Claude Cowork 利用ポリシー雛形|機密文書・顧客データ・ソースコードをどこまで読ませるか(情シス・法務向け)

更新:2026年6月6日
この記事をシェア:
目次 クリックで開く

生成AIの業務利用が急速に拡大する中、Anthropic社が提供する「Claude」はその高い論理思考能力と長いコンテキストウィンドウから、多くの企業で導入検討が進んでいます。しかし、情シスや法務担当者が最も懸念するのは、「社内の機密情報や顧客データ、ソースコードをどこまで読ませて良いのか」という点です。

本記事では、Claudeを安全に実務へ導入するための「利用ポリシー」の考え方と、そのまま社内規程に転用できる雛形、そしてプランごとのセキュリティ仕様を公式ドキュメントに基づいて解説します。シャドーITを防ぎ、安全なAI活用基盤を構築するための実務マニュアルとしてご活用ください。

1. Claudeを業務導入する際の「セキュリティ境界線」

まず大前提として、個人向けの無料版(Consumer版)とビジネス向けのプランでは、データの取り扱いポリシーが根本的に異なります。実務担当者がまず確認すべきは、「入力したデータがモデルの学習に使われるかどうか」です。

1.1 プラン別:入力データの学習・保持ポリシー比較

Anthropic社の公式サイトおよび利用規約(Terms of Service)に基づくと、プランごとのデータ学習ポリシーは以下の通りです。

プラン名 データの学習(訓練への利用) 管理機能(SSO/ログ等) 主な用途
Free(無料版) 原則として学習に利用される なし 個人利用・試用
Pro(個人有料版) 原則として学習に利用される なし 個人事業主・高度な試用
Team 学習に利用されない(デフォルト) あり(管理者パネル) 中小規模・部署単位の導入
Enterprise 学習に利用されない(デフォルト) 高度な管理(SSO,監査ログ) 全社導入・大企業
Claude API 学習に利用されない API経由での制御 システム組み込み・自社アプリ開発

※公式リソース:Anthropic Pricing / Commercial Terms of Service

企業が導入する場合、Teamプラン以上の契約が必須となります。無料版やProプラン(個人契約)では、入力したプロンプトが将来のモデル改善に利用されるリスクを排除できません。法務・情シスとしては、「会社が契約したTeam/Enterpriseアカウント以外での業務利用(個人アカウント利用)」を禁止することが最初のステップとなります。

1.2 Anthropic社のコンプライアンス対応状況

Claudeはビジネス利用を強く意識しており、以下のセキュリティ基準を満たしています。

  • SOC 2 Type II: セキュリティ、可用性、機密性の基準を満たしている。
  • データ保持: ユーザーが削除したデータは、法的な保持義務がない限り、一定期間(通常30日以内)にシステムから削除される仕様となっている。
  • 著作権の帰属: 商用プランにおいて、出力(Output)の著作権はユーザーに帰属し、Anthropic側が権利を主張することはない。

このように、インフラ面での安全性は担保されていますが、「人間による意図しない情報漏洩」を防ぐには、運用ポリシーの策定が不可欠です。社内システムの管理については、SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐアーキテクチャを参考に、ID管理とセットで検討することをお勧めします。

2. 【情シス向け】Claude利用ポリシーの策定ガイド

ポリシーを策定する際、「一切の機密情報を禁止」とするとAIの利便性が著しく低下します。一方で、無制限に許可すればガバナンスが崩壊します。以下の3つの分類で基準を設けるのが実務的です。

2.1 読ませて良いもの・ダメなものの分類基準

多くの企業で採用されている「3色分類」の基準例を提示します。

  1. 【青】無制限に許可(パブリック情報)
    • 既にWebで公開されているプレスリリース、記事、マニュアル。
    • 一般的なプログラミングの文法確認や、汎用的なビジネスメールの添削。
  2. 【黄】条件付きで許可(社内機密・特定条件)
    • 社内会議の議事録(ただし個人名や取引先名を「担当A」「社名X」のように匿名化した場合)。
    • 特定の顧客を含まない、自社サービスの一般的な仕様書。
  3. 【赤】原則禁止(顧客データ・最重要機密)
    • 顧客の氏名、住所、電話番号、メールアドレス等の個人情報。
    • 未公開の決算情報、M&A情報、新規事業のコアとなる知財。
    • 他社から預かっている守秘義務(NDA)対象の資料。

2.2 ソースコード・設計書の取り扱いルール

エンジニアがClaudeを利用する場合、最も効果が高いのがコードレビューやリファクタリングです。ここでのルール設定は慎重に行う必要があります。

  • 推奨される利用法: 「特定のアルゴリズムの最適化」「テストコードの自動生成」「エラーログの解析」。
  • 禁止される利用法: 「会社独自の認証ロジック」「暗号化キーが含まれるソースコード」「フルスタックのディレクトリ構造をそのままアップロードする行為」。

