Googleが提供する強力な対話型生成AI「Gemini(旧Bard)」。文章作成からデータ分析、アイデア出しまで幅広い業務を効率化できる一方で、企業で導入する際には「入力した機密情報がAIに学習されて漏えいしてしまうのではないか?」というセキュリティ上の懸念が付きまといます。
本記事では、Geminiに潜む情報漏えいリスクや、個人向け・法人向けプランでのデータの扱いの違い、臨機応変な活用に欠かせない「オプトアウト設定」の手順を解説します。企業がGeminiを安全に活用するための多層的なセキュリティ対策を学び、情報漏えいを防ぎましょう。
また、LRMでは長年の情報セキュリティ認証支援で培った確かな知見をもとに、専門チームがAIガバナンス構築を強力に伴走支援いたします。
「AI方針の策定」から「リスクアセスメント」「ガイドラインの整備」に至るまでを一貫してサポートし、社内のAI活用を安全にスケールさせるための最適な体制づくりを実現します。ぜひお気軽にご相談ください。
Geminiの利用に潜む3つの情報漏えいリスク
企業がGeminiを導入し、安全に利用するためには、まずはどのようなリスクが存在するのかを正確に把握することが重要です。特に注意すべき3つの情報漏えいリスクを確認していきましょう。
入力したデータ(プロンプト)の漏えい
Geminiの「個人向け無料版」では、ユーザーが入力した内容(プロンプト)が、AIの性能向上のための学習データとして利用される可能性があることがGoogleの規約に明記されています。
従業員が業務に関する機密情報や顧客情報を入力してしまうと、その情報がAIに学習され、意図せず他のユーザーへの回答生成に利用されてしまうリスクが生じます。
生成AI全般の情報漏えいリスクについては、関連記事「生成AIの情報漏えいリスクとは?利用に潜む危険性と企業がやるべき3つの対策」に記載していますので、合わせてご確認ください。
プロンプトインジェクションによる漏えい
「プロンプトインジェクション」とは、AIに対して特殊な指示や質問を入力することで、開発者が意図しない動作を引き起こし、機密情報を引き出そうとするサイバー攻撃の一種です。
悪意のあるプロンプトによって、本来は保護されるべきシステムの内部情報などが外部に漏えいする危険性があります。
プロンプトインジェクションについては、関連記事「プロンプトインジェクション対策ガイド|直接・間接攻撃のリスクと防御策」に詳細を記載していますので、ご参照ください。
連携する外部アプリケーションからの漏えい
Geminiは、さまざまな外部のアプリケーションやGoogle Workspaceの各種サービスと連携して機能を拡張できます。
しかし、連携先のアプリケーションに十分なセキュリティ対策が講じられていない場合、そこから情報が漏えいするリスクが生じます。
Geminiにおける情報の扱い方(無料版と法人版の違い)
Geminiの情報漏えいリスクを正しく理解するためには、利用するプランによってデータの取り扱いがどのように異なるかを知っておく必要があります。
| 項目 | 個人向け無料版 | 法人向け(Google Workspace)版 |
| 対象プラン | 無料版 Gemini | Gemini Business / Gemini Enterprise など |
| データの学習 | サービス向上のために学習利用される可能性あり | AIモデルに学習利用されない |
| 人間による審査 | 品質評価のためにレビューされる場合あり | 行われない(プライベート環境で保護) |
| 業務利用の適性 | 推奨されない(リスク高い) | 推奨(企業向けセキュリティ基準) |
個人向け無料版におけるデータの扱い方
前述の通り、個人向けの無料版Geminiでは、入力した内容や生成された回答などのデータが、サービス改善やAIの性能向上のために利用されるケースがあります。また、一部の対話は品質評価のために人間のレビュアーによって確認されることもあります。
そのため、個人向けアカウントを業務で利用し、機密情報を入力することは情報漏えいのリスクが伴うことを理解しておく必要があります。
法人向け(Google Workspace)版におけるデータの扱い方
一方、「Gemini Enterprise」や「Gemini Business」といった企業向けの有料サービス(Gemini for Google Workspace)では、ユーザーが入力したデータや社内のドキュメントが、公共のAIモデルの学習データとして利用されることはないとGoogle側が明言しています。
データは各企業のプライベートな環境で保護され、人間のレビュアーによる審査も行われません。業務利用においては、この法人向けプランの契約が基本と言えます。
Geminiに学習させない(オプトアウト)の設定方法
個人向け無料版のGeminiを利用せざるを得ない状況で、入力した情報をAIの学習から除外したい場合は、「オプトアウト」の設定を必ず行いましょう。オプトアウト設定をすることで、対話履歴がGoogleアカウントに保存されなくなり、プライバシーの保護が可能です。
PC版Geminiでのオプトアウト手順
PCのブラウザからGeminiを利用している場合、以下の手順で設定を変更できます。
- Gemini(gemini.google.com)にアクセスし、Googleアカウントでログインする。
- 画面左側のメニューから「アクティビティ」を選択する。
- 「Geminiアプリアクティビティ」の項目で、「オフにする」を選択する。
- 確認画面が表示されるので、「オフにする」または「オフにしてアクティビティを削除」を選択する
スマートフォンアプリでのオプトアウト手順
