GXO
RAG・AI検索

経営者向け:データ漏えいを防ぐ権限設計RFPに入れるべき要件・評価軸・契約条件

32分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

AIセキュリティ

先に結論:権限設計RFPは「権限を設計してください」では足りません

データ漏えいを防ぐために、AI導入、社内検索、RAG、AIエージェント、SaaS連携、顧客管理、問い合わせ管理、ファイル共有、業務アプリの権限設計を見直したい。見積前の整理は終わり、複数候補会社へ正式に提案依頼を出す。ここでRFPに「ユーザー権限を設計してください」「管理者権限を整理してください」とだけ書く会社は危ないです。

その書き方では、候補会社ごとに前提がばらばらになります。A社はロール設計だけを想定する。B社はID管理連携まで含める。C社はDLPやログを別費用にする。D社はRAGの参照権限を元文書権限に連動させない。E社はAIエージェントの送信、削除、API実行を高リスク操作として分けない。見積金額だけ見れば比較できますが、実際には比較できていません。

権限設計RFPで決めるべき結論は、次の10点です。

  1. 対象を、人、外部委託先、管理者、サービスアカウント、APIキー、RAG、AIエージェントに分ける
  2. 守るデータを、個人情報、顧客情報、契約情報、営業情報、技術情報、認証情報、経営情報に分ける
  3. 操作を、閲覧、作成、編集、削除、承認、エクスポート、外部共有、権限変更、AI参照、API実行に分ける
  4. RAGは、文書取り込み、除外文書、元文書権限、引用、回答ログ、再索引までRFPに入れる
  5. AIエージェントは、読み取り、下書き、送信、削除、権限変更、外部API実行を別要件にする
  6. DLP、ログ、ID管理、監査、例外承認、月次棚卸しを「任意提案」ではなく回答必須にする
  7. 候補会社には、成果物、前提、除外範囲、追加費用条件を同じフォーマットで回答させる
  8. 評価は金額だけでなく、権限対象、RAG・AI、DLP・ログ、テスト、運用、責任分界を100点で採点する
  9. 契約には、成果物の所有権、設定情報の引き渡し、ログの扱い、秘密情報、再委託、事故時協力を入れる
  10. 検収条件は、画面が動くことではなく、越権テスト、AI回答テスト、DLP検知、停止訓練で決める

本記事は、データ漏えいを防ぐ権限設計について、複数候補会社へRFPを出す段階の企業向けです。既存ベンダーを変更する引き継ぎ記事ではありません。見積依頼前に範囲と費用を整理する記事でもありません。正式な提案依頼、回答比較、契約、検収まで進める経営者向けに、RFPへ書くべき内容を整理します。

AI ASSESSMENT

PoC の前に「そもそも使えるか」を30分で見極めませんか?

対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。

30分壁打ちを予約

この記事を読むべき会社

この記事は、AI導入、社内検索、RAG、AIエージェント、AI機能付きSaaS、顧客管理、問い合わせ管理、ファイル共有、業務アプリ、データ基盤、開発環境などで、データ漏えいを防ぐ権限設計を複数候補会社へ正式に提案依頼したい中小・中堅企業の経営者、CIO、DX責任者、情シス責任者、セキュリティ責任者、管理部門、法務向けです。

特に、次の状態なら本記事の検索意図に合います。

  • 権限設計の候補会社を比較したいが、RFPに何を書くべきか分からない
  • 見積を数社から取ったが、含まれる範囲が違いすぎて比較できない
  • RAGや社内検索AIで、元文書の権限をAI回答に反映できるか確認したい
  • AIエージェントがSaaSやAPIを操作するため、送信、削除、権限変更を分けたい
  • サービスアカウント、APIキー、外部委託先、退職者権限までRFPに含めたい
  • DLP、ログ、ID管理、監査、例外承認が別費用にならないようにしたい
  • 契約時に成果物、設定、ログ、テスト結果の引き渡しを明確にしたい
  • 検収条件を、動作確認だけでなく、漏えい防止の権限テストで決めたい

