AIニュース・新ツール解説
公開
更新

生成AIに社内データを学習させない設定はあるか 情報漏洩を防ぐ中小企業の確認点

学習オフの見方が分かるだけで、生成AIの社内利用はかなり説明しやすくなります。
履歴、レビュー、権限まで分けて見ると、社員にも伝えやすいルールに変えられます。

生成AIに社内データを学習させない設定はあるか 情報漏洩を防ぐ中小企業の確認点

生成AIに社内データを学習させない設定は存在します。ChatGPTならData Controls、APIならデータ利用設定、法人向けサービスなら契約と管理画面で確認する領域です。
ただし「学習に使われない」と「保存されない」「人が見ない」「社内ファイルを回答に出さない」は別の問題として扱ってください。

ここをまとめて「安全」と判断すると、学習オフにしたのに情報漏洩の不安が残るという状態になります。大事なのは、ツールごとの設定名を丸暗記するより、見るべき軸を分けて社内ルールへ落とすことだと考えてください。

要点学習オフは情報漏洩対策の一部にすぎない

最初に見るのは、モデル訓練への利用履歴やログの保持人間レビュー社内データ参照の4つです。どれか1つだけを見ても、会社としての安全判断には足りません。

生成AIに社内データを学習させない設定はある。ただし見る軸を分ける

まず、社員へ説明するときは「AIが学習するか」だけでなく、4つの確認軸に分けると混乱が減ります。たとえばChatGPTの設定をオフにしても、履歴保持や不正利用監視、接続アプリの権限までは同じ設定で片付きません。

確認軸見る場所残る注意点
学習利用Data Controls
法人契約
API設定
モデル改善に使われるか
履歴保持チャット履歴
ログ保持
削除や監査の条件
人間レビュー安全監視
品質改善
誰が見るか
社内データ参照権限
コネクタ
回答時に参照される範囲

特に社内データ参照は、モデル訓練とは別のリスクです。Microsoft 365 Copilotや社内検索型AIでは、AIが社員の閲覧権限内にあるファイルを回答時に参照する場合があります。詳しくは、生成AIを社内データに学習させない設定の記事でも、権限管理の観点から整理しました。

生成AIの社内データ確認で見る4つの軸
学習利用だけでなく、保持・レビュー・参照まで分けると確認漏れを減らせます。

ChatGPTでまず確認するData Controls

個人向けのChatGPTを業務で使っている場合、最初に見るのはData Controlsです。OpenAIのData Controls FAQでは、「Improve the model for everyone」をオフにすると、会話は履歴に残るがChatGPTのモデル訓練には使われないと説明しています。

出典: OpenAI Help Center「Data Controls FAQ」(英語)

ここで見落としやすいのは、会話履歴に残ることと、訓練に使われることは違うという点です。履歴を残して後から見返したい運用と、社内データをモデル改善に使わせたくない運用を分けると、社員への説明もぶれにくくなります。

Temporary Chatsも便利に見えます。OpenAIはTemporary Chatsについて、モデル訓練に使われず、履歴やメモリにも残らず、30日後に削除されると説明しています。
ただし、不正利用監視のためにレビューされる可能性は残るため、機密情報を入れてよい合図にはなりません

注意Temporary Chatを「機密情報入力OK」と説明しない

Temporary Chatは履歴や訓練利用を抑える選択肢ですが、会社の入力禁止情報を解除するものではありません。顧客名、契約書、人事情報、未公開数字は、原則として入力しないルールを先に決めてください。

Business、Enterprise、APIは個人アカウントと扱いが違う

会社で使うなら、個人アカウントの設定だけに頼るより、管理できる法人向けプランやAPI利用へ寄せるほうが現実的です。OpenAIは、ChatGPT Business、Enterprise、Healthcare、Edu、Teachers、API Platformのbusiness dataについて、既定ではモデル訓練に使わないと説明しています。

出典: OpenAI「Enterprise privacy at OpenAI」(英語)

