企業へのAI導入を支援していると、初回セッションで必ずと言っていいほど、同じ3つの不安に出会います。「社内の情報をAIに全部読まれてしまうのでは?」「AIが間違ってファイルを消したり書き換えたりしないか?」「個人情報を扱う業務でもAIを使えるのか?」——順番も表現もほぼ毎回同じです。それだけ、みんな同じところで立ち止まっている。
先に私の答えを言います。この不安の多くは「設計次第で解決できる」の一言で解けます。AI導入のセキュリティとは、「安全なAI製品を選ぶこと」ではなく、「AIに何を見せ、どこまで任せ、壊れたらどう戻すかを先に決めること」——つまり製品選びではなく設計の問題です。「怖いから使わない」も「何でも渡す」も、どちらも早計です。AIの利便性と情報管理はトレードオフ——便利に使うほど情報へのアクセス範囲は広がる。だからこそ、どこまでAIに触れさせるかを先に設計すれば、安全性は運用の中でコントロールできる。これが、私が顧問先15社以上への導入とレクチャーで一貫して教えてきた結論です。
この記事では、私が顧問先の導入レクチャーで実際に使っている教材——AIエージェント基礎レクチャーとチーム共有運用レクチャー——の中身を、ほぼそのまま公開します。学習オプトアウトの設定手順から、AIに入力してよい情報の3段階の線引き、チーム展開時の「入れるもの・入れないもの」まで。社内のAI利用ルールを作る下敷きとして、そのまま使ってください。
※本記事は2026年7月10日時点の各サービス仕様に基づいています。設定画面や既定値は変わることがあるため、個別の手順は最新の公式情報もあわせて確認してください。
日本テレビ・Bitget等でのB2Bマーケティング実務を経て、2023年にSHIFT AI創業へ参画。コミュニティ・スクール責任者として2年で3万人規模へのグロースを主導。2026年、静岡県熱海市でAiWiLL株式会社を創業。生成AI顧問「WiLLAGENT」として、防災設備・不動産管理・旅館・飲食など現場型の中小企業に入り、売り上げ向上に寄与するマーケティングや営業施策をどうAIで質を上げ、数を増やすかを一緒に考え抜き、人手不足のなか報告書・見積・マニュアルづくりといった実務をいかにAIで省くかといった、AIを使った事業づくりを伴走支援している。生成AI研修・Eラーニングの監修も担当。企画したイベント・ウェビナーは累計112件、参加者は1万人超。
AIエージェント・新規事業リサーチ・マーケティングの実践セミナー3本の本編と、WiLLAGENTのサービス説明PDFを、無料の資料セットとして公開しています。→ 無料資料セットを受け取る
大原則:AIの安全性は「製品選び」ではなく「設計」で決まる
私はAIを「AI社員」として企業に入れる方法論を、次の式で説明しています。
優秀なAI社員 = Prompt × Context × Harness
伝え方 × 会社の情報密度 × 守らせるルール。どれか1つ欠けると「賢いだけの他人」で終わる。
セキュリティはこのうちのHarness(ハーネス=守らせるルール)に位置づけられます。そして企業導入で最も重要なハーネスは、便利さを引き出すルールよりも、安全に使い続けられるルールです。攻めの活用は後からいくらでも足せますが、事故への不安が残ったままでは、そもそも活用が社内に広がりません。
レクチャーで必ず見せるビフォーアフターがあります。何も決めずに使い始めた会社は「怖いから、結局使うのをやめよう」に行き着く。渡す範囲を先に決めてから使った会社は「これなら、安心して任せられる」と言う。AIの性能は変わらない。変わったのは、渡す前に設計したかどうかだけ——この一文が、本記事のすべてです。
逆に、レクチャーで必ず注意している失敗パターンも2つあります。1つは「怖いから使わない」で止めてしまうこと——競合がAIで手数を増やすなか、これは安全ではなく機会損失です。もう1つは逆で、「便利だから」と共有フォルダを丸ごと渡してしまうこと。あとから「どこまで見られたか分からない」状態になり、結局そこで活用が止まります。両極端はどちらも同じ結末——止まる——に行き着くのです。
設計と言っても、難しいことをするわけではありません。押さえるポイントは4つだけです。①導入初日の設定(学習オプトアウト)、②インプット設計(何を読ませるか)、③アウトプット設計(どこに出させるか)、④バックアップ設計(壊れても戻せるか)。順番に、教材のまま解説します。
導入初日にやること:学習オプトアウトの設定
