Gensparkの社内導入を検討するとき、「安全かどうか」を最短で判断するには、使い方の工夫ではなく サービス自体の前提(公式文書に何が書かれているか) を押さえるのが近道です。

結論から言うと、Gensparkは一般的なクラウドサービスとしての安全配慮を示している一方で、公式のプライバシーポリシーと利用規約の記載だけを見る限り、「入力した内容がどこにも送られない/一切保持されない」といった意味で“安全”と断言できるタイプのツールではありません。

この記事では、Gensparkの安全性について、推測や運用論を挟まずに「何が言えるか/言えないか」を整理します。

まず結論の考え方:Gensparkの「安全性」は何で決まるか

「安全です」と言い切れる条件は、公式文書だけでは満たしにくい

企業利用でよく求められるのは、「機密を扱っても問題ない」という強い断言です。

ただ、Gensparkのプライバシーポリシーには、電子的な送信・保管は100%安全ではないという一般的な免責が明記されています。

この一文があるだけでも、「絶対に漏えいしない」といった断言は構造的に難しくなります。

それでも「安全性の輪郭」は公式文書で見える

断言が難しい一方で、公式文書には「どういう構成でサービスが動くのか」が書かれています。
特に重要なのは次の3点です。

  • 第三者サービスを使う(=外部に処理が渡る可能性がある)
  • データはクラウド基盤(Microsoft Azure)に保存される
  • 利用規約上、ユーザーが送ったコンテンツをサービス提供のために扱える

ここから、「できる断言」と「できない断言」を分けて考えるのが現実的です。

この記事での結論

  • できる断言:Gensparkは第三者サービスを利用し、Azure上でデータを保管し、規約上も一定の範囲でコンテンツを扱える設計です。
  • できない断言:「外部送信ゼロ」「保存ゼロ」「絶対安全」 といった強い安全宣言は、公式文書の記載だけでは言えません。

社内利用で一番気になる「データはどこへ行くのか」:公式の明記ポイント

第三者サービス利用:OpenAI/Anthropicへ送信され得る

プライバシーポリシーの「第三者サービス」には、サービス維持・改善のために第三者サービスを使うこと、具体例として クエリがOpenAIまたはAnthropicのAPIに送信され得ることが明記されています。

これは安全性評価として非常に大きく、「Genspark内部だけで完結する」とは限らないことを意味します。

Google Workspace APIの扱いは“明確に線引き”がある

同じ箇所で、Google Workspace APIのデータは、一般化したAI/MLモデルの開発・改善・学習には使わないと明確に述べています。

こうした“用途の限定”が明記されている点は、安心材料として扱いやすいポイントです。

データ保管:Microsoft Azure上で保存される

プライバシーポリシーの「情報のセキュリティ」には、データが Microsoft Azureに保存される旨が書かれています。

企業側の説明としては、「クラウド上に置かれる前提」であり、かつ「Azureのポリシーに従う」という構造を理解しておく必要があります。

利用規約から見る「サービスがコンテンツを扱える範囲」

規約上、コンテンツを“提供に必要な範囲”で扱える

利用規約では、ユーザーが投稿・送信したコンテンツについて、サービス提供に必要な範囲で 使用・保存・ホスト・複製・改変・派生物作成・配布・表示などを行えるライセンスが定められています。

ここで重要なのは、単に「表示のため」だけでなく、次の説明が続く点です。

目的として「運用・促進・改善・新サービス開発」が明記されている

同規約は、当該ライセンスが必要な理由として、権利関係の説明に加え、権利付与の目的を サービスの運用・促進・改善、および新サービス開発のためと述べています。

この書き方は多くのSaaSにも見られますが、安全性評価の観点では「ツールが内容を扱える余地がある」ことを示すため、強い意味での“無関与”を前提にしないほうが安全です。

さらに「コンテンツを保持する場合がある」との明記

同規約には、コンテンツを保持し得ること、法的義務があれば開示し得ることも記載されています。

この点からも、「常に保存ゼロ」といった理解は取りにくい構造だと読み取れます。

セキュリティ表明とデータ保持:安心材料と限界を同時に見る

「合理的な保護措置」はうたうが、絶対保証はしない

プライバシーポリシーでは、合理的な安全措置を取る一方で、100%安全ではない/絶対的な安全は保証できない旨が明記されています。

企業の意思決定では、この表現がある限り、対外的に「安全性を保証する」説明には向きません。

データ保持と削除:アカウント閉鎖後30日以内に削除

データ保持については、アカウントが有効な間は必要に応じて保持し、アカウントを閉じた場合には 30日以内にアカウントデータをサーバーから削除する旨が示されています。

これは削除方針が明確である点ではプラスですが、「利用中の保持がゼロ」まで意味するわけではありません。

Enterprise向けの強い表現はあるが、ステータスは“目標”も含む

公式ブログでは、Enterprise向けに「Zero Training Policy(入力データを学習に使わない)」「Zero Data Retention(データを保持しない)」「Enterprise Data Isolation(企業ごとにデータを分離する)」といった強い方針が示されています。

ただし同じページ内で、SOC 2 Type IIやISO 27001/42001は「2025 Targets(2025年の目標)」、GDPRやHIPAAは「ロードマップ(対応を進める計画)」として書かれているため、現時点で「第三者監査を取得済み」とは断言しにくい整理になります。

まとめ

Gensparkの安全性は、公式文書から次のように整理できます。

プライバシーポリシーには、第三者サービスの利用(OpenAI/Anthropicへの送信可能性)、Azure上での保管、100%安全の非保証、データ保持と削除方針(閉鎖後30日以内の削除)が明記されています。

また利用規約では、ユーザーが送ったコンテンツをサービス提供に必要な範囲で扱えるライセンスと、その目的として運用・改善・新サービス開発が示されています。

したがって、公開情報だけで言えるのは 「一定の安全配慮は示されているが、“外部送信ゼロ/保存ゼロ/絶対安全”といった強い意味で安全と断言できる設計ではない」 という点です。