Genspark法人導入のセキュリティリスクと対策|情シス・法務向け完全ガイド【2026年5月最新】
Gensparkの法人導入で情シス・法務が押さえるべきリスクを、運営会社MainFunc Inc.の事実整理・SOC 2/ISO 27001取得・Microsoft Agent 365連携・GDPR/個人情報保護法を踏まえて解説。リスク10項目チェックリストと稟議書テンプレ・経営層想定質問15問付き。
経営層から「Gensparkを全社導入したい」と相談が来たとき、情シス・法務・CISOが最初に直面するのは「運営会社は信頼できるのか」「データはどこに保存されるのか」「個人情報保護法やGDPRに抵触しないのか」「Baidu出身者が創業した会社というのは大丈夫か」という連鎖的な不安です。
これらの問いに対し、感覚や噂で答えても稟議は通りません。本記事は、情シス・法務・経営層が稟議材料として使える形で、Gensparkのセキュリティリスクを事実ベースで整理する完全ガイドです。運営会社の法人格、データ保存先、認証取得状況、エンタープライズ機能、4法(GDPR/個人情報保護法/不正競争防止法/経済安全保障推進法)の観点、競合エンタープライズ4社との比較、リスク10項目チェックリスト、稟議書テンプレ、経営層想定質問15問までを1記事に詰め込みました。
Key Takeaways(先に結論):
- Gensparkの運営会社は米デラウェア法人 MainFunc, Inc.(本社 Palo Alto, California, USA)。創業者はBaidu出身だが、法人格は米国法人であり中国法の管轄下にない。
- データは Microsoft Azure に保存されるが、具体的リージョンは2026年5月時点では公開されていない。日本リージョン指定(Azure Japan East)の可否はEnterprise契約時に個別協議が必要。
- 2026年1月の日本正式ローンチ時に SOC 2 Type II と ISO 27001 を取得したことが公表された。2026年3月には Microsoft Agent 365 の公式パートナーとなり、Entra/Defender/Purviewと連動するエンタープライズ運用が可能になった。
- ただし SCIM対応・データリージョン明示・HIPAA BAA などの先行勢(Perplexity Enterprise Pro/ChatGPT Enterprise/Claude Enterprise/Gemini Enterprise の競合4社)が備える機能は一部未確認。機密度・用途別の導入可否マトリクスで判断する必要がある。
- 稟議で必要なのは「禁止」でも「無条件許可」でもなく、条件付き許可の設計。本記事末尾の稟議書テンプレと経営層想定質問15問を併用すれば、判断資料を効率的に整理することができます。
本記事の用語
| 表記 | 正式名 | 補足 |
|---|---|---|
| SOC 2 | SOC 2(半角スペースを含む) | SOC 2 Type II の略称も同様 |
| 個人情報保護法 | 個人情報の保護に関する法律 | 本文・見出しでは正式名 |
| 不正競争防止法 | 不正競争防止法 | 営業秘密3要件の根拠法 |
| 経済安全保障推進法 | 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律 | 4分野(特定重要物資・基幹インフラ・特許非公開・先端的重要技術) |
| Genspark | Genspark Enterprise / Team / Plus / Pro / Free | プラン名は明示 |
| Microsoft Agent 365 | Microsoft Agent 365(一般提供) | 本文初出のみフルネーム、以降「Agent 365」と略す場合あり |
幅制約のある表セルや稟議書テンプレ内では正式名の頭文字略記を許容するが、初出時は正式名で記載する。
目次
- はじめに|情シス・法務が「Genspark法人導入」で本当に確認すべきこと
- Gensparkの運営会社 — MainFunc Inc. の事実整理
- データ保存と暗号化 — Microsoft Azure 利用の実態
- Zero Training Policy — 学習利用の実態と設定方法
- セキュリティ認証 — 2026年5月時点の最新ステータス
- Microsoft Agent 365 公式パートナー化の意味
- 「Baidu出身=危険」議論を3軸で分解する
- Genspark Enterprise の機能棚卸し
- リスク10項目チェックリスト(情シス向け)
- 4法統合の法務観点(GDPR/個人情報保護法/不正競争防止法/経済安全保障推進法)
- Genspark vs 競合4社(Perplexity / ChatGPT / Claude / Gemini)— 10観点比較表
- 企業導入のためのセキュリティ設定ベストプラクティス
- 稟議書テンプレート(コピー利用可)
- 経営層想定質問15問(CFO/CEO/CISO/法務向け)
- 撤退時のデータ移行・契約解除条項チェック
- Genspark 導入可否マトリクス
- FAQ
- まとめと次の一歩
1. はじめに|情シス・法務が「Genspark法人導入」で本当に確認すべきこと
Genspark(ジェンスパーク)は、検索・スライド作成・スプレッドシート・スーパーエージェントなどを統合したAIワークスペースで、2023年12月のサービス開始から2年弱で評価額 $1.25B(約1,870億円、2025-11-20 公表時点)のユニコーンに成長しました。日本でも2026年1月の正式ローンチ以降、急速にユーザーが増えています。
しかし企業利用、特に大企業や上場企業、士業、金融機関などでの導入時には、「便利」だけでは稟議が通りません。情シス・法務・CISOが繰り返し確認する論点は次の5つです。
- 運営会社の事業継続性: スタートアップ特有のサービス停止リスク
- データの取り扱い: 入力情報の保存先、暗号化、学習利用、第三者提供
- 認証・コンプライアンス: SOC 2、ISO 27001、GDPR、個人情報保護法
- アクセス管理: SSO、SCIM、監査ログ、権限分離
- 撤退条件: データ削除、エクスポート、契約解除時の保証
これらに対して既存のWeb記事は「Baidu出身者が創業した会社なので注意」「データ保存先は不明」のような曖昧な表現に留まり、稟議書のエビデンスとしてはそのまま使えません。本記事では一次ソース(公式PR、BusinessWire、PR TIMES、各社プライバシーポリシー)を可能な限り明示し、評価と事実を分離した形で整理します。
本記事の使い方
| 読者 | お勧めの読み方 |
|---|---|
| 情シス・CISO | 第3〜9章 → 第11章(比較表) → 第12章(ベストプラクティス) |
| 法務 | 第2章(運営会社) → 第10章(4法統合) → 第15章(撤退条項) → 第13章(稟議書テンプレ) |
| 経営層 | Key Takeaways → 第14章(想定質問15問) → 第13章(稟議書) |
| 申請者(事業部側) | 第1章 → 第13章(稟議書テンプレ) → 第16章(導入可否マトリクス) |
AIツールのガバナンス全般についてはAIガバナンスのフレームワークを、組織体制についてはCAIO(最高AI責任者)の役割、DX推進組織のセキュリティ設計をあわせて参照してください。
2. Gensparkの運営会社 — MainFunc Inc. の事実整理
Gensparkを開発・運営しているのは、米デラウェア州設立・カリフォルニア州パロアルト本社の MainFunc, Inc. です。日本における主体は Genspark, Inc.(日本法人) で、シンガポールにも拠点を持ちます。