既存ベンダーから権限設計を引き継ぐ段階なら、既存ベンダー変更の記事が近いです。まだ候補会社へ正式RFPを出す前で、範囲や費用を整理している段階なら、見積前の記事が近くなります。本記事は、候補会社へ同じ前提で回答させ、採点と契約まで進めるための記事です。

既存記事との違い:この記事は「RFPと提案比較」に絞る

横にスクロールして確認できます

比較対象主な読者の悩み本記事との違い
データ漏えい権限設計の既存ベンダー変更既存ベンダーから権限資料、設定、ログ、APIキーを引き継ぎたい本記事は既存権限の移管ではなく、候補会社へ正式RFPを出す段階
データ漏えい権限設計の見積前見積依頼前に範囲、費用、本番化条件を整理したい本記事は見積前整理後に、RFP本文、回答、採点、契約、検収をそろえる
データ漏えい安全導入RFPAI安全導入全体のRFPを作りたい本記事は権限設計、ロール、RAG参照、AIエージェント操作、DLP・ログに限定
AIエージェント権限記事エージェントの高リスク操作や停止条件を設計したい本記事はエージェント単体ではなく、人、外部委託先、サービスアカウント、RAG、SaaS、ログまで含める
シャドーAI対策未承認AI利用を可視化したい本記事は承認済みAI・システムの権限設計RFPが主題

本記事の主語は「候補会社に同じ前提で回答させ、採点し、契約と検収まで進めること」です。RFPは単なる見積依頼書ではありません。後から揉めないための比較基準であり、契約と検収の土台です。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

RFPに書くべき目的文

RFP冒頭では、目的を曖昧に書かないことが重要です。「セキュリティ強化」「権限整理」だけでは候補会社の回答が広がりすぎます。次のように、漏えい防止、AI利用、証跡、停止まで目的に入れます。

横にスクロールして確認できます

項目RFPに書く文面例
背景当社では、顧客情報、問い合わせ履歴、契約情報、社内文書をAI、RAG、SaaS連携、業務アプリで活用する予定である
目的担当外データの閲覧、AI回答による過剰開示、外部共有、APIキー流出、退職者権限残存を防ぐ権限設計を行う
対象正社員、管理者、外部委託先、サービスアカウント、APIキー、RAG、AIエージェント、保守担当を対象にする
成果権限台帳、ロール定義、操作権限マトリクス、RAG権限設計、AIエージェント操作権限、DLP・ログ設計、検収テスト結果を得る
本番化条件担当外参照不可、AI回答権限超過なし、外部共有制御、ログ追跡、漏えい疑い時の停止手順を満たす

目的文で「AI」「RAG」「外部共有」「APIキー」「停止」を入れておくと、候補会社は通常のユーザー権限だけでは足りないと理解できます。

RFPの対象範囲

RFPでは、対象範囲を「システム名」だけで書かない方がよいです。権限設計は、システム、データ、利用者、操作、AI、ログが絡みます。対象範囲は次の表で書きます。

横にスクロールして確認できます

区分RFPに含める内容回答必須事項
対象システム顧客管理、問い合わせ管理、ファイル共有、社内検索、RAG、AIエージェント、SaaS連携対象ごとの制約、追加費用、前提条件
対象データ個人情報、顧客情報、契約情報、営業情報、技術情報、認証情報、経営情報データ分類と権限設計の対応方法
対象利用者正社員、管理者、外部委託先、退職者・異動者、保守担当ロール設計、棚卸し、停止手順
機械的権限サービスアカウント、APIキー、バッチ、連携ツールスコープ、失効、ログ、保管方法
AI権限RAG参照、AI回答、AIエージェント操作元権限反映、除外文書、承認、ログ
監査DLP、監査ログ、ID管理、月次棚卸し取得範囲、保存期間、確認者

