Claude 利用時のデータ保持・学習オプトアウト|企業契約で確認すべき条項リスト
目次 クリックで開く
生成AIのビジネス活用において、ChatGPTと並んで有力な選択肢となっているのがAnthropic社の「Claude(クロード)」です。高い日本語処理能力と論理的思考力を持つ一方で、企業導入時に最大の懸念となるのが「入力した機密データがAIの学習に使われないか」「データはどこに、いつまで保持されるのか」という点です。
本記事では、IT実務者の視点から、Claudeの各プランにおけるデータ保護の仕様、学習オプトアウトの手順、そして法務・情報システム部門がチェックすべき利用規約の特定条項を網羅的に解説します。公式ドキュメントに基づいた正確な情報を元に、安全なAI運用のためのガイドラインを提示します。
Claudeのデータ保護と学習ポリシーの全体像
Anthropic社は「Constitutional AI(憲法AI)」というアプローチを掲げており、安全性と透明性を重視する姿勢を鮮明にしています。しかし、実務上のデータ取り扱いは、契約するプランによって大きく異なります。
Anthropic社が掲げるプライバシー保護の原則
Anthropicの基本的なスタンスとして、「ユーザーのデータを販売しないこと」および「法人向けプラン(Team/Enterprise)やAPI経由のデータは、明示的な同意がない限りモデルの学習に使用しないこと」が明文化されています。これは、企業が独自ノウハウや顧客情報を扱う上で最低限必要な防波堤となります。
プラン別:データ学習のデフォルト設定比較
まずは、プランごとの「学習(サービス改善への利用)」の有無を整理した比較表を確認しましょう。
| プラン名 | チャットUI / API | デフォルトの学習利用 | データの保持期間(標準) |
|---|---|---|---|
| Claude Free / Pro | チャットUI | あり(※1) | ユーザーが削除するまで |
| Claude Team | チャットUI | なし | ユーザーが削除するまで |
| Claude Enterprise | チャットUI | なし | 組織管理者が設定可能 |
| Anthropic API | API | なし | 最大28日間(※2) |
※1:設定からオプトアウト可能。ただし、不正利用防止のためのモニタリングは行われる。
※2:不正検知・安全確認目的。申請により保持しない設定も可能。
【プラン別】データ保持・学習オプトアウトの詳細仕様
Claude Free(無料版)および Pro(個人向け)の場合
個人アカウントで利用する場合、入力したプロンプトやアップロードしたファイルは、デフォルトでAnthropicのモデル改善(学習)に使用される可能性があります。企業の実務担当者がテスト的に個人アカウントで機密情報を入力することは、重大なリスクを伴います。
個人版で学習を拒否するには、設定画面から「Training」に関する項目をオフにするか、個別にオプトアウト申請を行う必要があります。しかし、企業利用であれば後述する「Team」以上のプランを選択するのが定石です。
Claude Team(法人向け)の場合
「Claude Team」プランは、5名以上のユーザーを対象とした法人向け最小パッケージです。このプランの最大の特徴は、「デフォルトでユーザーデータが学習に使用されない」ことが規約(Commercial Terms)で保証されている点にあります。
公式ドキュメント(Anthropic Help Center)によれば、Teamプランのデータは、モデルのトレーニングではなく、あくまで当該組織内の利便性向上のためにのみ保持されます。
Claude Enterprise(大規模法人向け)の場合
Enterpriseプランでは、Teamプランの保護に加え、より高度な管理機能が提供されます。
- SSO(シングルサインオン): 従業員のアカウント管理を中央集約化し、退職者のアクセス権を即座に剥奪できます。
- 詳細な監査ログ: 誰がいつどのようなプロンプトを入力したかのログを抽出し、内部監査に利用できます。
- データの保持制御: 組織のポリシーに合わせて、データの保持期間をカスタマイズ可能です。
こうしたアカウント管理の自動化については、Entra IDやOktaを活用したアカウント削除の自動化と同様の視点が必要であり、エンタープライズ環境では必須の要件となります。
Anthropic API(開発者向け)の場合
自社アプリケーションや基幹システムにClaudeを組み込む場合は、APIを利用します。API経由のデータは、デフォルトで学習に使用されません。
ただし、「不正なプロンプトの検知」という安全上の目的(Trust & Safety)から、Anthropic社のサーバー内に最大28日間データが保持されます。金融機関など、1日たりとも外部サーバーにデータを残したくない場合は、特別な申請(Zero Data Retention申請)を行う必要があります。
企業が必ず確認すべき「利用規約」のチェックリスト
法務部門や情報セキュリティ部門がClaudeを審査する際、特に注視すべきは「Commercial Terms(商用利用規約)」です。以下の4点は、稟議を通す上で避けて通れないチェックポイントです。
1. データの所有権(Ownership of Content)
