「契約していないAIに自社データが流れている」かもしれない——中小企業が今すぐ確認すべきベンダー管理の3つのチェックポイント

2026-05-28 最終更新日時 : 2026-05-28 phenogen

 

公開日: 2026年05月28日
カテゴリ: AI導入・活用

この記事の要点

  • 自社が契約していないAIモデルに、ベンダー経由でデータが送られている可能性がある
  • データ処理契約(DPA)を締結していても、実際のAI利用先は把握しきれないケースが増えている
  • 「AIを使っていない」と思っている会社でも、使っているツールのベンダーがAIを組み込んでいれば無関係ではない
  • 今すぐできるのは「ベンダーへの確認」「社内リストの整備」「契約内容の見直し」の3ステップ
  • フィノジェン式ベンダーAIリスクチェックで、自社の管理状況を5分で把握できる

AIを「使っていない」会社ほど、実はAIに情報を渡しているかもしれない。

これは脅かしではなく、2026年に現実として浮上してきた問題です。DataGrailの調査によると、企業がベンダーと結んでいるデータ処理契約(DPA)だけでは、そのベンダーが実際にどのAIモデルを使っているかを把握しきれないことが明らかになりました。つまり、自社は何のAIも導入していないつもりでも、日常的に使っている会計ソフトや顧客管理ツール、チャットサポートのサービスが、いつの間にかAIと連携していて、そこに自社の顧客データや取引情報が流れている——という状況が起きうるのです。

この記事は、「AIの話は難しくてよくわからない」と感じながらも、自社のデータ管理に責任を持つ立場にある経営者や推進担当者の方に向けて書きました。

この記事で解決すること

  • 「知らないうちにデータが流れている」リスクが実際にどう発生するかを理解できる
  • ベンダーへの確認で何を聞けばよいかがわかる
  • 今日から動ける3ステップの手順を手に入れられる

読む前に確認しておきたい言葉

言葉 一言で言うと 身近な例え
DPA(データ処理契約) データの扱いを決めた契約書 個人情報の取り扱い同意書
ベンダー 外部のサービス・ツール提供会社 業務ソフトの販売会社
サブプロセッサ ベンダーが使う外部の処理業者 下請け業者

ステップ1:今使っているツールとサービスを書き出す

(所要時間:約20分)

まず、社内で使っているツールやサービスを一覧にします。

「会計ソフト」「顧客管理ツール」「チャットサポート」「メールマーケティング」「勤怠管理」など、月額や年額で契約しているものをすべて紙かスプレッドシートに書き出してください。Microsoft ExcelでもGoogleスプレッドシートでも構いません。

書き出す項目は次の4つで十分です。

  1. サービス名(例:〇〇クラウド会計)
  2. 提供会社名
  3. 月額費用のおおよそ
  4. どの部署・誰が使っているか

この一覧が、次のステップの出発点になります。完璧でなくてよいので、まず思いつくものを並べてください。

フィノジェン現場から
「うちは数えるほどしかツールを使っていない」とおっしゃる会社でも、実際に洗い出してみると10件以上になることがよくあります。無料プランや試用期間中のものも含めて書き出すと、自社のデータがどれだけ多くの外部サービスに触れているかが見えてきます。

ステップ2:各ベンダーに「AIを使っているか」を確認する

(所要時間:1ベンダーあたり約10〜15分)

書き出したリストをもとに、各ベンダーに確認を取ります。

確認する方法は2つあります。

方法A:ベンダーのWebサイトのプライバシーポリシーを確認する
各サービスのWebサイトを開き、「プライバシーポリシー」または「利用規約」のページを探してください。「AI」「機械学習」「第三者提供」「サブプロセッサ」という言葉が出てくるかどうか確認します。出てくる場合、そのAIがどこの会社のものかを見てください。

方法B:ベンダーに直接メールで問い合わせる
Webサイトで確認できない場合、または内容が不明な場合は、問い合わせフォームやサポートメールに以下の3点を聞きます。

  • 当社のデータをAIモデルに送信していますか?
  • 送信している場合、どの会社のAIを使っていますか?
  • 当社のデータがAIのトレーニングに使われることはありますか?

