Claude Cowork 利用ポリシー雛形|機密文書・顧客データ・ソースコードをどこまで読ませるか(情シス・法務向け)
目次 クリックで開く
生成AIの業務利用が急速に拡大する中、Anthropic社が提供する「Claude」はその高い論理思考能力と長いコンテキストウィンドウから、多くの企業で導入検討が進んでいます。しかし、情シスや法務担当者が最も懸念するのは、「社内の機密情報や顧客データ、ソースコードをどこまで読ませて良いのか」という点です。
本記事では、Claudeを安全に実務へ導入するための「利用ポリシー」の考え方と、そのまま社内規程に転用できる雛形、そしてプランごとのセキュリティ仕様を公式ドキュメントに基づいて解説します。シャドーITを防ぎ、安全なAI活用基盤を構築するための実務マニュアルとしてご活用ください。
1. Claudeを業務導入する際の「セキュリティ境界線」
まず大前提として、個人向けの無料版(Consumer版)とビジネス向けのプランでは、データの取り扱いポリシーが根本的に異なります。実務担当者がまず確認すべきは、「入力したデータがモデルの学習に使われるかどうか」です。
1.1 プラン別:入力データの学習・保持ポリシー比較
Anthropic社の公式サイトおよび利用規約(Terms of Service)に基づくと、プランごとのデータ学習ポリシーは以下の通りです。
| プラン名 | データの学習(訓練への利用) | 管理機能(SSO/ログ等) | 主な用途 |
|---|---|---|---|
| Free(無料版) | 原則として学習に利用される | なし | 個人利用・試用 |
| Pro(個人有料版) | 原則として学習に利用される | なし | 個人事業主・高度な試用 |
| Team | 学習に利用されない(デフォルト) | あり(管理者パネル) | 中小規模・部署単位の導入 |
| Enterprise | 学習に利用されない(デフォルト) | 高度な管理(SSO,監査ログ) | 全社導入・大企業 |
| Claude API | 学習に利用されない | API経由での制御 | システム組み込み・自社アプリ開発 |
※公式リソース:Anthropic Pricing / Commercial Terms of Service
企業が導入する場合、Teamプラン以上の契約が必須となります。無料版やProプラン(個人契約)では、入力したプロンプトが将来のモデル改善に利用されるリスクを排除できません。法務・情シスとしては、「会社が契約したTeam/Enterpriseアカウント以外での業務利用(個人アカウント利用)」を禁止することが最初のステップとなります。
1.2 Anthropic社のコンプライアンス対応状況
Claudeはビジネス利用を強く意識しており、以下のセキュリティ基準を満たしています。
- SOC 2 Type II: セキュリティ、可用性、機密性の基準を満たしている。
- データ保持: ユーザーが削除したデータは、法的な保持義務がない限り、一定期間(通常30日以内)にシステムから削除される仕様となっている。
- 著作権の帰属: 商用プランにおいて、出力(Output)の著作権はユーザーに帰属し、Anthropic側が権利を主張することはない。
このように、インフラ面での安全性は担保されていますが、「人間による意図しない情報漏洩」を防ぐには、運用ポリシーの策定が不可欠です。社内システムの管理については、SaaS増えすぎ問題と退職者のアカウント削除漏れを防ぐアーキテクチャを参考に、ID管理とセットで検討することをお勧めします。
2. 【情シス向け】Claude利用ポリシーの策定ガイド
ポリシーを策定する際、「一切の機密情報を禁止」とするとAIの利便性が著しく低下します。一方で、無制限に許可すればガバナンスが崩壊します。以下の3つの分類で基準を設けるのが実務的です。
2.1 読ませて良いもの・ダメなものの分類基準
多くの企業で採用されている「3色分類」の基準例を提示します。
- 【青】無制限に許可(パブリック情報)
- 既にWebで公開されているプレスリリース、記事、マニュアル。
- 一般的なプログラミングの文法確認や、汎用的なビジネスメールの添削。
- 【黄】条件付きで許可(社内機密・特定条件)
- 社内会議の議事録(ただし個人名や取引先名を「担当A」「社名X」のように匿名化した場合)。
- 特定の顧客を含まない、自社サービスの一般的な仕様書。
- 【赤】原則禁止(顧客データ・最重要機密)
- 顧客の氏名、住所、電話番号、メールアドレス等の個人情報。
- 未公開の決算情報、M&A情報、新規事業のコアとなる知財。
- 他社から預かっている守秘義務(NDA)対象の資料。
2.2 ソースコード・設計書の取り扱いルール
エンジニアがClaudeを利用する場合、最も効果が高いのがコードレビューやリファクタリングです。ここでのルール設定は慎重に行う必要があります。
- 推奨される利用法: 「特定のアルゴリズムの最適化」「テストコードの自動生成」「エラーログの解析」。
- 禁止される利用法: 「会社独自の認証ロジック」「暗号化キーが含まれるソースコード」「フルスタックのディレクトリ構造をそのままアップロードする行為」。
ソースコードを扱う際は、環境変数やハードコードされた認証情報を削除した上で、論理構造のみを相談するよう徹底させます。
2.3 顧客個人情報と機密文書の匿名化プロセス
顧客対応の品質向上にClaudeを活用する場合、CRM上のデータを参照することがあります。この際、CRM連携によるデータ基盤構築を行っている企業であれば、抽出したデータをスクリプト等で機械的にマスキング(匿名化)してからClaudeへ渡すフローを標準化すべきです。
3. そのまま使える「Claude利用ポリシー」雛形
以下に、社内掲示板や規程集にそのまま
3. **追記するHTMLだけ**(通常は `
4. 次の1行を**そのまま**出力:
ご相談・お問い合わせ
本記事の内容を自社の状況に当てはめたい場合や、導入・運用の設計を一緒に整理したい場合は、当社までお気軽にご相談ください。担当より折り返しご連絡いたします。
AI・業務自動化
ChatGPT・Claude APIを活用したAIエージェント開発、n8n・Difyによるワークフロー自動化で繰り返し業務を削減します。まずはどの業務をAI化できるか診断します。