ChatGPT を業務で使う前に、データ学習除外・SSO・組織管理画面・MFA強制・監査ログの5項目を必ず設定してください。本記事では2026年最新の OpenAI 仕様に基づいて、中小企業の法務・情シス担当者向けに、各設定の手順と落とし穴を解説します。
なぜ法人ChatGPT 利用にセキュリティ設定が必須か
ChatGPT は強力な生産性ツールですが、設定を間違えると 入力した情報がOpenAIのモデル学習に使われる、退職者がアクセス権を持ち続ける、社外秘がチャット履歴経由で漏洩するリスクがあります。これらは1度発生すると訂正不可能(学習済モデルから情報を抜くことは不可能)。
必須セキュリティ設定5項目
設定1: データ学習除外(最重要)
個人 Plus: デフォルトで学習対象。設定 → Data Controls → "Improve the model for everyone" をオフ。 法人 Team / Business / Enterprise: デフォルトで学習除外(出典:OpenAI Enterprise Privacy)。
→ 法人利用なら必ず Team 以上を選択。Plus 個人契約での業務利用は推奨しません。
設定2: SSO(シングルサインオン)
対象プラン: Business / Enterprise
設定手順:
- 組織管理画面 → Settings → Authentication
- SAML または OIDC を有効化
- IdP(Microsoft Entra ID / Okta / Google Workspace 等)と連携
- ユーザーの ChatGPT ログインをIdP経由に強制
これで:
- 退職時の即時アクセス遮断
- パスワード使い回しリスク排除
- ログイン監査の一元化
設定3: 組織管理画面の活用
対象プラン: Team / Business / Enterprise
組織管理画面で以下を統制:
- ユーザー追加・削除
- 使用量モニタリング
- カスタムGPT・プロンプト共有設定
- データ保持期間設定
設定4: MFA(多要素認証)強制
全プラン共通。SSO 未使用の場合は組織ポリシーで MFA を強制。
- 組織管理画面 → Security
- "Require MFA for all members" をオン
- 認証アプリ(Google Authenticator / Authy)または FIDO2 セキュリティキー
これで:
- パスワード漏洩時の二次被害防止
- フィッシング攻撃の大半を防御
設定5: 監査ログ
対象プラン: Business / Enterprise
組織管理画面 → Compliance → Audit logs で以下を記録:
- ユーザーログイン
- カスタムGPT 作成・編集
- 設定変更
- データエクスポート
監査ログは 90日以上保持を推奨。インシデント発生時の調査・コンプライアンス対応に必須。
中小企業向けの実装ロードマップ
Step 1: ChatGPT Team 契約(5〜10名規模なら最低限)
- 月額25ドル/人
- データ学習除外がデフォルト
- 組織管理画面
Step 2: MFA 強制設定(即日)
- 全メンバーに MFA 設定を通知
- 認証アプリ(Microsoft Authenticator 等)の利用を必須化
Step 3: 業務利用ガイドライン策定
- 入力禁止情報(個人情報・金融情報・契約書全文等)
- カスタムGPT の作成承認フロー
- インシデント発生時の連絡フロー
Step 4: 月次レビュー
- 監査ログ確認(Business以上)
- 使用量レビュー
- 新規メンバー追加・退職者削除
Step 5: Business / Enterprise への移行検討
- 従業員 20名以上で Business 検討
- SSO 必須なら即移行
- 監査要件があれば Enterprise
当社の AI研修(セキュリティ込み)
当社のAI研修では、ChatGPT のセキュリティ設定・ガイドライン策定・社内研修を一気通貫で支援します。
- ChatGPT Team / Business 導入支援
- セキュリティ設定の代行
- 業務利用ガイドライン作成テンプレート
- 社員向けセキュリティ研修
330,000円〜。人材開発支援助成金で最大75%補助対象です。