機密情報は、外部に知られると事業、顧客、取引、セキュリティに影響が出るため、限定して扱うべき情報です。
未公開の仕様書、契約条件、顧客リスト、ソースコード、システム構成図、障害報告書、脆弱性情報などが代表例です。
まず押さえたいポイント
- 社外に出すと不利益が出る情報を指す
- 契約書で秘密情報として定義されている場合もある
- 社名や氏名を消しても、内容から推測できる場合は機密性が残る
- 生成AIやクラウドサービスへ入力する前に、利用許可とサービス条件を確認する
どんな場面で使うか
IT業務では、要件定義書、設計書、API仕様、DB定義、ログ、障害調査メモ、セキュリティ診断結果などに機密情報が含まれやすいです。
受託開発では、クライアントから預かった資料の多くが、公開情報ではなく機密情報として扱われます。
生成AIを使うときは、機密情報をそのままプロンプトへ貼るのは危険です。
AIサービスの規約、学習利用の有無、保存期間、管理者設定、削除方法、外部提供の範囲を確認しないまま入力すると、情報管理上の説明が難しくなります。
よくある誤解
機密情報は、顧客名や個人名だけではありません。
金額、構成、業務フロー、技術的な弱点、交渉中の条件、未公開のリリース予定なども、組み合わせると重要な情報になります。
また、社名を伏せたから安全とは限りません。
業界、地域、取引内容、障害の特徴、文面の癖から関係者に推測されることがあります。AIに入力する場合は、単純な置換ではなく、必要な論点だけを抽象化する方が安全です。
実務で見るポイント
機密情報を扱うときは、まず公開、社内、機密、個人情報、認証情報のように分類します。
そのうえで、生成AIへ入力してよい分類、承認があれば使える分類、禁止する分類を決めます。特にソースコード、認証情報、脆弱性情報、本番ログは、便利さより漏えい時の影響を優先して判断します。
迷った情報は、公開済みかどうかではなく、外へ出たときに誰が困るかで見ると判断しやすくなります。