法人格・本社所在地
| 項目 | 内容 | 一次ソース |
|---|---|---|
| 運営法人(米国本社) | MainFunc, Inc.(デラウェア法人) | MainFunc.ai 公式 |
| 本社所在地 | Palo Alto, California, USA | BusinessWire 2025-11-20 |
| 日本拠点 | Genspark, Inc.(日本法人) | PR TIMES 2026年1月正式ローンチ発表 |
| シンガポール拠点 | あり | BusinessWire |
| 設立 | 2023年12月 | PitchBook / BusinessWire |
| 提供サービス | AIワークスペース(検索、スライド、スプレッドシート、エージェント) | 公式 |
法務観点での重要ポイント: GensparkというAIサービスを提供している主体は 米国法人 であり、契約書の準拠法・管轄裁判所は通常カリフォルニア州法/米国連邦裁判所が指定されます。中国法の管轄下にあるわけではないため、「中国製AI」という表現は正確ではありません。ただし、日本国内のエンドユーザーが日本法人 Genspark, Inc. と契約する場合は別途確認が必要です。
創業者の経歴
| 役職 | 氏名 | 前職 |
|---|---|---|
| Co-founder & CEO | Eric Jing Kun | 元 Baidu 副President(Vice President)/元 Xiaodu Technology CEO |
| Co-founder & CTO | Kay Zhu | 元 Xiaodu Technology CTO |
Xiaodu Technology は、中国の検索大手 Baidu の音声AIスマートデバイス事業を担う子会社として2018年頃に独立子会社化されたと報道されており、Baidu グループ内のAI事業を牽引していました。両創業者は2023年に Xiaodu を離れ、米国で MainFunc, Inc. を設立しています(経歴の出典は BusinessWire 2025-11-20 ほか各種報道)。
重要: 公開情報では、Baidu または Baidu 系投資ファンド(Baidu Ventures 等)が Genspark の株主となっている事実は確認されていません。資本関係の詳細は次項を参照してください。
資本構成と資金調達
| ラウンド | 時期 | 調達額(公開情報) | リード投資家(公開情報) |
|---|---|---|---|
| Seed〜Series A | 2023〜2024年 | 非公開(複数ラウンド) | Lanchi Ventures 等(参加) |
| Series B | 2025年11月 | $275M | Emergence Capital Partners |
| 累計 | 2025年11月時点 | $545M(公表値) | — |
Series B には SBI Investment、LG Technology Ventures、Pavilion Capital、Uphonest Capital、Lanchi Ventures が参加していると公表されました。post-money 評価額は $1.25B(約1,870億円。1USD=149.6円で換算した参考値、2025-11-20公表時点)です(BusinessWire 2025-11-20)。
Seed〜Series A は複数ラウンドに分けて実施されたと報道されており、各ラウンド単独の金額は非公開ですが、Series B 終了時点の累計 $545M は公表値(BusinessWire 2025-11-20)です。Series B($275M)以前の差分 $270M は Seed・Series A・Series A+ 等の合算と推測されますが、内訳は非公開であり、確定的な数字は Genspark 側からの追加開示が必要です。
法務上の確認ポイント:
- Series B の参加投資家に Lanchi Ventures(中国系VC)が含まれることは公開情報。一方リード投資家は米国Silicon Valley の Emergence Capital Partners であり、米国系VCが筆頭株主層に位置する と公開情報からは推測できます。ただし各社の出資比率・議決権の詳細は非公開のため、確定的な議決権構造の把握には Genspark 側からの開示が必要です。
- 株主構成だけで「中国系」と一括りにすると不正確です。Lanchi Ventures は Series B での参加投資家にとどまり、リードを取った形跡はありません。
- SBI Investment が参加していることは、日本市場への展開意欲と日本のVCコミュニティとの接点を示唆します。
創業からの主要マイルストーン
- 2023年12月: MainFunc, Inc. 設立、Genspark プロジェクト開始
- 2024年: Genspark 一般公開、AI検索エンジンとしてバイラル化
- 2025年11月: Series B $275M、評価額$1.25Bでユニコーン入り
- 2026年1月: 日本正式ローンチ。同時に SOC 2 Type II と ISO 27001 を取得発表
- 2026年3月: Microsoft Agent 365 公式パートナー化
3. データ保存と暗号化 — Microsoft Azure 利用の実態
Gensparkに入力されたデータがどこに保存され、どう守られているか。情シス・法務が最も気にする論点です。
保存先
公開情報および国内のセキュリティ解説記事を総合すると、ユーザーが入力したプロンプト、生成されたコンテンツ、ファイル添付物などは Microsoft Azure クラウド上に保存 されていると説明されています(AIエージェントナビ 他)。
ただし、具体的なAzureリージョン(米国東部・欧州西部・日本東部 など)は2026年5月時点で公式に明示されていません。これは情シス審査時の論点になります。リージョン非公開の場合、「データが日本国内に留まる」とは保証できないため、後述する個人情報保護法第28条(外国にある第三者への提供)への該当可能性を検討する必要があります。
暗号化方式
| 状態 | 方式 | 標準 |
|---|---|---|
| 保管時暗号化(at rest) | AES-256 | Microsoft Azure 標準 |
| 通信時暗号化(in transit) | TLS 1.2 以上 | HTTPS 標準 |
| 鍵管理 | Microsoft Azure Key Vault 標準(公式の追加層は非公開) | — |
これは Microsoft Azure が標準で提供する暗号化レイヤーです。一般的なSaaSの保管時暗号化要件(NIST SP 800-171・ISO 27001 Annex A.10)を満たすレベルですが、Customer-Managed Encryption Keys(CMEK/BYOK) の対応有無は別途確認が必要です。
リージョン非公開が意味する3つのリスク
- データ越境の不確実性: 日本ユーザーのデータが米国に保存されている可能性。個人情報保護法第28条の越境移転に該当する場合、本人同意・基準適合体制の確認・継続的把握が必要。
- 災害復旧(DR)の確認困難: BCP上の主・副リージョンが分からないため、自社のDR要件と整合するか判定できない。
- データ主権の問題: EUのユーザーデータを含む場合、GDPR上の越境移転規定(SCC等)の整備状況を確認する必要がある。
推奨される確認事項
Genspark Enterprise契約時に、SLA(Service Level Agreement)またはDPA(Data Processing Agreement)で以下を明文化することを推奨します。
