ストーリー
田
田中VPoE
ガイドライン設計、インシデント対応、継続的改善を学んだ。ここでNetShop社のAI利用ガイドラインを実際に策定してもらう
あなた
現場が使えるレベルの具体的なガイドラインですね
あ
田
田中VPoE
そうだ。来月から全社展開する予定だ。2つのミッションで、ガイドライン本体とインシデント対応プランを策定してくれ
あなた
わかりました。実用的なものを作ります
あ
ミッション概要
| 項目 | 内容 |
|---|---|
| 目標 | NetShop社のAI利用ガイドラインとインシデント対応プランを策定する |
| 所要時間 | 60分 |
| ミッション数 | 2つ |
| 使用知識 | ガイドライン設計 / インシデント対応 / 継続的改善 |
| 評価観点 | 実用性、具体性、網羅性 |
Mission 1: AI利用ガイドラインの策定(30分)
シナリオ
【AI推進チームからの依頼】
全社員向けのAI利用ガイドラインを策定してほしい。
以下の要件を満たすこと:
- 非エンジニアでも理解できる平易な記述
- 業務シナリオ別の具体的な手順
- 判断に迷った場合のフローチャート
- Do/Don'tの明確なリストタスク
【AI利用ガイドライン】
1. クイックスタート(AIを使う前に必ず確認):
□ チェック項目1: ___
□ チェック項目2: ___
□ チェック項目3: ___
□ チェック項目4: ___
□ チェック項目5: ___
2. 業務シナリオ別ガイド(最低3シナリオ):
シナリオA: ___
シナリオB: ___
シナリオC: ___
3. Do/Don'tリスト:
Do(推奨):
- ___
Don't(禁止):
- ___
4. 判断フローチャート(AIに入力してよいか迷った場合):
___
5. Q&A(最低5問):
___解答例を見る
1. クイックスタート:
□ 入力データに個人情報(氏名、住所、電話番号等)が含まれていないか確認
□ 入力データに機密情報(売上データ、戦略文書等)が含まれていないか確認
□ 使用するAIサービスが社内承認済みリストに含まれているか確認
□ AI出力をそのまま使わず、必ず人間がレビューしてから使用
□ 疑問がある場合はAI推進チーム(ai-support@netshop.co.jp)に相談
2. 業務シナリオ別ガイド:
シナリオA「議事録の要約」:
- 手順: 議事録テキストから固有名詞を確認 → 機密度判定 →
社内一般なら外部AI利用OK → 要約結果を参加者に確認 → 共有
- 注意: 人事評価や経営戦略の議事録は外部AIに入力しない
シナリオB「商品説明文の作成」:
- 手順: 商品スペックを入力 → AI生成文を取得 → 事実確認 →
誇大表現がないか景品表示法の観点で確認 → 公開
- 注意: 「業界初」「最高品質」等の表現はAI生成でも禁止
シナリオC「カスタマー対応メールのドラフト」:
- 手順: 問い合わせ内容(個人情報を除外)を入力 →
ドラフト取得 → 内容の正確性確認 → 顧客名等を追記 → 送信
- 注意: 顧客の注文番号、メールアドレス等を入力しない
3. Do/Don't:
Do:
- 公開情報の要約・翻訳にAIを活用する
- AI出力は必ず人間がレビューしてから使用する
- 新しいAIサービスを使いたい場合は事前に申請する
- AIの回答に誤りを見つけたら報告する
- 定期的にAI利用ガイドラインの更新を確認する
Don't:
- 顧客の個人情報をAIに入力する
- 機密文書(戦略資料、未公開決算情報等)をAIに入力する
- 未承認のAIサービスを業務で使用する
- AI生成コンテンツを検証なく社外に公開する
- 他社の機密情報や著作物をAIに入力する
4. 判断フローチャート:
「このデータをAIに入力してよいか?」
├→ 個人情報を含む? → Yes → 外部AI: NG / 社内AI: DPO承認後のみ
├→ 機密情報を含む? → Yes → 外部AI: NG / 社内AI: CISO承認後のみ
├→ 社内限り情報? → Yes → 外部AI: データ学習OFF確認後OK / 社内AI: OK
├→ 公開情報? → Yes → OK
└→ 判断できない → AI推進チームに相談
5. Q&A:
Q1: ChatGPTで社内の議事録を要約してよいですか?
A1: 社内一般情報の議事録であればOK。ただし人事・経営戦略関連はNG。
Q2: AI生成の画像を商品ページに使用してよいですか?
