賠償請求、個人情報保護委員会からの指導・勧告 |
| 信頼リスク | 企業の採用ブランド毀損、SNSでの拡散による社会的信用の低下 |
| 事業リスク | 優秀な候補者からの応募減少、取引先との信頼関係の悪化 |
顧客情報を含む社内資料をAIに要約させるケースでも、同様のリスクが発生します。個人情報を含むデータをAIに入力する際は、入力しても良い内容かどうか立ち止まって考える必要があります。
サイバー攻撃・プロンプトインジェクションによるリスク
誤入力だけでなく、外部からの攻撃によって情報が流出するリスクも存在します。
近年注目されている攻撃手法の1つが、プロンプトインジェクションです。これは、悪意ある指令をAIへの入力データに埋め込み、本来は非公開である情報を引き出す手法のことです。
人事担当者のなかには「自社がサイバー攻撃のターゲットになるはずがない」と感じる方もいるでしょう。しかし、攻撃は企業規模を問わず発生するリスクがあるため、注意は欠かせません。
サイバー攻撃などのリスクを防ぐには、社内の情報システム部門との連携が不可欠です。自部門だけですべて対応しようとせず、必要に応じて社内の専門部署と協力できる体制を整えましょう。
実際に起きた生成AI情報漏洩の事例
生成AIに関する情報漏洩は、すでに国内外で複数の事例が報告されています。「自社でも同じことが起きる可能性がある」という前提で、個別の事例を確認してみましょう。
大手メーカー社員がソースコードをAIに入力し外部流出
2023年、韓国のサムスン電子で生成AIによる情報漏洩が発生しました。エンジニアが業務効率化のためにソースコードや社内の会議内容をChatGPTに入力したところ、それらの機密情報が外部に流出していたことが判明した事例です。
サムスン電子はこの事態を受け、社内で生成AI利用を一時的に禁止する措置を取っています。
人事担当者にとっても、この事件は決して他人事ではありません。議事録の要約や文書の整形など、便利だからという理由で社員が機微な情報を入力してしまうリスクがあります。利用ルールを整備・周知して、このような事例が発生しないよう体制を整えましょう。
ChatGPTのバグでチャット履歴が他ユーザーに表示
2023年には、ChatGPTのシステム不具合により、一部ユーザーのチャット履歴のタイトルが別のユーザーの画面に表示されるという問題が発生しました。OpenAI自身がこの不具合を公表し、修正対応を行っています。
私たち利用者がどれほど適切に使っていてもプラットフォーム側の障害やバグによって情報が意図せず他者に見えてしまうリスクがあります。
生成AIを導入する際は、ツールの安全性を過信しないことが重要です。そもそも機微な情報を入力しない。これが安全に生成AIを利用するうえで重要なポイントといえます。
日本国内のアカウント情報がダークウェブで売買された事例
2023年には、日本国内の約661件のChatGPTアカウント情報がダークウェブ上で売買されていたことが、セキュリティ企業の調査により報告されました。
被害に遭うアカウントの多くは、パスワードの使い回しや簡易なパスワード設定など、アカウント管理の甘さが原因と指摘されています。
生成AIのアカウントも業務システムの1つとして厳格に管理し、多要素認証の設定やパスワードポリシーの徹底など、既存の業務システムと同等のセキュリティ基準を適用しましょう。
個人情報保護法の観点から企業が問われる責任
生成AIを業務効率化で活用する場合は、法的な責任の所在を正しく理解しておきましょう。
まず押さえるべきは、生成AIへの個人情報の入力が個人情報保護法上の「第三者提供」にあたる可能性がある点です。第三者提供とは、本人以外の相手に個人情報を渡す行為のことです。生成AIにデータを入力すると、その情報はAI事業者のサーバーに送信されるため、第三者への提供とみなされるリスクがあります。
業務効率化が目的であっても、本人の同意なく社員や採用候補者の個人情報をAIに入力すれば、法令違反となりかねません。違反が発覚した場合、個人情報保護委員会からの行政指導や事業者名の公表、さらには企業の信用毀損といった深刻な影響が想定されます。
実際に、個人情報保護委員会は2023年6月、生成AIサービスの利用に関する注意喚起を公式に発出しています。主なポイントは以下の3点です。
- 要配慮個人情報(病歴・健康診断結果など)を含む情報の入力に注意すること
- 利用するサービスの利用規約・プライバシーポリシーを確認すること
- 第三者提供にあたる場合は本人の同意取得が必要であること
会社として「知らなかった」では済まされないため、早急な対応が求められます。法令対応や社内ルール整備の進め方について専門人材に相談したい方は、coachee人事シェアへお気軽にご連絡ください。
人事部門が今すぐ取り組める対策
人事部門が取り組むべき対策を紹介します。自社の状況に合わせ、優先度の高いものから着手しましょう。
入力禁止情報の範囲を定める
まずは、生成AIに入力してはならない情報の範囲を明確にしましょう。禁止対象となる情報の例は以下のとおりです。
- 社員の氏名・住所・生年月日・マイナンバー
- 給与・賞与・人事評価に関する情報
- 採用候補者の履歴書・選考記録・面接評価
- 顧客の個人情報
- 未公開の経営情報・財務データ など
単体では個人を特定できない情報でも、部署名・役職・年齢などの組み合わせで特定可能になるケースがあります。
学習オプトアウトを設定し、法人プランへ切り替える
生成AIに入力した情報がモデルの学習に使われるのを防ぐには、オプトアウト(学習対象からの除外)設定を行うことをおすすめします。またセキュリティレベルが高い、法人向けプランへの切り替えもおすすめです。