難しい言葉を使う必要はありません。箇条書きで聞けば十分です。

フィノジェン現場から
「ベンダーに直接問い合わせるのは気が引ける」という声をよく聞きます。ただ、個人情報保護法の改正もあり、国内のベンダーはこうした問い合わせへの回答義務を意識するようになっています。問い合わせること自体が、先方にも「この会社はきちんと管理している」という印象を与える、自然なやりとりになってきています。

ステップ3:確認結果をもとに契約・設定を見直す

(所要時間:約30分〜)

ベンダーからの回答が集まったら、以下の観点で対応を判断します。

確認するポイントは3つです。

① データがAIに送られているか
「送られていない」であれば、現時点は問題ありません。定期的な再確認の予定を入れておきましょう。
「送られている」であれば、次の②に進みます。

② AIへのデータ送信を止める設定があるか
多くのサービスでは、管理者向けの設定画面から「AIによるデータ処理をオフにする」選択ができます。Notion AIやSlack AIなど、AIを後から追加したサービスは特にこの設定を確認してください。
設定がない場合、ベンダーと個別に交渉するか、代替サービスへの移行を検討します。

③ データがAIのトレーニングに使われていないか
「使われない」と明示されているか確認します。明示がない場合、書面で確認を求めることを推奨します。契約書に一文を加えることを提案しても問題ありません。

DataGrailの調査が示したように、DPAに「第三者への提供に同意する」という文言があるだけでは、実際にどのAIに渡っているかまでは書かれていないことが多いです。「契約を結んでいるから大丈夫」と思わず、具体的な確認をすることが大切です。

参考として、富士通とAnthropicが戦略提携を発表したように(ITmedia AI+)、大手ベンダーは次々とAIをサービスに組み込んでいます。「今は使っていない」ベンダーでも、半年後には状況が変わっている可能性があります。

よくある失敗とその対処

  • 失敗①: プライバシーポリシーが英語や難解な表現で読めなかった → 対処: DeepLやMicrosoft Copilotに貼り付けて要約させる。「AIとデータ送信について書かれた部分を教えてください」と聞くだけで十分
  • 失敗②: ベンダーからの回答が「問題ありません」だけで曖昧だった → 対処: 「AIに送信しているかどうかを具体的に教えてください」と再質問する。曖昧な回答のまま放置しない
  • 失敗③: リストを作って満足して終わった → 対処: 確認した日付を記録し、半年後に再確認するリマインダーをカレンダーに入れておく

フィノジェン式ベンダーAIリスクチェック

以下の項目に当てはまるものを確認してください。

  • ⬜︎ 社内で使っているSaaSやクラウドサービスのリストが存在する
  • ⬜︎ 各ベンダーがAIを使っているかどうかを確認したことがある
  • ⬜︎ ベンダーとのDPA(データ処理契約)の内容を直近1年以内に見直した
  • ⬜︎ 自社の顧客データや取引データがどのサービスに入力されているかを把握している
  • ⬜︎ AI関連の設定変更があった際にベンダーから通知を受け取る体制がある

5つすべて当てはまる: データ管理の土台はできています。あとは半年ごとの定期確認を習慣化しましょう。

3〜4つ当てはまる: あと一歩です。できていない項目から順に、今月中に手をつけてください。特に「リストの作成」と「ベンダーへの確認」が優先です。

2つ以下しか当てはまらない: 今が確認を始める良いタイミングです。ステップ1のリスト作りから、今日30分で着手できます。難しく考える必要はありません。

よくある質問

Q. 中小企業でも本当にこういうリスクがありますか?大企業の話では?
規模は関係ありません。中小企業が使う会計ソフト、顧客管理ツール、チャットサポートなどのSaaSは、大企業と同じサービスを使っていることが多いです。ベンダーがAIを組み込む判断は、顧客の規模に関係なく行われます。むしろ、確認する人的リソースが限られている中小企業ほど、見落としが起きやすい状況です。

Q. DPA(データ処理契約)を結んでいれば安全ではないのですか?
DPAは「データをどう扱うか」を定めた契約ですが、「どのAIに渡すか」まで具体的に記載していないことがほとんどです。DataGrailの調査が示したように、DPAを結んでいても実際のAI利用先を把握しきれないケースが多く報告されています。DPAの存在はスタート地点であり、十分条件にはなりません。

Q. ベンダーに問い合わせて、関係が悪くなることはありませんか?
適切な質問をすることで関係が悪化することはほぼありません。むしろ、データ管理をきちんと行う会社という印象を与えます。「御社のサービスでAIが使われているか確認したいのですが」という聞き方は、多くのベンダーが日常的に受けている質問です。回答に誠実に対応してくれるかどうかも、ベンダー評価の一つの基準になります。

