法人で生成AIを選ぶならCopilotかWorkspaceの二択──大企業が個人版ChatGPTを禁止する本当の理由

公開日:2026年05月07日

貝出康

代表取締役

貝出康

法人で生成AIを選ぶならCopilotかWorkspaceの二択──大企業が個人版ChatGPTを禁止する本当の理由

「うちの社員、ChatGPT便利だって使ってたのに、グループ本社のシステム部門から一律禁止の通達が来たんですよ。時代に逆行してません？」

先日、徳島の製造業の社長さんからこんな話を聞きました。社員がChatGPTで業務効率が上がっていたところに、親会社の情シスから禁止令が降ってきた、というケース。社長さんとしては「みんな効率上がってたのに、なんで止めるの？」とお怒りモードでした。

でも、これ、実は遅れているんじゃなくて、むしろ最先端のガバナンス判断なんです。

日本の大企業は今、生成AIの社内標準を「Microsoft 365 Copilot」か「Google Workspace（Gemini for Workspace）」のどちらかに寄せて、それ以外の 個人版ChatGPT・個人版Gemini・無料SaaS型AI を全面禁止にする流れに入っています。理由は単純な好き嫌いじゃなくて、データガバナンス・第三者認証・監査ログ・ID統制という、説明責任を果たすために必須の条件を満たせるのが、現時点ではこの2系統しかないからです。

この記事では、徳島の中小企業の経営者・情シス担当者向けに「なぜCopilotかWorkspaceなのか」「個人版がダメな理由は何か」「中堅・中小はいつから何を考えればいいか」を、公式ドキュメントと国内大企業の導入実例ベースで整理します。

このページの目次

「ChatGPTが危険」じゃなくて「個人版が統制不能」だから禁止

最初に整理しておきたいのが、よくある誤解です。

ChatGPTが危険だから禁止、ではない。個人版ChatGPTは”統制不能”だから禁止、ChatGPT Enterpriseは別物。

これ、意外と知られてないんですが、OpenAIも公式に「Enterprise／Businessでは入力をモデル学習に使わない」と明示しているんですよね（OpenAI Enterprise Privacy）。問題は 個人版（無料・Plus） の方で、OpenAI consumer FAQでも「コンテンツがモデル改善に使われ得る、米国および世界各地のシステムに保存される、人が必要に応じてアクセスする」と書かれています（OpenAI Consumer FAQ）。

これに対して「うちは社員にオプトアウトを徹底させればいい」という声がよく出ます。でも、考えてみてください。1人でも設定を忘れたら、その瞬間に全社の機密が漏れるということです。徳島の中小企業でも、社員数が30人、50人と増えていけば、設定漏れがゼロになる確率はどんどん下がります。情シスがこれを許容できないのは当然なんですよ。

Geminiも同じ構造です。Workspaceライセンスを持たずに gemini.google.com で個人利用すると、Gemini Apps Privacy Notice が適用されて、チャットが人手レビュー・改善利用の対象になり得ます（Google Gemini Privacy Hub）。仕事用アカウントでも盾アイコンがない経路では、enterprise-grade data protections は付きません。

つまり「ブランド」で禁止しているのではなく、入力データがどう扱われるかを企業側で契約・統制できない経路を禁止しているわけです。

ChatGPTのプラン別「学習されない」事情──Free・Plus・Business・Enterpriseで何が違うか

ここ、徳島の社長さんからもよく質問されるポイントです。「ChatGPTで学習オフ設定したから安全ですよね？」――答えは「個人で使う分にはマシ、でも会社業務だと別の話」です。プランごとに整理します。

個人版（Free・Plus・Pro）で「学習オフ」にした場合

OpenAIの「Improve the model for everyone」設定をオフにすると、新しい会話がモデル学習に使われなくなります（OpenAI公式ヘルプ）。設定方法は徳島のMicrosoft Copilotとは何かを解説するコラムとは別軸の話なので、ここで整理しておきますね。

ただし、学習オフでも以下は残ります。

データはOpenAIのサーバーに送信される（米国を含む世界各地のシステムに保存）
不正利用監視のため通常30日間は保持される
会社が誰に何を入力させたかを管理できない
退職者がアカウントごと持ち逃げできる
監査ログ・eDiscovery・DLPは効かない

