CHAPTER 06
セキュリティ・社内利用ルール
Claude は強力なツールですが、扱い方を誤ると情報漏えい・誤情報の拡散・著作権侵害などのリスクを生みます。この章は本マニュアルの中で必ず守るべき事項をまとめた章です。読み飛ばさずに確認してください。
最重要
判断に迷ったら必ず使うのが「同じ内容を、ブログや SNS にそのまま投稿してよいか?」というセルフチェックです。NO なら、Claude に入力する前にも一度立ち止まりましょう。
1. 入力してはいけない情報
次のような情報を Claude.ai のメッセージや添付ファイルに含めることは、原則禁止です。
| カテゴリ | 具体例 |
|---|---|
| 個人情報 | 顧客や社員の氏名・住所・電話番号・メール・マイナンバー・健康情報 |
| 認証情報 | パスワード・API キー・秘密鍵・トークン・接続文字列 |
| 未公開財務 | 未発表の決算数値、見積、原価、利益率 |
| 顧客機密 | NDA 対象の仕様書・設計書・ソースコードの機密部分 |
| 人事情報 | 評価・賃金・採用情報・健康診断結果 |
| 進行中の M&A 等 | 未公表の重要事実(インサイダー情報) |
マスキングのコツ
どうしても扱いたい情報がある場合は、個人や企業を特定できる部分を匿名化してから投入します。
- 顧客名 → 「A 社」「顧客X」
- 金額 → 規模感だけ残して桁を丸める(「数千万円規模」)
- 固有のシステム名 → 「社内基幹システム」
- 個人名 → 「担当者 A」「上司 B」
2. 出力の検証義務(ハルシネーション対策)
Claude を含む生成 AI は、もっともらしく見える誤情報を出すことがあります(これを「ハルシネーション」と呼びます)。とくに次のような場合は要注意です。
- 具体的な数値・日付・固有名詞・URL(よく捏造される)
- 法律・規制・規格の引用(条文番号や年度を間違えやすい)
- マイナーな製品仕様や API リファレンス
- 業界の最新動向(学習データの時点で止まっている可能性)
ルール
Claude の出力をそのまま顧客・社外へ提出してはいけません。必ず人間が一次情報で裏取りし、内容に責任を持てる状態にしてから利用してください。
3. 著作権・知的財産
- Claude の出力をそのまま公開物(公式 Web、出版物、広告)に使う場合、文章表現・コード・画像の権利関係に注意が必要です。
- 他者の著作物(書籍・記事・コード)の長大な引用や、丸ごとアップロードは権利侵害になる可能性があります。
- 顧客に納品するコードやドキュメントに AI 生成物を含める場合、契約上のAI 利用可否を必ず確認してください。
4. データ取扱いと学習利用の設定
無料プランは学習利用が既定で有効
Claude.ai の無料プラン、および個人向けの Pro / Max プランでは、利用者が入力した会話やアップロードしたファイルが、既定で Anthropic の AI モデルの学習データとして利用されます。設定画面の「Privacy(プライバシー)」からオプトアウトすることは可能ですが、明示的に拒否操作を行わない限り学習に利用される点に注意してください。
したがって、個人の無料・Pro・Max プランで業務情報を扱ってはいけません。
したがって、個人の無料・Pro・Max プランで業務情報を扱ってはいけません。
一方、Claude.ai の Team / Enterprise プランでは、利用者の入力データは原則として AI モデルの学習には使われません。とはいえ、運用上のログ・障害対応のために一時的に保存されることはあります。
| プラン | 入力データの学習利用 | 業務利用 |
|---|---|---|
| Free(無料) | 既定で利用される(設定で拒否可) | 不可 |
| Pro / Max(個人) | 既定で利用される(設定で拒否可) | 不可 |
| Team | 利用されない | 可 |
| Enterprise | 利用されない | 可 |
- 個人プラン(Free / Pro / Max)を業務で使うのは避けてください。学習利用設定や保持期間が業務用と異なります。
- 個人プランを試用する場合でも、設定画面の「Privacy」から学習利用のオプトアウト状態を必ず確認してください。
- 不要になった会話・添付ファイルは削除運用に。
- 機密区分の高い情報はそもそも投入しないのが最も安全です。
5. 社内利用ルール(要カスタマイズ)
以下は各社で実情に合わせて書き換える前提のテンプレートです。情報システム部・法務部・コンプライアンス部とすり合わせのうえ、自社版に置き換えてください。
5-1. 利用してよい業務範囲
- 【自社で許可された業務範囲を列挙】
- 例:社内向け文書のドラフト、コードレビューの観点出し、英文翻訳、調査の壁打ち
5-2. 利用してはいけない業務
- 【自社で禁止される業務を列挙】
- 例:顧客への最終納品物としての直接利用、社外秘設計書の全文投入、人事評価の決定そのもの
5-3. 機密情報の区分と取り扱い
- 【自社の情報区分(公開/社内/秘/極秘 等)に応じた可否マトリクスを記載】
5-4. 業界規制への対応
- 【金融/医療/公共など、所属業界の規制(個人情報保護法、金融庁ガイドライン、HIPAA、GDPR 等)に応じた追加ルール】
5-5. インシデント発生時の報告
- 機密情報を誤って入力したことに気付いたら、ただちに該当会話を削除する。
- 【報告先:情報セキュリティ窓口(例:security@company.co.jp)】 へ連絡する。
- 事象(誰が/いつ/何を/どのプランで)を簡潔に共有する。
- その後の対応は窓口の指示に従う。
6. 守るべき 7 つのチェック
CHECK
日々の利用前に、心の中で次の 7 つを確認してください。
- 会社アカウントでログインしている。
- 入力する情報の機密区分を確認した。
- 個人情報・認証情報・未公開財務を含めていない。
- 顧客名・固有名詞は必要に応じてマスキングした。
- 出力をそのまま社外に出さず、必ず自分でレビューする。
- 不要になった会話を削除する。
- 判断に迷ったら、投入前に社内窓口へ相談する。
この章のまとめ
- 個人情報・認証情報・未公開財務など「外に出せない情報」は入力しない。
- 出力の事実関係は必ず人間が確認。社外へはそのまま出さない。
- 機密区分・禁止業務・報告先は各社でカスタマイズし、社内基準に揃える。