この表をRFPに入れると、候補会社がどこまで含めるかを回答できます。逆に、対象範囲が「顧客管理システムの権限設計」とだけ書かれていると、RAG、AIエージェント、DLP、ログ、外部委託先、APIキーが抜けます。

必須要件:権限対象と操作権限

RFPでは、必須要件と任意提案を分けます。必須要件は、候補会社が「対応可、条件付き対応、不可、別費用」を明記すべき項目です。

横にスクロールして確認できます

必須要件回答してほしい内容
権限台帳利用者、部門、役職、外部委託先、管理者、サービスアカウント、APIキーを一覧化できるか
ロール定義部門、業務、顧客、案件、データ分類ごとにロールを設計できるか
操作分類閲覧、作成、編集、削除、承認、エクスポート、外部共有、権限変更、AI参照、API実行を分けられるか
管理者分離システム管理、権限変更、ログ閲覧、例外承認を分離できるか
外部委託先管理契約期間、対象業務、対象顧客、持ち出し可否、終了時停止を設計できるか
退職者・異動者権限停止、履歴確認、棚卸し、再付与手順を設計できるか
サービスアカウント用途、発行者、スコープ、キー保管、失効、ログを管理できるか
APIキーキーの保管、失効、更新、利用ログ、漏えい時停止を設計できるか

候補会社の回答では「可能です」だけでは不十分です。成果物名、設定方法、制約、追加費用、検収方法まで回答させます。

必須要件:RAG・社内検索

RAGや社内検索AIを含む場合、RFPで最も抜けやすいのが参照権限です。元のファイル共有やSaaSで見えない文書を、AIが回答してしまうと漏えいになります。RFPでは次を必須要件にします。

横にスクロールして確認できます

RAG要件回答してほしい内容
文書取り込み範囲対象フォルダ、SaaS、DB、チケット、議事録、FAQをどう選ぶか
除外文書人事、経営、認証情報、契約、顧客別秘密情報を除外できるか
元文書権限反映元システムの閲覧権限をAI回答にも反映できるか
顧客別・案件別制御担当顧客・担当案件以外を回答しない設計が可能か
引用表示回答の根拠文書を表示できるか
回答ログ誰が、いつ、どの質問で、どの文書を根拠に回答を得たか保存できるか
再索引権限変更後に古い参照が残らないよう再索引できるか
権限テスト担当外文書、人事文書、契約文書、認証情報を回答しないテストを作れるか

RAG要件は、AIの精度とは別に評価します。精度が高くても、権限を超えた回答をするなら本番化できません。

必須要件:AIエージェント操作

AIエージェントがSaaSやAPIを操作する場合、RFPでは高リスク操作を分けます。候補会社には、どこまで初期対応し、どこから後続フェーズにするか回答させます。

横にスクロールして確認できます

操作RFP要件検収条件
読み取り参照範囲、顧客別制御、ログ担当外情報を読まない
下書き人間レビュー、保存先、履歴自動送信されない
送信承認者、宛先制限、添付制限高リスク宛先は止まる
更新更新対象、差分履歴、ロールバック誤更新を戻せる
削除原則禁止、例外承認、復旧証跡が残る
外部共有URL期限、共有先、DLP個人情報を外へ出さない
権限変更原則禁止、二重承認AIが権限を広げない
API実行スコープ、レート、キー管理失効とログがある

AIエージェント要件をRFPに入れないと、候補会社は便利な自動化として提案しがちです。しかし、データ漏えい対策では、便利さよりも操作分離、承認、停止、ログが重要です。

