この記事は、生成AIの社内利用に対して監査や取引先審査が入ったとき、あるいは役員から証跡の提出を求められたときに、「何を揃えればよいか」を判断したいコンプライアンス担当・情シスリーダーが対象です。証跡パックの具体的な項目と、整備する順番を整理します。
2026年3月31日、総務省・経済産業省はAI事業者ガイドライン第1.2版を公表しました。このガイドラインでは「AI利用時の入出力等のログを記録・保存する」ことが明記されており、単に「利用規程がある」だけでなく、実際の記録が残っているかが問われる段階に入っています。
社内での生成AI利用が広がっていながら、ログも規程も教育記録も揃っていない状態は、監査対応上のリスクです。しかし、全部を一度に整備しようとすると止まります。本記事では、監査で見られる5カテゴリを整理し、優先度を付けて進められるよう整理します。
生成AIガバナンスの全体設計では、規程・運用・教育・監査の年次サイクルを体系として解説しています。
監査証跡の5カテゴリ一覧
生成AI利用の監査では、次の5カテゴリが確認対象になることが多いです。
| カテゴリ | 何を見せるか | 監査・審査での確認目的 |
|---|---|---|
| 1. AI利用規程 | 使ってよいAI・使い方・禁止事項・改訂履歴 | 社内ルールが存在し、明文化されているか |
| 2. ログ・記録 | 利用履歴・入出力の保管状況・閲覧権限 | 事後追跡できる体制があるか |
| 3. 教育記録 | 受講者・受講日・内容・テスト結果 | 社員が利用ルールを理解しているか |
| 4. 例外承認記録 | 申請者・承認者・理由・期限・再評価日 | 逸脱事例が管理されているか |
| 5. インシデント記録 | 発生日・内容・対応経緯・再発防止策 | 問題が起きたとき追跡できるか |
この5カテゴリが揃っている状態は、「AI利用を管理している」ことを第三者に示せる最低限の証跡です。
カテゴリ別:何を揃えるか
1. AI利用規程
規程には最低限、以下の内容が必要です。「ChatGPT等の生成AIを使ってよい」だけでは不十分で、禁止事項と判断基準が書かれていないと、社員が迷ったときに個人判断に依存することになります。
| 規程項目 | 具体的な記載例 |
|---|---|
| 対象ツール | 会社として承認したAIサービスの一覧 |
| 入力禁止情報 | 個人情報・顧客情報・契約条件・未公開財務情報 |
| 出力の取り扱い | 外部転記前の確認義務・著作権への注意 |
| 禁止用途 | 社外秘文書のまるごと入力・クライアントへの無断提示 |
| 例外申請先 | 禁止事項に該当するが業務上必要な場合の承認経路 |
| 改訂ルール | 新しいAIサービス追加時の手続き・改訂履歴の保管 |
規程は作った日付と改訂履歴を必ず残します。「昨年作ったが更新していない」状態では、新しく導入したAIサービスが規程の対象外になります。
2. ログ・記録
AI事業者ガイドライン第1.2版では、「事故等の原因究明・再発防止・損害賠償責任要件の立証」を目的としたログの記録保存が求められています。何をどこまで残すかは、使っているAIサービスによって可能な範囲が異なります。
| ログの種類 | 確認すべき事項 |
|---|---|
| 利用履歴(誰がいつ使ったか) | 管理コンソールで取得できるか |
| 入出力内容 | エンタープライズ版・契約プランで取得できるか |
| 設定変更履歴 | 管理者設定の変更がタイムスタンプ付きで残るか |
| 接続先SaaSのアクセスログ | コネクタ・プラグイン経由での参照先を追えるか |
| ログの保管期間 | 1年以上・セキュリティインシデント時の調査に使えるか |
SaaSのプラン次第でログ取得範囲が変わるため、現在の契約で何が取得できるかを確認することが先決です。
3. 教育記録
研修の実施だけでなく、「誰が受けたか」「何を学んだか」の記録が必要です。記録がなければ、「研修は実施した」が証明できません。
| 教育記録の項目 | 内容 |
|---|---|
| 受講者名・部署・受講日 | 全社員・中途入社者・委託先を含む |
| 研修内容の概要 | 使い方説明ではなく禁止事項・例外申請先を含む |
| 確認テスト結果 | 入力禁止情報の判断ができるかを確認する設問を入れる |
| 再研修実績 | 規程改訂時・インシデント後の追加研修 |
教育記録は人事システムやLMSに残すと管理が楽です。メール通知だけでは「受け取ったが読んでいない」状態を証明できません。