A2: OK。ただし「AI生成」である旨を管理記録に残し、
既存作品と類似していないか確認してください。
Q3: お客様から届いたメールをAIに貼り付けて返信案を作ってよいですか?
A3: 個人情報(氏名、メールアドレス等)を除外した上でなら社内AI利用OK。
外部AIの場合は個人情報を完全に除外してください。
Q4: 自分のPCに個人的にインストールしたAIツールを業務で使ってよいですか?
A4: NG。業務利用は承認済みAIサービスのみです。
利用したいツールがあれば申請してください。
Q5: AIが生成した回答が間違っていた場合、どうすればよいですか?
A5: 誤りの内容をAI推進チームに報告してください。
AI出力はあくまで参考情報であり、最終確認は人間の責任です。Mission 2: インシデント対応プランの策定(30分)
タスク
【AIインシデント対応プラン】
1. インシデント分類と深刻度定義:
| カテゴリ | 深刻度 | 例 | 対応SLA |
|---------|--------|-----|--------|
| ___ | ___ | ___ | ___ |
2. 対応フロー(CRITICALインシデントの場合):
ステップごとの担当者と時間: ___
3. エスカレーションマトリクス:
| 深刻度 | 通知先 | 手段 | タイミング |
|--------|--------|------|----------|
| ___ | ___ | ___ | ___ |
4. インシデント報告テンプレート(項目一覧):
___
5. 再発防止の仕組み:
___解答例を見る
1. インシデント分類:
| カテゴリ | 深刻度 | 例 | 対応SLA |
|---------|--------|-----|--------|
| 個人情報漏洩 | CRITICAL | 顧客情報がAI出力に含まれた | 初動30分 |
| 有害出力 | HIGH | 差別的なレコメンドの発生 | 初動1時間 |
| セキュリティ侵害 | HIGH | プロンプトインジェクション成功 | 初動1時間 |
| ハルシネーション | MEDIUM | 架空の商品情報を案内 | 初動4時間 |
| 品質低下 | MEDIUM | 回答精度の大幅な低下 | 初動4時間 |
| ポリシー違反 | LOW-HIGH | 未承認AIサービスの利用発覚 | 翌営業日 |
2. CRITICAL対応フロー:
0-30分: 発見者→AI推進チーム報告→インシデントリーダー任命
30分-2時間: 影響範囲特定→サービス停止判断→CTO・法務に報告
2-24時間: 根本原因調査→影響ユーザー特定→是正措置実装
24-48時間: サービス復旧→影響ユーザーへの通知→経営報告
1-2週間: レポート作成→再発防止策→ガイドライン更新
3. エスカレーション:
| 深刻度 | 通知先 | 手段 | タイミング |
|--------|--------|------|----------|
| CRITICAL | CTO,法務,CISO | 電話+Slack | 即時 |
| HIGH | AI倫理委員長,部門長 | Slack+メール | 1時間以内 |
| MEDIUM | AI推進チームリーダー | Slack | 4時間以内 |
| LOW | AI推進チーム | メール | 翌営業日 |
4. レポートテンプレート項目:
- インシデントID、発生日時、検知日時
- 深刻度、カテゴリ
- 概要(3行以内)
- タイムライン(発生→検知→初動→調査→是正→復旧)
- 影響範囲(ユーザー数、データ量、サービス)
- 根本原因(技術的原因 + 組織的原因)
- 是正措置の内容と効果確認
- 再発防止策(短期・中期・長期)
- 教訓と改善提案
5. 再発防止:
- インシデント分析会(発生後2週間以内に全関係者で実施)
- Guardrailsルールの追加(同種の問題を自動検知)
- テストケースの追加(回帰テストに組み込み)
- ガイドラインの更新(該当事例をDon'tリストに追加)
- 四半期のインシデント傾向レポート(パターンの分析)達成度チェック
| 評価項目 | A(優秀) | B(合格) | C(要改善) |
|---|---|---|---|
| ガイドライン | 非専門家にもわかる具体的な手順 | 主要項目を網羅 | 抽象的で実用性が低い |
| シナリオ | 業務に即した実践的な手順 | 基本的なシナリオを定義 | シナリオが不足 |
| インシデント対応 | SLA・エスカレーション含む詳細設計 | 基本フローを定義 | 対応が不明確 |
| 再発防止 | 体系的な改善サイクルを設計 | 基本的な防止策を提示 | 場当たり的な対策 |
推定所要時間: 60分