日本の会社は、長いあいだクラウドに慎重でした。
情報セキュリティ、個人情報保護。こうした言葉が重くのしかかり、「データを社外のサーバーに置く」こと自体に、なかなか前向きになれなかった。私はその空気を、現場で長く感じてきました。
それがここ数年で、ようやくAzureやAWSといったクラウド基盤の利用が浸透してきました。ところが生成AIは、その比ではない速さで広がっています。ChatGPT、AnthropicのClaude、GoogleのGemini。民間企業だけでなく、あれほど慎重だった自治体までもが、短い期間で使い始めました。
私はこれが不思議でした。あれだけクラウドに慎重だった日本の組織が、なぜ生成AIだけはこんなに早く使えるようになったのか。
気になって調べてみると、答えははっきりしていました。各社が「入力データを学習に使わない」とポリシーで明示し、ISMAP(国が認めるセキュリティ評価制度)にも対応したこと。これによって、法務や情報システム部門が「使ってよい」と判断しやすくなったと考えられます。少なくとも私の中では、これではっきり腹落ちしました。
この記事は、その腹落ちの中身を、特定のツールを勧めたり批判したりせず、公開情報で裏が取れた事実だけに絞って整理したものです。内容は執筆時点(2026年6月)に確認できた公式情報・報道に基づきます。規約は更新されるため、稟議や契約の前には必ず最新の公式ページで確認してください。
「日本はクラウドに慎重だった」は、印象ではなくデータで裏が取れる
これは私の感覚だけの話ではありません。記録に残った事実です。
総務省の通信利用動向調査(情報通信白書)では、企業がクラウドを使わない理由の上位に、長年「情報漏洩などセキュリティに不安がある」が並んできました。2016年には38.8%、2020年でも31.8%がこの理由を挙げています。2024年には24.9%まで下がりましたが、それでも主要な理由の一つであり続けています。クラウド利用率自体は2024年に80.6%まで伸びました。裏を返せば、そこまで来るのに長い時間がかかったということです。
国際比較でも同じ評価が出ています。調査会社のガートナーは、かつて日本を「クラウド抵抗国」と位置づけ、クラウド活用が欧米から数年単位で遅れていると指摘してきました。背景には「海外ベンダーのデータセンターにデータを預けることへの不安」があるとされています。
突き詰めれば、データの置き場所への不安が、日本の組織のクラウド利用を長く慎重にさせてきた、ということです。
生成AIは、本来もっと不安が大きいはずの技術です。入力した文章がそのままモデルの改善に使われるかもしれない、という別の論点が乗るからです。それでも普及が速かったのは、各社がこの論点に先回りで答え、公的な評価制度にも対応したからです。順番に見ていきます。
参考:
「情報漏洩」が指しているのは何か
まず言葉の整理からです。生成AIをめぐる「情報漏洩」は、世間でイメージされるものと少しずれています。
よく知られた事例が、2023年に報じられたサムスン電子のケースです。半導体部門でChatGPTの社内利用を解禁したところ、約20日のあいだに3件の機密情報の入力が報告されました。設備測定プログラムのソースコードをエラー解消のために入力したもの、不良設備を把握するプログラムの最適化を依頼したもの、社内会議の録音を文字起こしして議事録を作らせたもの、の3件です。
ここで誤解されやすい点があります。
この「漏洩」は、入力した情報が世界中のユーザーに筒抜けになった、という意味ではありません。正確には「社外のサーバー(この場合はOpenAI)に、自社の機密データを送信してしまった」という状態を指します。学習に使われるリスクはありましたが、他のユーザーに直接出力された事実が確認されているわけではありません。
つまり問題の本質は、機密情報が自社の管理外のサーバーへ出ていくこと自体です。 これは、日本の組織がクラウドに対してずっと抱いてきた不安と、まったく同じ構造です。
参考:Samsung、ChatGPTの社内利用で3件の機密漏洩(PC Watch)
無料プランと法人プランでは「学習に使われるか」が違う
ここが、不安が解けた一番の分かれ目です。
無料プランや個人向けプランは、入力した内容がモデルの改善(学習)に使われうるのが各社共通の初期設定です。一方で、法人向けのプラン(チーム向け・エンタープライズ向け、および自社のシステムから呼び出して使う「API」と呼ばれる提供形態)では「お客様の業務データを学習に使わない」と各社が公式に明記しています。
主要3サービスの公式の記載は次の通りです。
| サービス | 学習に使わないと明記している対象 | 公式の記載(要旨) |
|---|---|---|
| ChatGPT(OpenAI) | Team・Enterprise・API | 「お客様の業務データで学習しない(We do not train on your business data)」 |
| Gemini(Google Workspace) | Business・Enterprise・Education | 「許可なく顧客データをモデルの学習に使わない」 |
| Claude(Anthropic) | Team・Enterprise・API | 「初期設定では、商用製品の入力・出力をモデルの学習に使わない」 |
逆に言えば、無料・個人プランは初期設定で学習対象になりうる、という点が全社に共通しています。
