「ChatGPTを社員が使い始めているけれど、何を確認すればいいかわからない」
「セキュリティ対策が必要なのはわかるが、どこまでやれば安心なのか基準がない」
AIツールを仕事で使う中小企業は急速に増えています。ところが、安全に使うための社内ルール整備が追いついていない会社がほとんどです。
国の機関であるIPA(情報処理推進機構)は2026年版の「情報セキュリティ10大脅威」に「AIの利用にともなうリスク」をはじめて選出しました。つまり、AIを使う会社のセキュリティ対策は、もはや「やっておいたほうがいい」ではなく「やらなければならない」段階に入っています。
この記事では、IT専任担当者がいない中小企業でも「今日から動ける」対策を、経営者・Web担当・一般社員の3つの役割別にチェックリスト形式でまとめました。費用がかからない項目を中心に、優先度の高い順に並べています。
更新日:2026年6月22日
監修者:大森 潤(ウェブ担さん・Web運用担当)
AI活用時のセキュリティ対策チェックリスト17項目|まず全体を確認しよう
最初に全17項目を見渡して、「まだできていない」項目を把握してください。すべてに対応できていなくても問題ありません。どこが抜けているかを知ることが、対策の第一歩です。
| # | チェック項目 | 誰がやる? | 費用 |
| 1 | 仕事で使うAIツールを会社として決めている | 経営者 | 無料 |
| 2 | 「AIに入れてはいけない情報」の一覧を書き出している | 経営者 | 無料 |
| 3 | AIツールの「入力内容を学習に使わない」設定をオンにしている | Web担当 | 無料〜有料 |
| 4 | 「AIに入れてはいけない情報」を全員が知っている | 経営者 | 無料 |
| 5 | AIが出した答えは、必ず人間が確認してから使うことになっている | 経営者 | 無料 |
| 6 | AIツールのログイン時に「2段階認証」を設定している | Web担当 | 無料 |
| 7 | AIで作られた自然な詐欺メールの見分け方を社員が知っている | 全社員 | 無料 |
| 8 | 会社のパソコンに勝手にAIアプリ・拡張機能を入れていない | 全社員 | 無料 |
| 9 | AIが作った文章・画像をホームページ等に載せる前に人が確認している | Web担当 | 無料 |
| 10 | 使っているAIツールの「利用規約」を一度確認している | Web担当 | 無料 |
| 11 | お客様の名前・住所・連絡先をAIに入れないよう徹底されている | 全社員 | 無料 |
| 12 | 「AIに大事な情報を誤って入れてしまった」とき、誰に報告するか決まっている | 経営者 | 無料 |
| 13 | 全業務パソコンにウイルス対策ソフトが入っていて、最新の状態になっている | Web担当 | 有料 |
| 14 | AIツールを含むソフトウェアのアップデートを定期的に行っている | Web担当 | 無料 |
| 15 | 大事なデータのバックアップ(コピー保存)を定期的に取っている | Web担当 | 無料〜有料 |
| 16 | AI利用のルールを半年に1回以上、見直している | 経営者 | 無料 |
| 17 | 外部の業者やフリーランスにもAI利用のルールを伝えている | 経営者 | 無料 |
チェックが9個以下の場合:早めに対策が必要な状態です。まず「経営者」が担当する項目から始めてください。
チェックが10〜13個の場合:基本的な土台は整っています。「Web担当」が担当する設定系の項目を順番に進めましょう。
チェックが14個以上の場合:良い状態です。残り項目と「定期的な見直し」の習慣化に取り組んでください。
経営者が今日中に決める「5つのこと」
セキュリティ対策のほとんどは「ルールを決める」という経営者の一言で動き出します。以下の5項目は、いずれも費用ゼロ・専門知識なしで決断できます。
① 仕事で使うAIツールを「これ1本」と決める(チェックリスト #1)
「社員がそれぞれ好きなAIを使っている」状態は、情報がどこに流れているかまったくわからない危険な状態です。まず「うちの会社はこのツールを使う」と1本決めて、全員に伝えてください。
選ぶときのポイントは3つです。
・入力した内容をAIの学習に使わない設定ができるツールを選ぶ(詳しくは次のセクションで説明します)
・会社向けのプランがあるツールを優先する(ChatGPT Teamプラン、Microsoft Copilotなど)
・「それ以外のAIを仕事で使うときは事前に申請する」と明確に伝える
ツールを1本に絞るだけで、社員が「こっそり別のAIを使う」動きが減り、情報の流れを把握しやすくなります。
②「AIに入れてはいけない情報」をA4一枚で全員に配る(#2・#4)