- 保存リージョンの指定(または特定地域に留めることの保証)
- データ越境時の SCC(Standard Contractual Clauses)の有無
- BYOK/CMEK のサポート
- 第三者監査レポートの開示(SOC 2 Type II レポートの提供)
4. Zero Training Policy — 学習利用の実態と設定方法
Genspark は、「ユーザーが入力したデータをモデルの学習には使用しない」というZero Training Policyを採用している と公表されています(Saiteki AI 他、複数情報源で確認)。
この方針は、ChatGPT Enterprise や Claude Enterprise、Perplexity Enterprise Pro なども採用している、エンタープライズ向けAIサービスのデファクト標準です。
Zero Training Policy の条件
ただし、無料プラン・有料プラン共通でこのポリシーが適用されるとは限らない点に注意が必要です。複数の解説記事では、以下のニュアンスが述べられています。
- 無料プラン: デフォルトで「AI改善のためのデータ収集」がオンになっており、設定画面から手動でオフにする必要がある可能性。
- Plus / Team / Enterprise: Zero Training Policy が標準適用される。
推奨: 法人利用では必ず Plus 以上のプランを契約し、設定画面で「AIデータ収集」または「Improve AI for everyone」相当の項目がオフであることを確認してください。
学習オプトアウト設定の手順(一般的な操作)
- Genspark にログイン
- 右上のアバター → Settings(設定)
- Privacy(プライバシー)または Data タブを開く
- "Improve AI for everyone" / "AI data collection" 相当のトグルを OFF にする
設定画面の名称はアップデートで変わる可能性があるため、契約時に Genspark の管理コンソールマニュアルで正確な操作を確認してください。
法人契約での明文化推奨
Enterprise 契約書(または DPA)に以下を明記することを推奨します。
- 入力データ・出力データを Genspark およびその下流のモデル提供者(OpenAI / Anthropic / Google など)の学習に使用しない
- ログとして保存する場合の保持期間と削除条件
- 監査時のログアクセス権
Genspark は OpenAI、Anthropic、Google、Microsoft、AWS など複数のモデル提供者と技術連携しており、Mixture-of-Agents 構成で複数モデルを使い分けます。各モデル提供者のデータポリシーが Genspark に継承されることを確認する必要があります。
5. セキュリティ認証 — 2026年5月時点の最新ステータス
Genspark のセキュリティ認証ステータスは、2026年に大きく更新されました。情シス審査で「認証なし」と書かれた古い記事をそのまま参照すると判断を誤るため、2026年5月時点の最新情報で評価してください。
コンプライアンスステータス(2026年5月時点)
| 認証 | ステータス | 発表時期 | 一次ソース |
|---|---|---|---|
| SOC 2 Type II | 取得済み | 2026年1月(日本正式ローンチ時) | PR TIMES |
| ISO 27001 | 取得済み | 2026年1月 | PR TIMES |
| GDPR 完全準拠(ロードマップ) | Irish DPC を主たる監督機関として GDPR に対応、2026年内に完全準拠予定 | 2026年内予定 | 公開情報 |
| HIPAA BAA | 現時点で未公開 | — | — |
| FedRAMP | 未取得 | — | — |
SOC 2 Type II と ISO 27001 取得の意味
SOC 2 Type II は、AICPA(米国公認会計士協会)が定める SaaS 向けのセキュリティ基準で、Security/Availability/Processing Integrity/Confidentiality/Privacy の5原則について 6か月以上の運用実績を独立監査人が検証 したものです。Type I が「設計が適切である」評価なのに対し、Type II は「運用が実際に機能している」評価なので、稟議書上の説得力が大きく異なります。
ISO 27001 は、ISMS(情報セキュリティマネジメントシステム)の国際規格で、Annex A の114統制について組織的・物理的・人的・技術的な観点でPDCAサイクルを回していることを認証機関が認証します。
この2つを 日本正式ローンチと同時に取得した ことは、Genspark が日本市場で大企業導入を本気で狙っていることを示します。情シス審査では「SOC 2 Type II レポートの開示」を契約条件として求めることを推奨します。
認証取得が情シス審査に与える影響
- 多くの大企業のベンダー審査表(VAS: Vendor Assessment Sheet)では SOC 2 Type II / ISO 27001 のいずれかが必須条件。Genspark はこの最低ラインを満たしている。
- ただし HIPAA BAA(医療データ)、FedRAMP(米国連邦政府)、PCI DSS(決済データ)には未対応。これらの業種では追加のリスク評価が必要。
6. Microsoft Agent 365 公式パートナー化の意味
2026年3月10日、Genspark は Microsoft Agent 365 の公式パートナーになったと発表しました(EnterpriseZine 2026-03-10 等)。これは法人ユーザーにとって、運用面で大きな変化を意味します。
Microsoft Agent 365 とは
Microsoft Agent 365 は、Microsoft が2026年に一般提供開始したエンタープライズ向けAIエージェント管理基盤です。Microsoft 365 / Entra(旧Azure AD)/ Defender / Purview のセキュリティ・コンプライアンス基盤の上で、社内で利用されるAIエージェントの 可視化・アクセス制御・監査・コンプライアンス管理 を一元的に行えるコントロールプレーンです。
Genspark がパートナーになって何が変わるか
| 観点 | パートナー化前 | パートナー化後 |
|---|---|---|
| 認証基盤 | Genspark独自のSSO/SAML | Microsoft Entra ID と統合 |
| エンドポイント保護 | — | Microsoft Defender で監視 |
| 情報保護・DLP | — | Microsoft Purview で機密度ラベル連動 |
| 監査ログ | Genspark Enterprise のログ | Agent 365 経由で 統合監査ログ |
| 利用者管理 | Genspark側で個別管理 | Microsoft 365 ユーザー管理と一元化 |
すでにMicrosoft 365を全社採用している企業にとって、「Genspark を導入すること = 自社のMicrosoftセキュリティ統制下に組み込むこと」 が可能になったのは、大きな前進です。
注意事項
- Agent 365 連携の前提となる Microsoft 側のライセンス要件(Microsoft 365 のグレード、Entra ID Premium、Defender、Purview のサブスクリプション)は Microsoft の公式ドキュメントで都度確認が必要です。一般に Enterprise グレードのセキュリティライセンスを必要とすると見込まれます。
