ストーリー
田
田中VPoE
ガバナンスの全体像を把握した。次は具体的なポリシー策定だ。NetShop社にはまだ正式なAI利用ポリシーがない
あなた
ポリシーがないと何が問題なんですか?
あ
田
田中VPoE
先月、ある部門がお客様の個人情報を含むデータを外部AIサービスに送信していたことが発覚した。ポリシーがなければ「何が良くて何がダメか」の判断が個人任せになる
あなた
明確なルールを全社で共有する必要があるんですね
あ
AI利用ポリシーの構成
ポリシー文書の構造
| セクション | 内容 | 対象読者 |
|---|---|---|
| 目的と適用範囲 | ポリシーの趣旨、対象者 | 全社員 |
| 基本原則 | AI利用の倫理的原則 | 全社員 |
| 利用区分と承認プロセス | リスクレベル別の利用ルール | AI利用者 |
| データ取扱い規定 | AI入出力データの管理ルール | AI利用者 |
| 禁止事項 | 明確に禁止される行為 | 全社員 |
| 責任と義務 | 役割ごとの責任分担 | 管理者・開発者 |
| インシデント対応 | 問題発生時の対応手順 | 全社員 |
| 改訂と周知 | ポリシー更新のプロセス | ガバナンスチーム |
利用区分と承認プロセス
リスクベースの利用区分
| 区分 | リスクレベル | 例 | 承認プロセス |
|---|---|---|---|
| 区分A: 自由利用 | LOW | 文章校正、翻訳、要約 | 事前承認不要、ガイドライン遵守 |
| 区分B: 届出制 | MEDIUM | チャットボット、レコメンド | 部門長承認 + AI推進チーム届出 |
| 区分C: 許可制 | HIGH | 顧客対応自動化、価格決定 | AI倫理委員会審査 + 経営承認 |
| 区分D: 禁止 | 禁止 | 個人スコアリング、採用自動決定 | 利用不可 |
承認フローの設計
[AI利用申請]
│
▼
[リスクレベル判定]
│
├→ 区分A → ガイドライン確認 → 利用開始
│
├→ 区分B → 部門長承認 → AI推進チーム届出 → 利用開始
│
├→ 区分C → AI推進チーム事前審査 → AI倫理委員会審査
│ → 経営承認 → セキュリティレビュー → 利用開始
│
└→ 区分D → 却下(代替手段の提案)データ取扱い規定
AIに入力してよいデータの分類
| データ分類 | 定義 | 外部AI利用 | 社内AI利用 | 例 |
|---|---|---|---|---|
| 公開情報 | 公開済みの情報 | OK | OK | 商品情報、公開レポート |
| 社内一般 | 社内限りの一般情報 | 条件付きOK | OK | 議事録、社内マニュアル |
| 機密情報 | 事業上の機密 | NG | 条件付きOK | 売上データ、戦略文書 |
| 個人情報 | 特定個人を識別可能 | NG | 厳格管理下のみ | 顧客データ、社員情報 |
| 要配慮個人情報 | 人種、信条、病歴等 | NG | 原則NG | 健康情報、信条 |
データ送信時のチェックリスト
□ 送信先のAIサービスのプライバシーポリシーを確認した
□ データが学習に使用されないことを確認した(オプトアウト設定)
□ 個人情報が含まれていないことを確認した
□ 機密情報が含まれていないことを確認した
□ データの匿名化・マスキングを適用した(該当する場合)
□ データ送信のログが記録される設定を確認した禁止事項の明確化
禁止リスト
| カテゴリ | 禁止事項 | 理由 |
|---|---|---|
| データ | 顧客の個人情報を外部AIに入力 | プライバシー侵害 |
| データ | 機密情報の外部AI送信 | 情報漏洩リスク |
| 出力 | AI生成コンテンツの無検証公開 | 品質・正確性の問題 |
| 出力 | AI回答を最終意思決定に無条件使用 | 責任の所在が不明確 |
| 倫理 | 差別的なコンテンツ生成 | 法的・倫理的問題 |
| 倫理 | 虚偽情報の意図的生成 | 信頼性の棄損 |
| セキュリティ | 未承認のAIサービスの業務利用 | シャドーIT問題 |
責任分担マトリクス(RACI)
| 活動 | 経営層 | AI倫理委員会 | AI推進チーム | 部門長 | 利用者 |
|---|---|---|---|---|---|
| ポリシー承認 | A | R | C | I | I |
| リスク評価 | I | A | R | C | I |
| 利用申請審査 | I | A(区分C) | R | A(区分B) | R |
| インシデント対応 | I | A | R | R | R |
| 定期監査 | I | A | R | C | I |
| 教育・啓発 | I | C | R | R | - |
※ R=Responsible(実行), A=Accountable(説明責任), C=Consulted(相談), I=Informed(報告)
まとめ
| ポリシー要素 | ポイント |
|---|---|
| 利用区分 | リスクレベルに応じた4段階(自由/届出/許可/禁止) |
| データ規定 | 分類に応じた外部・社内AI利用の可否を明確化 |
| 禁止事項 | 具体的な禁止行為リストで曖昧さを排除 |
| 責任分担 | RACIマトリクスで役割を明確化 |
チェックリスト
- AI利用ポリシーの主要構成要素を理解した
- リスクベースの利用区分と承認プロセスを設計できる
- データ分類に基づくAI入力の可否判断ができる
- 禁止事項を具体的にリスト化する重要性を理解した
- RACIマトリクスによる責任分担を把握した
次のステップへ
次は監査証跡の設計と実装を学びます。
推定読了時間: 30分