社員のAI利用、御社は把握できていますか？ 〜阿部慎之助監督辞任事件から学ぶ生成AIの業務リスク〜

先日、ある事件がニュースをにぎわせました。

家族間のトラブルについてChatGPTに相談した結果、AIの案内に従って行動したことが予想外の展開を招き、著名人が職を失うことになりました。AIの回答自体は「間違っていた」わけではありません。ただ、相談した人が想像していなかった結果を引き起こしたのです。

「それは個人の話でしょ」——そう思った方に聞いてみたいことがあります。

今この瞬間、御社の社員が業務情報をChatGPTに入力していたとしたら、どうしますか？

「AIに相談したら、予想外のことが起きた」——その構造、職場でも毎日起きています

AIは「相談を受けたら、誠実に答えようとする」ツールです。それがどんな内容であっても。

家族の悩みであれば児童相談所を案内し、顧客情報が含まれた文章であれば要約し、社外秘の資料であれば整理して返してくれます。AIは「これは入力してはいけない情報だ」とは教えてくれません。

問題は悪意ではなく、無意識にあります。社員は「便利なツールを使っている」だけのつもりです。でもその瞬間、会社の情報が外部のサーバーに送信されています。

社員が無意識にやっているリスク行動3選

① 社内資料をそのまま要約・翻訳させる

「この会議の議事録、ChatGPTで要約して」——こんな指示を出したことはありませんか。あるいは社員が自分でやっていませんか。

議事録には何が含まれているでしょうか。プロジェクト名、取引先の名前、未発表の計画、売上の数字——そういった情報がそのままAIに送信されています。

翻訳も同様です。「この英語の契約書、日本語にして」とAIにアップロードした瞬間、契約書の内容は外部に送られています。

② 顧客名・担当者名を入れてメールを作成する

「〇〇株式会社の田中様に、提案書の送付メールを作って」——これも日常的に使われている使い方です。

顧客の会社名・担当者名・やり取りの内容がAIに入力されると、個人情報保護法上の「個人情報の第三者提供」に該当する可能性があります。意図していなくても、法的なリスクが生まれます。

③ 業務システムのエラー内容をそのまま貼り付ける

「このエラーの原因を調べて」とシステムのログやエラーメッセージをそのままAIに貼り付けるケースも現場では頻繁に起きています。

ログにはサーバー名・IPアドレス・ユーザー名など、社内インフラの構成情報が含まれていることがあります。攻撃者がこの種の情報を持っていれば、標的型攻撃の精度が上がります。

「でも便利だし、禁止はできない」——それが経営層の本音ではないですか

禁止しなくていいです。むしろ禁止は逆効果です。

社員が「バレないようにこっそり使う」ようになるだけです。

必要なのは「禁止」ではなく「ルール」です。何を入力してよくて、何を入力してはいけないかを会社として明確にするだけで、リスクの大半は防げます。

実際に、IPA（情報処理推進機構）の「情報セキュリティ10大脅威 2026」では「AIの利用をめぐるサイバーリスク」が初登場で3位にランクインしました。官公庁やセキュリティの専門家たちが「これは今すぐ対処すべき問題だ」と認識している脅威です。

参考：情報セキュリティ10大脅威 2026（IPA）

情報が漏れたとき、責任を負うのは誰か

「社員が勝手にやったことだから」——残念ながら、この言い訳は通りません。

個人情報保護法では、企業は個人情報を適切に管理する義務があります。社員が業務でAIを使って顧客情報を外部に送信した場合、管理体制が不十分だった企業側の責任が問われます。