ユーザーが入力した「Input」およびAIが生成した「Output」の所有権は誰にあるか。Anthropicの規約では、通常、ユーザー側に所有権が帰属することが明記されています。ただし、生成された回答が他者の著作権を侵害しないことを完全に保証するものではないため、最終的な利用判断は人間が行う運用ルールが必要です。
2. サービス改善への利用(Usage of Data for Service Improvement)
「Our use of your data」といった項目を確認します。法人向けプランにおいて「We do not use your data to train our models(モデルの学習にデータを使用しない)」という文言が含まれているかを確認してください。2024年現在の法人向け規約では、明示的に学習除外が謳われています。
3. データの保持期間(Data Retention)
「Retention(保持)」の項目では、データが物理的にどこまで残るかを確認します。チャット履歴として保存されるデータと、バックアップや不正検知用に一時保持されるデータは区別して理解する必要があります。もし、一定期間で自動削除したい場合は、Enterpriseプランの機能や、APIの利用を検討してください。
4. セキュリティ認証(SOC 2 Type 2)
AnthropicはSOC 2 Type 2レポートを取得しています。これは、同社の内部統制(安全性、機密性、可用性など)が第三者監査によって認定されていることを示します。エンタープライズ企業がSaaSを導入する際の標準的な判断材料となります。
実務上の設定・オプトアウト申請手順
チャットUI(Claude.ai)での設定確認
Teamプラン以上であればデフォルトで学習されませんが、個人版(Free/Pro)を業務で併用せざるを得ない場合は、以下の手順でリスクを軽減します。
- Claude.aiにログインし、左下のプロフィールアイコンをクリック。
- 「Settings」を選択。
- 「Account」内の「Data Usage」または「Training」の項目を確認し、チェックを外す。
※UIは頻繁にアップデートされるため、常に最新の設定画面を確認してください。
API利用時における「Trust & Safety」設定
APIを利用する場合、機密性が極めて高いプロジェクトでは「28日間のデータ保持」すら許容できないケースがあります。この場合、Anthropicの営業担当またはサポート窓口を通じて「Zero Data Retention(ZDR)」を申請します。ただし、ZDRが承認されるためには、利用用途やセキュリティ体制に関する審査が必要になることが一般的です。
生成AI導入時に検討すべき周辺ソリューション
Claudeそのものの設定だけでなく、企業全体としてAIを安全に使いこなすためには、アーキテクチャ全体の設計が重要です。
ID管理(SSO)によるアカウント統制
個々の社員がバラバラにClaudeのアカウントを作成する「シャドーIT」を防ぐには、EnterpriseプランによるSSO連携が不可欠です。コミュニケーションツールのコスト削減と統制の観点からも、バラバラに発生するライセンス費用を集約し、ガバナンスを効かせるべきです。
API経由での自社専用環境の構築
データの機密性を極限まで高めるなら、Claudeのチャット画面をそのまま使うのではなく、APIを利用して自社のクラウド環境(AWSやGoogle Cloud経由のBedrock / Vertex AIなど)内に専用のUIを構築する方法もあります。これにより、ログの完全な掌握と、社内データ基盤とのシームレスな連携が可能になります。
例えば、BigQuery等のデータ基盤と連携したアーキテクチャを構築することで、社内の構造化データとClaudeの推論能力を安全に組み合わせ、高度な意思決定支援を実現できます。
よくあるエラーと対処
- 「API Keyが認証されない」: 利用規約への同意が完了していない、または組織設定でAPI利用が制限されている可能性があります。管理画面の「Billing」設定でクレジットが追加されているか確認してください。
- 「アップロードしたファイルが読み込めない」: ファイル形式(PDF, txt, csv等)とサイズ制限(1ファイル最大30MB、計5ファイルまで等)に抵触していないか確認してください。
まとめ:安全なClaude運用のための3ステップ
企業がClaudeを導入する際は、以下のステップを推奨します。
- プランの選定: 5名以上なら迷わず「Team」プラン以上を選択し、学習除外の権利を確保する。
- 規約の特定: 汎用的な利用規約ではなく、法人向けの「Commercial Terms」に基づき、法務・セキュリティ部門の確認を受ける。
- 出口戦略の策定: 万が一のデータ漏洩を防ぐため、プロンプトに個人情報や顧客特定情報を含めない運用ガイドラインを策定し、必要に応じて監査ログをモニタリングする。
Claudeはその強力な性能ゆえに、正しく設定すれば業務効率を劇的に向上させる武器になります。一方で、デフォルト設定やプランごとの規約の差を無視することは、企業の信頼性に直結するリスクを孕んでいます。本記事のリストを参考に、安全なAI活用基盤を構築してください。
導入担当者が陥りやすい「セキュリティの盲点」と補足知識
Claudeの導入審査において、データ学習の有無(Inputの保護)と並んで議論になるのが、AIによる生成物(Output)にまつわるリスクです。特に法務担当者から指摘を受けやすい「よくある誤解」を整理しました。
よくある誤解:学習されない=権利侵害のリスクがゼロ?
