生成AIで業務効率化したはずが、情報漏えい疑惑になったときに最初に考えるべきこと

2026.06.13

導入

生成AIを使って業務を効率化する。

これは、今の中小企業にとって避けて通れないテーマです。

人手不足、事務作業の増加、見積対応のスピード、提案書作成、メール文案、資料整理。

こうした業務を少しでも効率化したいと考えるのは、経営者として自然な判断です。

しかし、便利だからといって、顧客情報や個人情報を安易に外部AIサービスへ入力してしまうと、会社の信用を大きく傷つける可能性があります。

私は、この問題の本質は「AIを使ったこと」そのものではなく、AIを使う前に、会社として守るべき情報の線引きと、利用ルールを決めていなかったことだと考えます。

相談事例

ある法人向け印刷・DM発送代行会社での話です。

この会社では、カタログ印刷、販促DM、会員向け通知物の印刷・封入・発送を行っていました。

主要顧客には、学習塾チェーンや医療法人グループも含まれていました。

社長は、人手不足と業務効率化に強い危機感を持っていました。

社長：
「このまま人手に頼ったやり方を続けていたら、いずれ限界が来ます。見積もりも、提案書も、校正も、もっと効率化しないといけないと思っているんです」

そこで社長は、若手課長をDX推進担当に抜擢しました。

社長：
「君は社内で一番ITに強い。生成AIも使って、業務を変えていってほしい」

DX推進担当：
「わかりました。まずは、見積作成やDM文案、提案書作成から試してみます」

最初は、効果が出ました。

営業資料の作成は早くなり、配送先リストの表記ゆれ修正にもAIが使われました。

営業部長も、当初は前向きに受け止めていました。

営業部長：
「提案書のたたき台が早く出るのは助かる。これなら営業の動きも速くなる」

社長も社内会議で、AI活用を強く後押ししました。

社長：
「これからはAIを使えない社員は厳しい。うちも時代に合わせて変わらないといけない」

ところが、ある日、学習塾チェーンの担当者から連絡が入ります。

学習塾チェーン担当者：
「御社に渡した会員向けDMの名簿データですが、外部AIツールに入力されていませんか？」

営業部長：
「外部AIツールですか？少し社内で確認します」

社内で確認すると、実名、住所、学年、受講コースが含まれたCSVデータの一部を、表記ゆれ修正のために外部AIツールへ入力していた可能性が出てきました。

さらに、医療法人向けの通知文案についても、患者属性が推測できる情報を含んだ原稿がAIに入力されていた疑いが出ました。

DX推進担当：
「全部を入れたわけではありません。業務効率化のためでした。有料版だから安全だと思っていました」

社長：
「顧客データをAIに入れたのか？それはまずいだろう」

DX推進担当：
「でも、社長もAIを使えと言っていましたよね。どこまで使っていいか、ルールはありませんでした」

一方で、工場長は強く反発しました。

工場長：
「現場は個人情報の扱いにずっと神経を使ってきました。それを、パソコン上で外部に投げていたなら、現場の努力が全部台無しです」

営業部長も、社長に強く詰め寄りました。

営業部長：
「大口顧客に知られたら契約が切られます。DX担当を処分して、会社としては担当者個人の不適切利用だったと説明すべきです」

社内では、若手社員の間にも不信感が広がっていきました。

若手社員：
「AIを使えと言われたから使ったのに、問題が起きたら担当者だけ悪者になるんですか？」

一方で、ベテラン社員からは別の声が出ます。

ベテラン社員：
「だから若手に任せるのは危ないんです。情報管理を軽く見すぎています」

さらに、社内チャットには匿名で次のような投稿がありました。

「会社は顧客データをAIに入れている。重大な情報漏えいなのに隠している」

投稿は削除されましたが、スクリーンショットが一部社員の間で共有されていました。

外部SNSにはまだ出ていません。

しかし、退職予定の社員もおり、外部流出の可能性もあります。

この問題の本質

私は、この問題の本質は、担当者個人のミスだけではないと考えます。

もちろん、顧客データや個人情報を外部AIサービスに入力した可能性があるなら、重大な問題です。

個人情報保護、秘密保持契約、委託先管理、情報セキュリティの観点から、慎重な確認が必要です。

ただし、ここでDX推進担当だけを悪者にすると、会社は本質を見誤ります。

社長はAI活用を強く求めていました。

会社にはAI利用ルールがありませんでした。

入力してよい情報、入力してはいけない情報の区別も曖昧でした。

顧客契約ごとの制限も整理されていませんでした。

有料版AIなら安全、という思い込みも放置されていました。

つまり、問題は「若手が勝手にやった」ではなく、会社としてAIを使うための管理体制を作らないまま、成果だけを求めたことです。

よくある失敗

この場面でよくある失敗は、まず担当者を処分することです。

たしかに、現場や大口顧客への説明を考えると、「問題を起こした担当者を外しました」と言いたくなる気持ちはわかります。

しかし、それだけでは不十分です。

若手社員からは、「AIを使えと言われたのに、問題が起きたら担当者だけが切られるのか」と見られます。

逆に、ベテラン社員からは、「会社は情報管理を軽く見ている」と受け止められます。

もう一つ危険なのは、外部AIサービスのアカウントや入力履歴を慌てて削除することです。

これは一見、漏えい経路を断つ対応に見えるかもしれません。

しかし、ログや履歴を消してしまうと、何が入力されたのか、どの顧客に影響があるのか、説明ができなくなります。

顧客から見れば、隠したのではないかという不信感につながります。