「入力が学習に使われる」という、生成AI特有の不安に対して、各社がこの一文を公式ドキュメントに書いた。これが、日本の組織が動けるようになった出発点です。
参考:
- ChatGPT Enterprise / Enterprise Privacy(OpenAI)
- 生成 AI in Google Workspace Privacy Hub(Google)
- Is my data used for model training?(Anthropic)
エンタープライズ契約が「稟議の条件」になる
法務や情報システム部門が見ているのは、担当者の口頭の説明ではありません。「公式ドキュメントに、学習に使わないと明記されているか」です。
そこが審査の基準になります。無料プランをそのまま業務に使うと、この基準を満たせず、稟議が通りません。法人契約は、機能の差というより「社内で正式に承認を取るための条件」として必要になる、という理解が実態に近いです。
クラウドに慎重だった組織ほど、この「公式に明記されているか」を重く見ます。逆に言えば、明記されたことで、ようやく承認の土俵に乗った、ということです。
自治体が動けた鍵:ISMAPという評価制度
民間以上に慎重なはずの自治体が動けたのには、もう一段の理由があります。ISMAP(イスマップ)です。
ISMAPは「政府情報システムのためのセキュリティ評価制度」の略です。政府が求めるセキュリティ基準を満たしたクラウドサービスを、国が審査したうえで登録・公開する仕組みだと考えてください。登録済みのサービスは、自治体や官公庁が「国の基準を満たしている」と確認したうえで調達できるため、稟議が通りやすくなります。担当者が自分でゼロから安全性を確かめなくてよい、というのが大きな点です。
自治体での生成AI利用を見ると、Gemini(Google Workspace)が目立ちます。これには構造的な理由があります。
一つ目は、もともとGoogle Workspaceを使っていた組織が多いことです。GoogleがGeminiをWorkspaceのプランに組み込んだため、「Geminiを新しく導入した」というより「使っていたWorkspaceにGeminiが含まれてきた」という流れになります。
二つ目が、いま述べたISMAPへの登録です。
三つ目は、Googleが日本の公的機関向けに利用規約を整備し、クラウドや生成AI利用への不安に対応していることです。
選定の出発点が「すでに入っている基盤」と「公的なセキュリティ評価」である点が、自治体の特徴です。性能の比較から入っているわけではありません。
著作権:各社が用意しているのは「フリー」ではなく「補償」
セキュリティと並んで、企業が気にするのが著作権です。ここも整理しておきます。
「AIの出力は著作権フリー」という言い方を耳にすることがありますが、これは正確ではありません。各社が用意しているのは「フリー(自由に使える保証)」ではなく、補償(インデムニティ)です。中身は「もしお客様が出力物の利用で著作権を訴えられたら、当社が防御し、和解金や賠償を負担する」という、保険に近い仕組みです。
主要各社の補償プログラムは次の通りです。
| 提供元 | プログラム名 | 内容の要旨 | 主な対象 |
|---|---|---|---|
| Microsoft | Copilot Copyright Commitment | 訴えられた場合にMicrosoftが防御・賠償を負担 | 有償のCopilot商用顧客 |
| 2段階のインデムニティ | 学習データと出力コンテンツ双方の訴訟をカバー | Google Cloud・Workspaceの商用顧客 | |
| OpenAI | Copyright Shield | 訴えられた場合にOpenAIが対応・費用負担 | Enterprise・API顧客 |
| Anthropic | 商用規約上の補償(2024年1月〜) | 出力物に関する著作権請求から顧客を防御・費用負担 | API・Enterpriseなど有償顧客 |
主要4社は、いずれも有償の商用利用者を対象に補償を用意しています。いずれも無料プランは対象外で、規約違反の使い方や悪意ある利用には適用されません。
参考:
- Microsoft Copilot Copyright Commitment(Microsoft公式)
- Protecting customers with generative AI indemnification(Google Cloud公式)
- New models and developer products announced at DevDay(OpenAI公式・Copyright Shieldの発表)
- Anthropic、APIの法的保護を拡大(Anthropic公式)
日本での著作権の扱い(文化庁の整理)
日本国内の考え方も押さえておきます。文化庁が示している「AIと著作権に関する考え方」では、開発・学習の段階と、生成・利用の段階を分けて整理しています。
学習段階では、著作権法第30条の4が主に適用されます。作品に表現された思想や感情を、自らまたは他人に「享受」させることを目的としない利用(非享受目的)であれば、原則として許諾なく利用できる、という整理です。AIの学習目的での複製は、原則この範囲に入ります。