つまり「学習に使われない」と「企業として安全」はイコールじゃないということ。学習オフは”最低限のマナー”であって、ガバナンスではないんです。

ChatGPT Business（旧Team）

2025年8月にChatGPT Teamは「ChatGPT Business」に名称変更されました（OpenAI公式）。価格は$25/ユーザー/月（年払い）から、最低2人から契約できます。入力は契約上モデル学習に使われないことが既定で、SOC 2 Type IIにも準拠しています。

中小企業の現場では、これでもかなり有効です。ただし、Enterprise版と比べて以下の機能が制限されます。

SSO（シングルサインオン）が標準ではない
ドメイン検証がない
利用分析（usage analytics）が限定的
カスタムデータ保持期間が設定不可
専任サポートなし

ChatGPT Enterprise

最低150ユーザーから、$40〜60/ユーザー/月の規模感（ChatGPT Enterprise vs Business比較）。Business と同じく入力は学習に使われない前提に加え、以下が乗ります。

SAML SSO・SCIMプロビジョニング・RBAC
カスタムデータ保持期間の設定
暗号化（AES-256 at rest / TLS 1.2+ in transit）
ISO 27001/27017/27018/27701、SOC 2 Type II
128Kコンテキスト、優先インフラ
専任サポートとSLA

整理表：ChatGPTプラン別の差

項目	Free/Plus（学習オフ）	Business（旧Team）	Enterprise
モデル学習に使用	しない（要設定）	しない（既定）	しない（既定）
データ保持カスタム	不可（30日固定）	限定的	任意設定
SSO/SCIM	不可	限定	◎
監査ログ	不可	限定	◎
ISO27001/SOC2	個人スコープ外	SOC2のみ	フルスコープ
退職時アクセス遮断	不可（個人ID）	◯	◎
最低契約	個人	2人〜	150人〜

「学習オフ」だけでは大企業の調達基準は通らない、というのがポイント。組織で使うなら最低でもBusiness、本格運用ならEnterprise、というのが2026年時点の整理です。

Microsoft Copilot系も整理が必要──法人版なら学習されません

Copilotも実は名前がややこしくて、徳島の経営者さんからよく「うちが買ったCopilotってどれ？」と聞かれます。ざっくり3層に分かれます。

(1) 個人版 Microsoft Copilot（consumer）

copilot.microsoft.com で個人用Microsoftアカウントから使うやつです。Edge やWindowsから無料で叩けます。これは デフォルトでは個人化や品質改善のために会話が利用され得るので、意識的にプライバシー設定で学習オフにしないといけません。学習オフ後の取り扱いは個人版ChatGPTと近いポジションになります。

(2) Microsoft 365 Copilot Chat（法人ライセンス保有者向け、追加費用なし）

ここが最近とても重要なんです。Microsoft 365 Business Standard / Premium、E3 / E5、A3 / A5 などの 商用ライセンスを持っているユーザー は、追加費用なしで Microsoft 365 Copilot Chat を使えます（Microsoft Learn、Microsoft Support）。

ポイントはこの3つ。

Entra ID（職場・学校アカウント）でサインインすることが必須
Enterprise Data Protection（EDP）が自動適用：プロンプト・応答は基盤モデルの学習に使われない
基本はWebグラウンド＋手動アップロードファイルの範囲：Microsoft Graph で社内のメール・Teamsチャット・会議・SharePointを横断的に自動参照することはできません。ただし、ユーザーがチャットにアップロードしたファイルについては Copilot Chat 上で要約・整理・QAが可能です（Microsoft Support）
Outlook は例外的に範囲が広い：Copilotアドオンなしでも、Outlook内のCopilot Chatでは受信トレイ・予定表・会議など限定的な範囲で問い合わせができるように整備されています
2026年4月15日以降は、2,000席以上の組織においてWord・Excel・PowerPoint・OneNote内のCopilot Chatが利用不可になる仕様変更が発表されています（中小企業や2,000席未満は影響なし）

つまり、M365法人ライセンスを持っている徳島の中小企業は、追加コストゼロで「学習されないAIチャット」を全社員に配れるわけです。これ、知らない経営者さんが多すぎるんですが、相当強力なオプション。導入支援先の徳島の建設業さんも、まずCopilot Chatを全社展開して、機密性の低い文章作成・要約・アップロードしたPDFの読み込みなどはそこで完結させています。