技術論に入る前に、全社員のアカウントで最初にやるべき設定があります。ChatGPTやClaudeの個人向けプランは、入力したデータがAIの学習に使われる設定が初期状態でONになっています(2026年7月時点)。会社の情報を入れ始める前に、利用する全員のアカウントでこの設定をオフにします。ここを飛ばして「AIに機密を入れるな」というルールだけ作っても、土台が抜けています。
- Claude(Pro/Max) — claude.aiの「設定」→「プライバシー」→「Help improve Claude」をオフ。同じアカウントで使うClaude Code・Coworkにも適用されます。
- ChatGPT(Plus/Pro) — 「設定」→「データコントロール」→「すべての人のためにモデルを改善する」をオフ。
- 法人プラン(Team/Enterprise)やAPI — 契約上、入力データが学習に使われないのが標準です。個別設定は不要ですが、契約プランの規約は一度確認してください。
▲ Claudeの学習オプトアウト設定(画面はHTMLによる再現イメージ)
そしてもう1つ、教材で必ず添えているのがこれです。オフにした設定画面はスクリーンショットで記録しておく。「うちは学習に使われない状態で運用している」と、顧客や取引先にいつでも説明できる状態にする——セキュリティは「やっている」だけでなく「説明できる」ことに価値があります。
なお「個人プランのオプトアウトで続けるか、法人プランに移るか」の判断基準も添えておきます。私の目安は3つで、①複数部署に利用が広がった、②顧客の実データを扱う業務に踏み込む、③取引先からデータの扱いについて説明を求められた——このどれかに当たったら、契約でデータ不使用が担保される法人プランやAPIへの移行を検討するタイミングです。それまでは、オプトアウト+記録で十分に始められます。
インプット設計:AIに入力してよい情報の「3段階の線引き」
「AIに何を入れていいんですか?」への答えを、私は3段階で線引きしています。全か無かではなく、情報の性質ごとに渡し方を変える——私の経験上、実務で回ったのはこのやり方だけです。
第1段階:そのまま渡してよい情報
会社案内・公開Webサイトの内容・固有名詞を伏せた業務フローや手順書。外に出しても支障がない情報は、AIの常設の教科書にする。
第2段階:必要なタイミングだけ参照させる情報
顧客管理ツールや案件管理シートにある顧客情報。常時は読ませず、その作業のときだけ参照させる。終わったら参照を外す。
第3段階:直接は渡さない情報
個人情報・非公開の契約情報。渡す必要がある業務でも、ダミーデータや匿名化ファイルに置き換えて渡す。精度は多少落ちるが、実務では十分使える。
教材ではこの線引きを一言にしています——「見せない」ではなく「必要な分だけ、必要なときに見せる」。全面禁止は活用を殺し、全面開放は統制を殺します。段階を作ることで、その中間に実務の置き場所ができるのです。

もう1つ、見落とされがちな注意点があります。AIに読ませる情報は、増やすだけでなく「混ぜないこと」も同じくらい重要です。教材では「避ける情報」として4つ挙げています:個人情報、顧客の非公開情報、未確認の売上や契約情報、そして古くなった資料。古い料金表や廃止済みのルールが混ざったフォルダでAIを働かせると、AIは堂々と古い情報で回答します。セキュリティ事故ではありませんが、業務事故です。
アウトプット設計:出力は「渡しっぱなし」にしない
インプットに比べて忘れられがちなのが出口の設計です。ポイントは3つあります。
- 出力先を固定する — チャット欄に出させて終わりではなく、指定フォルダ・指定ファイルに出力させる。どこに何が生まれたか追えるようにする。
- 形式とルールを事前に定義する — 「メールの下書きを作成する」「記事のドラフトを作成する」のように、下書きまでを仕事の単位にする。送信・提出は人間が行う。
- 自動連携は設計してから — APIを使えば指定システムへの自動出力もできますが、これは統制が固まってからの段階です。
特に2つ目は、私が顧問先のAI作業ルールに必ず入れる条項です。実際に顧問先へ配っているルールファイル(AIの取扱説明書)のサンプルを、そのまま載せます。
# AI作業ルール(agent.md サンプル)
- 社外提出文書は、必ず人間の確認を受けてから使用する。
- 個人情報、顧客の非公開情報、契約条件は入力しない。
- 不明点は推測で断定せず、確認事項として出す。
