企業でChatGPTやClaude、Geminiなどの生成AIを社員が業務利用する場合、適切な申請フローを整備することが重要です。承認権限の設計と利用記録の方法を誤ると、情報漏洩やコンプライアンス違反のリスクが生じます。本記事では、社員の生成AI利用申請フローを設計する際に考慮すべき承認権限の設定と記録のポイントを解説します。これにより、セキュリティを保ちながら効率的な運用が可能になります。
【要点】生成AI利用申請フロー設計のポイント
- 承認権限の階層化: 利用目的や機密レベルに応じて、上司承認、情報システム部門承認、情報セキュリティ責任者承認など段階的に設定します。
- 記録の自動化: 申請内容、承認者、利用サービス、利用期間などをシステムで自動記録し、監査に対応できるようにします。
- 定期的な見直し: フローは固定的にせず、組織変更やリスク環境の変化に合わせて定期的に更新する仕組みを組み込みます。
ADVERTISEMENT
目次
生成AI利用申請が必要な理由と基本フロー
生成AIの業務利用は生産性向上に寄与する一方、機密情報の入力や著作権侵害のリスクを伴います。そのため、多くの企業では社員がChatGPTやClaudeなどのサービスを利用する際に事前申請を義務付けています。基本フローは、社員が申請書を提出し、承認者が内容を確認し、承認後に利用開始となる流れです。しかし、部門ごとにルールが異なると管理が複雑になるため、全社共通のテンプレートと基準を設けることが推奨されます。
具体例として、申請書には以下の項目を含める必要があります。利用目的(業務内容)、利用する生成AIサービス名、入力予定のデータ種類(公開情報のみか社内情報か)、利用期間、所属部署と氏名です。これらを基に承認権限者が判断します。承認権限は、一般的に利用目的とデータ機密性に応じて変わります。例えば、公開情報のみの利用であれば所属長の承認で十分ですが、顧客情報を含む場合は情報セキュリティ部門の承認が必要です。
また、記録方法としては、申請システムやワークフローツールを活用し、承認履歴と利用実績を自動的に保存することが効果的です。手動のExcel管理では漏れが生じやすく、監査対応も困難になります。主要な生成AIサービスには管理画面が用意されており、組織全体の利用状況を把握できるサービスもあります。例えば、ChatGPTの管理画面ではユーザー単位の利用ログを取得でき、ClaudeやGeminiの管理画面でも同様の機能が提供されています。これらの管理画面と社内の申請システムを連携させることで、より正確な記録が実現します。
社員の生成AI利用申請フローの設計手順
以下の手順で申請フローを設計することをお勧めします。各ステップでは具体的な設定例を示します。
- 利用目的とデータ分類の定義
まず、社員が生成AIをどのような目的で利用するのか、また入力するデータの機密レベルを分類します。例えば、「公開情報のみ」「社内一般情報」「個人情報を含む」「機密情報」の4段階に分けます。これにより、承認権限の基準が明確になります。 - 承認権限の階層設計
データ分類に応じて承認権限者を設定します。公開情報のみなら所属長、社内一般情報なら所属長と情報システム部門、個人情報ならさらに情報セキュリティ責任者、機密情報なら役員承認が必要といった具合です。各階層での判断基準も文書化します。 - 申請フォームの作成
社内ポータルやワークフローシステム上に申請フォームを設置します。フォームには利用目的、サービス名、データ分類、利用期間、部署、氏名などの必須項目を設けます。プルダウンでデータ分類を選択できるようにすると入力ミスを減らせます。 - 承認フローの自動化
ワークフローシステムを用いて、申請内容に応じて自動的に適切な承認者にルーティングされる仕組みを構築します。例えば、データ分類が「公開」なら所属長のみ、「社内一般」なら所属長と情報システム部門長というように条件分岐を設定します。 - 利用開始と記録の連携
承認後、社員が利用可能になるまでの手続きを定めます。例えば、承認メールが発行されたら利用開始とみなし、管理台帳に自動登録するようにします。また、生成AIサービスの管理画面でユーザーを追加する権限を情報システム部門に一元化し、申請システムと連携することで申請から利用開始までのトレーサビリティを確保します。 - 定期監査と見直しの仕組み