回答フォーマットを指定する

RFPでは、候補会社に自由記述だけで回答させない方がよいです。比較できるよう、次のフォーマットを指定します。

横にスクロールして確認できます

項目回答形式
要件IDRFP側で付けたIDをそのまま記載
対応可否対応可、条件付き対応、不可、別費用
実現方法設定、開発、運用、外部SaaS、手動確認のどれか
成果物権限台帳、ロール定義、設定書、テスト結果、運用手順など
前提条件必要なSaaSプラン、ID管理、ログ保存、社内承認など
制約製品仕様、API制限、リアルタイム反映不可など
初期費用該当要件に関する初期費用
月額費用運用、ライセンス、監査、保守費
検収方法どのテストで合格とするか
追加費用条件範囲変更、データ追加、部門追加、AI操作追加時の条件

このフォーマットがあると、提案書が読みやすくなります。候補会社の営業資料のうまさではなく、要件ごとの対応力で比較できます。

100点評価軸

提案書は、価格だけでなく100点で採点します。次の採点表をRFPに添付すると、候補会社にも何を重視しているか伝わります。

横にスクロールして確認できます

評価項目配点見るポイント
権限対象の網羅性15正社員、管理者、外部委託先、退職者、サービスアカウント、APIキー、AIを含むか
データ分類との接続15個人情報、顧客情報、契約、営業、技術、認証、経営情報と権限を結びつけるか
RAG・AI権限15元文書権限、除外文書、AI回答ログ、エージェント操作分離を含むか
DLP・ログ・ID管理15外部共有、CSV、権限変更、AI回答、API実行を追えるか
テスト・検収条件15担当外参照、退職者、外部委託先、サービスアカウント、停止手順をテストするか
運用・月次監査10権限差分、例外権限、退職者、共有リンクを定期確認するか
契約・引き渡し10成果物、設定、ログ、テスト結果、事故時協力、再委託を明確にするか
経営説明のしやすさ5費用、期間、後回し範囲、リスクを説明できるか

70点未満は、金額が安くても危険です。80点台は、抜けている項目の追加費用を確認します。95点以上なら、初期費用が高く見えても、後戻り費用を抑えられる可能性があります。

契約に入れるべき条件

権限設計RFPでは、契約条件まで意識しておく必要があります。提案段階で良く見えても、契約に成果物や引き渡しが入っていないと、後で運用できません。

横にスクロールして確認できます

契約条件入れる理由
成果物の定義権限台帳、ロール定義、操作権限表、設定書、テスト結果を明確にする
設定情報の引き渡しベンダー変更時に再調査しないため
ログの扱い保存期間、閲覧者、出力可否、削除条件を決める
秘密情報個人情報、顧客情報、認証情報、ログの取り扱いを明確にする
再委託再委託先の権限、秘密保持、事故時責任を確認する
事故時協力漏えい疑い時のログ確認、権限停止、原因調査の協力を決める
権限変更手順本番後の変更申請、承認、記録、緊急停止を決める
契約終了時アカウント削除、APIキー失効、設定・資料返却を決める
追加費用条件部門追加、データ追加、AI操作追加、SaaS変更時の費用を決める

契約条件は、法務だけに任せるものではありません。技術と運用の前提が契約に入っていないと、事故時に「契約範囲外です」となります。法的助言が必要な部分は専門家へ確認しつつ、RFP段階で論点を明示します。

検収条件

検収条件は、納品物があることではなく、漏えい防止のテストに合格することです。RFPに次の検収条件を入れます。

横にスクロールして確認できます

検収テスト合格条件
担当外顧客テスト担当外の顧客情報を閲覧、検索、AI回答できない
部門外文書テスト部門外の契約、人事、経営、技術文書をRAGが回答しない
外部委託先テスト契約範囲外のデータにアクセスできない
退職者テスト退職・異動後の権限が停止される
サービスアカウントテストAPIキーが必要最小限のスコープに限定される
エクスポートテスト大量出力、CSV、PDF、API出力が制限・記録される
外部共有テスト期限なし共有、社外メール、添付、URL共有が検知・制御される
AI回答テストAIが元権限を超えた回答をしない
ログテスト誰が何を見て、何を出力したか追える
停止テスト漏えい疑い時に対象権限、共有リンク、APIキーを止められる