「機密情報をAIに入れないで」と口頭で言うだけでは伝わりません。「何が機密情報なのか」を具体的にリストで示すことが重要です。下の7項目をそのまま印刷して全員に配るだけで対策になります。
| 絶対にAIへ入力してはいけない情報 |
| ① お客様・取引先の名前、住所、電話番号、メールアドレス |
| ② 契約書・見積書・注文書の内容(取引先名や金額が入っているもの) |
| ③ まだ外部に出していない売上・利益・資金の情報 |
| ④ 社員の給与・評価・採用・退職に関する情報 |
| ⑤ パスワードや、システムにログインするための認証情報 |
| ⑥ まだ発表していない自社の新製品・新サービスの情報 |
| ⑦ 個人の健康状態・家族の情報・クレジットカード情報 |
③「AIの答えをそのまま使わない」ルールを宣言する(#5)
AIは自信満々に間違いを答えることがあります。これを「ハルシネーション(AIの思い込み)」と呼びます。たとえば、存在しない法律を「あります」と断言したり、事実と異なる数字を出したりします。
「AIが出した答えは、必ず担当者が内容を確認してから使う」というルールを、今日から社内の決まりにしてください。特に、お客様への提案・金額が入る文書・ホームページに載せる内容では、必ず人間が最終確認します。
④ 何かあったとき「誰に報告するか」を決めておく(#12)
「AIにうっかり大事な情報を入れてしまったかもしれない」と気づいた社員が、報告先がわからず黙っていたら手遅れになります。「問題が起きたらまず〇〇さんに連絡する」という一次報告先を決めて、全員に周知してください。これだけで、いざというときの初動が格段に速くなります。
⑤ 外部の業者・フリーランスにもルールを伝える(#17)
自社の情報を預けている外注先やフリーランスが、その情報をAIに入力していても、ルールを伝えていなければ防ぎようがありません。業務を依頼するときに「弊社の情報はAIに入力しないでください」と一言伝えるか、契約書に一文加えるだけで、リスクを大きく減らせます。
「ルールは決めたいが、文書を作る時間がない」「どんな内容にすればいいかわからない」という方は、ウェブ担さんにご相談ください。月額定額でWebやIT運用をまるごとサポートしています。
Web担当・パソコン管理担当がやる「設定・確認7項目」
経営者が方針を決めたあと、具体的な設定や確認作業はWeb担当や情報管理を兼任している担当者が行います。以下7項目は、それぞれ30分〜1時間程度で対応できます。難しい用語には説明を加えていますので、順番に読み進めてください。
① AIツールの「学習オフ設定」を確認する(#3)
まず「学習オフ設定」とは何かを説明します。ChatGPTなどのAIツールは、あなたが入力した文章を使って自分自身をより賢くしようとする機能を持っています。つまり、何も設定しないと「仕事の情報がAIの学習データになってしまう」可能性があるのです。
これを防ぐために「学習に使わないでください」という設定(オプトアウトといいます)をオンにする必要があります。主要なAIツールの設定方法は次のとおりです。
| 使っているツール | 無料プランの初期状態 | 学習オフにする方法 |
| ChatGPT(無料・Plusプラン) | 学習に使われる設定になっている | 「設定」→「データコントロール」→「モデル改善のためにデータを使用する」をオフ |
| ChatGPT(TeamまたはEnterpriseプラン) | 最初から学習に使われない | プラン変更だけで対応できる |
| Microsoft Copilot(会社向けM365版) | 会社のルール設定に従う | Microsoft 365の管理画面で設定する |
| Gemini(Googleの個人向けAI) | 学習に使われる場合がある | Googleアカウント→「データとプライバシー」→「Geminiアプリのアクティビティ」をオフ |
| Claude(Anthropic社のAI) | プライバシー設定を要確認 | アカウント設定の「プライバシー」から会話の保存をオフにする |
② AIのアカウントに「2段階認証」を設定する(#6)
「2段階認証(多要素認証)」とは、ログインするときにパスワードに加えて、スマートフォンに届く確認コードも入力させる仕組みです。銀行のインターネットバンキングと同じ方式です。
もしAIツールのアカウントが第三者に乗っ取られると、これまでの会話履歴(業務情報が含まれている可能性があります)がすべて見られてしまいます。Google AuthenticatorやMicrosoft Authenticatorというアプリを使った2段階認証は、ほぼすべての主要AIサービスで無料で設定できます。1つのツールの設定にかかる時間は5〜10分です。
③ 会社のパソコンへの「勝手なアプリ追加」を防ぐ(#8)