月次や四半期ごとに利用記録を監査し、不適切な利用がないか確認します。また、組織変更や新たなリスクが発生した場合には、承認権限やデータ分類の基準を見直します。この見直しのトリガーとなるイベントも明確にしておきます。
申請フロー設計で陥りやすい落とし穴
過度に厳格な承認基準により業務が停滞する
すべての利用に高いレベルの承認を要求すると、社員の申請負担が増え、有用な活用が阻害されます。例えば、ちょっとした文章校正にまで役員承認が必要となると、社員は申請を避け、シャドーITが発生する可能性があります。適切なリスクベースの基準を設け、低リスクな利用は簡易承認とする工夫が必要です。
記録が不十分で監査に対応できない
申請記録を手動で管理していると、承認者の変更や利用期間のずれなどが正確に反映されず、監査の際に問題となります。例えば、承認者が退職した後もそのままの権限で利用が継続されるケースがあります。システムによる自動記録と定期的な棚卸しが不可欠です。
データ分類の基準が曖昧で判断がばらつく
「個人情報」や「機密情報」の定義が社員によって異なると、同じデータでも申請内容が変わります。例えば、顧客名簿を「公開情報」と誤って分類すると、情報漏洩リスクが高まります。データ分類のガイドラインを具体的に示し、全社員に周知徹底することが重要です。
ADVERTISEMENT
承認権限と記録方法の比較表
| 観点 | 手動管理 | ワークフローシステム | 生成AI管理画面連携 |
|---|---|---|---|
| 記録の正確性 | 低い(人為ミスが発生) | 高い(自動記録) | 非常に高い(一元管理) |
| 承認権限の設定 | 煩雑(メールや口頭) | 条件分岐で自動ルーティング | システム間連携が必要 |
| 監査対応 | 困難(証跡の収集に時間) | 容易(ログ出力) | 即時抽出可能 |
| 運用コスト | 低い(初期導入費なし) | 中程度(導入・保守費) | 高い(カスタマイズ費) |
よくある質問
申請フローの対象となるサービスは何ですか
一般的に、ChatGPT、Claude、Gemini、Copilot、Midjourney、Stable Diffusionなどの外部生成AIサービスが対象です。また、社内でホストしているオープンソースモデルやAPI経由の利用も含めることが多いです。各サービスの利用規約とセキュリティポリシーを確認し、対象範囲を明確にします。
承認権限は誰が設定するべきですか
情報システム部門と情報セキュリティ部門が共同で設定するのが一般的です。利用部門のニーズを聞きながら、リスクレベルに応じた段階的な承認権限を設計します。最終的な承認権限マトリクスは、経営層またはセキュリティ委員会の承認を得ることが望ましいです。
記録はどのくらいの期間保存する必要がありますか
法律や業界規制によって異なりますが、少なくとも3年から5年の保存が推奨されます。また、監査の要求に応じて即座に提出できるように、バックアップと検索機能を備えたシステムで管理します。保存期間を過ぎたデータは適切に削除または匿名化するポリシーも同時に策定します。
申請がなくても利用できるケースはありますか
公開情報のみを参照するチュートリアル利用や、管理者が許可した特定の業務用アカウントなど、申請不要の例外を設定することも可能です。ただし、例外の定義は厳格に行い、監査で確認できるように記録を残す必要があります。多くの企業では、全員が申請必須としています。
生成AIの業務利用を安全に促進するには、適切な申請フローの設計が欠かせません。承認権限はデータ機密性に応じて段階的に設定し、記録はシステムで自動化することで、監査対応と運用効率の両立が可能です。本記事で紹介した手順と注意点を参考に、自社の環境に合ったフローを構築してみてください。定期的な見直しと改善も忘れずに行いましょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。