検収テストは候補会社に作らせるだけではなく、社内のデータオーナーが確認します。ベンダーが知らない顧客別事情、契約別事情、部門別事情があるからです。

RFPスケジュール

権限設計RFPは、短すぎると候補会社の回答が浅くなります。現実的には次の流れです。

横にスクロールして確認できます

期間進めること成果物
1週目RFP対象、データ分類、操作分類、評価軸を整理RFPドラフト、要件ID一覧
2週目候補会社へRFP配布、質問受付質問回答表
3週目候補会社回答、提案書、費用内訳を回収回答フォーマット、見積
4週目100点採点、提案書レビュー、追加質問採点表、追加質問票
5週目契約条件、検収条件、除外範囲を確認契約論点表、検収条件表
6週目発注判断、初期キックオフ準備発注稟議、初期計画

急ぐ場合でも、質問回答と採点は省略しない方がよいです。権限設計は、候補会社の提案力よりも、前提の合意が重要です。

RFP本文テンプレート

RFP本文は、候補会社が読み替えできない粒度で書きます。長く書けばよいわけではありませんが、要件ID、回答形式、検収条件、除外範囲をそろえる必要があります。次のテンプレートを土台にすると、権限設計RFPの抜け漏れを減らせます。

横にスクロールして確認できます

セクションRFPに入れる内容
1. 背景AI、RAG、SaaS連携、業務アプリで扱うデータと、データ漏えいを防ぐ必要性
2. 目的担当外参照、AI回答による過剰開示、外部共有、APIキー流出、退職者権限残存を防ぐこと
3. 対象範囲対象システム、対象データ、対象利用者、対象AI、対象ログ、対象運用
4. 対象外今回やらない部門、やらないAI操作、やらない高度自動化、後続フェーズ
5. 必須要件権限台帳、ロール、RAG、AIエージェント、サービスアカウント、DLP、ログ、停止
6. 任意提案追加監査、自動棚卸し、ダッシュボード、教育コンテンツ、運用代行
7. 回答形式要件IDごとの対応可否、成果物、前提、制約、費用、検収方法
8. 評価方法100点採点表、失格条件、追加質問、プレゼン評価
9. 契約条件成果物、設定情報、ログ、秘密情報、再委託、事故時協力、契約終了時
10. 検収条件越権テスト、RAG回答テスト、DLP検知、ログ追跡、停止訓練

RFP本文では、候補会社に「提案してください」と任せすぎないことが重要です。提案の自由度は任意提案で残し、必須要件では回答形式を固定します。これにより、提案の個性は見ながら、最低限の比較軸は揃えられます。

失格条件を先に書く

権限設計RFPでは、採点以前に失格にすべき条件があります。失格条件を書かないと、金額が安い提案や見栄えの良い提案に引っ張られ、あとで安全要件が抜けます。

横にスクロールして確認できます

失格条件理由
権限台帳を成果物に含めない運用と引き継ぎができない
管理者権限の分離を提案しない管理者が強すぎ、事故時の影響範囲が広がる
RAGの元文書権限反映を説明できないAI回答による過剰開示を防げない
AIエージェントの送信・削除・権限変更を分けない高リスク操作が自動化される
サービスアカウントとAPIキーを対象外にする人間ユーザーより強い権限が残る
ログ取得範囲を明示しない事故時に追跡できない
DLPや外部共有制御を完全に別途扱いにする本番化直前に追加費用化しやすい
検収条件が通常動作確認だけ漏えい防止の合格判定にならない
契約終了時の設定・資料返却を明記しない次回ベンダー変更時に再調査になる

失格条件は厳しく見えますが、RFPの目的は安い会社を探すことではありません。データ漏えいを防ぐ権限設計を任せられる会社を選ぶことです。失格条件を先に書くことで、候補会社も提案前に自社の対応範囲を判断できます。