さらに、社内の匿名投稿者探しを最初に始めるのも危険です。

もちろん、外部流出は防がなければなりません。

しかし、社員に強く口止めするだけでは、かえって内部告発やSNS流出のリスクが高まります。

私ならどう考えるか

私なら、まずAI利用を一時停止します。

ただし、単に「AI禁止」と叫ぶのではありません。

顧客情報、個人情報、秘密情報を外部AIに入力することを止めたうえで、ログ、入力履歴、対象データ、契約条項、関与者を保全します。

ここで重要なのは、証拠を消さないことです。

何を入力したのか。

誰が入力したのか。

いつ入力したのか。

どのAIサービスを使ったのか。

そのサービスの利用規約では、入力データが保存されるのか、学習に使われるのか。

削除できるのか。

顧客との契約で、外部サービス利用や再委託に制限があるのか。

これらを確認しなければ、顧客に正確な説明ができません。

そして、顧客対応の窓口を一本化します。

営業担当者がそれぞれ違う説明をすると、後から説明が食い違います。

社長、営業部長、専務、DX担当が別々に動くのも危険です。

まずは、会社として確認中の事実、未確認の事項、今後の報告方針を整理すべきです。

最善策

私が最初に優先すべきだと考えるのは、次の対応です。

AI利用を一時停止し、ログ・入力履歴・契約条項・対象データ・関与者を保全して事実確認チームを作る。

同時に顧客対応窓口を一本化し、報告要否と説明範囲を判断する準備を進める。

この順番が大切です。

謝罪が先でも、処分が先でも、隠すことが先でもありません。

まず、事実を固める。

そのうえで、顧客ごとに報告が必要か、どの範囲まで説明するか、個人情報保護上の対応が必要か、契約上の事故報告義務があるかを判断します。

大口顧客の契約解除を恐れる気持ちは当然です。

しかし、不正確な説明をして、後から内容が変わるほうが、信用は大きく傷つきます。

なぜ法律だけでは解決できないのか

法律上は、個人情報保護法、秘密保持契約、委託先管理、漏えい等報告、本人通知などが問題になります。

しかし、この問題は法律だけでは片付きません。

経営上は、大口顧客との取引継続がかかっています。

組織上は、若手とベテランの分断が起きています。

感情面では、社長への不信、現場の怒り、DX担当の孤立があります。

将来面では、AI活用を続けるのか、止めるのかという判断もあります。

法律だけを見れば、報告義務や安全管理措置の話になります。

しかし、経営判断としては、顧客信用を守りながら、社員に「会社は隠していない」「個人に責任を押し付けていない」「今後はルールを作って使う」という姿勢を示す必要があります。

AIを全面禁止するだけでは、会社の生産性は上がりません。

一方で、ルールなしに使い続ければ、また同じ事故が起きます。

実務上のチェックポイント

このようなケースでは、私は次の点を確認します。

1. どのAIサービスを使ったのか

無料版なのか、有料版なのか。

会社契約なのか、個人アカウントなのか。

入力データが保存されるのか、学習に使われるのか。

まずここを確認します。

2. 何を入力したのか

氏名、住所、学年、受講コース、患者属性、診療内容が含まれていたのか。

単なる文案なのか、個人を識別できる情報なのか。

ここを曖昧にしたままでは、顧客説明も社内説明もできません。

3. 顧客との契約はどうなっているか

外部サービス利用、再委託、秘密情報の取扱い、事故報告期限がどう定められているか。

顧客ごとに契約内容が違う場合は、個別に確認する必要があります。

4. 社内の承認経路はあったか

社長がどこまで指示したのか。

DX推進担当にどの権限があったのか。

他の社員も同じようにAIを使っていないか。

担当者だけでなく、会社全体の管理体制を見ます。

5. 社員にどう説明するか

「外部に話すな」と厳命するだけでは不十分です。

会社として事実確認中であり、顧客対応を一本化する必要があることを説明しなければなりません。

社員が不信感を持ったままでは、内部告発や外部流出のリスクが高まります。

まとめ

生成AIは、中小企業にとって大きな武器になります。

しかし、顧客情報や個人情報を扱う会社では、使い方を間違えると、信用を一気に失います。

私は、このケースで最初にやるべきことは、担当者の処分でも、アカウント削除でも、顧客への場当たり的な謝罪でもないと考えます。

最初にやるべきことは、AI利用を止め、証拠を保全し、事実を整理し、顧客対応窓口を一本化することです。

そのうえで、報告要否、説明範囲、再発防止策、社内責任を分けて考える。

重要なのは、AIを使ったことを責めることではありません。

ルールなしに使わせたこと。

危険な情報の線引きをしなかったこと。

成果だけを求めて管理を後回しにしたこと。

ここを直視することです。

短期的には、止血と事実確認。

中期的には、顧客説明と再発防止。

長期的には、AI利用ルールと情報管理体制の整備。

この順番で動けば、会社は立て直せます。

問題が起きたときほど、誰かを切って終わらせたくなります。

しかし、本当に守るべきなのは、顧客信用、社員の信頼、そして会社が今後も安全にAIを活用できる仕組みです。

私は、これがこの場面での最善の経営判断だと考えます。

免責文

本記事は、中小企業の経営判断を考えるための一般的なケーススタディです。

実際の事案では、入力された情報の内容、利用したAIサービスの規約、顧客との契約条項、社内規程、ログの有無、被害の範囲などによって判断が異なります。

個別案件では、事実関係を丁寧に確認したうえで対応方針を検討する必要があります。