CONTENTS
「機密情報を扱う業種だから、AIは怖くて使えない」 — 士業・医療・金融の経営者から最もよく聞く声です。しかし、これは ZDR(Zero Data Retention) という仕組みを理解していないがゆえの誤解です。
本記事では、ZDRの基本構造を非エンジニアにわかるように解説し、業界別の必要度マトリクスを公開します。JADC が士業・医療・金融の顧客を支援する中で確立した、安全な運用設計の知見も合わせて共有します。
ZDRとは何か(基本構造)
ZDR(Zero Data Retention)を一言で表すと、「AIサービスに入力したデータを、AI学習にも長期保存にも使わせない設定」です。
通常モードとZDRモードの違い
| 観点 | 通常モード | ZDRモード |
|---|---|---|
| 入力データのAI学習利用 | される可能性あり | されない |
| サーバ上のデータ保持期間 | 標準保持期間 | 処理直後に削除 |
| 監査ログ | 標準 | 詳細記録 |
| 第三者アクセスのリスク | 標準 | 最小化 |
| 利用可能プラン | Pro / Team / Enterprise | Enterprise のみ |
つまり、ZDRを有効にすれば、「機密情報をAIに入れても、それがAIサービス側に残らない」状態になります。これが、機密性の高い業種でClaude Codeを使う前提条件です。
業界別 ZDR必要度マトリクス
JADCが中国地方の支援先で整理した、業界別のZDR必要度を公開します。
| 業界 | ZDR必要度 | 判断根拠 |
|---|---|---|
| 弁護士 | ★★★★★ | 守秘義務(弁護士法23条) |
| 医療・歯科・薬剤 | ★★★★★ | 個人情報保護法・医療法 |
| 地方銀行・信金・証券 | ★★★★★ | 金融庁規制・FISCガイドライン |
| 社会保険労務士 | ★★★★★ | 社労士法・守秘義務 |
| 税理士・公認会計士 | ★★★★★ | 税理士法・会計士法 |
| 自動車関連(防衛系) | ★★★★ | 取引先からのセキュリティ要請 |
| 製造業(一般) | ★★★ | 図面・特許情報 |
| 不動産・建設 | ★★ | 運用ルールで代替可 |
| 流通・小売 | ★★ | 顧客情報量で判断 |
| 飲食・サービス業 | ★ | 通常運用で十分 |
★4以上の業界は、「Enterprise + ZDR」を初日から導入することを強くおすすめします。中途半端な運用は、規制対応で詰まります。
士業(弁護士・税理士・社労士)
士業がClaude Codeを使う際、最大の壁は 守秘義務 です。弁護士なら弁護士法23条、税理士なら税理士法、社労士なら社労士法で、それぞれ業務上知り得た事項を漏らしてはならないとされています。
士業特有の運用要件
- 顧客名・社名は必ずマスキングしてから入力
- 個人情報は記号化(クライアントA、案件B など)してから処理
- 申告書・契約書のドラフトは有資格者が必ず最終確認
- 監査ログを常時保管(紛争時の証跡として)
JADC支援先(士業)の典型実装
広島・岡山・島根の士業事務所での実装パターンは:
- Enterprise + ZDR を初日から契約
- 事務所内の過去の優良回答事例をAIに学習させ、自事務所のトーン・解釈方針を再現
- 顧客名・社名のマスキング運用ルールをA4 1枚に文書化
- 所長が 毎月の品質レビュー を実施し、AI出力品質を監督
医療・介護・薬剤
医療関連は、患者情報という究極の機微情報を扱うため、ZDR が事実上の必須条件です。
医療業界の規制要件
- 個人情報保護法(特に要配慮個人情報)
- 医療法・薬機法
- 3省2ガイドライン(厚労省・総務省・経産省)
JADC推奨実装パターン
- 患者IDのみで処理、氏名・住所・生年月日は入力しない
- 診療内容も 業務カテゴリ単位 に抽象化(「内科診療」「投薬指示」など)
- Claude Code の活用は 事務・経営業務(議事録・申請書・スタッフ研修資料) に限定
- 診療内容そのもののAI化は規制対応のうえ慎重に判断
金融・地方銀行関連
地方銀行・信金・証券会社の関連業務も、ZDR必須の業界です。FISCのガイドラインに準拠することが、取引先評価・監査対応の前提になります。
金融業界特有の論点
- 顧客取引情報の機密性(FISCガイドライン)
- システムリスク管理基準への対応
- 金融庁検査での説明責任
- 大手取引先からのSOC2要求への対応
島根銀行・山陰合同銀行などの取引先企業がClaude Code導入を進める際、金融機関側のリスク評価を通過するための文書整備もJADCで支援しています。
製造業(自動車・防衛系)
製造業は業界一般としては ZDR 必須ではないですが、大手取引先(自動車メーカー・防衛省関連)からの要請 がある場合は Enterprise + ZDR が必須になります。
典型的な"取引先要請"の例
- 「貴社がAIを使う場合、データ学習されない設定であることを書面で証明せよ」
- 「年1回のセキュリティ監査資料に、AI利用ポリシーを含めよ」
- 「サイバーセキュリティアセスメントの一部として、AI利用フローを開示せよ」
広島の自動車関連サプライヤー、呉の造船関連企業などで、こうした取引先要請への対応支援実績があります。
運用ルールで代替できる範囲
「Enterprise + ZDR は予算的に厳しい」「まだ規模的にPoCしたい」中小企業向けには、運用ルールでセキュリティを担保する代替策があります。
運用ルール代替策(Teamプラン向け)
- 機密情報を入れない運用ルールを全員に徹底
- 顧客名・社名・住所・電話番号などは必ずマスキング
- 業務カテゴリ単位(「議事録要約」「メール下書き」「報告書作成」)でのみ利用
- 違反者は再研修&権限見直し
- 3ヶ月ごとに利用ログを監査
運用ルール代替策の限界
これは 「セキュリティ要件のグレーゾーン業種」向けの妥協案です。士業・医療・金融など★4以上の業界では、この代替策では規制対応が困難。Enterprise + ZDR が正解です。
JADC推奨の運用ルール
JADC が士業・医療・金融の支援先で実際に運用している、A4 1枚の運用ルールの骨子を公開します。
第1原則:マスキング
顧客名・社名・住所・電話番号・生年月日・口座番号などは、入力前に必ず記号化(クライアントA、案件B、住所C)。
第2原則:最終確認責任
AI出力をそのまま提出物として使わない。必ず有資格者・責任者が最終確認し、押印・送信ボタン押下までを人間が責任を持つ。
第3原則:監査証跡
Claude Code の利用ログは 3年間保管。紛争時・監査時の証跡として活用できる状態にする。
第4原則:定期レビュー
月1回、所長・経営者が運用ルール遵守状況をレビュー。違反があれば即時是正。
第5原則:継続教育
新入社員には Claude Code 利用前に セキュリティ研修(30分)を必ず実施。署名付きの誓約書を取得する事務所も。
まとめ:ZDRは"設計"できる
「機密情報があるからAIは使えない」のではなく、「機密情報があるからこそ ZDR を設計する」が正解です。Enterprise + ZDR + 運用ルールの3層で守れば、士業・医療・金融でも安全に Claude Code を活用できます。
JADC は中国地方の士業・医療・金融関連の支援実績多数。「自社の場合どこまでセキュリティ設計すべきか」を一緒に整理する無料相談もご用意しています。
関連記事:Pro/Team/Enterprise 完全比較 / SSO導入ガイド / 広島の士業事務所 事例