- 連携設定は IT 管理者が行う必要があり、SSO/SAML 設定だけで完結しないため、リードタイムを見込む必要があります。
7. 「Baidu出身=危険」議論を3軸で分解する
Genspark のセキュリティ議論で最も誤解が多いのが「創業者が Baidu 出身だから危険」という主張です。情シスや法務がこの主張を稟議書に書くと、論理性が弱く差し戻されることがあります。3つの軸に分解 することで、リスクを正確に評価できます。
軸1: 国籍(個人)
個人の国籍は、企業のリスク評価とは原則として無関係です。AppleのTim Cookやマイクロソフトのサティア・ナデラのように、米国IT企業のCEOには出身国を問わない例が多数あります。
「Baidu出身者が中国国籍だから危険」というロジックは、合理的根拠を欠き、差別的な取扱に該当しうるため、企業ガバナンス上望ましくない 種類の主張です。情シス審査では国籍を判断材料にせず、後述の軸2(法域)・軸3(データ取扱)で評価してください。
軸2: 法域(運営会社)
リスク評価で重要なのは 個人の国籍ではなく、サービスを運営する法人の法域 です。Gensparkを運営するのは MainFunc, Inc.(米デラウェア法人) であり、米国法の管轄下にあります。
| 法域に関する事実 | 内容 |
|---|---|
| 運営法人の登記国 | 米国デラウェア州 |
| 本社所在地 | カリフォルニア州パロアルト |
| 準拠法(一般的に) | カリフォルニア州法/米国連邦法 |
| 中国「国家情報法」の適用 | 適用されない(中国法人ではないため) |
| CCP(中国共産党)への情報提供義務 | 法的義務はない(中国法人ではないため) |
中国の「国家情報法」第7条が「中国国内の組織・市民」に情報提供義務を課す条文ですが、米国法人である MainFunc, Inc. は対象外です。一方、米国法人で米国リージョンにデータを保管している場合、米国の CLOUD Act(18 U.S.C. § 2713)の対象となりうるため、米国政府からの正規の法的手続きを経た開示要請には応じる可能性があります。
軸3: データ取扱(事実)
最も実務的に重要なのは、「個人や法域に関わらず、データが実際にどう扱われているか」 です。Gensparkについては既出の通り次の事実が確認されています。
- データ保存先: Microsoft Azure(具体的リージョンは2026年5月時点で公式非開示。米国リージョンの可能性が高いと推測されるが、Enterprise契約時に書面で確認推奨)
- 暗号化: AES-256(at rest)、TLS 1.2+(in transit)
- 学習利用: Zero Training Policy(有料プランで標準適用)
- 認証: SOC 2 Type II、ISO 27001(2026年1月取得)
- 第三者監査: 上記認証で実施済み
つまり、データの実際の流れは 「ユーザー → Microsoft Azure → モデル提供者(OpenAI/Anthropic/Google)」 であり、創業者が個人的にデータにアクセスできる構造にはなっていません。
稟議書記入用ボイラープレート(コピー可)
「Baidu出身=危険」を軸1(国籍)の感情論で評価せず、軸2(法域)と軸3(データ取扱)で記述するためのテンプレートです。
Gensparkの運営法人は米デラウェア法人 MainFunc, Inc. であり、中国「国家情報法」の適用対象外(=軸2 法域)。 データは Microsoft Azure 上に保管され、Zero Training Policy が標準適用、SOC 2 Type II / ISO 27001 を2026年1月時点で取得済みと公表されている(=軸3 データ取扱)。 創業者の出身組織は事業継続性・採用判断の参考情報に留め、リスク評価指標から除外する(=軸1 国籍)。 よって本稟議では「Baidu出身=危険」との評価は採用せず、軸2・軸3に基づき条件付き許可を検討する。
このボイラープレートを稟議書または監査回答テンプレにそのまま転写することで、感情論を避けつつ事実ベースの評価が可能になります。
8. Genspark Enterprise の機能棚卸し
Genspark には Free / Plus / Pro / Team / Enterprise のプランがあり、エンタープライズ機能は Team 以上、特に Enterprise プランで提供されます。
プラン別主要機能
| プラン | 月額(1席) | 主な機能 |
|---|---|---|
| Free | 0円 | 基本機能、200クレジット |
| Plus | $25/月 | 個人向け強化機能、月10,000クレジット |
| Pro | $200/月 | 高負荷利用者向け |
| Team | $30/席/月(2〜150席) | 共有ワークスペース、Member Role、利用状況分析、月12,000クレジット、60GBストレージ |
| Enterprise | 個別見積もり | Team機能 + SSO/SAML、データ保持ポリシー、専任サポート、SLA、Microsoft Agent 365連携 |
(出典: Genspark料金解説(侍エンジニア)、AI ONE 他)
エンタープライズ機能の現状
| 機能 | Genspark Enterprise | 備考 |
|---|---|---|
| SSO(SAML 2.0) | ✓ 対応 | Okta/Azure AD/Google Workspace 等 |
| SCIM プロビジョニング | 公式情報非公開(要確認) | 個別契約での対応可否を要相談 |
| MFA 強制 | SSO/SAML経由で対応可能 | IdP側で設定 |
| ロールベースアクセス制御(RBAC) | ✓ Member Role 機能 | 管理者/一般/閲覧者 |
| 監査ログ | ✓ 対応 | 実行日時/実行者/IPアドレス/操作内容 |
| データ保持ポリシー | ✓ 設定可能 | 保持期間カスタマイズ可 |
| 外部 SIEM 連携 | Microsoft Agent 365 経由で可能 | Purview監査ログ統合 |
| データリージョン指定 | 個別協議 | Azure リージョンの指定は要相談 |
| BYOK/CMEK | 公式情報非公開 | 要相談 |
| DPA/SCC | エンタープライズ契約で対応 | GDPR対応 |
情シス審査で確認すべき項目: SCIM 対応、BYOK の有無、データリージョン指定の可否は、現時点では公式情報が限定的です。これらは Enterprise 契約の交渉段階で 書面で明確化 することを推奨します。
Team プランと Enterprise プランの分岐点
- Team プラン: 中小規模(〜150名)、IdP統合不要、データ要件が標準的な企業
- Enterprise プラン: SSO/SAML、データ保持ポリシー、DPA、Agent 365連携、SLAが必要な企業
選択の鍵は「価格」ではなく「ガバナンス要件をどこまで満たす必要があるか」です。上場企業や金融・医療・公共系の場合、原則として Enterprise を選んでください。
9. リスク10項目チェックリスト(情シス向け)
情シス審査で漏れがちな10項目を、稟議書のチェックリストとしてそのまま使える形で整理します。
リスク10項目
- 個人情報の入力可否
- 氏名、メール、住所、マイナンバー、要配慮個人情報を入力する業務があるか
- ある場合、本人同意取得プロセスと、入力時の自動マスキングは可能か
- 機密情報の入力可否
- 営業秘密、未公開財務情報、人事評価などを入力するか
- 不正競争防止法の「営業秘密」要件(秘密管理性・有用性・非公知性)を維持できるか