API利用でも、OpenAI PlatformのData controlsでは主要エンドポイントのData used for trainingがNoと示されており、あわせて、abuse monitoring retentionが30 daysとされ、Zero Data Retentionは対象エンドポイントや機能に条件があります。
「APIなら訓練に使われない」で終わらせず、保持期間と対象条件まで見るようにしてください。

出典: OpenAI Platform「Data controls in the OpenAI platform」(英語)

利用形態学習利用の見方管理の注意点
個人ChatGPTData Controlsを確認社員ごとの差が出る
Business
Enterprise
business dataの扱いを確認管理者設定を見る
APItraining Noを確認保持とZDR条件を見る

中小企業では、全社員に個人設定を任せる運用が一番不安定です。社員ごとに設定が違い、退職後の確認も難しいため、業務利用は許可ツールアカウント種別をそろえるところから始めます。

ChatGPT個人法人API利用形態ごとのデータ確認点
個人設定に任せず、利用形態ごとに管理できる範囲を分けます。

Copilot、Gemini、Claudeを同じ設定名で判断しない

ChatGPTでData Controlsを見たからといって、他の生成AIにも同じ設定名があるとは限りません。サービスごとに、学習利用、保持、人間レビュー、社内データ参照の仕組みが違うため、同じチェックシートで確認しながらも、判断はサービス別に分けます。

Microsoft 365 Copilotについて、Microsoft Learnはプロンプト、応答、Microsoft Graph経由でアクセスされたデータを、Microsoft 365 Copilotで使われるものを含む基盤LLMの訓練に使わないと説明しています。一方で、CopilotはMicrosoft 365内の権限を前提に社内データへアクセスするため、先にSharePoint、OneDrive、Teamsの閲覧権限を棚卸しすることが大切になります。

出典: Microsoft Learn「Data, Privacy, and Security for Microsoft 365 Copilot」(英語)

Gemini Appsでは、Gemini Apps ActivityKeep Activity、人間レビューの扱いが確認対象です。GoogleのPrivacy Hubは、人間レビューされたチャット関連データがアクティビティ削除後も最大3年保持される場合があると説明しています。
「Googleだから安全」とまとめず、どのアカウントで、どの設定で、何を入力するかを見てください。

出典: Google Gemini Apps Help「Gemini Apps Privacy Hub」(英語)

Claudeも、Consumer向けCommercial向けで説明が分かれます。AnthropicのCommercial Customers向け説明では、Claude for WorkやAnthropic APIのチャットやcoding sessionsは、Development Partner Programなどの例外を除きモデル訓練に使わないとされています。
社内でChatGPT、Copilot、Claudeをどう分けるかは、業務別のAIツール選定とあわせて決めると、データを見せる範囲まで整理しやすいでしょう。

出典: Anthropic Privacy Center「How do you use personal data in model training?」(英語)

中小企業が最初に決める社内ルール

情報漏洩対策を設定だけで終わらせないために、社員が迷ったときに見られる1枚のルールを作ります。長い規程から始める必要はなく、まずは許可ツール、入力禁止データ、外部コネクタ、相談先を決めるだけでも、現場の判断はかなり安定します。

  • 許可ツール: 業務で使ってよいAI名、アカウント種別、利用部署を決める
  • 入力禁止データ: 顧客名、個人情報、契約書、未公開数字、人事情報を明記する
  • 外部コネクタ: Gmail、Drive、Slack、CRMなどへの接続は承認制にする
  • 相談先: 判断に迷ったときの担当者と、削除・停止の手順を決める

特に外部コネクタは、学習利用とは別の情報流出経路になります。ChatGPTの接続アプリについては、接続アプリ権限を見直す記事で、情報漏洩誤更新を防ぐ考え方を整理しています。

