「うちの部署でChatGPTを使いたい」「新しい生成AIツールを試してみたい」――こうした現場の声が増えるなか、情報システム部門やIT担当者の多くが「どう審査すればいいかわからない」という壁にぶつかっています。
承認ルールがないまま野良ツールが広まり、気づいたときには社外に機密情報が出ていた。そんな事態を防ぐために、生成AIツールの社内導入審査プロセスを整備することは、今や会社規模を問わず必須の取り組みです。
この記事では、情報システム部門や総務・管理部門の担当者が「明日から使える」レベルで、生成AIツールの審査フローとチェックリストを解説します。25項目のセキュリティチェックリストと申請書テンプレートも掲載しているので、そのまま社内資料として活用できます。
なぜ今、社内AI導入審査が必要なのか
「ツールを使ってみて、後でルールを作ればいい」という考え方は、生成AI時代には通用しません。その理由を3点整理します。
①データが「学習」に使われるリスク
無料プランのAIツールの多くは、入力したデータをモデルの学習に利用する可能性があります。顧客名や契約内容、個人情報を入力してしまうと、それが第三者に参照される状態になるケースも否定できません。
②「シャドーAI」の蔓延
ルールがないままだと、各部門が独自に契約したAIツールが乱立します。管理できないツールの利用状況は把握できず、インシデント発生時の原因究明も困難になります。
③監査・コンプライアンス対応
金融機関や医療機関では、利用するクラウドサービスの審査が法律・規制で求められる場合があります。審査プロセスがなければ、内部監査や外部審査で指摘を受けるリスクがあります。
審査プロセスを設けることは「AI活用を制限する」ためではなく、「安心してAIを活用できる環境を整える」ためです。現場が使いたいツールを素早く評価し、安全なものはスピーディーに承認する仕組みを作ることがゴールです。
生成AIツール社内審査の全体フロー
審査は大きく3つのフェーズで進めます。
| フェーズ | 内容 | 担当 | 目安期間 |
|---|---|---|---|
| ① 事前申請 | 利用目的・対象者・使用データの申請 | 申請部門 | 1~2日 |
| ② セキュリティ評価 | データ取り扱い・契約・リスク評価 | 情報システム部門 | 5~10営業日 |
| ③ パイロット承認 | 限定利用・効果測定・全社展開判断 | 情報システム+申請部門 | 1~3ヶ月 |
1. 事前申請・用途定義フェーズ
まず申請部門が「AIツール導入申請書」を提出します。この段階で明確にすべき情報は以下の通りです。
・ツール名・提供会社: 公式名称とベンダー名
・利用目的: 何の業務に使うか(議事録要約、メール作成、など)
・利用対象者: 何名が使うか、どの部門か
・入力するデータの種類: 社内文書か、個人情報か、機密情報か
・費用: 月額・年額、利用人数分の概算
・代替手段: 既存承認済みツールでは代替できない理由
この申請書があることで、情報システム部門はスムーズに評価を開始できます。
2. セキュリティ・コンプライアンス評価フェーズ
情報システム部門が、後述の「セキュリティチェックリスト」をもとにツールを評価します。評価結果は以下の3区分で判定します。
・A(全社承認): セキュリティリスクが低く、幅広い用途で利用可能
・B(限定承認): 特定の用途・データ種別に限定して利用可能
・C(不承認): リスクが高く、社内利用を禁止
「B(限定承認)」のケースでは、「機密情報は入力禁止」「個人情報は匿名化して入力」などの利用条件を明示します。
3. パイロット評価・全社展開フェーズ
「A」または「B」と判定されたツールは、まず申請部門で2週間~1ヶ月のパイロット利用を行います。パイロット期間に確認するのは次の点です。
・業務効率への効果: 作業時間の短縮・品質改善が実測できるか
・セキュリティインシデントの有無: 意図しないデータ送信などが発生していないか
・コストパフォーマンス: 費用に見合う効果が出ているか
パイロット終了後、情報システム部門と申請部門が合同でレポートをまとめ、全社展開の可否を判断します。