- 知的財産(IP)の取扱い
- 自社の特許出願前情報、研究データを入力するか
- 入力データの権利帰属が DPA でユーザー側に明記されているか
- データ越境(クロスボーダー)
- 日本ユーザーのデータが米国・シンガポール等に保存される可能性に同意を取得しているか
- 個人情報保護法第28条の本人同意・基準適合体制確認を実施しているか
- 学習利用の同意
- Zero Training Policy が契約上明文化されているか
- 設定画面で「AIデータ収集」がオフになっていることを確認しているか
- ログ保存・監査
- 監査ログは何を記録し、保持期間は何日か
- 自社のSIEM/監視基盤に取り込めるか
- SLA・可用性
- 稼働率の保証値はあるか(99.9% 等)
- インシデント時の補償条項はあるか
- サポート対応
- 障害時の連絡窓口、応答時間 SLO
- 日本語サポートの有無、対応時間帯
- 撤退時データ移行
- エクスポート機能(プロンプト履歴、生成物の一括ダウンロード)
- 契約解除後のデータ削除期限、削除証跡の取得
- インシデント対応
- データ漏洩時の通知期限(GDPR 72時間、個人情報保護法は速やかに)
- サブプロセッサ(OpenAI/Anthropic/Google/Microsoft)でのインシデントが伝達されるか
チェックリスト形式(稟議添付用)
□ 1. 個人情報の入力可否を業務分類毎に決定済み
□ 2. 機密情報の入力禁止項目を社内ルールに明文化済み
□ 3. IP情報の取扱いをDPAで確認済み
□ 4. 個人情報保護法第28条への対応(本人同意 / 基準適合体制)を整理済み
□ 5. Zero Training Policy を契約条項で確認済み
□ 6. 監査ログ仕様と保持期間を確認済み
□ 7. SLA(稼働率 / インシデント補償)を確認済み
□ 8. 障害時連絡先と対応時間を確認済み
□ 9. 撤退時のエクスポート機能・データ削除を確認済み
□10. インシデント発生時の通知フローを確認済み
プロンプトインジェクション対策も併せて確認することを推奨します。
10. 4法統合の法務観点 — GDPR/個人情報保護法/不正競争防止法/経済安全保障推進法
Genspark の法人導入時に法務が押さえる必要があるのは、「個人情報保護法だけ」「GDPRだけ」ではなく4法を統合した観点 です。
10-1. 個人情報保護法(日本)
第28条 — 外国にある第三者への提供
Genspark の運営会社 MainFunc, Inc. は米国法人なので、日本の個人情報を入力する業務では 個人情報保護法第28条 の越境移転規定の対象となります。
| 要件 | 内容 |
|---|---|
| 本人同意取得 | 越境移転の事実、相手国名、相手国の個人情報保護制度、当該第三者の保護措置を提供して同意取得 |
| 基準適合体制 | OECD基準相当の体制を整備している場合は本人同意不要、ただし継続的把握義務あり |
| プライバシーポリシー記載 | 越境移転の事実をプライバシーポリシーに明記 |
推奨対応: 自社のプライバシーポリシーに「Gensparkを業務利用しており、米国にデータが送信される可能性がある」旨を追記。Enterprise契約時はDPAで保護措置を明記し、本人同意取得プロセスを社内で確立。
2026年改正への対応
2026年4月7日に個人情報保護委員会から改正法案が公表されたと報じられており、夏頃の成立(予定)、2028年4月頃の施行(予定)が見込まれています。改正点には SaaS事業者への直接的な要請権限 などが含まれるとされており、Genspark のような海外SaaS利用は今後より厳格な情報開示・契約管理が求められる方向と見込まれます。日程・効力範囲は確定情報ではないため、最新の動向は個人情報保護委員会の公式情報で確認してください。
10-2. GDPR(EU 一般データ保護規則)
EU圏のユーザーや従業員のデータが Genspark に入力される可能性がある場合、GDPR の適用を受けます。
| 要件 | Genspark の対応 |
|---|---|
| 法的根拠 | 契約履行/同意/正当な利益 のいずれかを明示 |
| 越境移転 | Irish DPC(Data Protection Commission, アイルランドデータ保護委員会)を主たる監督機関(Lead Supervisory Authority)として GDPR に対応、2026年内に完全準拠ロードマップ |
| SCC(標準契約条項) | エンタープライズ契約で締結可能 |
| DPIA(データ保護影響評価) | 大規模個人データ処理時は実施推奨 |
| 違反時の通知 | 72時間以内に監督官庁、影響範囲によっては本人にも通知 |
GDPR制裁金は 全世界売上の4%または2,000万ユーロ のいずれか高い方。日本企業でもEU従業員・顧客データを扱えば対象になります。
10-3. 不正競争防止法(日本)
Gensparkに営業秘密を入力する場合は、不正競争防止法第2条第6項の「営業秘密」3要件(秘密管理性・有用性・非公知性)を維持できる体制が必要です。
| 要件 | リスク |
|---|---|
| 秘密管理性 | Genspark側で「機密」マーキングや暗号化がなされなければ、秘密管理性が否定される可能性 |
| 有用性 | 通常はクリア |
| 非公知性 | Genspark経由で第三者に開示されると非公知性が崩れる |
推奨: 営業秘密の入力は原則禁止。やむを得ず入力する場合は、社内規程で「Genspark入力前のマスキング」「Enterprise契約のDPA明記」を必須にする。
10-4. 経済安全保障推進法
経済安全保障推進法は、特定重要物資・基幹インフラ・特許非公開・先端的重要技術の4分野が対象です。Genspark を業務利用すること自体が直接違法になるわけではありませんが、以下の業務では追加の検討が必要です。
- 防衛・宇宙・原子力など機微技術を扱う事業者
- 14分野の基幹インフラ事業者(電気・ガス・通信・金融・運輸 等)
- 特許非公開制度の対象となる出願準備中の技術
特に 特許非公開制度(保全指定制度) の対象になりうる技術情報を SaaS(Genspark を含む)に入力すること自体が、保全指定後の取扱違反になる可能性があります。これらの業務で Genspark に技術情報を入力する場合、所管省庁への事前協議や、社内ガイドラインでの明示的な利用禁止を検討してください。
4法統合の運用ガイドライン
| 業務分類 | 個人情報保護法 | GDPR | 不正競争防止法 | 経済安全保障推進法 |
|---|---|---|---|---|
| 公開情報のみ | 不要 | 不要 | 不要 | 不要 |
| 顧客個人情報 | 第28条同意必須 | SCC + DPIA | — | — |
| 営業秘密 | — | — | 秘密管理性維持 | — |
| EU顧客データ | 第28条同意必須 | 完全適用 | — | — |
| 機微技術情報 | — | — | 秘密管理性維持 | 入力禁止推奨 |
11. Genspark vs 競合4社(Perplexity / ChatGPT / Claude / Gemini)— 10観点比較表
情シス審査で必ず必要になるのが、競合サービスとの横並び比較です。10観点で Genspark Enterprise と競合4社(Perplexity Enterprise Pro / ChatGPT Enterprise / Claude Enterprise / Gemini Enterprise)を比較します。本表は2026年5月時点の公開情報をもとに作成しており、各社の最新ステータスは公式のトラストセンター(Genspark / Perplexity Trust Center / OpenAI Trust Portal / Anthropic Privacy Center / Google Cloud Compliance)を確認のうえ、契約交渉に臨んでください。