提案書レビューで見るべき赤信号

提案書がきれいでも、中身が弱いことがあります。特に権限設計では、セキュリティ用語が並んでいても、実際の成果物、設定、テストが薄い提案があります。提案書レビューでは、次の赤信号を確認します。

横にスクロールして確認できます

赤信号追加質問
「ゼロトラスト」「最小権限」などの言葉だけで具体的なロール表がないロール定義表のサンプルを提示できますか
RAGの精度や利便性ばかりで参照権限の説明がない元文書権限とAI回答権限をどう一致させますか
AIエージェントの自動化範囲が広い送信、削除、外部共有、権限変更を初期本番で許可しますか
ログは「標準機能」とだけ書かれている権限変更、AI回答、CSV出力、API実行を追えますか
DLPは製品名だけ書かれているどのデータ、どの操作、どの共有を止めますか
運用は「貴社にて対応」と書かれている月次棚卸し表、例外権限レビュー、退職者確認は誰が作りますか
契約条件が一般的設定書、テスト結果、ログ、APIキー棚卸し表の引き渡しは含みますか

提案書レビューでは、候補会社を責めるのではなく、契約前に曖昧さを潰す姿勢が重要です。質問に具体的に答えられる会社は、導入後の運用も現実的に進めやすいです。

候補会社への追加質問例

RFP回答後は、追加質問を必ず行います。提案書だけでは、制約、例外、追加費用、担当体制が見えにくいからです。

横にスクロールして確認できます

領域追加質問
体制権限設計、RAG、DLP、ログ、契約レビューの担当者は誰ですか
成果物権限台帳、ロール定義、操作権限表、RAG権限テスト表のサンプルを出せますか
制約対象SaaSのプランやAPI制限で実現できない要件はありますか
RAG権限変更後、AI検索インデックスへ反映されるまでの時間はどの程度ですか
AIエージェント初期本番で禁止すべき操作は何だと考えますか
DLP個人情報、顧客情報、契約情報、認証情報をどう検知しますか
ログ誰が何を見て、何を出力し、どの権限を変えたか追えますか
テスト越権テストと停止テストは候補会社側で作成できますか
費用部門追加、データ追加、AI操作追加時の追加費用ルールは何ですか
契約契約終了時に設定、資料、ログ、テスト結果をどの形式で渡しますか

追加質問への回答が曖昧な場合は、採点を下げます。逆に、制約を正直に説明し、代替案を出せる会社は評価できます。RFPでは「何でもできます」と言う会社より、「ここは製品制約があり、ここは運用で補う」と説明できる会社の方が実務では強いです。

契約前レビューのチェックリスト

候補会社を選んだ後、契約前にもう一度RFPと提案書を契約書へ落とし込みます。RFPに書いてあっても、契約や注文書に入っていなければ、後から範囲外と言われることがあります。

横にスクロールして確認できます

チェック項目確認すること
成果物RFPで求めた成果物が契約書、注文書、別紙に明記されているか
スケジュール設計、実装、テスト、検収、運用引き継ぎの日付があるか
除外範囲対象外システム、対象外AI操作、対象外データが明記されているか
追加費用部門追加、SaaS追加、RAG文書追加、AI操作追加の費用条件があるか
検収越権テスト、AI回答テスト、DLP検知、ログ確認、停止訓練が検収条件に入っているか
秘密情報個人情報、顧客情報、認証情報、ログの取り扱いが明記されているか
再委託再委託先の範囲、秘密保持、権限、事故時責任が明記されているか
事故時協力漏えい疑い時のログ確認、権限停止、影響範囲確認の協力条件があるか
終了時アカウント削除、APIキー失効、資料返却、設定引き渡しがあるか

契約前レビューは、法務だけでなく、情シス、セキュリティ、現場責任者、経営が一緒に確認します。法務は条項を見られますが、権限台帳やRAG権限テストの実務的な必要性は現場側が説明する必要があります。