実務社員向けには「禁止」より「ここまでOK」を先に書く

安全な使い方を広げたいなら、入力禁止情報だけを並べるより、議事録の要約、メール下書き、公開資料の要約など許可する用途も一緒に書くほうが定着しやすくなります。

社内ルールの初版づくりは、生成AIの社内利用ガイドラインの作り方を土台にできます。すでにルールがある会社は、生成AI利用ルール診断の記事のように、入力禁止、記憶、履歴、出力確認の4点から見直すと始めやすいでしょう。
ルールの古さを放置すると、社員は古い前提のまま新しいAIを使ってしまいます

30分で確認する順番

今日すぐ始めるなら、使われているAIを先に棚卸しし、その後に学習設定を見る順番が現実的です。いきなり細かい管理画面を探すと、部署ごとの実態が抜け落ちるおそれがあります。

  1. 10分: 社員が使っているAIを、ChatGPT、Copilot、Gemini、Claude、SaaS内AIに分ける
  2. 10分: 個人アカウント、法人ワークスペース、API、Microsoft 365やGoogle Workspace組み込みに分類する
  3. 5分: 学習利用、履歴保持、人間レビュー、社内データ参照の4軸で未確認を付ける
  4. 5分: 明日から止める入力情報と、許可する用途を1枚に書く

ここまでできれば、次に見るべき設定と契約がはっきりします。全社禁止か全面解禁かではなく、使ってよい場所と見せてはいけない情報を分けることが、生成AIの社内利用では効きます。
あいまいなまま使わせることが、いちばん説明しにくい状態です。

生成AIの社内データ設定を30分で確認する順番
まず利用実態を棚卸しし、4軸で未確認を見つけると次の行動が決まります。

メモ社員がすでに使っているAIを止めるだけでは、現場は別の個人アカウントへ流れます。安全に使える入口を用意し、入力禁止データを短く示すほうが、結果的に管理しやすくなります。

社員が勝手に使う前に決める最低ラインは、生成AIを社員が勝手に使う前の社内ルールでも整理しています。学習オフだけを見て安心しないことが、最初の一歩になります。

使っているAIを洗い出す
個人/法人/API/組み込み
学習/保持/レビュー/参照
禁止情報と許可用途
全社禁止でも全面解禁でもなく、使ってよい場所と見せない情報を分ける

よくある質問

QChatGPTに社内データを学習させない設定はありますか?

Aあります。2026年6月時点では、ChatGPTのData ControlsでImprove the model for everyoneをオフにすると、会話は履歴に残りますがモデル訓練には使われません。

QTemporary Chatを使えば機密情報を入力しても安全ですか?

Aいいえ。Temporary Chatはモデル訓練には使われず30日後に削除されますが、不正利用監視のためのレビュー可能性が残るため、機密情報入力の許可にはなりません。

QChatGPT BusinessやEnterpriseなら社内データは学習されませんか?

AOpenAIはビジネス向けサービスのbusiness dataを既定でモデル訓練に使わないと説明しています。ただし保持期間、管理者設定、連携アプリの許可は別途確認が必要です。

QOpenAI APIに送ったデータは学習に使われますか?

AOpenAI PlatformのData controlsでは、主要エンドポイントのData used for trainingはNoと示されています。ただしabuse monitoringやZero Data Retentionの対象条件は確認が必要です。

QMicrosoft 365 Copilotは社内データを学習に使いますか?

AMicrosoftは、Copilotのプロンプト、応答、Microsoft Graph経由のデータを基盤LLMの訓練に使わないと説明しています。ただしユーザーが閲覧できる社内データを回答時に参照する点は別のリスクです。

QGeminiやClaudeもChatGPTと同じ設定で考えてよいですか?

A同じではありません。GeminiはActivityや人間レビュー、ClaudeはConsumerとCommercialの区分を確認する必要があります。サービス名ではなく契約種別とデータの扱いを分けて見てください。

GLOSSARY

AI用語集

1906 語を収録

意味の解説から背景の意外な逸話まで、AIの専門用語を一語ずつ。非エンジニアの視点で噛み砕いた、引くほど詳しくなる用語集です。

用語集を見る