大前提: API経由のデータは学習されない
「ChatGPTに会社の情報を入れたら学習されてしまうのでは」という不安をよく聞きますが、これは無料版の ChatGPT アプリと、業務システム向けの API を混同しているケースです。
- OpenAI API: 公式ポリシーで、API経由のデータはモデル学習に使用されないと明記
- Anthropic Claude API: 同様に、APIで送信されたデータをモデル学習に使用しないと明記
- Google Gemini API: 有料 API(Vertex AI / Gemini for Google Cloud)も同様の扱い
当社が業務に組み込むのは、すべてこの API 経由です。ブラウザ版 ChatGPT に手で貼り付ける運用は、社内ガバナンスの観点でもおすすめしていません。
機密度別の構成オプション
レベル1: 一般データ(API直接利用)
議事録、メール、見積り、社内Wiki など、一般的な業務データはこの構成。OpenAI / Claude / Gemini の API に直接送信し、結果を受け取ります。最もコストパフォーマンスが良く、多くの業務はこれで十分です。
レベル2: 個人情報・取引先情報を含む(PIIマスキング+API)
氏名・住所・電話番号・口座番号など個人特定情報(PII)が含まれる場合、API送信前に自動マスキング処理を入れます。AIには「●●様」「住所A」のような匿名化された状態で渡し、結果を受け取った後で元情報に戻します。
レベル3: 高機密(国内リージョン・専用クラウド)
金融・医療・公共系など、データが国外に出ることが許容されない場合は、Azure OpenAI Service(東日本リージョン)や AWS Bedrock の国内リージョンを使った構成にします。料金は通常APIの1.2〜1.5倍程度。
レベル4: 最高機密(ローカルLLM・オンプレ)
外部APIに一切データを出せない要件では、Llama 3 / Mistral / Qwen などのオープンソースLLMをお客様のサーバー(オンプレ or 専用VPS)にデプロイします。クラウドAIに比べ精度はやや落ちますが、データは社内から一切出ません。GPU サーバー費用が別途必要(月数万円〜)。
NDA・契約まわり
初回ヒアリングの前段階でNDAを締結します。お客様のNDA雛形での締結、もしくは当社雛形のご提供どちらも可能です。秘密保持の範囲・期間・違反時の措置を明確化したうえで、サンプルデータの受領に入ります。
ログ・履歴の管理
AI処理のログ(入力と出力のペア)は、運用改善のために一定期間保管しますが、保管場所・期間・閲覧権限はお客様と事前に合意します。要件に応じて「ログを残さない」「個人情報部分はマスク済みのみ保存」といった構成も組めます。
社員の誤操作対策
「社員がうっかり機密情報を ChatGPT に貼り付けてしまう」というリスクが最近多く相談されます。対策としては、業務AI を社内に組み込んでしまえば、わざわざ外部の汎用 ChatGPT を使う必要がなくなる、というのが本質的な解決策です。組み込み時に「このAIで全部済む」状態を作ることが、社員教育より効果的です。