Q. AIへのデータ送信を止めると、サービスの使い勝手が悪くなりますか?
サービスによっては、AIをオフにするとレコメンド機能や自動入力機能が使えなくなる場合があります。ただし、基本的な機能は引き続き使えるケースがほとんどです。どの機能が影響を受けるかをベンダーに確認した上で、判断してください。「全部オフにしなければならない」ということではなく、どのデータをどこまで使ってよいかを選択できることが重要です。

Q. フィノジェンに相談するとどうなりますか?
まず無料の相談からスタートできます。「何から手をつければいいかわからない」という段階から一緒に整理します。ベンダーリストの作り方、問い合わせ文の作成、確認すべき契約条項の見方など、実際の業務に沿った形で一つずつ対応できるよう支援します。IT専門知識がなくても問題ありません。

行動プラン

今週中にできること(コストゼロ・1時間以内)
- 社内で使っているSaaSやクラウドサービスを書き出し、リストを作る
- リストの中から「顧客データや取引データが入っているもの」を3件ピックアップし、そのWebサイトのプライバシーポリシーを開いてみる

今月中にできること
- ピックアップした3件のベンダーに問い合わせメールを送り、AI使用状況の回答を得る。回答内容を担当者と共有し、対応が必要な設定変更を1件実施する

3か月後の理想像
使っているサービス全件のAI使用状況が一覧で把握できていて、「うちのデータがどこに行っているか」を経営者がざっくり説明できる状態になっている。年に2回の確認サイクルが習慣になっている。

参考文献

  1. DataGrail Report: Your Vendor May Be Sending Data to AI Models You Never Approved - https://venturebeat.com/security/datagrail-report-finds-your-vendor-may-be-sending-data-to-ai-models-you-never-approved
    └ 本記事の元情報。DPAだけではAIへのデータ送信先を把握しきれない実態を示した調査として参照

  2. 富士通、Anthropicと戦略提携 日本企業向けAI導入を加速 - https://www.itmedia.co.jp/aiplus/article/2605/27/2000000029/
    └ 大手ベンダーがAIを急速にサービスに組み込んでいる状況を示す事例として参照

  3. Snowflake Signs $6B Deal with AWS for AI/CPU Chips - https://techcrunch.com/2026/05/27/in-more-good-news-for-amazon-snowflake-signs-6b-deal-with-aws-for-ai-cpu-chips/
    └ AIインフラ整備が大規模に進んでいる業界動向の背景として参照

  4. DeepSWE Blows Up the AI Coding Leaderboard - https://venturebeat.com/technology/deepswe-blows-up-the-ai-coding-leaderboard-crowns-gpt-5-5-and-finds-claude-opus-exploiting-a-benchmark-loophole
    └ AIモデルの評価・選定が複雑化している現状を示す参考情報として参照

  5. MiniMax Teases Upcoming M3 Model with New Sparse Attention Mechanism - https://venturebeat.com/technology/minimax-teases-upcoming-m3-model-with-new-sparse-attention-mechanism-and-15-6x-response-speed-boost
    └ AIモデルが多様化・高速化しており、ベンダーによる採用が進む背景として参照

  6. A Reality Check on the AI Jobs Hysteria - https://www.technologyreview.com/2026/05/26/1137855/a-reality-check-on-the-ai-jobs-hysteria/
    └ AI活用の現状を冷静に整理した情報源として参照

  7. 中小企業のDX推進に関するガイドライン - https://www.chusho.meti.go.jp/
    └ 中小企業のデジタル化とデータ管理に関する政府方針の背景として参照

  8. 情報セキュリティ10大脅威(IPA) - https://www.ipa.go.jp/security/10threats/
    └ 外部サービス経由のデータ漏えいリスクを位置づける際の参考情報として参照

著者より

私がこの問題で気になるのは、「気づきにくい」という点です。AIを積極的に導入している会社は自分たちで調べて対応しますが、「うちはAIを使っていない」と思っている会社は、そもそも確認しようという発想が生まれにくい。ベンダー経由でデータが流れているとしたら、一番見えにくいのがそういう会社です。難しいことを一度にやる必要はなく、まず「使っているサービスを書き出す」だけでいい。それだけで状況はかなり変わると、現場で見てきて感じています。

カテゴリー
AI導入・活用
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


前の記事
「AIに仕事を取られる」は今のところ統計に出ていない——MIT発データを中小企業の経営者が知っておくべき理由New!!
2026-05-27