個人アカウントで業務利用している社員がいる場合は、法人契約への統一を検討しましょう。
社内AI利用ガイドラインの策定と周知を行う
社内全体のAI利用ガイドラインも策定しましょう。盛り込むべき項目の例は以下のとおりです。
- 利用を許可するツールの一覧
- 入力禁止情報の定義と具体例
- 違反が発覚した場合の対応方針・報告ルート など
ガイドラインを作成するだけでは不十分です。全社員が内容を理解し、実際の業務で運用できる状態にすることが目標です。
生成AIの進化は速く、ツールや法令の変化に応じてガイドラインも更新が必要です。定期的な見直しを実施しましょう。
従業員へのリテラシー教育を実施する
ルールを整備しても、従業員がその意図を理解していなければ形骸化してしまいます。「なぜ入力してはいけないのか」という理由まで伝えて、ルールの重要性を伝えていきましょう。リテラシー教育を行ううえで伝えたい内容の一例は、以下のとおりです。
- 生成AIの仕組み(入力データがどこに送信され、どう扱われるか)
- 入力禁止情報の具体例と判断基準
- 万が一、個人情報を入力してしまった場合の報告フロー など
人事部門が主体となって研修を企画・実施することで、コンプライアンス意識の醸成にもつながります。一度きりの研修で終わらせず、AIツールのアップデートや法改正に合わせて継続的に実施することが重要です。
シャドーAIの把握と管理体制を整備する
シャドーAIとは、会社が許可していない生成AIツールを従業員が個人的に業務で利用している状態を指します。「社内で禁止しているから問題ない」と考えていても、実態を把握できていなければリスクは残ります。
まずは現状を把握するために、以下の手段を検討しましょう。
- 従業員へのアンケート調査
- インターネットのアクセスログの確認
- 情報システム部門との連携による利用実態の調査
AIの利用を禁止するだけでは根本的な解決になりません。従業員が許可されていないAIを使う背景には、業務を効率的に行いたいといったニーズがあるはずです。
シャドーAIを防ぐための対策を実施するとともに、AIで解決したい業務上の課題がないか定期的にヒアリングを行うことが重要です。
定期的なリスク見直しと運用改善のサイクルを構築する
生成AIは機能や利用規約のアップデートが頻繁に行われます。一度策定した社内ガイドラインも、時間の経過とともに実態と乖離するリスクが高いです。また、個人情報保護法をはじめとする関連法令の改正動向にも、継続的な注意が必要になります。
ツールの仕様変更や法改正など重要なアップデートがあった場合は、随時対応しましょう。
生成AIをはじめとする個人情報のリスク管理はプロ人材との連携もおすすめ
ガイドラインの策定や従業員の教育・運用体制の構築など、生成AIの利用による個人情報の流出リスク対策としてやるべきことは多いです。これらを人事部門だけで進めるのは、時間的にもノウハウ的にも負担が大きくなります。
そこでおすすめなのが、専門的な知見をもつ外部のプロ人材との連携です。実務経験が豊富な人材が加わることで、ゼロからノウハウを積み上げる時間を大幅に短縮できます。
coachee人事シェアは、人事業務の実務に精通したプロ人材が企業の人事部門に入り、課題解決を支援するサービスです。フルタイム採用ではないため、必要な期間・範囲に絞って専門知識を活用でき、コストを抑えた導入が可能です。
coacheeの支援事例
生成AIの個人情報流出リスク対策は、就業規則や社内制度の整備といった労務管理の問題とも密接に関わるテーマです。ここでは、coacheeが労務管理体制の構築を支援した2つの事例を紹介します。
企業の就業規則や社内体制の整備を支援した事例
製造業(プライム市場上場・従業員約4,000名)のお客様は、就業規則に法令違反のリスクを抱えながら、労働基準監督署への対応と働き方改革の推進を同時に進める必要がありました。
そこでcoacheeのプロ人材が人事部門に入り、就業規則の改正や法令順守対応を主導。あわせて管理職向けの労務管理説明会を企画・実施し、現場の意識改革にも取り組みました。
その結果、法令違反リスクのあった制度を見直し、就業規則を法令に適合した内容へアップデート。労働基準監督署の監査にもスムーズに対応できる体制が整い、企業コンプライアンスの強化を実現しています。
関連記事:製造業における働き方改革の推進と人事労務オペレーションの高度化
企業の労務管理体制の改善を支援した事例
情報通信業(従業員約350名)のお客様は、法改正や業界環境の変化に対応するため、コンプライアンス強化と柔軟な制度設計が急務となっていました。
coacheeのプロ人材が人事グループ長として参画し、労働契約法改正に伴う就業規則の改訂や労務管理体制の再設計を推進。新たな等級制度の導入支援も担いました。
法改正対応の完了によりリスクの低減に成功し、労務管理の標準化も進んだことで、組織全体の対応力が強化されています。
関連記事:情報通信企業における新人事制度構築と労務管理体制の再設計
生成AIの活用が広がるなか、個人情報のリスク管理と法令対応の重要性は今後さらに高まります。本記事で紹介した対策を参考に、まずは自社で取り組める施策から着手してみてください。
社内だけでの対応に限界を感じたら、プロ人材の力を借りるのもおすすめです。
記事を書いた人
coachee 広報チーム
国家資格キャリアコンサルタントの資格を持つ高橋秀誓と、採用責任者、人事責任者などの豊富な経験を持つスタッフが率いるcoacheeの広報チーム。
皆様に採用や人事業務に役立つ情報を提供します。