10観点比較表(2026年5月時点)
| 観点 | Genspark Enterprise | Perplexity Enterprise Pro | ChatGPT Enterprise | Claude Enterprise | Gemini Enterprise |
|---|---|---|---|---|---|
| SOC 2 Type II | ✓ 取得済(2026/1) | ✓ 取得済 | ✓ 取得済 | ✓ 取得済 | ✓ 取得済 |
| ISO 27001 | ✓ 取得済(2026/1) | △ 一部記載なし | ✓ 取得済 | ✓ 取得済 | ✓ 取得済 |
| HIPAA BAA | △ 未公開 | ✓ 対応 | △ 限定 | ✓ 限定対応 | ✓ 対応 |
| GDPR 完全準拠 | △ 2026年内ロードマップ | ✓ 対応 | ✓ 対応 | ✓ 対応 | ✓ 対応 |
| SSO/SAML 2.0 | ✓ 対応 | ✓ 対応 | ✓ 対応 | ✓ 対応 | ✓ 対応 |
| SCIM プロビジョニング | △ 個別協議 | △ 限定 | ✓ 対応 | ✓ 対応 | △ Workspace経由 |
| 監査ログ・SIEM連携 | ✓ Agent 365経由可 | ✓ 対応 | ✓ 対応 | ✓ 対応 | ✓ Workspace監査 |
| データリージョン指定 | △ 個別協議 | △ 限定 | ✓ 対応 | ✓ AWS/GCP閉域可 | ✓ Workspace準拠 |
| BYOK / CMEK | △ 公式非公開 | △ 限定 | ✓ 対応 | △ 限定 | ✓ Workspace準拠 |
| Zero Training(契約上) | ✓ 標準 | ✓ ZDR Policy | ✓ 標準 | ✓ ZDR Policy | ✓ 標準 |
凡例: ✓ 対応/△ 部分対応または要確認/✗ 非対応
評価サマリー
- Genspark Enterprise: 2026年初に SOC 2 / ISO 27001 を取得し、Microsoft Agent 365 連携も可能で、エンタープライズ要件の 基本ラインは満たした。ただし HIPAA BAA、SCIM、BYOK、データリージョン指定 などの「先行勢が標準で備える項目」は個別協議・要確認状態。
- Perplexity Enterprise Pro: SOC 2、GDPR、HIPAA に対応。ZDRポリシー明示。検索特化用途で安定。
- ChatGPT Enterprise: SCIM、データリージョン、BYOK まで対応する 最も成熟したエンタープライズAI。
- Claude Enterprise: Anthropic 直接契約に加え、AWS Bedrock 経由の Claude / Google Vertex AI 経由の Claude を組み合わせることで VPC内・閉域構成 に近い運用が可能。コーディング用途で強い。なお Bedrock / Vertex 経由の場合は契約主体・データ取扱がそれぞれの IaaS 提供者となる点に注意。
- Gemini Enterprise: Google Workspace 経由で利用する Gemini(Workspaceの統制を継承)と、Google Cloud Vertex AI 経由の Gemini Enterprise(HIPAA BAA など Google Cloud の認証を継承)の2系統がある。Workspace 全社採用企業との親和性が高い。契約形態によって認証カバー範囲が異なるため、Google Cloud 公式ドキュメントで対象範囲を確認すること。
Genspark を選ぶべきケース
- スーパーエージェント機能(自律的タスク実行)が必須で、他社では代替不可
- すでに Microsoft 365 / Agent 365 を全社採用しており、Entra/Defender/Purview で統制したい
- スライド・スプレッドシート生成を含む統合ワークスペースが必要
Genspark を慎重に検討すべきケース
- HIPAA BAA が必須(医療事業者)
- 大量の個人データを扱い、SCIM 自動プロビジョニングが必須
- データリージョンを明示的に日本に固定する必要がある
Claude Code のエンタープライズセキュリティ と組み合わせて評価する企業も増えています。
12. 企業導入のためのセキュリティ設定ベストプラクティス
Genspark Enterprise を導入する際の、情シス・運用部門向けの具体的なベストプラクティスです。
12-1. 認証・アカウント管理
- SSO/SAML を必須化: 個別アカウントでのログインを禁止し、IdP(Okta/Entra ID/Google Workspace)経由のSSOに統一
- MFA を強制: IdP 側で多要素認証を必須化
- 管理者アカウントの分離: 通常業務アカウントと管理者アカウントを分け、管理者作業時のみ昇格
- 退職・異動時の自動解除: SCIM 対応していれば IdP 同期、未対応の場合は手動オフボーディングのSLA(例: 24時間以内)を設定
12-2. ロール・権限設計
| ロール | 権限 | 対象者 |
|---|---|---|
| Owner | 課金、組織設定、ユーザー管理、データ全削除 | 情シス管理者 1-2名 |
| Admin | ユーザー管理、SSO設定、ログ閲覧 | 情シス担当 |
| Member | ワークスペース内の生成・閲覧 | 一般従業員 |
| Viewer | 生成物の閲覧のみ | 監査・閲覧専用 |
12-3. 入力禁止項目の明文化
社内ガイドラインで以下を明文化します。
| 区分 | 禁止項目例 | 理由 |
|---|---|---|
| 個人情報 | 氏名+生年月日+住所、マイナンバー、要配慮個人情報 | 個人情報保護法、第28条 |
| 認証情報 | パスワード、APIキー、秘密鍵、トークン | 漏洩リスク |
| 営業秘密 | 未公開財務、人事評価、価格戦略 | 不正競争防止法 |
| 知的財産 | 特許出願前の発明、未公開の研究データ | 非公知性維持 |
| 機微技術 | 経済安全保障推進法対象の重要技術情報 | 経済安全保障 |
12-4. 監査ログと内部統制
- 監査ログを SIEM に連携: Microsoft Agent 365 経由で Purview / Sentinel に取り込み
- 異常検知ルール:
- 短時間での大量プロンプト送信
- 機密キーワードを含む入力
- 通常業務時間外のアクセス
- 定期レビュー: 月次で管理者がログをレビュー、四半期ごとに利用状況を経営層に報告
12-5. 教育プログラム
- 導入時の全員研修(60分): 入力禁止項目、出力の確認、設定方法
- 半年ごとの再研修(30分): 最新リスク、社内インシデント事例の共有
- 新入社員向けオンボーディング: 入社時にAI利用規程の同意取得
13. 稟議書テンプレート(コピー利用可)
社内稟議で使えるテンプレートです。コピーして必要箇所を埋めてください。
件名: AIワークスペース「Genspark Enterprise」の導入について
1. 目的
- 部門横断のリサーチ・ドキュメント作成業務を効率化し、年間 ___ 時間の削減を見込む
- 既存ツール(___)の代替および機能強化
2. 導入概要
- サービス名: Genspark Enterprise
- 運営: MainFunc, Inc.(米デラウェア法人、本社 Palo Alto, California, USA)
- 日本法人: Genspark, Inc.
