Time LLC logo Time Columns DX, Web, AI

法令・ガイドライン

AI時代のコンプライアンスとは?個人クラウドに業務データを持たせない運用設計

更新日:2026年5月12日

生成AIやクラウドサービスの利用が広がる中で、企業が考えるべきリスクは情報漏洩だけではありません。会社が管理すべき業務データを、個人アカウントや個人クラウドに持たせない運用設計が重要です。

セキュリティだけの話ではない

生成AIやクラウドサービスの利用が広がる中で、企業が考えるべきリスクは「セキュリティ」だけではありません。

もちろん、情報漏洩や不正アクセスへの対策は重要です。

しかし現実には、それ以前の問題として、会社が管理すべき業務データを、個人が利用するクラウドサービスや生成AIに持ち出してしまうリスクがあります。

情報が漏洩したかどうか以前に、会社が管理できない場所に業務データが置かれている時点で、すでにコンプライアンス上のリスクがあります。

これは単なるセキュリティの問題ではありません。データガバナンスの問題です。

個人クラウドに業務データが残る問題

たとえば、個人アカウントのChatGPTに顧客情報を入力する。

私用のGoogle Driveに業務資料を保存する。無料のAI翻訳サービスに契約書を貼り付ける。Notionや外部AIツールに議事録を入れる。個人のクラウドストレージでファイルを共有する。

こうした行為は、悪意がなくても起こります。

本人としては、業務を効率化したいだけかもしれません。早く文章を整えたい、議事録を要約したい、資料を翻訳したい、メール文面を作りたい。

しかし会社から見ると、大きな問題です。

個人アカウントで業務データを扱うと、会社側で管理できません。誰が何を保存したのか、どのファイルを共有したのか、退職後にデータが残っていないか、削除できるのか、監査できるのかを確認しにくくなります。

生成AIではデータ持ち出しが日常化しやすい

特に生成AIでは、従来のクラウド利用よりもデータ持ち出しが起きやすくなっています。

なぜなら、AIは業務のあらゆる場面で使えてしまうからです。

メール文面、顧客対応、議事録、契約書、提案書、社内資料、求人票、業務マニュアル、ソースコード、スプレッドシート、問い合わせ内容。

少しでも文章やデータがあれば、AIに入力したくなります。

従来であれば、ファイルを外部にアップロードする行為にはある程度の心理的なハードルがありました。

しかし生成AIでは、「ちょっと要約してもらう」「文章を整えてもらう」「表にしてもらう」という感覚で、業務データが外部サービスに入力されます。

この便利さが、同時にリスクになります。

データガバナンスとして考える

AI時代のコンプライアンスでは、誰が、どのデータを、どのサービスに、どのアカウントで、どの目的で入力しているのかを把握する必要があります。

会社がそれを把握できない状態は危険です。

見るべきなのは、単に「AIに入力すると危ないか」ではありません。

そのサービスを会社が管理できるのか。ログを確認できるのか。権限を管理できるのか。退職時にアクセスを止められるのか。入力してよい情報と入力してはいけない情報を分けているのか。

この観点が必要です。

生成AIを禁止するだけでは、現場が個人アカウントで使う可能性があります。だからこそ、会社が管理できる環境で使えるようにすることが重要です。

個人アカウントではなく会社アカウントで管理する

Google Workspace、Microsoft 365、ChatGPT Business、その他の法人向けAIサービスを使う意味は、単に機能が多いからではありません。

会社としてアカウント、権限、データ、ログ、退職時対応を管理できることに意味があります。

AI時代のコンプライアンスでは、「どのAIが賢いか」だけでなく、「そのAIを会社が管理できるか」が重要になります。

個人アカウントに業務データを入れてしまうと、会社は後から管理できません。

便利なツールほど、個人任せにしない。会社が管理できるアカウントと権限の中で使う。

この考え方が、AI時代の業務運用では重要です。

シャドーAIを放置しない

シャドーAIとは、会社が許可・把握していない状態で、従業員が個人的に生成AIやAIツールを業務利用している状態です。

これは、かつてのシャドーITと同じ構造です。

会社が公式に用意していないから、現場が便利なツールを勝手に使う。その結果、会社の管理外に業務データが広がっていく。

この状態を放置すると、情報漏洩、契約違反、個人情報保護、退職時のデータ残存、監査不備など、さまざまな問題につながります。

AI活用を進める企業ほど、利用ルールと管理環境を整える必要があります。

最低限決めるべきルール

中小企業では、セキュリティ専門部署がないことも多くあります。

そのため、厳密なルールを作り込む前に、まず最低限の方針を決めることが大切です。

  • 個人アカウントに業務データを入れない
  • 顧客情報や個人情報を無料AIに入力しない
  • 業務利用するクラウドサービスは会社アカウントで管理する
  • 退職時にアクセス権を停止できる状態にする
  • 社内で使ってよいAIサービスを明確にする
  • 入力してよい情報と入力してはいけない情報を分ける

この程度でも、何も決めていない状態とは大きく違います。

AIを使うな、ではなく、どのAIを、どの範囲で、どのアカウントで、どのデータに使うのかを決めることが重要です。

Time合同会社の考え方

Time合同会社では、生成AIやクラウドサービスを禁止するのではなく、業務で安全に使える運用設計が重要だと考えています。

便利なツールほど、個人任せにしない。

会社が管理できるアカウント、権限、データ保管、利用ルールの中で使う。

この考え方が、AI時代のコンプライアンスにおいて重要になります。

AIは業務効率化の強力な手段です。しかし、会社が管理できない場所に業務データを置いてしまえば、効率化どころか運用リスクになります。

だからこそ、AI活用はツール選びだけでなく、アカウント管理、データ管理、利用ルール、退職時対応まで含めて設計する必要があります。

まとめ

AI時代のコンプライアンスは、難しい法律用語だけの話ではありません。

会社が管理すべき業務データを、個人クラウドや個人AIアカウントに持たせないことです。

AIを禁止するのではなく、会社が管理できる環境で使わせる。

この運用設計が、生成AI時代の企業にとって重要になります。