セキュリティ・コンプライアンス

はじめに — なぜセキュリティ確認が重要なのか

AIツールの導入にあたって、経営者・情報システム部門・法務部門が最も気にされるのは「自社のデータがどう扱われるのか」という点です。 Claude Codeは業務データに直接アクセスして作業を行うツールであるため、 導入前にデータの取り扱いルールを正しく理解しておくことが不可欠です。

本セクションでは、Anthropic社が公開している公式ドキュメント・プライバシーセンター・ データ処理補遺（DPA）等の情報をもとに、企業導入に必要なセキュリティ・コンプライアンスの 全体像を整理します。

プラン別のデータ取り扱い

Claude Codeに入力されたデータがAIモデルの学習に使われるかどうかは、 契約プランによって明確に区別されています。

Consumer（Free / Pro / Max）プラン

個人向けプランでは、モデル改善のための学習利用設定がデフォルトでオンになっています。 つまり、Claude Codeの利用データ（入力内容を含む）が、将来のモデル改善に使用される可能性があります。 設定からオプトアウト（無効化）は可能ですが、企業の機密情報を扱う用途には適していません。

Commercial（Team / Enterprise / API）プラン

ビジネス向けプランでは、入力データが生成AIモデルのトレーニングに使用されないことが原則として公式ドキュメントに明記されています。 一部のトレーニングプログラム等の例外はありますが、通常の業務利用において お客様のデータがモデル学習に流用されることはありません。

データ保持期間と削除

入力データがサーバー上にどれくらいの期間保持されるかも、プランによって異なります。

Consumerプランの場合

• 削除された会話データは、バックエンドから30日以内に消去されます
• モデル改善への利用を許可している場合、個人識別情報を除去した上で最大5年間保持される可能性があります（プライバシーセンターに記載）

Commercial（API）プランの場合

• 入力・出力データは、バックエンドからデフォルトで30日以内に削除されます
• コンプライアンスや不正検知の目的で、Files API等を通じてユーザー側で より長い保持期間を設定することも可能です
• ZDR（Zero Data Retention）契約を結ぶことで、レスポンス返却後にデータを保存しない運用も選択できます （法令遵守・不正防止のための最低限の保持を除く）

暗号化と通信セキュリティ

企業の情報システム部門が確認すべき暗号化対応について整理します。

通信中のデータ（Data in Transit）

• Claude Codeとサーバー間の通信はTLS暗号化で保護されています
• 運用メトリクス（Statsig経由）やエラーログ（Sentry経由）の送信も 同様にTLS暗号化が適用されています

保存データ（Data at Rest）

• サーバー上に保存されるデータにはAES-256暗号化が適用されています
• 環境変数の設定により、一部の暗号化オプションを制御することも可能です

テレメトリ（診断データ）の送信先

Claude Codeは動作改善のために、以下の外部サービスにデータを送信する場合があります。 情報システム部門は、これらの通信先を把握した上で導入設計を行うことをお勧めします。

• Claude本体サーバー — AI処理のためのメイン通信
• Statsig — 運用メトリクス（機能利用状況の統計など）
• Sentry — エラーログ（障害検知・改善のため）
• フィードバック送信 — ユーザーが任意で送信する使用感レポート

これらのテレメトリは環境変数により無効化が可能です。 社内ポリシーに応じて、デプロイメント設計時にどのログをどこに送るかを明確にしておきましょう。

第三者認証 — SOC 2 Type II

Anthropic社は、企業向けサービスのセキュリティ信頼性を証明するためにSOC 2 Type I および Type II認証を取得しています。 これは、独立した第三者監査機関がセキュリティ・可用性・処理の整合性・ 機密性・プライバシーの観点からシステムを継続的に評価した結果です。

• SOC 2 Type IIは「一定期間にわたる運用実績」を評価するもので、 Type I（時点評価）よりも厳格な認証です
• 詳細な監査レポートはAnthropicのTrust Portalから確認できます
• 監査範囲（Trust Services Criteriaの対象範囲、システム境界、監査期間）の 詳細は、SOC 2レポートまたはSOC 3サマリーをご確認ください
• AnthropicのDPA（データ処理補遺）に基づき、 監査レポートや証明書の提供を要求することも可能です

GDPR・EU標準契約条項（SCC）への対応

EUの個人データを取り扱う可能性がある企業向けに、Anthropic社はデータ処理補遺（DPA）を提供しています。DPAには以下の内容が含まれます。

• GDPR準拠 — EU一般データ保護規則に基づくデータ処理の枠組み
• SCC（標準契約条項） — EU域外へのデータ移転に必要な法的保護措置
• データ主体の権利対応 — アクセス・訂正・削除等のリクエスト処理手順
• 監査権 — お客様によるデータ処理の監査を受ける義務
• インシデント通知 — データ侵害発生時、48時間以内に通知する義務
• サブプロセッサー管理 — 再委託先の管理と通知に関する規定

日本の個人情報保護法（APPI）への対応

AnthropicのDPAは「適用されるデータ保護法」を広義に定義しており、 日本の個人情報保護法（APPI）も対象に含まれる構成になっています。 ただし、APPI固有の運用要件については、利用企業側で対応を整備する必要があります。

• 国内でのデータ保持要件 — 日本国内でのデータ保管が求められるケースへの対応
• 越境移転の整理 — 海外サーバーへのデータ送信に関する法的整理
• 社内文書の整備 — プライバシーポリシーの改定、利用目的の通知、社内規程の更新など

情シス・法務向けチェックリスト

Claude Codeの導入を検討される際に、情報システム部門・法務部門が 最低限確認すべき項目をチェックリストとしてまとめました。

契約・データ管理

• 利用シーンごとの契約種別（Consumer / Team / Enterprise / API）は明確か
• データの学習利用オプトイン/オプトアウトの設定は確認済みか（プランにより初期値が異なる）
• データ保持期間（30日 / 5年 / ZDR等）は自社ポリシーと整合しているか
• データ削除の手順と実行方法は把握しているか

技術・インフラ

• テレメトリ（Statsig / Sentry等）の無効化設定は検討済みか
• ZDR（ゼロデータ保持）の適用条件は確認済みか
• API利用ログのTTL（保持期間）は設定済みか
• IPアドレス制限（許可リスト）は設定可能か・設定済みか

アクセス管理・権限設計

• SSO（シングルサインオン）/ SCIM連携は利用可能か・設定済みか
• 監査ログの取得・保管体制は整備されているか
• ロール（権限）設計はユーザーの業務範囲に基づいて行われているか
• コネクタ・MCP（Model Context Protocol）の権限範囲は適切に制限されているか

監査・コンプライアンス

• SOC 2レポートまたはSOC 3サマリーの取得・確認は完了しているか
• Compliance APIや監査ログの取得方法は把握しているか
• DPA（データ処理補遺）の締結は完了しているか
• 個人情報保護法（APPI）対応の社内文書は整備されているか

まとめ

Claude Codeは、Commercial（Team / Enterprise / API）プランにおいて、 企業データがモデル学習に使用されない原則、TLS / AES-256による暗号化、 SOC 2 Type II認証、GDPR / SCC対応のDPAなど、 企業利用に必要なセキュリティ・コンプライアンス基盤を備えています。

一方で、日本の個人情報保護法への具体的な対応や、 自社のセキュリティポリシーとの整合性確認は、利用企業側の責任範囲です。 本セクションのチェックリストを活用し、情報システム部門・法務部門と連携して 導入準備を進めてください。

次のセクションでは、実際の導入ステップについて具体的に解説します。