- 新規案件では、最初にディレクトリ設計を提案し、採用後は決めた置き場所に保存する。
- 会社情報、案件資料、要件定義、作業中ファイル、納品物の参照先を確認してから作業する。
- 出力は結論、理由、次のアクションの順に整理する。
このファイルをAIの作業フォルダに置いておくと、AIは起動するたびにこれを読んでから働きます。ルールを「人間への通達」ではなく「AIが毎回読む設定ファイル」にする——ここが従来の情報セキュリティ規程と決定的に違う、AI時代のルール運用です。
バックアップ設計:「壊されないか」ではなく「壊れても戻せるか」
「AIがファイルを消したり書き換えたりしないか」という不安には、発想の転換で答えます。「壊されないか」ではなく「壊れても戻せるか」で設計する。事故をゼロにする設計は現実的ではありませんが、事故がダメージにならない設計は今日からできます。やることは3つです。
| 設計 | やること | 効果 |
|---|---|---|
| ①範囲を限定する | AIがアクセスできる場所を専用フォルダ・専用ファイルに限定する | 重要データへの干渉を構造的に防ぐ |
| ②クラウドで保護する | ファイルをOneDrive等のクラウドストレージで管理する | 自動バックアップ・履歴管理。万一のとき元の状態に戻せる |
| ③変更履歴を残す | Git・GitHubと連携する(操作はAIに任せてよい) | いつ・誰が・何を変更したかが残る。チーム共有もしやすい |
教材ではこう要約しています——「AIがアクセスできる場所を専用フォルダに限定し、クラウドとGitで『元に戻せる』状態にしておく。それだけで、安全性と運用性の両方が上がる」。Gitと聞くと身構える方が多いのですが、Gitの操作自体をAIにやらせればよいので、人間がGitを覚える必要はありません。堅牢さだけを享受して、学習コストはゼロにできます。
1つだけ技術的な注意を。OneDriveやDropboxの同期フォルダの中にGitの管理フォルダを置かないでください。同期処理とGitの内部ファイルが干渉して、容量の異常肥大や履歴の破損を招くことがあります(私自身、この構成で痛い目を見て恒久対策をした経験があります)。共有はGit、ファイル同期はクラウド——役割を重ねないのが原則です。
許可制と「危険モード」:確認を省略しない
Claude Codeのような自律型のAIエージェントは、ファイルの読み書きやコマンド実行の前に人間へ許可を求める仕組みを持っています(この働く場所と権限の構造はClaude CoworkとClaude Codeの違いの記事で詳しく解説しています)。この確認は煩わしさではなく、意図しない挙動を防ぐ安全装置です。
確認を省略して全自動で走らせるモード(いわゆるデンジャラスモード)も存在しますが、顧問先では「基本的に使わない」運用にしています。どうしても使う場合は、「このフォルダ内のみ」「この作業だけ」「削除はしない」と事前指示を固めたうえで、管理者・責任者が許可する——例外扱いです。
また、外部ツール連携(MCP)やAPI連携は、できることが一気に広がるぶん、APIキー・認証情報・アクセス権限の扱いを誤ると情報漏えいや誤操作につながります。ここでも原則は同じで、利便性とセキュリティリスクはトレードオフ。キー発行・権限付与・外部サービス連携は、便利さだけで判断せず、会社のセキュリティ方針と照らして決めてください。
チーム展開の線引き:共有した瞬間、閲覧範囲が広がる
1人で使う段階の次に来るのが、チームでルールや会社情報(コンテキスト)を共有する段階です。ここで押さえるべき大前提は1つ——共有した瞬間に、閲覧範囲が「個人」から「チーム」へ広がるということ。だから共有には「入れるもの・入れないもの」の線引きが要ります。私のチーム共有レクチャーの中身をそのまま出します。
| SHARE|入れるもの | KEEP OUT|入れないもの |
|---|---|
| チーム共通ルール・品質基準・確認手順 | APIキー・パスワード・認証情報(絶対に入れない) |
| 会社概要・事業説明・用語集・トーン&マナー | 顧客の機密情報・個人情報・契約条件の実データ |
| 業務の型(スキル・定型手順) | 人事・評価・給与など閲覧範囲を限定すべき情報 |
| よく使う資料の「置き場所の地図」(パスの案内) | 個人の作業メモ・実験中の下書き |
| 変更履歴 | 大容量ファイル(動画・データセット。地図だけ置く) |
