この記事は、生成AIの社内利用に対して監査や取引先審査が入ったとき、あるいは役員から証跡の提出を求められたときに、「何を揃えればよいか」を判断したいコンプライアンス担当・情シスリーダーが対象です。証跡パックの具体的な項目と、整備する順番を整理します。
2026年3月31日、総務省・経済産業省はAI事業者ガイドライン第1.2版を公表しました。このガイドラインでは「AI利用時の入出力等のログを記録・保存する」ことが明記されており、単に「利用規程がある」だけでなく、実際の記録が残っているかが問われる段階に入っています。
社内での生成AI利用が広がっていながら、ログも規程も教育記録も揃っていない状態は、監査対応上のリスクです。しかし、全部を一度に整備しようとすると止まります。本記事では、監査で見られる5カテゴリを整理し、優先度を付けて進められるよう整理します。
生成AIガバナンスの全体設計では、規程・運用・教育・監査の年次サイクルを体系として解説しています。
監査証跡の5カテゴリ一覧
生成AI利用の監査では、次の5カテゴリが確認対象になることが多いです。
| カテゴリ | 何を見せるか | 監査・審査での確認目的 |
|---|---|---|
| 1. AI利用規程 | 使ってよいAI・使い方・禁止事項・改訂履歴 | 社内ルールが存在し、明文化されているか |
| 2. ログ・記録 | 利用履歴・入出力の保管状況・閲覧権限 | 事後追跡できる体制があるか |
| 3. 教育記録 | 受講者・受講日・内容・テスト結果 | 社員が利用ルールを理解しているか |
| 4. 例外承認記録 | 申請者・承認者・理由・期限・再評価日 | 逸脱事例が管理されているか |
| 5. インシデント記録 | 発生日・内容・対応経緯・再発防止策 | 問題が起きたとき追跡できるか |
この5カテゴリが揃っている状態は、「AI利用を管理している」ことを第三者に示せる最低限の証跡です。
AI ASSESSMENT
PoC の前に「そもそも使えるか」を30分で見極めませんか?
対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。
カテゴリ別:何を揃えるか
1. AI利用規程
規程には最低限、以下の内容が必要です。「ChatGPT等の生成AIを使ってよい」だけでは不十分で、禁止事項と判断基準が書かれていないと、社員が迷ったときに個人判断に依存することになります。
| 規程項目 | 具体的な記載例 |
|---|---|
| 対象ツール | 会社として承認したAIサービスの一覧 |
| 入力禁止情報 | 個人情報・顧客情報・契約条件・未公開財務情報 |
| 出力の取り扱い | 外部転記前の確認義務・著作権への注意 |
| 禁止用途 | 社外秘文書のまるごと入力・クライアントへの無断提示 |
| 例外申請先 | 禁止事項に該当するが業務上必要な場合の承認経路 |
| 改訂ルール | 新しいAIサービス追加時の手続き・改訂履歴の保管 |
規程は作った日付と改訂履歴を必ず残します。「昨年作ったが更新していない」状態では、新しく導入したAIサービスが規程の対象外になります。
2. ログ・記録
AI事業者ガイドライン第1.2版では、「事故等の原因究明・再発防止・損害賠償責任要件の立証」を目的としたログの記録保存が求められています。何をどこまで残すかは、使っているAIサービスによって可能な範囲が異なります。
| ログの種類 | 確認すべき事項 |
|---|---|
| 利用履歴(誰がいつ使ったか) | 管理コンソールで取得できるか |
| 入出力内容 | エンタープライズ版・契約プランで取得できるか |
| 設定変更履歴 | 管理者設定の変更がタイムスタンプ付きで残るか |
| 接続先SaaSのアクセスログ | コネクタ・プラグイン経由での参照先を追えるか |
| ログの保管期間 | 1年以上・セキュリティインシデント時の調査に使えるか |
SaaSのプラン次第でログ取得範囲が変わるため、現在の契約で何が取得できるかを確認することが先決です。
3. 教育記録
研修の実施だけでなく、「誰が受けたか」「何を学んだか」の記録が必要です。記録がなければ、「研修は実施した」が証明できません。
| 教育記録の項目 | 内容 |
|---|---|
| 受講者名・部署・受講日 | 全社員・中途入社者・委託先を含む |