Google ChromeやEdgeというウェブブラウザには、「拡張機能」と呼ばれる追加アプリを入れる機能があります。便利なものが多い一方、無料のAI系拡張機能の中には、入力した情報を運営者のサーバーに送信しているものが存在します。
まずは「パソコンに新しいアプリや拡張機能を入れるときは、事前に〇〇(担当者名)に確認する」というルールを口頭でもいいので周知してください。これだけで、危険なツールの侵入を大幅に防げます。
④ AIが作ったコンテンツは公開前に必ず人間が確認する(#9)
AIが書いた文章や作った画像をそのままホームページやSNSに載せると、次のような問題が起きる可能性があります。
・実際には存在しない情報や誤った数字が書かれている(AIの思い込みによるもの)
・他の人が書いた文章に似すぎていて、著作権の問題が起きる
・競合他社の名前を間違えて書いてしまうなど、信頼を損ねる内容が入る
「AIが書いたものは、公開前に担当者が内容をチェックする」というひと手間を必ず設けてください。特に数字・固有名詞・法律に関わる内容は要注意です。
⑤ 使っているAIツールの「利用規約」を一度だけ確認する(#10)
「利用規約」とは、そのサービスを使う際のルールをまとめた文書です。無料のAIツールの利用規約には「入力したデータを別の目的に使う場合がある」「第三者に提供することがある」といった記述があるものもあります。
全部読む必要はありません。「データの利用目的」「第三者への提供」「データの削除方法」の3点だけ確認してください。英語の場合は、Google翻訳やDeepLに貼り付けて日本語にできます。
⑥ ウイルス対策ソフトを最新の状態に保つ(#13)
「ウイルス対策ソフト」とは、パソコンに侵入しようとする悪意あるプログラム(マルウェア)を検知・除去するソフトウェアです。AIを悪用した攻撃では、従来の方法では検知しにくい手口が増えています。そのため、ウイルス対策ソフトを常に最新バージョンに保つことが重要です。
Windowsパソコンには「Microsoft Defender」というウイルス対策機能が最初から入っています。追加費用なしで使えるため、まずこれが有効になっているか、最新の状態かを全社のパソコンで確認してください。
⑦ 大事なデータのバックアップ(コピー保存)を確認する(#15)
「ランサムウェア」という種類のサイバー攻撃を聞いたことはありますか? これはパソコンのデータを暗号化(鍵をかけて開けなく)し、「お金を払えば元に戻す」と脅す攻撃です。JIPDEC(日本情報経済社会推進協会)の2026年調査では、中小企業を含む企業の約45.8%がこの被害を経験しているとされています。
バックアップ(別の場所へのコピー保存)があれば、攻撃を受けてもデータを復元できます。Google DriveやOneDriveへの自動バックアップは、無料プランでも今日から設定できます。まず重要なファイルが入っているフォルダを1つ選んで、クラウドに自動保存されるよう設定することから始めてください。
IT知識がなくても大丈夫。全社員が守る「3つの行動原則」
難しい設定や専門用語がわからなくても、次の3つを意識するだけでAI活用時のリスクを大幅に下げられます。朝礼・社内チャット・メールで簡単に共有できる内容にまとめました。
原則①「迷ったら入力しない」
「これをAIに入れていいかな?」と一瞬でも迷ったら、入力をやめてください。「NG一覧に載っていないから大丈夫」ではなく、「OK とはっきり言えないものは入れない」という考え方が正解です。
迷ったときは、上司や担当者に「これ、AIに入れていいですか?」と一言確認してから進めましょう。その習慣が、情報漏洩を防ぐ最大の安全装置になります。
原則②「AIが言ったから正しい、と思わない」
AIは自信を持って、まったく間違った情報を答えることがあります。まるで知っているかのように堂々と答えるのに、実際には事実と違う、というケースが日常的に起きています。
お客様に送るメール・ホームページに載せる文章・見積書の数字など、外部に出るものはすべて自分の目で確認してから使ってください。「AIが作ったから確認しなくていい」という感覚が、最も危険です。
原則③「急かすメールは電話で確認する」
AIを使うと、日本語が完璧で違和感のない詐欺メールを誰でも簡単に作れるようになりました。以前は「怪しい日本語」を見分けのポイントにできましたが、今はそれが通用しません。
次のどれかに当てはまるメールが届いたら、メールだけで判断せず、必ず電話で相手に確認してください。
・「至急」「緊急」「今すぐ対応を」という言葉で急かしてくる
・振込・送金・口座番号の変更をメールだけで求めてくる
・添付ファイルを開くよう求めてくる(特に.exeや.zipという形式のファイル)