ソースコードを扱う際は、環境変数やハードコードされた認証情報を削除した上で、論理構造のみを相談するよう徹底させます。

2.3 顧客個人情報と機密文書の匿名化プロセス

顧客対応の品質向上にClaudeを活用する場合、CRM上のデータを参照することがあります。この際、CRM連携によるデータ基盤構築を行っている企業であれば、抽出したデータをスクリプト等で機械的にマスキング(匿名化)してからClaudeへ渡すフローを標準化すべきです。

3. そのまま使える「Claude利用ポリシー」雛形

以下に、社内掲示板や規程集にそのまま転用できる「Claude利用ポリシー」の雛形を示します。条文の番号や承認フローは、自社の情報セキュリティ規程・個人情報保護方針との整合を取った上で微調整のうえ、運用を開始してください。

――― Claude 利用ポリシー(社内規程雛形)―――

第1条(目的)

本ポリシーは、当社における生成AI「Claude」(Anthropic社提供)の業務利用に関する基本原則を定め、業務生産性の向上と機密情報・個人情報の保護を両立させることを目的とします。

第2条(対象範囲)

本ポリシーは、当社の全役職員(雇用形態を問わず、業務委託先を含む)が業務目的でClaudeを利用するすべての行為に適用します。私的な利用は本ポリシーの対象外としますが、業務用デバイス・業務時間内での利用は業務利用とみなします。

第3条(利用可能なプラン)

業務利用は、当社が法人契約したTeamプラン、Enterpriseプラン、またはClaude APIに限ります。個人契約のFreeプラン・Proプランでの業務利用、および個人アカウントでのログインによる業務関連プロンプト入力は禁止します(無料版・個人有料版は入力データが学習に利用される設定のため)。

第4条(入力可能な情報の3区分)

本ポリシーでは、入力可能な情報を本記事の「3色分類」に基づき、以下の3区分に分類します。

  • 青(無制限に許可):すでに公開されている情報、汎用的なプログラミング・ビジネス文書のテンプレート相談等
  • 黄(条件付きで許可):社内情報のうち、個人名・取引先名・固有数値等を匿名化したもの
  • 赤(原則禁止):顧客個人情報、未公開決算情報、M&A情報、NDA対象資料、認証情報・暗号化キーを含むソースコード、自社の競争優位の源泉となる知財

第5条(明示的な禁止事項)

以下の行為は明示的に禁止します。

  1. 第4条「赤」区分の情報を、匿名化せずにClaudeへ入力すること
  2. 顧客から預かったデータを、本人または契約上の同意なしにClaudeへ入力すること
  3. Claudeの出力を、ファクトチェックを行わずに社外公開資料・契約書・財務資料へ転載すること
  4. 会社が許可していない他の生成AIサービス(ChatGPT個人版、Gemini個人版等)を業務利用すること
  5. 個人アカウントでログインした状態で業務関連のプロンプトを入力すること

第6条(例外申請・承認フロー)

第4条「赤」区分に該当する情報を、業務上の必要から例外的に入力する場合は、利用者は事前に直属の管理職および情報セキュリティ責任者の承認を得なければなりません。承認時には、対象情報の種類・利用目的・利用期間・出力の取り扱い方針を記録し、利用後は速やかに完了報告を行います。

第7条(監査と違反時の対応)

情報セキュリティ管理部門は、Team・Enterpriseプランの管理者パネルおよび監査ログを用いて定期的に利用状況を確認します。本ポリシー違反が確認された場合は、就業規則に基づく処分の対象とするとともに、当該行為により発生した損害については別途責任を追及することがあります。

第8条(改廃と見直し)

本ポリシーは、Anthropic社の規約・仕様変更、関連法令の改正、または社内体制の変更に応じて、情報セキュリティ責任者が随時見直しを行います。最終改定日:YYYY年MM月DD日/所管:情報システム部・法務部。

上記の雛形をそのまま導入する企業も多いですが、特に注意していただきたいのは 第6条「例外申請・承認フロー」を、自社の指揮命令系統に合わせて具体化すること と、第7条「監査」を誰が・どの頻度で・どの観点でチェックするかを別途運用手順として明文化すること の2点です。条文だけでは形骸化しやすいため、初年度は月次レビューを設けて運用感を掴むことをお勧めします。

ご相談・お問い合わせ

本記事の内容を自社の状況に当てはめたい場合や、導入・運用の設計を一緒に整理したい場合は、当社までお気軽にご相談ください。担当より折り返しご連絡いたします。

お問い合わせフォームへ

AI・業務自動化

ChatGPT・Claude APIを活用したAIエージェント開発、n8n・Difyによるワークフロー自動化で繰り返し業務を削減します。まずはどの業務をAI化できるか診断します。

AI・業務自動化サービスを見る まず無料相談する
AT
aurant technologies 編集

上場企業からスタートアップまで、数多くのデータ分析基盤構築・AI導入プロジェクトを主導。単なる技術提供にとどまらず、MA/CRM(Salesforce, Hubspot, kintone, LINE)導入によるマーケティング最適化やバックオフィス業務の自動化など、常に「事業数値(売上・利益)」に直結する改善実績多数。

この記事が役に立ったらシェア:
Xでシェア はてブ
← ブログ一覧へ戻る
RELATED

関連記事