| 研修内容の概要 | 使い方説明ではなく禁止事項・例外申請先を含む |
| 確認テスト結果 | 入力禁止情報の判断ができるかを確認する設問を入れる |
| 再研修実績 | 規程改訂時・インシデント後の追加研修 |
教育記録は人事システムやLMSに残すと管理が楽です。メール通知だけでは「受け取ったが読んでいない」状態を証明できません。
4. 例外承認記録
「禁止事項だが業務上どうしても必要」という状況は必ず出てきます。例外を個人判断で処理することが積み重なると、管理の実態がなくなります。
| 例外承認記録の項目 | 内容 |
|---|---|
| 申請者・申請日 | 例外を求めた社員と申請日時 |
| 申請内容 | どの禁止事項に該当するか・何のために必要か |
| 承認者・承認日 | 誰が承認したか(情シスリーダー・上長等) |
| 承認条件 | 使用期限・使用範囲・完了後の報告義務 |
| 再評価日 | 承認から3〜6か月後に続けて必要か確認する日 |
例外承認が多い場合は、規程の対象外となる業務が多いことを意味します。その場合は規程を見直すか、承認済みAIサービスを増やす対応が必要です。
5. インシデント記録
軽微な誤操作から重大な情報漏えいまで、AI利用に関連する問題は記録します。報告しにくい空気があると、表に出ない小さな問題が積み重なり、後から発覚したときに対処が困難になります。
| インシデント記録の項目 | 内容 |
|---|---|
| 発生日・報告日 | 発生から報告までの時間も確認される |
| 内容と影響範囲 | 誤入力の内容・外部送信の有無・影響を受けた情報の種類 |
| 初動対応 | 誰が何をしたか・いつ止めたか |
| 根本原因 | 規程の解釈ミス・教育不足・システムの設定漏れ |
| 再発防止策 | 規程の改訂・追加研修・設定変更の実施日と担当者 |
証跡整備の優先順位
5カテゴリを一度に整備するのが難しい場合は、次の順序で進めることをお勧めします。
- AI利用規程の作成・更新(最優先):何も規程がない状態はリスクが最も高く、まず禁止事項と例外申請先だけでも文書化する
- ログの取得可否確認:現在の契約プランで何が取得できるかを確認し、不足分はプラン変更を検討する
- 教育の実施と記録開始:研修資料よりも「誰が受けたかの記録」を先に設計する
- 例外承認の仕組み作り:申請書のテンプレートと承認者の指定から始める
- インシデント報告ルートの確認:既存のセキュリティインシデント報告と統合するか、専用の報告ルートを設けるか決める
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
GXOはどう支援するか
GXOでは、AI事業者ガイドラインを踏まえた生成AI利用規程の作成、ログ取得設計、教育プログラムの構築、例外承認フローの設計を支援しています。初回相談では、現在の利用状況(どのAIを誰がどう使っているか)、既存の情報セキュリティポリシーとの関係、次回監査・取引先審査の時期を確認した上で、優先対処を整理します。監査が近い場合は、最短で証跡パックを揃える手順を一緒に設計します。
GXOの見解
AI導入はツール追加ではなく、業務フロー、権限、ログ、停止条件、責任分界を同時に設計する経営課題として扱う。
GXOはPoC単体ではなく、現場業務に残る承認、例外処理、監査証跡まで見て本番運用に落とすべきだと見る。
GXOは、AI活用の構想整理から要件定義、社内ルール、システム連携、運用改善まで一気通貫で支援します。
実務判断のポイント
この記事を読むべきなのは、経営者、DX責任者、情シス、開発責任者です。単に情報を把握するだけでなく、AI導入前の業務棚卸し、権限設計、PoC、本番運用、AI利用規程の相談に進めるべきかを判断するための材料として整理する必要があります。
GXOが重視するのは、話題性の高さよりも「自社の業務、データ、権限、予算、運用責任にどう影響するか」です。生成AIガバナンス監査で示す証跡パック|規程・ログ・教育・例外承認の実務整理に関する検討では、担当者だけで判断を閉じず、経営、現場、情シス、外部パートナーの役割を早い段階で分けることが重要です。
放置した場合と整備した場合の違い
| 観点 | 放置した場合 | 整備した場合 |
|---|---|---|
| 業務影響 | 属人的な判断が増え、対応の優先順位がぶれやすい | 影響範囲、期限、責任者を決めて進められる |
