Go to Qiita Advent Calendar Top
LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Day 10

生成AIセキュリティ by ナレコム Advent Calendar 2025

@akiraokusawain株式会社ナレッジコミュニケーション

データ分類と生成AI:PII / 機密 / 知財の扱い方

Last updated at Posted at 2025-12-09

■ はじめに:AI活用の成否は「データ分類」で決まる

生成AIの導入が加速する一方、次のような困りごとが増えています。

「この情報、AIに入れていいの?」
「要約だけなら大丈夫?」
「コードはどこまで貼っていいの?」

実はこれらの悩みの多くは、 データ分類(PII / 機密 / 知財)を明確にしていないことが原因 です。

Day9 では、既存の情報管理ルールを“生成AI前提” にアップデートするための考え方を整理します。

1. なぜデータ分類がAI時代に必須なのか

AIは、入力した情報を次のような点でリスクにさらします。

  • 外部サービスに渡る(API事業者・クラウドログ)
  • AIの出力を通じて漏えいする可能性(ハルシネーションによる捏造も含む)
  • RAG・ファイルアップロードなど経路が増える

つまり、 “どのデータを AI に渡せるのか” を分類しておかないと、利用判断が個人任せになり事故が起きる。

この問題を解消するために、企業は PII / 機密 / 知財 の3分類でルールを整備するのが最も効果的です。

2. 個人情報(PII)の扱い:原則“外部AIに入力しない”

PII(Personally Identifiable Information)は、AI利用において 最も厳格に扱うべき情報 です。

≪NG例≫

  • 氏名
  • メールアドレス
  • 住所・電話番号
  • 社員番号
  • 顧客ID
  • 家族情報・健康情報

◆ 原則

外部LLMへの入力は禁止。

法律面(個人情報保護法)だけでなく、一度でも漏れた場合の説明責任・ブランド毀損が非常に大きいためです。

◆ やむを得ず使う場合の例外

  • 匿名化(固有名を一般名詞へ)
  • トークン化( などに置き換え)
  • 企業契約版(ログ保持なし・学習利用なし)に限定

ポイント: 匿名化しても、“特定の組み合わせで再識別可能” な情報は依然としてPII扱いです。

3. 機密情報(Confidential)の扱い:公開前情報は絶対に外に出さない

営業秘密、未公開資料、財務情報、プロジェクト情報—— これらは 企業価値に直結する領域 です。

以下はすべて AIへの直接入力禁止

≪NG例≫

  • 契約書全文
  • 財務数値(未公開)
  • 研究開発資料
  • 顧客との未公開やりとり
  • 価格戦略・事業計画
  • 社内の機密区分A/Bに該当するドキュメント

◆ やむを得ずAIを使いたい場合

次の“安全策”を組み合わせる形になります。

  • ホワイトリスト方式で許可されたAIのみ使用
  • 情報を部分抽出して要約
  • 固有名詞、数値を抽象化
  • RAG環境など社内管理下のAIを利用する

外部LLMに丸ごと貼る習慣は最も危険 なので早期に禁止した方がよい領域です。

4. 知的財産(IP):コード・設計図は AI との相性が一番難しい

知財は「外に出てはいけない」「AI成果物が自社の権利を侵害していないか」 双方向のリスク を持つのが特徴です。

◆ 入力時のリスク(流出・学習・再提示)

  • コードや設計図がAI事業者に保存される可能性
  • 特定の記述パターンが他社への回答として再利用される可能性
  • プラットフォームログに残る可能性

特に GitHub Copilot の初期事例のように、 “外部コードが不意に再提示される” ケースが議論されてきました。

◆ 出力時のリスク(著作権侵害・第三者権利)

  • AIが生成したコードが他者著作物に類似している
  • AIが架空ライブラリ名を提示 → 攻撃者が悪用してマルウェア化
  • ハルシネーションにより誤った法的記述が出てくる

AIが生成したもの=そのまま安全ではない。 この誤解がIP領域では特に危険です。

◆ 安全に扱うためのルール例

  • 重要コードの全文入力は禁止
  • 設計図は“論点部分”だけ抜粋
  • 生成物を社外に渡す場合は 人間のレビュー必須
  • RAGや社内デプロイされたモデルを優先利用
  • “第三者権利を侵害していないこと” の確認を追加

IP領域は法務と情報システムの連携が不可欠です。

5. まとめ:分類があるから、AI活用が進む

多くの企業では、 **「AIを使ってはいけない」**ではなく 「分類に応じて、使える・使えないを判断する」 という形に切り替えることで、 “安全性と活用のバランス” を保っています。

● 本日のまとめ

  • データは PII / 機密 / 知財 の3つに分類すると扱いが決まる
  • PIIは原則外部AIに禁止、例外運用は匿名化+契約版
  • 機密情報は“公開前かどうか”が判断軸
  • 知財は流出リスク+生成物リスクの両面に注意
  • 分類に応じた社内ルールが、安全なAI活用の前提

分類ルールを整えることで、
「AIを使えないから困る」から「安心して使える環境へ」 一歩進めるはずです。

本記事は、ナレッジコミュニケーションによる生成AIセキュリティ支援の実務知見をもとに執筆しています。
安全にAIを活用するための導入支援・運用設計をご希望の方は、ぜひご相談ください。

👉 AIセキュリティ支援サービス

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?