倫理・ビジネス

機密情報漏洩とは?生成AI利用時のリスクと防止策

読み:きみつじょうほうろうえい / 英:Confidential Data Leak

更新日: 読了目安:約7分

機密情報漏洩は、生成AIの利用において、社外秘・未公開情報・契約上守秘すべきデータが意図せず外部に渡るリスクを指します。本記事は個人情報個人情報保護法の定義解説ではなく、漏洩の経路と防止の実務——何が起き、どう防ぐか——に焦点を当てます。

試験で問われる見方

「入力前に個人情報や機密情報が含まれていないか確認する」は○です(TF-0276)。逆に、機密を詳しく入れるほど安全外部連携なら漏洩リスクなし画像・音声ならリスクなしは×です(TF-0466TF-0249TF-0289)。

社内資料の要約でも、権利関係と社外秘の扱いを確認する必要があります(TF-0407)。

演習で確認する

生成AIパスポート:TF-0276TF-0399TF-0466TF-0249TF-0407TF-0475

G検定:TF-179(業務利用の確認)

機密情報漏洩とは

機密情報とは、社内規程・契約・NDA(秘密保持契約)などにより外部に開示してはならない情報です。未発表の製品仕様、取引先の非公開資料、営業戦略、ソースコード、顧客リストなどが該当し得ます。

生成AIでは、プロンプトとしてクラウド上のサービスに送信した時点で、保存・ログ・学習利用の対象になり得るため、従来のメール誤送信とは経路が異なる点に注意が必要です。

個人情報との違い

区分 機密情報 個人情報
典型例 未公開の事業計画、設計図、契約条件 氏名・連絡先など個人を識別できる情報
根拠 社内規程、契約、NDA 個人情報保護法など
重なり 顧客リストは両方に該当し得る。どちらか一方だけ確認では不十分

詳細な個人情報の定義は個人情報の記事を参照してください。

漏洩の経路

  • プロンプト入力 — チャット欄・APIにそのまま送信(TF-0277
  • ファイルアップロード — PDF・スプレッドシート・画像内の文字
  • 外部連携・プラグイン — 第三者サービスへの自動送信(TF-0249
  • RAGエージェント — 社内文書を索引化・ツール経由で外部API呼び出し
  • 出力の再共有 — 生成結果に機密が含まれたまま社外へ
  • ログ・監査データ — 運用設計の不備による二次漏洩

よくある誤解

誤解 正しい理解(試験向け)
詳しく入れるほど安全 ×。漏えい時の影響が大きくなる(TF-0466
無関係な機密も全部入れてよい ×。必要最小限(TF-0399
画像・音声は文字ではないから安全 ×。内容により機密・個人情報になり得る(TF-0289
外部連携を使えばリスクゼロ ×。送信先・保存を確認(TF-0249

防止のチェックリスト

  1. 社内の生成AI利用ポリシー — 入力禁止リスト、承認フロー(AIガバナンス
  2. サービス選定 — 学習利用オプトアウト、データ保存期間、リージョン
  3. 必要最小限の入力 — マスキング・匿名化・サンプルデータ化
  4. エンタープライズ契約・DPA — 委託・第三者提供の整理
  5. ログ・権限管理 — 誰が何を入力したか追跡可能に(TF-0319
  6. 教育AIリテラシーで入力前確認を習慣化

漏洩が疑われたとき

個人データの漏えい等は、事案により報告・本人通知が必要になることがあります(TF-0307)。生成AIが関与していても、対応を省略してはいけません(TF-0308は×の論点)。

機密情報のみの漏洩は法令と契約の両面で対応が変わるため、社内インシデント手順・法務に沿ってエスカレーションします。試験では「事前に手順を整えておく」重要性が問われます。

ディープフェイク音声による詐欺は、機密を騙して開示させる経路でもあります(TF-0251)。

よくある質問

機密情報と個人情報はどちらを先に確認?

両方です。顧客データは重なることも多く、片方だけでは不十分です。

社内専用の生成AIなら入力自由?

社内でも規程・契約・権限は残ります。オンプレでも無制限入力が許されるとは限りません。

プロンプトを工夫すれば機密確認は不要?

いいえ。出力前に目的・事実・権利・機密を確認します(TF-0475)。

個人情報保護法の記事とどう使い分ける?

法令上の個人情報は個人情報保護法個人情報、社外秘・契約上の秘密は本記事、という役割分担です。