まずはここから:全社員向け · COURSE
機密情報の取り扱い
AI に話していい情報、ダメな情報。全社員必修。
audience
全社員
duration
45分
lessons
6 章
reviewed
2026.05
2 分でコース概要を見る
このコースで作るもの
- 01「話していい / ダメ」情報の社内分類表
- 02deny ルール + sandboxing 設定ファイル一式
- 03事故時のエスカレーションフロー(1 枚図)
達成目安
全 6 レッスンを読み、コース完了マークを付ける
未完了
クイズ 10 問に挑戦し、正答率 80% 以上
未挑戦
成果物 3 個を実際に手元に作る
自己チェック
コース構成
このコースで学ぶこと
- 01
なぜ「全社員必修」なのか
Claude Code は便利ですが、扱い方を間違えると情報漏洩につながります。最初に最低限のルールを共有します。
Claude Code のプロンプト・ツール結果・添付ファイルは Anthropic のサーバに送られます。ZDR(Zero Data Retention)契約をしていなければ、内容は一定期間保持されます。
つまり「Slack で社外の人にチャットするのと同じ前提」で扱うのが安全です。何を貼ってよく、何を貼ってはいけないか、自分の中の判定基準を持つことが Claude Code 利用の第一歩。
理解度チェック
Q1.ZDR(Zero Data Retention)契約をしていない場合、Claude に送ったデータは?
Q2.“Claude Code に貼るときの安全前提”として最も近い感覚は?
- 02
話していい情報・ダメな情報
情報を 4 区分に分けて整理します。境界が分かれば、迷ったときの判断が速くなります。
- ✅ 公開情報:プレスリリース、公式 Web、公開済みの製品スペック。自由に貼って OK
- 🟡 社外秘:会議資料、社内マニュアル、企画書。**抽象化して**貼るならアリ(社名・金額・固有名詞を伏字に)
- 🟠 個人情報:氏名・連絡先・購買履歴・人事評価。**絶対に貼らない**、MCP で参照する設計に
- 🔴 機密:顧客リスト・契約書・財務・コードのシークレット。**絶対に貼らない**、専用のセキュアな処理経路を使う
手を動かす
0 / 3
理解度チェック
Q1.未公開の会議資料(社外秘)を Claude で要約したい。最も安全な方法は?
- 03
deny ルールで「絶対書き込ませない」
Claude が間違って機密ファイルを編集しないよう、ルールで保護します。**deny → ask → allow** の順で評価され、最初のマッチが勝つ仕組み。
プロンプトインジェクション(外部ファイルに紛れた敵対的指示)でも貫通しない多層防御です。deny は最強の保険として最初に書いておきます。
Lv.4 — 権限とサンドボックスjson{ "permissions": { "deny": [ "Bash(rm -rf:*)", "Bash(curl:*)", "Edit(.env)", "Edit(.env.*)", "Edit(secrets/**)", "Edit(infra/prod/**)", "Read(customers.csv)" ] } }.claude/settings.json — どのプロジェクトでも最初に置く保護リスト 理解度チェック
Q1.deny / ask / allow の順で評価されたとき、最初にマッチするのは?
Q2.deny ルールで Edit(.env) と書いておく目的は?
- 04
Sandboxing で OS レベル隔離
権限ルールに加えて、Bash 実行を OS レベルで隔離します。コンテナ・gVisor・VM の選択肢。
権限ルールが「許可するか確認する/拒否する」の判定なのに対し、Sandboxing は Bash ツールをそもそも閉じた環境に閉じ込めます。事前に境界を定義しておけば、Claude はその中で確認なしに動けるようになり、生産性と安全性の両立ができます。
- filesystem isolation — 書き込み許可のあるパスを明示
- network isolation — egress を許可ドメインだけに
- OS-level enforcement — macOS は seatbelt、Linux は landlock 等
理解度チェック
Q1.Sandboxing が deny ルールに対して持つ最大の利点は?
Q2.Sandboxing を有効化した Claude Code が、deny ルールだけの環境より生産性が高くなる理由は?
- 05
組織固有:扱ってはいけない情報リスト
各社の社内ガイドラインで「Claude Code に直接渡してはいけない」と決められている情報の代表例を、コピーして自社用にカスタマイズできるテンプレートにしました。
- 顧客名簿・購買履歴・問い合わせ履歴の **個人特定可能な情報**
- 未公開の財務情報・売上明細・経営指標
- 人事評価・給与・採用判断の途中経過
- 取引先との未公開契約・NDA で守秘義務がある資料
- 未公開のプレスリリース・製品ロードマップ
- システムのシークレット(API キー・本番 DB パスワード)
手を動かす
0 / 3
理解度チェック
Q1.扱ってはいけない情報を Claude に渡す必要が業務上どうしてもある場合、最初に取るべき行動は?
- 06
事故ったらどうする
もし機密情報をプロンプトに貼ってしまったら、隠さず即報告。被害を最小化する 4 ステップ。
手を動かす
0 / 4
理解度チェック
Q1.機密情報をプロンプトに貼ってしまった直後、最初にすべきは?
Q2.ヒヤリハット報告を組織内に根付かせるために最も大事な文化的姿勢は?