| 投資判断 | ツール導入や外注費だけが先行し、効果測定が曖昧になる | 売上、工数削減、リスク低減の指標にひも付けられる |
| 現場運用 | 例外処理や承認フローが残り、定着しにくい | 権限、ログ、教育、改善サイクルまで設計できる |
| 経営報告 | 問題が発生してから説明資料を作ることになる | 月次で状況、課題、次の打ち手を説明できる |
導入・改善前のチェックリスト
- 対象業務、対象部門、対象データを明文化しているか
- 現在の課題を、売上機会、原価、工数、リスクのいずれかに分解しているか
- 既存システム、SaaS、Excel、手作業の依存関係を棚卸ししているか
- 例外処理、承認、差し戻し、監査証跡まで確認しているか
- 社内で判断できる範囲と外部支援が必要な範囲を分けているか
- 初期費用だけでなく、保守、運用、教育、改善費用を見積もっているか
- 成功指標を、問い合わせ数、商談数、削減時間、停止リスクなどで定義しているか
- 実装後の責任者、更新頻度、レビュー会議の持ち方を決めているか
- セキュリティ、法務、個人情報、契約条件の確認ポイントを洗い出しているか
- 既存の問い合わせ、商談、障害、運用ログから優先順位を決めているか
- 経営判断に必要な資料を1枚で説明できる状態にしているか
- 次の90日で検証する範囲と、やらない範囲を明確にしているか
GXOの実務補足
AI導入はツール追加ではなく、業務フロー、権限、ログ、停止条件、責任分界を同時に設計する経営課題として扱う。
GXOはPoC単体ではなく、現場業務に残る承認、例外処理、監査証跡まで見て本番運用に落とすべきだと見る。
GXOは、AI活用の構想整理から要件定義、社内ルール、システム連携、運用改善まで一気通貫で支援します。記事のテーマを単なる情報収集で終わらせず、相談、診断、要件定義、実装、運用改善に接続することで、AIアセスメント、PoC、業務システム連携、AIエージェント運用設計へ接続。さらに、診断テンプレートと標準設計を使い、短期診断から継続伴走へ展開。
相談につながる進め方
- 現在の業務、データ、ツール、担当者を棚卸しする
- 売上拡大、工数削減、リスク低減のどれに効くテーマかを決める
- 初期対応、90日以内の改善、半年以上の投資を分ける
- 必要な社内体制、外部支援、予算、セキュリティ確認を整理する
- 小さく検証し、効果測定後に本番化や横展開を判断する
よくある質問
Q1. 現在「使用可」「使用不可」の規程は作りましたが、ログが取れていません。何を優先しますか
ログは現在の契約プランで取得できる範囲を確認することが先決です。「取れていない」のか「取れるが見ていない」のかで対処が変わります。エンタープライズプランへの変更が必要な場合は費用対効果も含めて判断します。
Q2. 取引先から「生成AI利用に関する方針を教えてほしい」と言われました。何を送ればよいですか
AI利用規程の概要(禁止事項と管理体制の概要)と、社員教育の実施状況を一枚にまとめた説明資料が最低限必要です。詳細な規程全文を送るかどうかは、取引先との関係と情報の機密性によります。
Q3. AI事業者ガイドライン第1.2版への対応は法律上の義務ですか
法律上の義務ではなく任意のガイドラインですが、金融・医療・公共調達など規制業種では事実上の参照基準として使われています。また、取引先審査や入札要件に準拠確認が入るケースが増えており、実務上の対応価値は高まっています。
参考情報
- 総務省・経済産業省「AI事業者ガイドライン(第1.2版)」(2026年3月31日):https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html
- IPA「AIセキュリティ」:https://www.ipa.go.jp/digital/ai/security/index.html
- IPA「AI利用者のためのセキュリティ豆知識」:https://www.ipa.go.jp/digital/ai/security/ai_security_tips.html
監査で示せる生成AI証跡パックを整備しませんか
GXOでは、AI利用規程・ログ設計・教育記録・例外承認フロー・インシデント記録の5カテゴリを、監査や取引先審査で示せる形に整備する支援を行います。