- 想定ユーザー数: ___名(情シス___名、事業部___名)
- 想定契約期間: ___年
- 概算費用: ___円/月(Team $30/席または Enterprise個別見積)
3. セキュリティ評価
- SOC 2 Type II 取得済(2026年1月)
- ISO 27001 取得済(2026年1月)
- Microsoft Agent 365 公式パートナー(2026年3月)
- データ保存先: Microsoft Azure(リージョンは個別協議)
- Zero Training Policy 標準適用(契約条項で明文化予定)
- SSO/SAML 対応、監査ログ取得可能
4. リスク評価
- データ越境: 個人情報保護法第28条への対応をDPAで明文化(本人同意 or 基準適合体制)
- 学習利用: 契約条項で禁止を明文化
- 撤退リスク: エクスポート機能の有無、契約解除後の削除期限を確認済み
- 創業者の経歴: Baidu出身者が含まれるが、運営法人は米国法人であり中国法管轄外。法域・データ取扱の観点では問題なし
5. リスク対策
- 入力禁止項目の社内ガイドライン制定(添付)
- 全社研修の実施(導入時60分、半年ごと30分)
- 監査ログのSIEM連携(Microsoft Agent 365 / Purview経由)
- 四半期ごとの利用状況レビュー
6. 比較検討
- 競合検討: ChatGPT Enterprise、Claude Enterprise、Perplexity Enterprise Pro
- 選定理由: ___
7. 承認フロー
- 起案: ___部 ___(YYYY-MM-DD)
- 情シス審査: ___(YYYY-MM-DD)
- 法務審査: ___(YYYY-MM-DD)
- CISO承認: ___(YYYY-MM-DD)
- 経営承認: ___(YYYY-MM-DD)
添付資料:
A. Genspark Enterprise セキュリティ概要(公式提供)
B. 社内利用ガイドライン(入力禁止項目・運用ルール)
C. リスク10項目チェックリスト(記入済み)
D. DPA(Data Processing Agreement)案
E. SLA(Service Level Agreement)案
14. 経営層想定質問15問(CFO/CEO/CISO/法務向け)
役員会で経営層から飛んでくる質問を、4つの役割に分けて整理しました。事前に回答を用意することで稟議承認までの期間を短縮できます。
CFO 向け(4問)
Q1. 年間コストはいくらで、ROIは何で測るのか? A. Team プランの場合 $30/席/月、Enterprise は個別見積。__名で年間 __ 万円。ROI は「リサーチ・ドキュメント作成時間の削減(時給換算)」「営業資料作成リードタイム短縮」で測定し、3年以内に投資回収を見込む。
Q2. 同種のAIツールと比べてコストパフォーマンスは? A. ChatGPT Enterprise・Claude Enterprise は公開価格なし・要問合せが各社の公式立場(過去の報道では $60/席/月前後の事例あり、ただし契約条件で変動)。Genspark Team は $30/席/月で中小規模・150席までを対象とした標準的な席課金。Enterprise プランは Genspark を含むいずれも個別見積。
Q3. 契約期間と解約条件は? A. 年契約が基本、解約は契約期間満了の___日前までの通知。中途解約の違約金条件を確認済み。
Q4. 為替リスクは? A. ドル建て契約の場合、年間為替変動の影響を試算する。日本円建てオプションや日本代理店経由の契約(ソースネクスト経由など)の有無を契約交渉時に確認する。
CEO 向け(3問)
Q5. なぜ Genspark なのか、ChatGPT や Claude ではダメなのか? A. Genspark の優位は「自律的スーパーエージェント」によるタスク実行と、Slide / Sheet 生成の統合。検索・要約・スライド作成を1ツールで完結できる点で、複数ツール併用より生産性向上が見込める。ChatGPT/Claude はテキスト中心、Genspark は ワークスペース型。
Q6. 競合・取引先からの信頼を損なわないか? A. SOC 2 Type II / ISO 27001 取得済みで、Microsoft Agent 365 のセキュリティ統制下で運用可能。これは ChatGPT Enterprise / Claude Enterprise と同等の認証ライン。取引先からの監査要求にも回答可能。
Q7. 中国系の懸念は本当に問題ないのか? A. 創業者は元Baidu出身だが、運営法人は 米国デラウェア法人(MainFunc, Inc.)で本社カリフォルニア州パロアルト。中国国家情報法の適用外。データは Microsoft Azure に保存され、Zero Training Policy で学習にも使われない。リスク評価は「個人国籍」ではなく「法域・データ取扱」の2軸で実施。
CISO 向け(5問)
Q8. データ漏洩時の通知体制は? A. Enterprise 契約のSLAに準じる。GDPR該当データは72時間以内、個人情報保護法該当データは速やかに通知。サブプロセッサ(OpenAI / Anthropic / Google / Microsoft)でのインシデントも、Genspark経由で通達される条項を契約に組み込む。
Q9. 自社の SIEM / SOC で監視できるか? A. Microsoft Agent 365 公式パートナーであるため、Purview / Sentinel に監査ログを取り込み、既存の SIEM ルールで監視可能。SSO/SAML経由のアクセスログも IdP(Okta / Entra)側で取得。
Q10. データはどこのリージョンに保存されるのか? A. Microsoft Azure 上に保存。リージョンは現在 Genspark と個別協議中。Enterprise 契約時に Azure Japan East 等の指定が可能かを書面で確認する方針。
Q11. 退職者のアクセス権限はどう管理するか? A. SSO/SAML経由で IdP(Entra / Okta)と統合し、人事システムで退職処理されれば自動的に Genspark のアクセスも解除。SCIM対応していれば即時、未対応の場合は SLA(24時間以内)で手動オフボーディング。