検収シナリオ例

検収テストは、単発のチェックリストではなく、実際の業務シナリオに近づけます。候補会社へRFP段階でシナリオ例を渡しておくと、実装後の認識違いを減らせます。

横にスクロールして確認できます

シナリオ期待結果
営業Aが担当外顧客名でRAG検索する顧客情報、問い合わせ履歴、契約情報が回答されない
CS担当が契約価格を含む文書を検索する担当顧客以外の価格条件が回答されない
外部委託先が共有フォルダからCSV出力する出力が禁止またはログ記録され、必要に応じてDLPが検知する
退職予定者のアカウントでログインを試す権限停止後は閲覧、検索、AI回答、API実行ができない
AIエージェントに顧客へメール送信を依頼する下書きまでで止まり、人間承認なしに送信されない
サービスアカウントのAPIキーが漏えいした想定にするキーを失効し、影響範囲と実行ログを確認できる
管理者がロールを変更する誰が、いつ、何を変更したかログで追える
誤って社外共有リンクを作る期限、共有先、DLP検知、削除手順が確認できる

検収シナリオは、会社ごとに変える必要があります。重要なのは、画面が動くかどうかではなく、漏えいにつながる操作が止まるか、止まらない場合にログで追えるかです。

RFP後の90日計画

RFPで候補会社を選んだ後も、すぐに全社展開しない方がよい場合があります。権限設計は、データオーナーの承認、SaaS制約、既存運用、現場例外が絡むため、90日で段階的に進めます。

横にスクロールして確認できます

期間進めること成果物
1〜2週目キックオフ、対象範囲再確認、データオーナー確定、既存権限棚卸し対象一覧、権限棚卸し、課題一覧
3〜4週目データ分類、操作分類、ロール案、RAG除外範囲を設計データ分類表、操作権限表、ロール案、除外文書表
5〜6週目サービスアカウント、APIキー、外部委託先、退職者権限を整理APIキー棚卸し、外部委託先権限表、停止手順
7〜8週目DLP、ログ、ID管理、例外承認、AI回答ログを設定DLP条件、ログ方針、例外承認フロー
9〜10週目越権テスト、RAG回答テスト、AIエージェント操作テストテスト結果、修正一覧
11〜12週目管理者教育、現場FAQ、月次棚卸し、初動訓練運用手順、FAQ、月次監査表、本番化判定

RFP段階で90日計画を求めると、候補会社の実務力が見えます。提案書だけなら立派でも、90日計画が曖昧な会社は、導入後に社内調整で止まりやすいです。

見積内訳で必ず分ける項目

RFP回答の費用は、一式ではなく内訳で出してもらいます。権限設計は、調査、設計、実装、テスト、運用で必要な人が違います。内訳がないと、安い提案が本当に安いのか、単に重要項目が抜けているだけなのか判断できません。

横にスクロールして確認できます

見積項目含める作業別費用になりやすいもの
現状調査対象システム、ユーザー、データ、外部委託先、API、ログの把握退職者、共有リンク、旧APIキー、外部委託先
要件定義データ分類、操作分類、ロール方針、例外承認、本番化条件AI参照範囲、DLP、ログ、停止手順
ロール設計部門、業務、顧客、案件、管理者、外部委託先のロール顧客別・案件別の細かい制御
RAG設計取り込み、除外、元権限反映、引用、回答ログ、再索引権限変更後の再索引、AI回答監査
AIエージェント設計読み取り、下書き、送信、削除、権限変更、API実行の分離承認フロー、ロールバック、停止訓練
実装・設定ID管理、SaaS設定、APIスコープ、DLP、ログ連携SaaSプラン変更、追加ライセンス
テスト越権、RAG回答、外部共有、CSV、API、停止のテスト異常系、外部委託先、退職者、月次監査
運用引き継ぎ管理者手順、FAQ、月次棚卸し、初動対応社員教育、訓練、運用代行