(3) Microsoft 365 Copilot（有償アドオン、$30/ユーザー/月相当）

(2)に 業務データへのアクセス（Microsoft Graph で Outlook・Teams・OneDrive・SharePoint の社内情報を参照） を加えたフルスペック版。もちろんこちらも入力は学習に使われないEDP対象。Word・Excel・PowerPoint・Outlook・Teams 内の Copilot ボタンが全部使えるようになります。

住友商事や三井物産の事例で「Copilot導入で年間12億円削減」と言われているのはこの(3)のフル版のことです。

整理表：Microsoft Copilot系プラン別の差

項目	個人 Copilot（学習オフ）	Copilot Chat（M365法人・追加費用なし）	Microsoft 365 Copilot（有償アドオン）
モデル学習に使用	しない（要設定）	しない（EDP既定）	しない（EDP既定）
認証	個人MSアカウント	Entra ID（職場アカウント）	Entra ID
社内データ参照	不可	Web＋アップロードファイル＋Outlook限定	可（Microsoft Graph 全面）
Office内Copilot	不可	不可	可
Purview連携	不可	一部可	フル対応
条件付きアクセス	不可	可	可
退職時遮断	不可	可（Entra ID停止）	可
追加コスト	無料	無料（M365ライセンス必要）	$30/ユーザー/月相当

ここで大事なのは、「無料の法人Copilot」と「個人版Copilotの学習オフ」は別物ということ。前者は契約上のEDP保証＋Entra ID統制が乗っているのに対し、後者は個人アカウントで個人責任。徳島の中小企業でも、M365法人ライセンスを持っているなら、社員の個人版Copilotは全部止めて、Copilot Chatに切り替えるだけで一気にガバナンスが整います。

大企業の判断軸は「モデル性能」じゃなく「テナント統制」

導入支援先の企業さんとよく話すんですが、Copilotを選ぶ理由って、AIの賢さじゃないんですよ。

軸はこの6つです。

既存のメール・文書・会議の 権限体系をそのまま継承できるか
監査ログが eDiscoveryで取れるか
機密ラベル（極秘・社外秘）が 生成物にも自動継承されるか
DLPが 入力時点で機密情報を遮断できるか
ID基盤（Entra ID／Cloud Identity）と 条件付きアクセスで縛れるか
退職時に アカウント停止すればAI履歴ごと閉じられるか

これらをすべて満たしているのが、現時点ではMicrosoft 365 CopilotとGoogle Workspace with Geminiの2系統。第三のプレイヤーとしてChatGPT Enterpriseもガバナンス面ではほぼ同等ですが、既存業務スイートへの埋め込み度で大差がつきます。Microsoft Graphで組織のメール・文書・会議を自動参照できるCopilotと、コネクタ経由で手動引き込みするChatGPT Enterpriseでは、毎日の運用ハードルが全然違うんです。

Copilotの料金プラン解説のコラムでも触れていますが、料金だけ見て選ぶと運用で詰まります。「自社のデータを自社の支配下に置けるか」が選定の本質です。

データの保管場所は「日本国内」と言い切れない――ここを正確に

「Copilotは日本リージョンで保管されるから安心」と説明する記事をよく見かけますが、ここ、契約条項を読まないと正確には言えないんですよ。

Microsoft 365 Copilot：日本は Advanced Data Residency（ADR） の対象国。Copilot／Copilot Chatもデータレジデンシー対象ワークロードに含まれます（Microsoft Learn）。ただし、EU外の顧客の場合、Copilotの問い合わせ処理がUS／EUなど他地域で行われ得るとMicrosoftが明記しています。「100％日本国内で推論固定」と言い切るのは不正確です。
Google Workspace：データリージョンの選択肢は 米国／EU／指定なし の3択（Workspace公式）。現時点で「日本リージョン」を選ぶことはできません。Geminiのプロンプトと応答もこのcovered dataに含まれます。