Q12. 入力データの学習利用はないか? A. Enterprise プランは Zero Training Policy 標準適用。契約書/DPA で「ユーザー入力データを Genspark および下流のモデル提供者(OpenAI / Anthropic / Google)の学習に使用しない」旨を明文化する。
法務 向け(3問)
Q13. 個人情報保護法第28条(越境移転)への対応は? A. 米国法人に提供するため第28条の越境移転に該当する。対応として、(1) 本人同意取得 または (2) 基準適合体制の確認 のいずれかを実施。自社プライバシーポリシーに越境移転の事実を明記。2028年4月予定の改正法施行に向けた追加対応も計画。
Q14. GDPR への対応は? A. EU 顧客・従業員データを扱う場合は、Genspark とDPAおよびSCCを締結。データ保護影響評価(DPIA)を実施。Genspark は2026年内のGDPR完全準拠ロードマップを公表しており、進捗を継続把握。
Q15. 営業秘密を入力した場合、不正競争防止法上の保護はどうなるか? A. 営業秘密の入力は原則禁止。やむを得ない場合は事前に法務承認を取得し、Enterprise 契約のDPA で「機密情報の取扱い」「第三者提供禁止」条項を明示。秘密管理性を維持するため、入力時の機密ラベル付与と Microsoft Purview 連動を活用する。
15. 撤退時のデータ移行・契約解除条項チェック
導入時に「撤退できない」を残さないため、契約締結前に 撤退条件 を必ず確認してください。
チェック項目
| 項目 | 確認内容 |
|---|---|
| エクスポート機能 | プロンプト履歴、生成スライド/スプレッドシート、エージェント実行ログを 一括ダウンロード できるか |
| エクスポート形式 | PDF / DOCX / XLSX / CSV / Markdown など、再利用可能な形式で出力できるか |
| 契約解除予告期間 | 解除通知から終了までの猶予期間(30日/60日/90日) |
| データ削除期限 | 解除後、何日以内に全データを削除するか(推奨: 30日以内) |
| データ削除証跡 | 削除完了の証明書(Certificate of Destruction)を発行できるか |
| バックアップ保持 | バックアップは削除対象か、保持される場合の期間 |
| 監査ログの引き渡し | 利用期間中の監査ログを撤退時に引き渡せるか(コンプライアンス監査用) |
| 移行支援 | 他ツールへの移行支援サービスや専門家紹介の有無 |
推奨対応
- 上記をすべて DPA / SLA に明記
- 年次でリハーサル: 実際にエクスポート機能を試し、撤退時に必要なデータが取り出せることを確認
- ベンダーロックインを避けるため、エクスポート可能な形式で重要な生成物を定期的に保存
16. Genspark 導入可否マトリクス
最終的に「自社で Genspark を使ってよいか」を判断するためのマトリクスです。機密度 × 用途 の2軸で評価します。
機密度 × 用途マトリクス
| 用途\機密度 | 公開情報 | 社内一般情報 | 機密情報 | 営業秘密・要配慮個人情報 |
|---|---|---|---|---|
| リサーチ・情報収集 | ✓ 推奨 | ✓ 可 | △ 条件付き | ✗ 禁止 |
| 資料・スライド作成 | ✓ 推奨 | ✓ 可 | △ 条件付き | ✗ 禁止 |
| データ分析・スプレッドシート | ✓ 推奨 | ✓ 可 | △ 条件付き | ✗ 禁止 |
| コード生成 | ✓ 可 | △ 条件付き | ✗ 禁止 | ✗ 禁止 |
| 顧客情報処理 | ✓ 可 | △ 条件付き | ✗ 禁止 | ✗ 禁止 |
| 医療情報処理(HIPAA該当) | ✗ 禁止(BAA未公開) | ✗ 禁止 | ✗ 禁止 | ✗ 禁止 |
| 機微技術・経済安全保障推進法対象 | ✗ 禁止 | ✗ 禁止 | ✗ 禁止 | ✗ 禁止 |
凡例: ✓ 推奨/✓ 可/△ 条件付き(事前承認・マスキング要)/✗ 禁止
条件付きケースの詳細
- 「△ 条件付き」とは、(1) 法務・情シス事前承認 (2) 機密情報のマスキング・匿名化 (3) Enterprise 契約 + DPA 締結 (4) 入力前のレビュー の4点を満たすケース
17. FAQ
FAQ は本文の TL;DR と該当章への導線です。詳細は各章を参照してください。
18. まとめと次の一歩
Gensparkは2026年1月の日本正式ローンチ以降、SOC 2 Type II / ISO 27001 の取得、Microsoft Agent 365 公式パートナー化を経て、法人導入の最低ラインを満たしたAIワークスペース に進化しました。一方で、SCIM、HIPAA BAA、データリージョン明示、BYOK などは先行勢に対して未確認・個別協議の状態にあります。
法人導入の判断は次の3ステップで進めるのが現実的です。
- 事実整理: 本記事の第2〜8章を稟議書添付資料として活用
- リスク評価: 第9章のリスク10項目チェックリストと、第10章の4法統合観点で評価
- 意思決定: 第14章の経営層想定質問15問への回答を用意し、第13章の稟議書テンプレで稟議化
「Baidu出身=危険」という感覚的なロジックではなく、運営法人の法域・データの取扱・契約条項・社内ガイドライン という4層で評価することで、稟議は通ります。
CV導線
koromoでは、Genspark を含む生成AIツールの全社ガバナンス設計・稟議資料作成・社内ガイドライン整備を、CAIO(最高AI責任者)代行サービスとして支援しています。
- AIツール選定・リスク評価
- 社内ガイドライン雛形のカスタマイズ
- 稟議資料・経営層想定質問のレビュー
- 導入後の運用監査
導入判断と並行して、AIツールのリスク評価とガバナンス体制の整備を進めたい場合は次の関連記事を参照してください。
- 全社AIガバナンス体制を整える方法 → AIガバナンスのフレームワーク全体像
- CAIO設置の意思決定基準 → CAIO設置判断の3軸
- DX推進組織でのセキュリティ責任分担 → DX推進組織におけるセキュリティ設計のポイント
- 同種のエンタープライズAIセキュリティ評価 → Claude Codeのセキュリティと社内導入時の注意点