「法人プランで学習をオプトアウトすれば、著作権侵害のリスクはなくなる」と解釈されることがありますが、これは正確ではありません。学習への利用禁止は、あくまで自社の機密情報をAIのモデル強化に使わせないための防衛策です。生成された回答が既存の著作物に類似し、他者の権利を侵害する可能性(権利侵害リスク)については、別途、人間の目による検証や、生成AIポリシーの策定によるリスク管理が必要です。
プラットフォーム別:Claude利用時のデータプライバシー特性
Anthropic社の公式サイト(Claude.ai)から直接契約する以外に、クラウドプラットフォーム経由でClaudeを利用する選択肢もあります。環境によって管理主体が異なるため、自社の既存インフラに合わせた選定が重要です。
| 提供形態 | 主なプラットフォーム | データの所在と管理 |
|---|---|---|
| SaaS型 (Direct) | Claude.ai (Team/Enterprise) | Anthropic社の管理環境内に保持 |
| PaaS型 (API) | Anthropic API (Console) | Anthropic社のサーバーに最大28日間保持(ZDR申請可) |
| Cloud Native型 | AWS (Bedrock) / GCP (Vertex AI) | 自社クラウドのリージョン内に閉じることが可能(※要設定) |
特に金融や製造業など、厳格なデータ所在管理が求められる現場では、オンプレミス負債を解消しつつクラウド基盤へ移行する一環として、AWSやGoogle Cloud上でClaudeをセキュアに運用する構成が推奨されます。
公式ドキュメント・詳細リソース一覧
最新の仕様や具体的な法務条項については、必ず以下の公式リソースを確認してください。特にTrust Centerは、セキュリティチェックシート作成の必須ソースとなります。
- Anthropic Trust Center:SOC 2レポートの要請や、セキュリティホワイトペーパーの閲覧が可能です。
- Anthropic Commercial Terms:法人契約(Team/Enterprise)に適用される標準商用規約です。
- Privacy Policy:データの収集項目や保持に関する全体的な方針が記載されています。
また、ライセンスを無駄なく管理し、退職者による不正アクセスを防ぐための全体設計については、SFA・CRM・MAを含むデータ連携の全体設計図を参考に、AIツールを独立させず、統合的なIDガバナンスの中に組み込むことを検討してください。
実務者が把握しておくべき「データの所在」と提供形態の差異
Claudeの導入において、データの学習有無と並んで情報システム部門が重視するのが「データの物理的な所在(データレジデンシー)」です。Anthropic社との直接契約だけでなく、主要なクラウドベンダー経由で利用する場合、管理の責任分界点が異なります。自社のセキュリティポリシーに照らし合わせ、最適な提供形態を選択してください。
プラットフォーム別:データ保持とリージョンの特性
特に日本国内の法規制や業界ガイドラインにより「国内でのデータ完結」が求められる場合、AWSやGoogle Cloud経由での利用が有力な選択肢となります。以下の比較表を参考に、インフラ戦略を検討してください。
| 提供プラットフォーム | 主なサービス名 | データの保持場所(リージョン) | 学習への利用 |
|---|---|---|---|
| Anthropic(直接) | Claude.ai / API | 主に米国(※プランにより要確認) | 法人向けはデフォルト対象外 |
| Amazon Web Services | Amazon Bedrock | 東京リージョン等、任意で選択可能 | 一切使用されない(公式明言) |
| Google Cloud | Vertex AI (Model Garden) | 東京リージョン等、任意で選択可能 | 一切使用されない(公式明言) |
こうしたクラウドネイティブな構成をとることで、SaaSコストとインフラ負債のバランスを考慮した、よりセキュアなAI基盤の構築が可能になります。
公式リソースと審査用ドキュメントの取得先
法務・コンプライアンス審査を円滑に進めるために、Anthropic社が提供している公式の信頼性情報を活用してください。URLは全て実在する公式サイトのものです。
- Anthropic Trust Center
SOC 2 Type II レポートの要請や、セキュリティ・ホワイトペーパーのダウンロードが可能です。 - Commercial Terms (商用利用規約)
法人契約におけるデータの権利帰属や、学習除外に関する法的根拠となる条項が記載されています。 - Help Center (Privacy & Security)
「プロンプトはいつまで保存されるか」といった実務的なFAQが網羅されています。
アカウント管理とガバナンスの統合
Claudeの導入は、単なるツール導入に留まらず、組織全体のIDガバナンスの一環として捉えるべきです。EnterpriseプランでのSSO連携を軸に、SFA・CRM・MA・Webが連携する全体設計図の中にAIの出口戦略を位置づけることで、退職者による機密情報アクセスといった二次的なリスクを最小化できます。
実務上のアドバイス:
API経由で「Zero Data Retention(ZDR)」を申請する場合、Anthropic社による個別の審査が行われます。医療データや極めて秘匿性の高い個人情報を扱う場合は、申請から承認までのリードタイムをプロジェクト計画に含めておくことを推奨します。