RFPでは、候補会社に「初期費用」「月額費用」「任意追加費用」「前提ライセンス費」を分けて回答させます。特にDLP、ログ、RAG、AIエージェント、サービスアカウントは、製品ライセンスやSaaSプランの制約を受けます。見積内訳を分けないまま発注すると、契約後に「その機能は上位プランが必要です」「そのログは標準では取れません」となります。

発注後に揉めやすい論点

RFPで曖昧にすると、発注後に揉める論点があります。契約前に候補会社へ確認し、議事録や契約別紙に残しておきます。

横にスクロールして確認できます

論点揉める理由RFPでの対策
対象データの追加現場確認で対象データが増える初期対象、追加単価、後続フェーズを明記
既存SaaSの制約権限粒度やログ範囲がSaaS仕様に依存する対象SaaSごとの制約調査を初期作業に入れる
AI回答の責任AIが権限外に近い回答をした時の判断が難しい権限超過回答テストとレビュー者を決める
外部委託先の権限契約範囲と実際の作業範囲がずれる外部委託先別の権限表と終了時停止を必須にする
管理者権限緊急対応のために広い権限が残りやすい通常管理者、緊急管理者、例外承認を分ける
ログ保存期間保存期間が短いと事故後に追えない保存期間、閲覧者、出力可否を契約に入れる
例外承認一時例外が恒久化しやすい期限、承認者、月次レビューを必須にする
契約終了時設定や資料の引き渡しで揉める設定書、権限台帳、テスト結果、ログの返却形式を決める

権限設計のRFPでは、技術要件だけでなく、揉めやすい論点を先に出すことが品質です。候補会社がこれらの論点を嫌がる場合、導入後の運用でも同じ論点が残ります。

経営会議での最終判断

最後に、経営会議では採点表と費用だけを出すのではなく、「どのリスクを初期で潰し、どのリスクを後続フェーズに送るか」を説明します。

横にスクロールして確認できます

判断項目経営会議で説明する内容
初期で潰すリスク担当外参照、AI回答の過剰開示、外部共有、APIキー流出、退職者権限残存
後続に送る範囲全社展開、高度な自動棚卸し、AIエージェントの送信・削除、運用代行
選定理由金額、採点、契約条件、検収条件、運用支援のバランス
残リスクSaaS仕様制約、現場例外、データ分類未確定、月次運用の社内負荷
次の判断日初期設計完了時、テスト完了時、本番化判定時、90日後レビュー

この説明ができると、権限設計RFPは単なるIT発注ではなく、経営としてのリスク管理になります。安い会社を選んだのか、高い会社を選んだのかではなく、どの条件で本番化するかを合意できます。

GXOに相談すべきタイミング

次のどれかに当てはまるなら、RFPを自社だけで作らず、RFP作成か提案書レビューから相談した方がよいです。

  • 権限設計RFPを出したいが、要件IDや回答フォーマットを作れない
  • 見積が複数あるが、RAG、AIエージェント、DLP、ログの範囲がそろっていない
  • 候補会社の提案が良く見えるが、契約と検収に落とせるか判断できない
  • AI回答やAIエージェント操作によるデータ漏えいをRFPにどう書くか分からない
  • サービスアカウント、APIキー、外部委託先、退職者権限まで比較したい
  • 安い提案を選んだ後の追加費用や責任分界が不安

GXOでは、RFP本文、候補会社回答フォーマット、100点採点表、契約論点リスト、検収条件表を作り、候補会社比較と提案書レビューを支援できます。

相談先は AI活用・AI社内ルールの相談 です。

参照した一次情報

上記は2026-07-09に公式ページのHTTP 200を確認しました。この記事は一般的な実務整理であり、個別の法的判断、事故報告要否、契約解釈は、顧問弁護士、個人情報保護委員会の公開情報、関係当局、契約書を確認してください。

ISSUE HUB

社内情報を探しやすくしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK