すべてを申請制にせず「申請が必要な利用」を限定する
生成AIの利用について、原則すべて申請制にする必要はありません。
多くの企業では、リスクが高い使い方のみを申請対象とし、日常利用はルール遵守を前提に許可しています。
申請制を広げすぎると"使われないか、隠れて使われる"
現場でよくある失敗は次の通りです。
- 軽微な利用でも毎回申請が必要で、現場が疲弊する
- 申請が面倒で、無断利用(シャドーAI)が増える
- 承認されたが、その後の実態を誰も把握していない
生成AIは業務の細かい場面で使われるため、申請制の設計を誤ると統制が弱まるとされています。
用語解説
| 用語 | 説明 |
|---|---|
| 利用申請 | 生成AIの特定用途について事前に承認を得る仕組み |
| 承認フロー | 申請から判断・記録までの流れ |
| シャドーAI | 会社の把握外で使われる生成AI利用 |
生成AIの利用申請フローを設計する4ステップ
Step 1: 申請が必要な利用を定義する
まず、「申請が必要なケース」を明確にします。
一般に申請対象とされやすい例:
- 個人情報・顧客情報を扱う可能性がある利用
- 対外公開物の作成や意思決定に影響する利用
- 業務プロセスに継続的に組み込む利用
下書き・アイデア出しのみなどは、申請不要とする企業も多いです。
Step 2: 申請内容を最小限にする
申請項目は、判断に必要な情報だけに絞ります。
最低限の申請項目例:
- 利用目的と業務内容
- 入力する情報の種類(機密・個人情報の有無)
- 出力の利用範囲(社内のみ/対外あり)
- 人による確認の有無
詳細な技術説明までは求めません。
Step 3: 承認者を固定しすぎない
すべてを情シスや法務で抱え込むと滞ります。
承認の考え方例:
- 軽度:上長判断
- 中程度:情シス・リスク管理確認
- 高度:法務・関係部署を含めて判断
リスクに応じて承認レベルを分けることが現実的です。
Step 4: 承認後の扱いを決めておく
承認後に曖昧になりやすい点も整理します。
事前に決めておくこと:
- 承認の有効期間(恒久か期限付きか)
- 利用内容変更時の再申請要否
- 問題発生時の報告ルート
ここを決めておかないと、形だけの申請になります。
よくある失敗パターン
すべて申請制にしてしまう → 無断利用が増える傾向があります。
承認基準が人によって違う → 不公平感が生まれます。
一度承認した内容を見直さない → 利用実態とズレが生じます。
申請目的を説明していない → 統制のためと理解されません。
設計チェックリスト
- [ ] 申請が必要な利用を限定している
- [ ] 申請項目を最小限にしている
- [ ] リスクに応じた承認レベルを設けている
- [ ] 承認後のルールを決めている
- [ ] 社内に分かりやすく周知している
参考リンク
- 経済産業省:AI事業者ガイドライン(第1.1版) https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20240419_report.html
- 総務省:AIネットワーク社会推進会議 https://www.soumu.go.jp/main_sosiki/kenkyu/ai_network/index.html
- NIST:AI Risk Management Framework 1.0 https://www.nist.gov/itl/ai-risk-management-framework
- OECD:AI Principles https://www.oecd.org/en/topics/ai-principles.html
※本記事は一般的な情報提供であり、法務・監査の個別助言ではありません。最終判断は社内ルールおよび専門家にご確認ください。