スマートフォン(Android)のGeminiアプリを利用している場合は、以下の手順で設定が可能です。
- Geminiアプリを起動する。
- 画面右上のプロフィールアイコンをタップする。
- 表示されたメニューから「Geminiアプリアクティビティ」を選択する。
- 画面上部の「オフにする」または「オフにしてアクティビティを削除」を選択する。
オプトアウト設定における重大な注意点
オプトアウトを設定しても、サービスの安定性維持などを目的に最大72時間はGoogleのサーバーに会話データが一時保存されることを理解しておく必要があります。
つまり、オプトアウト設定をしたからといって、情報漏えいリスクを完全にゼロにできるわけではありません。したがって、無料版において機密情報や顧客情報などを入力することは、引き続き絶対に避けるべきです。
企業がGeminiを安全に利用するための多層的な対策
企業は、情報漏えいリスクを最小化し、Geminiを安全に利用するために、システム面と運用面の双方から多層的なセキュリティ対策を講じることが重要です。
法人向けプランの導入
企業の業務でGeminiを利用する際は、セキュリティが強化された法人向けの「Gemini for Google Workspace」の導入が推奨されます。入力データがAIの学習に利用されることがないため、企業のデータを保護した上で、安全に利用できます。
DLP(情報漏えい防止)機能の活用
「Gemini for Google Workspace」の管理者コンソールでは、DLP(Data Loss Prevention)機能を利用して、情報漏えいをシステム的に防ぐ設定が可能です。 たとえば、「マイナンバー」や特定の社内プロジェクト名といったキーワードを含む情報がGeminiに入力された際に、警告を表示したり、入力をブロックしたりするルールを作成できます。
アクセス制御と認証の強化
Geminiを含むGoogle Workspace全体で、アクセス制御と認証を強化することも欠かせません。不要なアカウントにはGeminiへのアクセス権を付与しない「最小権限の原則」を徹底し、2段階認証を必須とすることで、不正アクセスによる情報漏えいリスクを低減できます。
「シャドーAI」を防ぐ利用ガイドラインの策定
会社が安全なシステム環境を用意しても、従業員が個人のスマートフォンで無料版の生成AIを利用してしまう「シャドーAI」は、情報漏えいの抜け穴となります。 これを防ぐためには、「会社が許可したAIツールのみを利用する」「顧客情報は入力しない」といった明確な社内ルール(AI利用ガイドライン)を策定し、ISMSなどの社内規程に組み込む必要があります。
全体的なリスクの把握については「シャドーAIとは?シャドーITとの違いとIPA警告の重大リスクと実例から学ぶ、企業が実践すべき5つの対策」をご確認ください。
従業員への「セキュリティ教育」の徹底
最も重要かつ効果的な対策が、従業員への継続的なセキュリティ教育です。 ガイドラインを策定しても、現場の従業員が「なぜ危険なのか」を理解していなければルールは形骸化します。
しかし、教育を始めるにあたって「まずは何から教えるべきか分からない」「自社の従業員が今どの程度のリテラシーを持っているのか把握できていない」という担当者の方も多いのではないでしょうか。
とはいえ、社内のリテラシーレベルを一から調査するのは時間も手間もかかります。そこで、従業員が安全にAIを利用できているかを簡単に棚卸しできる「セキュリティチェックリスト」をご用意しました。社内教育の現状把握や、今後のガイドライン見直しにぜひご活用ください。
また、企業の規模が大きくなるほど、シャドーAIのリスクや管理の目は行き届きにくくなるものです。従業員へのリテラシー教育と並行して、部門を横断した強固なガバナンス体制を築く必要があります。
大企業における高度な管理体制の構築手順については、「大企業のAIガバナンス完全ガイド|「AI事業者ガイドライン第1.2版」対応」も併せてご参照ください。
まとめ:Geminiのセキュリティは「システム」と「組織体制」の両輪で守る
Geminiの法人向けプランは、機密情報が学習に利用されないなど、企業が求める高いセキュリティ基準を満たしています。また、DLP機能やアクセス制御を適切に設定することで、システム面からの防衛力を高めることが可能です。
しかし、どれほど安全なシステムを導入しても、それを扱う従業員のリテラシーが低く、社内ルールが未整備であれば、情報漏えいのリスクはゼロになりません。
Geminiを本格的にビジネス活用するためには、法人プランの導入と並行して、実効性のある「ガイドラインの策定(AIガバナンス)」と、従業員一人ひとりの意識を変える「セキュリティ教育」が不可欠です。
LRMでは、長年の情報セキュリティ認証支援で培った確かな知見をもとに、専門チームがAIガバナンス構築を強力に伴走支援いたします。
「AI方針の策定」から「リスクアセスメント」「ガイドラインの整備」に至るまでを一貫してサポートし、社内のAI活用を安全にスケールさせるための最適な体制づくりを実現します。ぜひお気軽にご相談ください。
さらに、構築したガバナンスやガイドラインを形骸化させず、従業員一人ひとりに浸透させるためには、継続的な「セキュリティ教育」が欠かせません。
LRMが提供する情報セキュリティ教育クラウド「セキュリオ」なら、生成AIの利用リスクや正しい付き合い方をタイムリーに学べるeラーニング教材を多数ご用意しています。
手軽な配信と自動の受講管理で、担当者様に負担をかけず全社のリテラシー底上げが可能です。「形だけのルール」で終わらせない安全なAI活用に向けて、ぜひ併せてご活用ください。