・送信元のメールアドレスのドメイン(@以降の部分)がいつもと少し違う
・普段のやりとりとは文体や雰囲気が微妙に違う
「なんとなく変だな」という感覚は正しいことがほとんどです。迷ったら電話確認を習慣にしてください。
「何から始めればいい?」優先順位つきロードマップ
「やることはわかったけど、順番がわからない」という方向けに、週ごとの実施順序を整理しました。費用のかからないものから順番に進めていけば、無理なく体制が整います。
今週中にやること(費用:ゼロ・合計約2時間)
| やること | 目安時間 |
| 会社として使うAIツールを1本決めて、全員に伝える | 30分 |
| 「AIに入れてはいけない情報リスト」をA4一枚で作り、全員に配る | 60分 |
| 使っているAIツールの「学習オフ設定」をする | 15分 |
| AIアカウントに2段階認証を設定する | 20分 |
| 「何か問題が起きたら誰に報告するか」を決めて、全員に伝える | 10分 |
今月中にやること(費用:ほぼゼロ・合計約5時間)
| やること | 目安時間 |
| AI利用ルール(簡易版)をGoogleドキュメントやNotionで文書化する | 2〜3時間 |
| 全社員向けに10分間の「AIの使い方ミーティング」を開く | 準備30分+開催10分 |
| 全業務パソコンのウイルス対策ソフトを最新の状態に更新する | 1〜2時間 |
| 大事なデータがクラウドに自動保存されているか確認・設定する | 1時間 |
| 外注先・業務委託先にAI利用のルールを口頭または文書で伝える | 30分 |
3ヶ月以内に整備すること
・ChatGPT Teamプランなど、会社向けのより安全なAIプランへの移行を検討する
・AI利用ルールを全社で確認・合意した上で正式に運用開始する
・「半年ごとにルールを見直す日」を社内カレンダーに登録しておく
・情報の流出を管理するツールの導入が自社に必要かどうかを検討する
「段取りはわかったが、社内で実行する人手が足りない」という場合は、ウェブ担さんにご相談ください。AIセキュリティを含むWeb運用まわりの業務を月額定額で丸ごとサポートしています。
まとめ
中小企業がAIを使うときに今すぐ取り組むべきセキュリティ対策のポイントをまとめます。
・国の機関(IPA)が2026年に「AIの利用にともなうリスク」を初めて重大脅威に選出。AIを使う会社の対策は待ったなしの状況
・今週中に取り組む5項目は「使うツールを決める・NGリストを配る・学習オフ設定・2段階認証・報告先を決める」。すべて費用ゼロで今日から動ける
・経営者は「ルールを決めて全員に伝える」、Web担当は「設定と確認」、全社員は「迷ったら入れない・鵜呑みにしない・電話確認」の役割分担で無理なく体制が整う
・AIの答えは必ず人間が確認してから使う。「AIが言ったから正しい」は禁物
・AIの技術は急速に変わるため、ルールは半年に1回必ず見直す
「チェックリストで課題はわかったが、実際に動かす時間・人員がない」という方は、ウェブ担さんにお気軽にご相談ください。中小企業のWeb運用・AI活用を月額定額で包括的にサポートしています。
よくある質問(Q&A)
Q. 社員がAIを使い始めているのに気づいたとき、まず何をすればいいですか?
A. まず「使用を禁止する」のではなく「安全な使い方のルールを決める」ことから始めてください。禁止するだけでは、社員が隠れて使い続けてしまいます。そうなると、情報がどこに流れているかまったく把握できない状態になります。最初の一手は「会社として使用するツールを1本決め、入力してはいけない情報リストをA4一枚で配る」この2つだけです。翌日からリスクを大幅に下げられます。
Q. 無料のChatGPTと有料プランは、安全性がどのくらい違いますか?
A. 最大の違いは「入力した内容がAIの学習に使われるかどうか」です。無料プランやPlusプランは、最初から学習に使われる設定になっています。一方、会社向けのTeamプランやEnterpriseプランは、最初から学習に使われない設定になっています。また、会社向けプランには「誰がどのように使ったか」を管理者が確認できる機能も付いています。費用は1人あたり月2,500〜3,000円程度(2026年時点)です。社員が頻繁にAIを使う会社であれば、会社向けプランへの切り替えをおすすめします。
Q. セキュリティ対策はどこまでやれば「十分」ですか?
A. 「完璧」は存在しません。AIの技術も攻撃の手口も毎月のように変わるため、一度やったら終わりではなく、定期的な見直しが必要です。中小企業にとっての現実的な目安は、この記事の17項目のうち14項目以上に対応できていて、かつ「半年ごとに見直す習慣」がある状態です。一度に全部やろうとせず、今週・今月・3ヶ月のロードマップで少しずつ進めることをおすすめします。