セキュリティチェックリスト(全25項目)
以下のチェックリストを使って、情報システム部門がAIツールを評価します。各項目は「●確認済み」「△要条件付き」「×非承認要件」の3段階でチェックします。
【A】データ取り扱い(8項目)
| # | 確認項目 | 確認方法 |
|---|---|---|
| A-1 | 入力データが学習に使用されないか | 利用規約・API仕様を確認 |
| A-2 | データの保存期間と削除ポリシーが明示されているか | プライバシーポリシーを確認 |
| A-3 | データの保存場所(国・リージョン)が確認できるか | ドキュメント・問い合わせで確認 |
| A-4 | 個人情報保護法・GDPRへの準拠が明示されているか | コンプライアンスページを確認 |
| A-5 | データをゼロリテンション(入力後即削除)にできるか | 設定画面・Enterprise契約で確認 |
| A-6 | 入力データが第三者に共有・販売されないか | 利用規約の第三者提供条項を確認 |
| A-7 | 会話履歴の無効化・削除ができるか | 設定画面を実際に確認 |
| A-8 | データ処理に関する契約(DPA)が締結できるか | ベンダーへの問い合わせで確認 |
【B】アクセス管理(6項目)
| # | 確認項目 | 確認方法 |
|---|---|---|
| B-1 | シングルサインオン(SSO)に対応しているか | 製品仕様を確認 |
| B-2 | 多要素認証(MFA)が利用できるか | 製品仕様・設定画面を確認 |
| B-3 | 利用者の権限管理(ロール設定)ができるか | 管理画面を確認 |
| B-4 | 利用ログ・監査ログを管理者が確認できるか | 管理画面・仕様書を確認 |
| B-5 | 特定ドメインのみに利用制限できるか | 設定画面を確認 |
| B-6 | 退職者・異動者のアカウントを即時無効化できるか | 管理画面・SSO連携を確認 |
【C】契約・利用規約(6項目)
| # | 確認項目 | 確認方法 |
|---|---|---|
| C-1 | AIが生成したコンテンツの著作権帰属が明確か | 利用規約のIP条項を確認 |
| C-2 | 生成物の商用利用が許可されているか | 利用規約の商用利用条項を確認 |
| C-3 | 利用規約の変更通知義務があるか | 利用規約の変更条項を確認 |
| C-4 | SLA(サービス水準保証)が明示されているか | SLA文書を確認 |
| C-5 | インシデント発生時のベンダー通知義務があるか | 契約条項を確認 |
| C-6 | 契約解除時のデータ返却・削除が保証されているか | 契約条項を確認 |
【D】運用・モニタリング(5項目)
| # | 確認項目 | 確認方法 |
|---|---|---|
| D-1 | 利用量・コストのモニタリングができるか | 管理画面・API仕様を確認 |
| D-2 | コスト上限(利用制限)を設定できるか | 設定画面を確認 |
| D-3 | 不審な利用パターンのアラートが受け取れるか | 通知設定を確認 |
| D-4 | 年次以上のセキュリティ審査(SOC 2等)レポートが入手できるか | ベンダーへの問い合わせで確認 |
| D-5 | ツールのアップデートによる機能変更の通知が受け取れるか | リリースノート・通知設定を確認 |
AIツール導入申請書テンプレート
以下のテンプレートをそのまま社内のWordファイルやNotionページにコピーして使えます。
【生成AIツール社内導入申請書】 申請日: 年 月 日 申請部門・申請者: 承認者(直属上長): ■ 1. ツール基本情報 ツール名: 提供会社(国): プランと月額費用: 利用予定人数: ■ 2. 利用目的 主な用途(具体的に): 業務への期待効果: ■ 3. 入力するデータの種類(該当するものに○) □ 社内文書(非機密) □ 社内文書(機密) □ 個人情報(氏名・メアドなど) □ 顧客情報(契約内容・購入履歴など) □ その他( ) ■ 4. セキュリティ確認(申請者が自己評価) 学習利用なし(利用規約で確認済み): はい / 未確認 既存承認済みツールで代替できない理由: ■ 5. 備考・参考URL