漏えいが発覚した場合の影響は以下の通りです。

「うちはそんな大企業じゃないから」という規模は関係ありません。中小企業でも個人情報保護法の適用対象であり、漏えいが発覚すれば報告義務があります。

経営層がすべき3つのアクション

難しいことは何もありません。今日からできる3つのことをお伝えします。

アクション1：社員のAI利用実態を把握する

まず現状を知ることが第一歩です。「社員がどんなAIツールを使っているか」を把握できていない会社がほとんどです。

簡単なアンケートで構いません。「業務でAIツールを使っていますか」「どんな目的で使っていますか」——この2問を聞くだけで、リスクの輪郭が見えてきます。

アクション2：「入力してはいけない情報」を1枚で伝える

長い規則は誰も読みません。A4用紙1枚に「これだけは入力しないでください」リストを作って全社に共有するだけで効果があります。

入力禁止情報の例：

• 顧客の氏名・連絡先・会社名
• 社外秘・機密のラベルがついた資料
• 契約書・見積書・発注書の内容
• 社内システムのID・パスワード・ログ

アクション3：承認されたツールのリストを作る

「ChatGPTはOK・このツールはNG」という承認リストを作ることで、社員が「これを使っていいのか」と悩む時間をなくせます。

主要ツールのリスク比較は以下の通りです。

「条件付きで可」のツールでも、入力してはいけない情報のルール（アクション2）は必ず併用してください。ツールが安全でも、入力する情報の管理は社員側の判断に委ねられます。

参考：Microsoft 365 Copilot のデータ、プライバシー、セキュリティ（Microsoft Learn）

実際に起きた企業の事例

「うちの会社では起きない」——そう思っていた企業が被害を受けています。

【事例①】サムスン電子：社内の機密コードが流出

韓国のサムスン電子では、従業員がChatGPTに社内の機密コードを入力したことが問題となり、社内でのChatGPT利用が一時禁止される事態となりました。エンジニアが「コードのバグを直してほしい」とそのままソースコードを貼り付けたことが原因です。悪意はありませんでした。

【事例②】香港企業：ディープフェイクで約37億円の被害

2024年、香港で発生したディープフェイクを用いた詐欺事件では、企業の経理担当者が偽装された上司の映像を信じ、約37億円を送金する被害に遭いました。生成AIにより作成された人物の音声・映像がオンライン会議上で使用されており、外見・話し方ともに上司本人と見分けがつかない精巧な内容でした。

これはAIを「使う側」ではなく「使われた側」のリスクですが、生成AIがもたらすビジネスリスクの幅広さを示しています。

どちらの事例も「まさか自分たちが」という状況で発生しています。リスクを知っておくだけで、社員の行動は変わります。

AIポリシーのテンプレート（そのままコピーして使えます）

社内ルールをゼロから作るのは大変です。以下をたたき台として使ってください。

【生成AI利用に関する社内ガイドライン（簡易版）】

制定日：　　年　　月　　日 対象：全従業員

1. 目的 本ガイドラインは、業務における生成AIツールの安全な利用を促進し、情報漏えいリスクを防止することを目的とします。

2. 利用を承認するツール

• （承認ツール名を記載）
• ※上記以外のAIツールの業務利用は原則禁止とします

3. 入力してはいけない情報 以下の情報は、いかなるAIツールにも入力しないでください。

• 顧客の氏名・連絡先・会社名などの個人情報
• 社外秘・機密・取扱注意のラベルがついた資料の内容
• 契約書・見積書・発注書・財務情報
• 社内システムのID・パスワード・アクセスログ
• 未発表の製品・サービス・経営情報

4. 違反した場合 本ガイドラインに違反した場合、就業規則に基づき対応します。

5. 見直し 本ガイドラインは年1回、または環境変化に応じて見直します。

承認者：　　　　　　　（役職・氏名）

「もっと詳細なポリシーが必要」「自社の状況に合わせてカスタマイズしたい」という方は、詳細版のPPT資料をご活用ください。

まとめ——今日できることは1つです

難しいことは後回しでいいです。

今日やることは1つだけ。「うちの社員はAIに何を入力しているか、把握できているか」を自問してください。

答えが「わからない」であれば、それがリスクのスタート地点です。

社員を責める必要はありません。ルールがないまま便利なツールを使うのは自然なことです。経営層がやるべきことは、ルールを作って伝えること——ただそれだけです。

この記事の内容をそのまま社内で使える資料にしました

「わかった、でも自分で資料を作る時間がない」

そんな方のために、この記事の内容をもとに経営会議・社内勉強会・役員説明にそのまま使えるPowerPoint資料を作成しました。

• 全○○スライド構成（近日公開）
• 図解・チェックリスト付き
• ダウンロードしてすぐに使える

👉 [BOOTHで資料を見る →]（URLは公開後に設定）