2026年 ChatGPT情報漏洩事件まとめ｜実例と今すぐできる対策4つ

「議事録の要約をChatGPTに頼んだ」「ソースコードのバグをAIに直してもらった」——こういった使い方、社内でも当たり前になってきていると思います。

「AIに何を入れるかは気をつけた方がいい」という感覚はある。でも具体的に何がどう危ないのか、正直よくわかっていないという方も多いのではないでしょうか。この記事では、実際に起きた事例をもとに、AIによる情報漏洩の仕組みと今すぐできる対策を整理します。

「悪意がない」から気づけない、AIの情報漏洩

従来の情報漏洩は「ハッカーによる不正アクセス」や「内部の人間による持ち出し」が主な原因でした。だから対策も「外からの攻撃を防ぐ」「怪しい行動を監視する」という方向性になりがちでした。

しかしAI時代の情報漏洩は、まったく違う構造で起きます。普通の業務を、普通のやり方でやっているだけで、気づかないうちに情報が外に出ていく。これがAI特有のリスクです。

実際に何が起きたか

「理論上のリスク」ではなく、すでに大手企業でも実際に起きています。

大手電子機器メーカーでのソースコード流出

2023年、大手電子機器メーカーのエンジニアが開発中の製品ソースコードをChatGPTに貼り付け、バグの修正を依頼しました。コードには製品の設計情報など、外部に一切出してはならない機密情報が含まれていました。

当時使用していたChatGPTは入力内容を学習データとして使用する設定になっており、社外秘のコードがAIの学習に取り込まれるリスクが生じました。同社はその後、社内ネットワークでの生成AI利用を即座に禁止しています。

ChatGPTのバグによる他ユーザーへの履歴流出

ChatGPT自体のシステムバグにより、あるユーザーのチャット履歴が、まったく無関係の別ユーザーの画面に表示されるという事故が起きました。「学習に使わない設定にしている」「有料プランだから安全」という認識は、システム障害が起きた瞬間には意味をなしません。

AIサービスに入力した情報は、何らかの形でサーバー上に残ります。そのサーバーが完璧に安全であり続ける保証は、どのサービスにも存在しません。

議事録をそのままアップロードして経営情報が流出

重要な経営会議の録音データを文字起こしし、そのまま生成AIに渡して要約を作成させた事例。入力されたテキストには未発表の新事業・人事情報・財務の見通しなど、外部に出れば大きな影響を与える情報が含まれていました。「要約するだけだから大丈夫」という感覚が、情報漏洩の入口になります。

なぜ漏れるのか——3つの仕組み

事例を見ると「自分ならやらない」と思うかもしれません。ただ仕組みを理解すると、実は身近な行為がリスクになっていることがわかります。

① 入力内容がAIの学習データになる

多くの生成AIサービスは、無料プランや初期設定のままだと、ユーザーの入力内容をAIの改善・学習に利用します。社員が入力した顧客情報・契約内容・未発表情報が、将来的に他のユーザーへの回答に影響する可能性があります。有料プランへの切り替えや設定変更で対応できる場合が多いですが、確認せずに使い続けているケースが大半です。

② チャット履歴がサーバーに残り続ける

AIとのやり取りはサービス提供会社のサーバーに保存されます。学習オプトアウトの設定をしていても、データ自体がサーバーに存在する限り、外部攻撃やシステムバグによる流出リスクはゼロにはなりません。

③ 社員の端末経由でログイン情報が抜かれる

企業のシステムが安全でも、社員の端末に悪意のあるソフトウェアが侵入していれば、AIサービスへのログイン情報や入力内容が第三者に抜き取られます。例えば、怪しいメールの添付ファイルを開いたり、不審なサイトからファイルをダウンロードしたりすることで、知らないうちにキー入力や画面を監視するプログラムが端末に入り込むことがあります。2025年には大手AIサービスのアカウント情報2,000万件以上がダークウェブで売買されていたことが確認されており、その多くがこうした端末への不正侵入が原因とされています。

今日からできる4つの対策

私自身、日々の業務でAIをかなり使っています。そのうえで一番気をつけているのは、便利さに慣れるほど「これくらいなら大丈夫」の線引きが甘くなっていく、という点です。たとえばクライアントから受け取った資料や、社外秘のやり取りをそのまま貼り付けたくなる場面は実際にあります。そこで私は、AIに渡す前に固有名詞や数値を伏せる、使うツールと設定を決めておく、といった当たり前の手順を「面倒でも毎回やる」と決めています。特別なことではありませんが、自分で運用してみると、結局はこの地道な習慣が一番効くと感じています。

リスクの話ばかりしていても仕方がないので、現実的に今日からできる対策を4つ整理します。技術的な知識は不要で、意思決定とルール作りで対応できるものがほとんどです。

① 「AIに入れてはいけない情報」を明文化して全社に周知する

顧客の個人情報・契約書・未発表の経営情報・ソースコード・パスワードなど、入力禁止の情報をリスト化し、全社員に伝える。ルールがなければ社員は善意で情報を入力してしまいます。

② 使用するAIツールを会社として指定する

社員が各自で好きなAIツールを使う状態は危険です。会社として承認したツールのみを使用するよう統一し、セキュリティ設定が適切なものを選定する。承認されていないツールの使用禁止も明記しましょう。

③ 学習オプトアウトの設定を今すぐ確認する

ChatGPTをはじめ多くのサービスには「入力データを学習に使用しない」設定があります。有料プランへの切り替えや設定変更で対応できる場合が多いので、今使っているツールの設定を必ず確認してください。

④ 「なぜ危ないのか」を社員全員が理解できる状態にする

ルールを作っても、背景を理解していなければ守られません。「禁止」だけでなく「なぜ禁止なのか」を伝えることが重要です。定期的な研修や事例共有で、AIリテラシーを組織全体で底上げしていきましょう。

まとめ

生成AIを業務で使うこと自体は、正しく使えば強力な武器になります。問題は「便利だから」という感覚で使い続け、リスクを把握しないまま社員全員が思い思いのやり方でAIを使っている状態です。

今のうちにルールを整備しておくことが、後から取り返しのつかない情報漏洩を防ぐ唯一の方法です。まず「入力してはいけない情報の明文化」と「使用ツールの統一」から始めてみてください。安全を前提としたAI導入の進め方そのものは、中小企業のAI導入は何から始める？と生成AI導入の進め方｜失敗しない5ステップで具体的に解説しています。

IgyではAIを活用したマーケティング支援を行っています。「AIを安全に業務で使いたい」「どのツールをどう導入すればいいかわからない」という方は、まずサービス詳細をご確認いただくか、お気軽にご相談ください。