現場で起きやすい課題
多くの会社では、情報セキュリティに関する方針や規程がすでに存在し、機密情報の取り扱いや外部サービス利用について一定のルールを定めています。ところが、生成AIの利用が急速に広がったことで、既存の方針が想定していなかった状況が次々と生まれています。例えば「外部サービスへの顧客情報のアップロードを禁止する」という規程がある一方で、AIチャットへの入力がその規程に該当するかどうか、判断が曖昧なまま利用が進んでいるケースも見られます。まず取り組むとよいのは、既存の規程を読み返し、AI利用がどの条文に関係しうるかを洗い出す作業です。
最初に整理すること
洗い出しの結果、規程とAI利用の間にずれが見つかった場合は、新しいルールを別に作るのではなく、既存の方針に追記・補足する形で整合を取ると管理がしやすくなります。情報の重要度分類や外部サービス利用の承認フローなど、すでにある枠組みにAI利用を当てはめて考えることで、二重管理を避けられます。整合の作業は情報システム担当だけで進めるのではなく、実際にAIを使う現場の担当者の意見も取り入れると、実態に即したルールになりやすくなります。改定履歴を残しておくと、いつどの条項を見直したかが後から追え、方針全体の一貫性も保ちやすくなります。
光の道具箱で広げる改善
情報セキュリティ方針とAI活用ルールの整合は、一度整えて終わりではなく、AIサービスの機能追加や利用範囲の拡大に合わせて継続的に見直す必要があります。実践する際は、まず既存の規程とAI利用の実態を照らし合わせる棚卸しから始めるとよいでしょう。整合の取れたルールがあることで、担当者も安心して判断できるようになります。見直しの時期をあらかじめカレンダーに入れておくと、確認漏れなく継続できます。