ここをふんわり「どっちも日本にデータ残ります」と説明している記事が多いのですが、金融機関や公共系の調達では契約条項レベルで確認されるので、ふわっとした営業トークで判断すると後で問題になります。徳島の中小企業でも、上場企業や大手取引先と契約する場面で「貴社のAI環境のデータレジデンシーは？」と聞かれることが、これから確実に増えます。

ISMAP・ISO・SOC2──”認証スタンプ”の有無で調達の入口が変わる

大企業の調達部門がAIサービスを評価するとき、最初に見るのは ISMAP（政府情報システムのためのセキュリティ評価制度） の登録状況です。

Microsoft：Azure／Microsoft 365 が ISMAP 登録済み。Copilot自体も2024年6月に日本マイクロソフトがISMAP申請を発表しています（週刊BCN+、Microsoft ISMAP公式）。
Google Cloud：ISMAP登録済み（Google Cloud公式）。
個人版・汎用SaaS：未対応。

第三者認証ではISO 27001／27017／27018、SOC 1/2/3、FedRAMP High、HIPAA、AIマネジメント規格の ISO 42001 までを揃えているのは、現時点でMicrosoftとGoogleの2強だけ。ChatGPT Enterpriseもこの一部は揃えていますが、個人版ChatGPTはこの認証スコープに入っていません。「ChatGPTがSOC2取ってるじゃないか」という反論をよく聞きますが、それはEnterprise版の話で、個人版は対象外なので混同しないようにしてください。

なお、ISMAPに似た制度として政府クラウド（GovCloud）系の議論もありますが、徳島の中小企業がこれから生成AIを導入するときに気にすべきは、まずISMAP登録済みベンダーを選ぶこと。そうすれば、将来上場・大手取引・公共調達のどれが来ても土台が崩れません。

Purviewと Vault──「監視できないAIは使わせない」が大企業の本音

エンタープライズ導入の本当の決定打は、DLP・eDiscovery・監査ログ がネイティブ統合されているかどうかなんですよ。

Microsoft Purview × Copilot

導入支援先の徳島の製造業さんで、設計図面に「極秘」ラベルを付けて運用している会社があります。CopilotがそのファイルをもとにPowerPointを作ると、生成物にも自動で「極秘」ラベルが継承されます（Microsoft Purview for Copilot）。AIを通じて「ラベル剥がし」が起きないんですよ。

それから、Purview DLPは「クレジットカード番号入りプロンプト」をリアルタイムで遮断できます。Edge for BusinessとDefender for Cloud Appsを組み合わせると、ブラウザ経由で個人版ChatGPTに機密情報を貼ろうとした操作を検知・遮断することも可能です。Microsoftは2026年3月のRSACで、このシャドーAI対策をさらに強化する発表をしています（Microsoft Edge公式ブログ）。

監査ログも強力で、Copilotの全プロンプト・応答が eDiscoveryの対象 になります。訴訟ホールドや内部調査時に「誰が何を入力したか」を期間指定で検索・エクスポートできるんです。

Google Vault × Workspace

WorkspaceでもGeminiの会話履歴をVaultにアーカイブして、法的保持・検索・エクスポートが可能です（Google Vault公式）。

ただし注意点として、Gemini in Chromeはエディション・管理者設定によって enterprise data protection の対象範囲が変わることがあります。Workspace契約下でも、ブラウザ側のGeminiは別レイヤーで扱われる場面があるので、運用設計は丁寧に詰めるのが安全です。

個人版ではこれが効かない

「誰が・何を・いつ入力したか」を会社側で把握できるのが法人版、できないのが個人版。コンプライアンス監査では、後者は確実に弾かれます。監視できないAIは、便利でも企業では使えない――これが大企業の情シスの共通認識です。

ID基盤との統合──シャドーAIを生まない仕組み

もうひとつの要件が Entra ID（旧Azure AD）／Cloud Identity との完全統合 です。

「Intune準拠の会社デバイス＋MFAを通過したときだけCopilot利用許可」のような 条件付きアクセスを強制できる
退職時にEntra IDアカウントを止めれば、AI履歴ごと即座にアクセス遮断
個人版AIだと 個人IDで勝手にサインアップ される。退職した社員のChatGPT履歴に自社情報が残り続ける