ただし、生成・利用の段階では通常の著作権法が適用されます。生成物が既存の著作物に似ていて、かつその著作物に「依拠」して作られた場合は、著作権侵害になりえます。「特定のクリエイターの作風で」といった指定は、既存著作物への依拠リスクを高める方向に働きます。
大企業・自治体の導入は実際どう進んでいるか
ここまでの条件が整った結果、導入はどう進んでいるか。公表されている事例を並べます。いずれも各社・各自治体の公式発表や報道で確認できるものです。
| 組織 | 採用したAI | 規模 | 備考 |
|---|---|---|---|
| 富士通 | Claude(Anthropic) | グループ全社員 約10万人 | 2026年5月27日発表、戦略的パートナーシップ |
| 三菱UFJ銀行 | ChatGPT Enterprise | 全行員 約35,000人 | 2025年11月発表、2026年1月以降に順次展開。デジタル投資600億円 |
| 船井総研グループ | Gemini(Google Workspace) | 社員の約97%が利用 | 導入4か月で利用率97%に到達 |
| 札幌市 | Google Workspace+Gemini | 16,000ユーザー | 全庁導入 |
| 秋田県 | Google Workspace(全庁) | 都道府県として全国初の全庁導入 | 議事録作成の作業時間を約95%削減 |
慎重だった金融機関や自治体が並んでいる点が、変化を象徴しています。
参考:
- 富士通とAnthropic、戦略的パートナーシップ契約を締結(富士通公式)
- 三菱UFJ、OpenAIと戦略協業を本格化(ITmedia)
- 船井総研グループ:社内の97%がGeminiを活用(Google Workspaceブログ)
- NotebookLMで議事録作成を95%削減、秋田・札幌市の活用(キーマンズネット)
どのAIが入るかは「すでに使っている基盤」で決まりやすい
導入事例を見ると、もう一つの傾向が見えます。どの生成AIが入るかは、純粋な性能比較より「すでにどのオフィス基盤を使っているか」に強く影響されます。
| 組織タイプ | 主に使うオフィス基盤 | 自然に近くなるAI |
|---|---|---|
| 伝統的な大企業(製造・金融など) | Microsoft 365 | Microsoft Copilot |
| 自治体・教育機関 | Google Workspace | Gemini |
| IT系・スタートアップ | 両方使うことが多い | 両方、または単独でChatGPT・Claude |
日本のオフィス基盤のシェアは、調査によって数字が分かれますが、企業規模で傾向がはっきり出ます。ある調査では、従業員1,000人以上の大企業ではMicrosoftシリーズが約57%と最も多く、中小規模ではGoogle Workspaceの比率が高くなる傾向が示されています。
基盤に依存しない選定もある:第三者認証という担保
一方で、Microsoft・Googleの基盤に紐づかない形で大企業に導入されるケースもあります。富士通や三菱UFJのような事例です。
こうした選定で見られているのは、機能だけではありません。第三者認証、つまり外部の専門機関が、その会社のセキュリティ体制を審査して認める仕組みです。
主要各社は、情報を安全に管理する体制についての国際規格を取得しています。代表的なのがSOC 2やISO/IEC 27001(いずれも、情報をどう守る体制を整えているかを第三者が審査・認定するもの)です。たとえばAnthropicの場合、これらに加えて、AIの管理体制についての国際規格であるISO/IEC 42001:2023(AIを安全・適切に運用する体制の国際規格)も取得しています。
ISMAPにせよ第三者認証にせよ、共通しているのは「自社で全部確かめなくても、外部の評価で信頼を担保できる」という点です。クラウドに慎重だった組織が動けるようになったのは、結局この仕組みが整ったからだ、というのが調べた末の私の結論です。
参考:Anthropicが取得した認証一覧(Anthropic Privacy Center)
まとめ
- 日本の組織がクラウドに慎重だった本質は「データが自社の管理外のサーバーに出ること」への不安。生成AIの「情報漏洩」も、まさに同じ構造を指している。
- 各社が法人プラン(Team・Enterprise・API)で「業務データを学習に使わない」と公式に明記したことが、組織が動けるようになった出発点。無料・個人プランは初期設定で学習対象になりうる。
- 自治体が動けたのは、ISMAPという公的なセキュリティ評価制度と、すでに使っていたオフィス基盤にAIが組み込まれたことが大きい。
- どのAIが入るかは性能比較より「すでに使っている基盤」と「第三者認証・評価制度という信頼の担保」で決まる傾向が強い。著作権も、主要4社が有償顧客向けに補償を用意している。
「うちもそろそろ生成AIを入れたいが、契約形態やセキュリティの確認で何を見ればいいのか分からない」。そう感じた場合は、自社の状況に合わせた確認項目を、無料の30分オンライン診断で一緒に整理できます。
この記事の内容について、現場で整理したい方へ
AI×IoTの技術顧問として、月額契約で継続伴走しています。PoC設計・技術判断・組織設計・ベンダー管理・実装支援まで、現場で動くまで一緒に進めます。受託開発(請負)ではありません。
→ AI技術顧問サービスの詳細 / 無料30分オンライン診断 / 料金一覧
LEAVE A REPLY