セキュリティ対策

生成AIの調達・利活用におけるリスク管理（情報の扱い、契約・運用、ガバナンス）を示す政府ガイドライン（2025年5月27日）。

AI開発者・提供者・利用者それぞれの責務と、法令順守・安全性・人間中心などの原則を整理。

生成AIへの個人データ入力は「第三者提供」に該当し得る。利用目的・本人同意・学習利用の有無の確認が必須。

• 既に公開されている情報のため、情報漏洩リスクは低い
• 無料プランでも利用可能（ただし学習オプトアウト推奨）
• 有料プラン（Pro/Business/Team以上）なら、より安全

公開情報でも、複数を組み合わせると未公開情報を推測できる場合は注意。社内ガイドラインで「公開情報の定義」を明確化すること。

• 個人情報保護法違反のリスク（第27条: 第三者提供の制限）
• 学習に使用され、他のユーザーへの回答に影響する可能性（低いが存在）
• AI事業者ガイドライン違反（2025年3月版）

匿名化・仮名化処理後のみ使用可：「〇〇さん」→「地権者A」、実際の住所→「対象地区」など、完全に抽象化すること。

• 守秘義務違反・契約違反のリスク
• 営業秘密漏洩のリスク（不正競争防止法）
• データ保持期間中は保存され、法的要求で開示される可能性
• 理論上、学習に使用された場合、競合他社が類似質問で情報を引き出す可能性

Enterprise + ZDR（Zero Data Retention）プラン + 数値の抽象化： 実際の契約額5,000万円 → 「数千万円規模」、具体的な橋梁形式 → 「一般的な道路橋」など。 ただし、発注者との契約で守秘義務がある場合は、事前承認・法務確認必須。

• 個人名・住所・電話番号が含まれていない
• 発注者名・業務名を匿名化した（または公開情報のみ）
• 契約金額・機密情報を削除した
• 未公開設計データではない
• 使用プランが業務内容に適切か確認