これが、いわゆる「シャドーAI問題」です。社員に「禁止」とだけ言うと、こっそりブラウザで使う人が必ず出ます。だから賢い大企業がやっているのは、禁止より公式入口を先に配ること。具体的には、M365商用ライセンス保有者にCopilot Chat（web-grounded agentsが追加費用なしで使える）を全社配布して、機密性の低い業務はそこで完結できるようにする。それでも漏れる経路を Edge for Business と Defender for Cloud Apps の検知・遮断で塞ぐ、という二段構えです。

「ChatGPT使うな」と禁止して反発を招くより、「もっと便利な公式チャネルを用意したから、こっち使ってね」と誘導するほうが、結果的に守れる範囲が広がるんですよね。

既存業務スイートへの埋め込み──生産性のROIはここで決まる

ガバナンス論だけじゃなく、生産性のROIでも法人版が強いです。

Copilot：Outlook／Teams／Word／Excel／PowerPoint にネイティブ埋め込み。Microsoft Graphで「来週の役員会議の準備状況」を社内データから自動集約してくれます。Excel × Copilotの活用方法のコラムでも具体例を解説しています。
Workspace × Gemini：Gmail／Docs／Sheets／Meetにネイティブ統合。Meetのリアルタイム字幕・自動議事録は日本語でも実用レベルです。
個人版ChatGPT：コピー＆ペーストで社内データを外に出す手作業が発生。誤って機密を貼り付けるヒューマンエラーが量産される構造です。

導入支援先の徳島の建設業さんの例だと、Copilot導入前は「設計書をChatGPTに貼ってメール文を生成→コピペでメーラーに戻す」という運用が常態化していました。Copilot導入後はOutlook内で「この設計書を引用して取引先向けの説明メールを書いて」で完結します。コピペが消えた瞬間、ヒューマンエラーが激減したのが印象的でした。

国内大企業の導入実例──定量効果が出ているのは住友商事

国内の公開一次ソースで、定量効果まで明示されている代表例が 住友商事 です。

同社は2024年4月にMicrosoft 365 Copilotを日本企業として初めてグローバル全社（海外グループ含む約9,000人）に展開し、IR Day 2025で 月間約1万時間の業務削減・年間約12億円のコスト削減 を公表しています（住友商事IR Day 2025資料、ITmedia）。

三井物産も2024年12月に全社展開し、約5,000ユーザーが利用しています（Microsoft導入事例）。パナソニックグループも生成AIの早期導入企業として知られています。ただし、住友商事のように定量効果まで一次ソースで明示している例は限られているので、「他社も同じ削減効果」と並べて主張するのは正確ではないんですよね。

事例として確実なのは、「世間ではChatGPT、大企業ではCopilotや脱海外製の動き」という二極化が進んでいるという観測です（ビジネスジャーナル）。徳島でMicrosoft 365 Copilotとは何かをまとめたコラムを読んでくださっている経営者さんは、この流れにすでに気づいて動き始めている方が多いです。

経産省・金融庁ガイドラインとの整合性

日本国内で活動する企業にとって、ガイドライン適合性は調達・監査の通り抜け要件になります。

AI事業者ガイドライン第1.1版（経産省・総務省）

2025年3月に公表された第1.1版では、「AI開発者・AI提供者・AI利用者」の3区分でリスクベースの対応を求めています（経産省PDF）。経産省・IPAの 「AIの利用・開発に関する契約チェックリスト」 では、入力データの目的外利用禁止・成果物の権利帰属・セキュリティ義務など全66項目が定められています（Impress Watch）。

Copilot／Workspaceの法人契約はこのチェックリストの大半を初期状態でクリアしていますが、個人版や規約が不明なSaaSではほぼすべての項目で「契約条件を要確認」となります。

金融庁のAIディスカッションペーパー

ここ、ちょっと正確に書きます。金融庁が出しているのは 「監督指針」ではなく「AIディスカッションペーパー（論点整理）」 です（金融庁）。正式な監督指針ではなく初期的な論点整理ですが、メッセージは明確で、「AI利用の有無にかかわらず、既存の法令・監督指針・原則に沿って対応せよ」という方針です。

つまりAIだから特別ルールを作るのではなく、既存の内部統制・委託管理・システムリスク管理の延長で見ろという整理。社内コンテキストから逸脱しないCopilotの設計は、この方針と相性がいいです。