特に認証情報は別格の扱いです。非公開の共有場所であっても、履歴には過去の全内容が残り、メンバー全員が閲覧できます。APIキーや認証情報は共有リポジトリに「一度も」入れないのが原則。誤って入れてしまった場合の正解は「削除」ではなく「キー自体の無効化・再発行」です——履歴に残った鍵は、消したつもりでも消えていません。
迷ったときの物差しも教材に入れています。情報を「①チーム共有層(全員のAIが読む会社の教科書)/②プロジェクト層(関係者だけの文脈)/③個人層(本人だけの作業メモ)」の3層で捉え、「これはどの層の情報か?」と一度問う。それだけで、共有すべきか迷うケースのほとんどは判断できます。
さらに実務では、幹部とスタッフで見せる範囲を変える必要も出てきます。私の自社運用では、スタッフへの配布は読み取り専用の一方向ミラー+除外リスト方式にしています。機微情報をフォルダ名で指定して、配布から機械的に除外する方法です。
robocopy "共有コンテキスト" "G:\マイドライブ\会社共有" /MIR /XJ ^
/XD "経営戦略" "顧客別" "契約書" "商談メモ" "人事" ^
/XF ".env" "*.pem" "*商談メモ*"
除外しているのは、顧客実データ・契約書・商談メモ・経営戦略・人事情報・認証情報。ここで効いてくるのが命名規則です。除外は名前で判定されるため、機微情報のフォルダ名を「顧客別」「契約書」「商談メモ」のように揃えておく——地味ですが、これがルールを仕組みに変える要です。
この方式の運用注意も2つ添えます。①新しく作った機微フォルダは自動では除外されません。命名規則に沿わない名前のフォルダを作ると配布に混ざるので、機微情報は必ず決めた名前のフォルダに入れる。②除外を後から追加しても、配布済みのファイルは自動では消えません。除外の追加は、配布先からの手動削除までワンセットで行う。また、配布先のルートには「はじめに」の1枚ガイドを置き、禁止事項——コピーの持ち出し・ファイルへの直接書き込み・社外への再共有——を明記しておきます。
補足:「共有リンク」ではAIは読めない
クラウドドライブで資料を配るとき、つまずきやすい落とし穴が1つあります。共有リンク(URL)をAIに渡しても、AIエージェントは中身を読めません。Web版のドライブはログイン必須のWebアプリだからです。鍵はデスクトップアプリ——Google DriveやOneDriveのデスクトップアプリを入れて、共有フォルダをPC上のフォルダ(ローカルパス)として見える状態にして、初めてAIが直接参照できます。これはGoogle Drive・Box・Dropbox・OneDriveすべて共通の構造で、「AIに読ませる=ファイルとして触れる場所に置く」という原則の裏返しでもあります。
現場ではこう適用している:防災点検会社WECSの例
抽象論で終わらせないために、顧問先での実際の適用例を1つ。業歴30年以上の総合防災点検会社・株式会社WECSでは、幹部向けのAI導入レクチャーを連続講座で進めています。そこで敷いた情報の扱いのルールは、この記事の原則がそのまま並びます。
- ワークスペースは各幹部のPCのローカルに配置(クラウド同期フォルダの外)。AIの作業場所を明確に区切る。
- フォルダを「全員共通層」と「個人専用層」の2層に分ける。会社の経営方針・業務水準は全員共通の`02_会社/`へ、個人の役割・作業メモは`00_自分/`へ。他の人の分と混ぜない。
- AIに書かせる業務ログには「書かないもの」を先に決める——秘密情報・個人情報・顧客の非公開情報・パスワード類。ログは完了作業の短い記録に限定する。
- AIへのインタビューで業務水準を棚卸しする際も、現場安全と個人情報の扱いを最初の質問項目に入れる。
注目してほしいのは、これが「セキュリティ対策の会議」から生まれたルールではないことです。AIに仕事を教える設計(フォルダと文脈の設計)を進めると、情報の置き場所と見せる範囲の整理が自動的についてくる。セキュリティを目的にせず、活用設計の副産物として手に入れる——中小企業に情シス専任がいなくても回るのは、この順番だからです。
よくある質問(初回セッションで実際に聞かれる順)
Q1. 社内の情報をAIに全部読まれてしまうのでは?
読ませる範囲はこちらで決められます。AIがアクセスできる場所を専用フォルダ・専用ファイルに限定でき、顧客情報などは「必要なタイミングだけ参照させる」設計も可能です。「全部読まれる」は、何も設計しなかった場合の話です。
Q2. AIが間違ってファイルを消したり書き換えたりしないか?
可能性はゼロではありません。だから「壊されない」ではなく「壊れても戻せる」で設計します。専用フォルダへの限定+クラウドの履歴管理+Gitの変更履歴で、いつ何が変わったかが残り、元に戻せます。加えてAIエージェント側にも操作前の許可確認があり、確認を省略するモードは基本使いません。
Q3. 個人情報を扱う業務ではAIを使えないのでは?
使えます。個人情報そのものを渡さず、ダミーデータや匿名化したファイルに置き換えて渡す方法があります。精度は多少落ちますが、実務では十分活用できます。「業務ごと諦める」のではなく「渡し方を変える」が正解です。
Q4. 無料版・個人プランを社員が勝手に使っているのですが、まずいですか?
まず確認すべきは学習設定です。個人向けプランは入力データが学習に使われる設定が初期でONのため、放置は危険です。全員分をオフにし、設定画面を記録してください。そのうえで、会社として使うツールとプランを決め、野良利用を「公認の入口」に吸収するのが現実的な進め方です。禁止だけすると、見えないところでの利用(シャドーAI)が増えるだけです。
Q5. 情シス担当がいない中小企業は、何から始めればいいですか?
この記事の順番のとおりです。①全員の学習オプトアウト→②AI専用の作業フォルダを1つ作る(見せてよい資料だけ入れる)→③AI作業ルールのファイルを置く(本文のサンプルを流用してOK)→④クラウド管理で「戻せる」状態にする。ここまでは専任がいなくても1日で整います。むしろ大企業的な「規程を作ってから」の順番のほうが、いつまでも始まりません。
Q6. 会社のルールとして何を文書化しておくべきですか?
最低限は3点です。①入力してよい情報の線引き(本文の3段階を自社の言葉に直す)、②社外に出る文書は下書きまで・送信は人間、③認証情報は共有場所に一度も入れない。これをAIが毎回読むルールファイルと、人間向けの1枚ガイドの両方に書いておけば、運用は回り始めます。
持ち帰り用:AI導入セキュリティ設計チェックリスト
顧問先の導入前チェックリストから、セキュリティ設計の項目を抜き出しました。社内会議にそのまま持ち込んでください。
- 利用する全員のアカウントで学習利用をオフにし、設定画面を記録した
- AI専用の作業フォルダを作り、アクセス範囲をそこに限定した
- 入力してよい情報の3段階(そのまま/必要時のみ/ダミー化)を自社の情報で仕分けした
- 個人情報・非公開契約情報は直接渡さず、匿名化の要否を決めた
- AI作業ルールのファイル(agent.md等)に禁止事項を書いて作業フォルダに置いた
- 出力先と形式を決め、「社外に出る文書は下書きまで・送信は人間」と決めた
- クラウドの履歴管理とGit連携で「壊れても戻せる」状態を確保した
- 確認を省略する全自動モードは基本使わないと決めた
- チーム共有する場合、SHARE/KEEP OUTの線引きを確認した(認証情報は一度も入れない)
- 古い資料・未確認の数値をAIの参照フォルダから外した
まとめ:不安の多くは、設計次第で解決できる
AI導入のセキュリティは、「安全なAI製品はどれか」という製品選びの話ではなく、「うちは何を見せて、どこまで任せて、壊れたらどう戻すか」という設計の話です。学習オプトアウト、3段階の線引き、下書きまでの出力、戻せるバックアップ、共有の除外リスト——1つひとつは小さな決めごとですが、これが揃うと「怖いから使わない」と「何でも渡す」の間に、安心して任せられる道ができます。
そして経験上、この設計はセキュリティのためだけのものではありません。AIに見せる情報を整理する作業は、そのままAIに仕事を教える準備です。線引きの済んだフォルダは、AIが最も良い仕事をする職場になります。守りの設計と攻めの活用は、同じ1つの作業の裏表なのです。
自社の情報で線引きから一緒に進めたい方向けに、無料の資料セットを用意しています。導入設計の全体像はこちらからどうぞ。
「自社なら何から始めるべきか」を見つけたい方へ
AI顧問「WiLLAGENT」は、AIを「知る」で終わらせず、会社の仕事で使える状態まで一緒に動かす伴走型AI顧問です。現場に行き、一緒に作り、社内に残す。経営・営業・マーケティング・業務改善まで、現場の課題から優先順位を決めて進めます。
実務での使いどころを学べるAI実践セミナー3本の本編アーカイブと、3か月伴走の内容・支援領域・料金・FAQをまとめたサービス説明PDFを、無料の資料セットとして受け取れます。

