セキュリティ
Claude Codeを会社で使っていい?
セキュリティと社内ルールの作り方
Claude Codeの導入を社内で提案したとき、最初の壁になりやすいのが「情報漏洩は大丈夫なのか」という質問です。この質問に答えられないと、稟議はそこで止まります。この記事は、その質問に答えるための材料集です。導入を推進する担当者が、上司や情シスに説明するときにそのまま使える構成でまとめました。
心配の中身を3つに分解する
「AIが心配」という漠然とした不安は、分解すると次の3つに分かれます。それぞれ対策が違います。
- 入力したデータがAIの学習に使われないか(データの行き先の問題)
- 社員が入れてはいけない情報を入れてしまわないか(運用ルールの問題)
- AIが勝手に間違った操作をしないか(権限と確認の問題)
1. データの行き先:プランと設定で管理する
Anthropic社の法人向けプランでは、入力データをモデルの学習に使用させない設定が提供されています。導入時に確認すべきポイントは次のとおりです。
- 契約プランが法人向け(Team/Enterprise等)か、個人プランの流用か
- 学習利用(トレーニング)に関する設定・契約条件がどうなっているか
- データの保持期間と削除ポリシー
ここは契約とプラン選定の話であり、ツールそのものの危険性の話ではありません。「個人アカウントの野良利用」を放置する方が、会社としてはるかに高リスクです。禁止して野良利用が地下に潜るより、会社契約のアカウントに揃えて設定で管理する方が安全になります。
2. 入力ルール:「入れてよい情報」の線引きを先に決める
設定を整えても、運用ルールがなければ社員は判断に迷います。おすすめは、情報を3段階に分ける簡単な表を作ることです。
| 区分 | 例 | 扱い |
|---|---|---|
| 入力してよい | 公開情報、社内の定型文書のひな形、個人を特定しない集計データ | 通常利用OK |
| 加工すれば入力してよい | 顧客名・個人名を記号に置き換えた業務データ | マスキングして利用 |
| 入力しない | マイナンバー等の特定個人情報、取引先とのNDA対象情報、パスワード・認証情報 | AIに渡さない |
大事なのは、この表を情シスや外部の専門家が押し付けるのではなく、実際に使う現場と一緒に作ることです。現場が納得していないルールは守られません。
3. 権限と確認:「AIの仕事を人間が承認する」を仕組みにする
Claude Codeはファイルの作成・変更まで実行できるため、「どこまで任せるか」の設計が要ります。実務では次の3点で十分に機能します。
- 作業フォルダを分ける:AIに触らせるファイルを専用フォルダに置き、基幹システムや共有ドライブの原本には触らせない
- 確認ポイントを決める:メール送信・社外提出・支払いに関わるものは、必ず人間が最終確認してから実行する
- 手順書に残す:業務ごとに「AIがやること/人間が確認すること」を1枚にまとめる
これは当社が自社の事業運用で実際に使っている考え方でもあります。AIの出力をそのまま外に出さず、人間の承認を挟む。この1点が、事故リスクを下げる基本になります。
稟議に書ける形のまとめ
ここまでを稟議書向けに要約すると、次のようになります。
1. 法人向けプランを契約し、入力データを学習に利用させない設定で運用する
2. 入力情報の3区分ルールを定め、対象業務を限定して開始する
3. AIの作業は専用フォルダ内に限定し、社外に出る成果物は人間が承認してから使用する
4. 上記ルールの策定と定着は、導入研修のカリキュラム内で実施する
「ルールを作ってから使う」のではなく、「使いながら最初の研修でルールを固める」のが現実的です。ルールだけ先に作ると、業務の実態と合わない机上のルールになりがちです。
ルールづくりまで含めて、研修の中でやります
当社のClaude Code実務導入研修では、第1回で「入力してよい情報の線引き」と運用ルールづくりを、御社の業務に合わせて行います。まずは無料AI業務診断で、対象業務とあわせてご相談ください。
無料AI業務診断を予約する