ChatGPT EnterpriseとCopilot、徳島の中小企業はどう選ぶか

「個人版を禁止したあと、ChatGPT EnterpriseとCopilot、どっちを選ぶか？」という質問もよく受けます。残された選択肢の中での比較は、こんな整理になります。

観点	M365 Copilot	ChatGPT Enterprise
既存業務データ参照	◎ Microsoft Graph で自動	△ コネクタで手動
機密ラベル・DLP統合	◎ Purview ネイティブ	△ 別途設計が必要
既存M365ユーザーの追加コスト	◯ ライセンス追加のみ	△ 別契約
汎用推論・カスタムGPTs	△ 業務中心	◎
マルチクラウド・SaaS統合	△ MS中心	◎ Slack/Salesforce連携

ざっくり言うと、M365が業務基盤になっている会社はCopilot、Workspace中心の会社はGemini for Workspace、Microsoft以外も含む横断的な中央AIワークスペースとして使いたいならChatGPT Enterprise。

ちなみに私たちカンマンは Google Workspace 環境で運営しているので、社内ではGemini for Workspace中心。Copilotは導入支援先の事例として見て・触れて・サポートしている、という立ち位置です。だから「両方の現場感」を持って、徳島の中小企業さんに合った提案ができると思っています。

よくある質問

Q. 中小企業でもCopilotやWorkspaceの法人版が必要ですか？無料でいいのでは？

将来上場・大手取引先との取引・公共調達のいずれかを見据えるなら、最初から法人版で土台を作るのが結果的に最も低コストです。あとから移行すると、運用ルールやデータの移し替えで大きな手戻りが出ます。逆に、すべてが個人事業の延長で完結する規模なら個人版で当面は問題ありません。ただし、社員を雇うタイミングで法人版に切り替えるのが鉄則です。

Q. ChatGPT Enterpriseでも安全なら、なぜ大企業はCopilotを選ぶのですか？

ChatGPT Enterpriseも安全です。大企業がCopilotを選ぶ理由は「相手が危険だから」ではなく、Microsoft 365の既存テナントに深く統合され、Purview と Entra ID の既存統制がそのまま効くからです。すでにM365を業務基盤にしている会社ほど、この差が大きくなります。Workspace中心ならGemini for Workspaceが同じ論理で選ばれます。

Q. 徳島で生成AIを導入するとき、最初に何を決めればいいですか？

最初に決めるべきは「自社の業務基盤がMicrosoft 365寄りかGoogle Workspace寄りか」と「向こう3年で守りたい機密情報の範囲」の2つです。この2つが決まれば、CopilotかGemini for Workspaceかの選定はほぼ自動的に決まります。あとはAI研修と利用規程の整備をセットで進めるだけ。私たちカンマンも導入支援を提供していますので、迷ったら一緒に整理しましょう。

まとめ：選ぶ基準は「自社のデータ主権を握れるか」

法人で生成AIを選ぶときの本質は、機能比較じゃなくて データ主権（Data Sovereignty）を維持できるかにあります。

学習に使われない契約上の保証
テナント分離と契約上のデータ所在地コミットメント
第三者認証（ISO・SOC・ISMAP）
DLP・eDiscovery・監査ログのネイティブ統合
ID基盤と条件付きアクセス
既存業務スイートへのネイティブ埋め込み

これらすべてを満たすのが、現時点では Microsoft 365 Copilot と Google Workspace（Gemini for Workspace）の2系統。補助的にChatGPT Enterprise。個人版ChatGPT・個人版Gemini・出所不明のAIアプリは、便利でも企業で使ってはいけない――これが大企業の情シスが共通認識として持っている結論です。

「ChatGPT禁止」と聞いたら遅れているのではなく、自社のデータ主権を維持しようとしている合理的な判断だと考えてみてください。生成AIを禁止しているのではなく、統制可能な経路に集約しているだけです。

徳島の中小企業も、これから本格的に生成AIを使うなら、最初からCopilotかWorkspaceで土台を作るのがいちばん低コストの投資になります。導入から運用ルールづくり、社内研修まで一気通貫でサポートできるので、迷ったらぜひ一度ご相談ください。一緒に考えましょう。