4. 例外承認記録
「禁止事項だが業務上どうしても必要」という状況は必ず出てきます。例外を個人判断で処理することが積み重なると、管理の実態がなくなります。
| 例外承認記録の項目 | 内容 |
|---|---|
| 申請者・申請日 | 例外を求めた社員と申請日時 |
| 申請内容 | どの禁止事項に該当するか・何のために必要か |
| 承認者・承認日 | 誰が承認したか(情シスリーダー・上長等) |
| 承認条件 | 使用期限・使用範囲・完了後の報告義務 |
| 再評価日 | 承認から3〜6か月後に続けて必要か確認する日 |
例外承認が多い場合は、規程の対象外となる業務が多いことを意味します。その場合は規程を見直すか、承認済みAIサービスを増やす対応が必要です。
5. インシデント記録
軽微な誤操作から重大な情報漏えいまで、AI利用に関連する問題は記録します。報告しにくい空気があると、表に出ない小さな問題が積み重なり、後から発覚したときに対処が困難になります。
| インシデント記録の項目 | 内容 |
|---|---|
| 発生日・報告日 | 発生から報告までの時間も確認される |
| 内容と影響範囲 | 誤入力の内容・外部送信の有無・影響を受けた情報の種類 |
| 初動対応 | 誰が何をしたか・いつ止めたか |
| 根本原因 | 規程の解釈ミス・教育不足・システムの設定漏れ |
| 再発防止策 | 規程の改訂・追加研修・設定変更の実施日と担当者 |
証跡整備の優先順位
5カテゴリを一度に整備するのが難しい場合は、次の順序で進めることをお勧めします。
- AI利用規程の作成・更新(最優先):何も規程がない状態はリスクが最も高く、まず禁止事項と例外申請先だけでも文書化する
- ログの取得可否確認:現在の契約プランで何が取得できるかを確認し、不足分はプラン変更を検討する
- 教育の実施と記録開始:研修資料よりも「誰が受けたかの記録」を先に設計する
- 例外承認の仕組み作り:申請書のテンプレートと承認者の指定から始める
- インシデント報告ルートの確認:既存のセキュリティインシデント報告と統合するか、専用の報告ルートを設けるか決める
GXOはどう支援するか
GXOでは、AI事業者ガイドラインを踏まえた生成AI利用規程の作成、ログ取得設計、教育プログラムの構築、例外承認フローの設計を支援しています。初回相談では、現在の利用状況(どのAIを誰がどう使っているか)、既存の情報セキュリティポリシーとの関係、次回監査・取引先審査の時期を確認した上で、優先対処を整理します。監査が近い場合は、最短で証跡パックを揃える手順を一緒に設計します。
よくある質問
Q1. 現在「使用可」「使用不可」の規程は作りましたが、ログが取れていません。何を優先しますか
ログは現在の契約プランで取得できる範囲を確認することが先決です。「取れていない」のか「取れるが見ていない」のかで対処が変わります。エンタープライズプランへの変更が必要な場合は費用対効果も含めて判断します。
Q2. 取引先から「生成AI利用に関する方針を教えてほしい」と言われました。何を送ればよいですか
AI利用規程の概要(禁止事項と管理体制の概要)と、社員教育の実施状況を一枚にまとめた説明資料が最低限必要です。詳細な規程全文を送るかどうかは、取引先との関係と情報の機密性によります。
Q3. AI事業者ガイドライン第1.2版への対応は法律上の義務ですか
法律上の義務ではなく任意のガイドラインですが、金融・医療・公共調達など規制業種では事実上の参照基準として使われています。また、取引先審査や入札要件に準拠確認が入るケースが増えており、実務上の対応価値は高まっています。
参考情報
- 総務省・経済産業省「AI事業者ガイドライン(第1.2版)」(2026年3月31日):https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20260331_report.html
- IPA「AIセキュリティ」:https://www.ipa.go.jp/digital/ai/security/index.html
- IPA「AI利用者のためのセキュリティ豆知識」:https://www.ipa.go.jp/digital/ai/security/ai_security_tips.html
監査で示せる生成AI証跡パックを整備しませんか
GXOでは、AI利用規程・ログ設計・教育記録・例外承認フロー・インシデント記録の5カテゴリを、監査や取引先審査で示せる形に整備する支援を行います。