このテンプレートを使うことで、情報システム部門は審査に必要な情報を一度に収集でき、申請部門は「何を準備すればよいか」が明確になります。
審査委員会の設置と運用のポイント
中規模以上の組織では、「AI審査委員会」または「デジタルツール審査会」を設けることで、個人判断によるばらつきを防げます。
【委員会構成の例】
・委員長: 情報システム部長またはCIO
・委員: 法務・コンプライアンス担当、経理(費用管理)、申請部門代表
・オブザーバー: 外部のセキュリティ専門家(必要に応じて)
【月次定例審査の運用ルール】
審査を「必要なときに都度開催」にすると、担当者のスケジュール調整で時間がかかります。毎月第2水曜日に定例審査を行うなど、サイクルを決めておくのが効果的です。
緊急審査が必要な場合(外部からの期限付き提案など)は、委員長承認のみで暫定利用を許可し、次の定例審査で正式承認する「仮承認制度」を設けると現場の不満も軽減できます。
【承認済みAIツールリストの公開】
承認が下りたツールは「社内公認AIツール一覧」として社内イントラやNotionページにまとめておくとFAQ(よくある質問)を減らせます。各ツールに「利用可能な用途」「禁止事項」「費用負担先」を明記しておくのがポイントです。
よくある落とし穴と対処法
【落とし穴1】「無料だから」で無審査利用
無料プランのツールほど、データが学習に使われやすい傾向があります。「タダだから」という理由で審査を省略することは、むしろリスクが高い判断です。無料・有料を問わず同じ審査プロセスを適用することを明文化しておきましょう。
【落とし穴2】一度承認したら放置
生成AIサービスの利用規約は頻繁に改定されます。半年に一度は「既承認ツールの再チェック」を実施し、利用規約が変わっていないか確認します。チェックリストのD-3~D-5が機能していれば、変更通知を受け取れます。
【落とし穴3】申請が面倒で現場が隠れて使う
審査プロセスが複雑すぎると、かえって「シャドーAI」を助長します。リスクに応じて審査レベルを分けることが重要です。
| リスクレベル | 対象ツールの例 | 審査方法 | 審査期間の目安 |
|---|---|---|---|
| 低(個人利用・非機密) | ChatGPT(個人メモのみ)、文章校正AI | 申請書提出のみ | 2営業日 |
| 中(部門利用・社内文書) | 議事録要約AI、翻訳ツール | チェックリストA+B | 5~7営業日 |
| 高(全社・機密データ) | RAGシステム、顧客対応AI | 全項目審査+委員会 | 10~20営業日 |
本記事のまとめ
生成AIツールの社内導入審査を整備するために、今日からできることを整理します。
・ステップ1: 本記事の申請書テンプレートをコピーして「申請書フォーマット」を作成する
・ステップ2: 25項目のチェックリストをExcelまたはNotionに転記し、審査シートを準備する
・ステップ3: 既存の承認済みツール(ChatGPT Teams、Microsoft Copilotなど)を洗い出し、承認済みリストを作る
・ステップ4: 月次定例審査の日程を設定し、社内に周知する
・ステップ5: 半年ごとの再チェックをカレンダーに入れておく
「AIを使ってはいけない」というルールより、「これを守れば安心して使える」というルールの方が現場に受け入れられます。審査プロセスは、AIをより活発に使うための仕掛けとして設計することが重要です。
AI導入の全体戦略については、姉妹サイトDXマスター.JPでも詳しく解説しています。
社内AI活用をもっとスムーズに進めたいですか?
審査フローの整備は「ゴール」ではなく「スタート」です。承認されたツールを現場が実際に使いこなすためのノウハウを、メルマガで毎週お届けしています。
生成AIを”使う側”から”使いこなす側”へステップアップしたい方へ、メルマガで実践的なAI活用ノウハウをお届けしています。
