先に結論:AI安全導入の見積前に必要なのは「作りたいAI」ではなく「漏えいさせてはいけないデータと止め方」の整理です
AIを安全に導入したい。社内文書を検索できるRAGを作りたい。問い合わせ履歴をAIで要約したい。営業資料を自動生成したい。議事録AIを使いたい。AIエージェントでSaaS操作を自動化したい。経営会議では「AIを使って業務効率化したい」という方向性までは決まっている。そこで数社へ見積を依頼する。
この時に、機能一覧だけを渡す会社は危ないです。
「社内検索AI」「問い合わせAI」「議事録要約」「営業資料生成」「AIエージェント」のような機能名だけでは、見積会社はデータ漏えい対策の範囲を正しく見積もれません。どのデータをAIへ渡すのか。個人情報や顧客情報は含まれるのか。社内文書の権限差はあるのか。出力を社外へ出すのか。ログは保存するのか。DLPやID管理と連携するのか。AIが外部APIやSaaSを操作するのか。漏えい疑い時に誰が止めるのか。これらが曖昧だと、安い見積ほど本番化直前に追加費用が出ます。
AI安全導入の見積前に経営者が整理すべき結論は、次の10点です。
- AIで何を作るかより、AIへ渡すデータを先に分類する
- 個人情報、顧客情報、契約情報、技術情報、営業情報、認証情報をAI入力可否で分ける
- RAG、AIエージェント、AI機能付きSaaS、外部API、クラウド共有を別々に見積範囲へ入れる
- PoC、本番化、運用、保守、月次監査を分けて見積もる
- DLP、ID管理、ログ、権限、端末管理を「別途」ではなく初期条件に入れる
- AI出力を誰が確認し、どの業務で社外提出できるかを決める
- 個人情報漏えい疑い時の停止、証拠保全、影響範囲確認、外部連絡判断を見積範囲に入れる
- 低予算で始める場合でも、データ経路図、入力禁止情報表、ログ方針だけは削らない
- 本番化条件を、精度だけでなく、権限、ログ、削除、教育、初動訓練で定義する
- 見積依頼前に「やること」「やらないこと」「後でやること」を1枚で説明できる状態にする
本記事は、データ漏えいを防ぎながらAIを安全に導入したい企業が、見積依頼前に整理すべき要件、費用、本番化条件を扱います。既存ベンダーを変更する段階の記事ではありません。複数候補会社へ正式RFPを出す記事でもありません。まだ見積依頼前、または見積を取ったが比較できない経営者向けの記事です。
AI ASSESSMENT
PoC の前に「そもそも使えるか」を30分で見極めませんか?
対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。
この記事を読むべき会社
この記事は、AI導入、生成AI活用、社内検索、RAG、AIエージェント、AI機能付きSaaS、議事録AI、文書要約、問い合わせ対応、営業資料生成、コード生成、データ分析などを検討しており、データ漏えいを防ぐ安全設計まで含めて見積を取りたい中小・中堅企業の経営者、CIO、DX責任者、情シス責任者、セキュリティ責任者、管理部門、法務向けです。
特に、次の状態なら本記事の検索意図に合います。
- AI導入の見積を取りたいが、何を要件として渡せばよいか分からない
- 生成AI、RAG、AIエージェントの便利さは理解しているが、データ漏えい対策の範囲が分からない
- 社内文書、顧客情報、問い合わせ履歴、契約書、営業資料、コード、ログをAIで使う可能性がある
- AI導入の見積が安く見えるが、DLP、ログ、権限、教育、運用が含まれているか判断できない
- PoCは小さく始めたいが、本番化時に何を追加すべきか先に把握したい
- 個人情報や顧客情報をAIへ渡してよいか、社内で判断が割れている
- 情シス、法務、現場、経営の確認順が決まっていない
- AI導入後の事故時に、誰が止め、誰が顧客へ説明するか決まっていない
- ベンダーに「一式」で依頼すると高くなりそうだが、削ってはいけない範囲も分からない
既存ベンダーとAI導入済みで、別会社へ移す段階なら、既存ベンダー変更の記事が近いです。候補会社へ正式RFPを出す段階なら、RFP記事が近いです。権限設計そのものを主題にするなら、データ漏えい権限設計の記事が近くなります。本記事は、初回見積前の要件・費用・本番化条件に絞ります。
既存記事との違い:この記事は「見積前の範囲・費用・本番化条件」に絞る
同じデータ漏えい領域でも、検索意図を分けないとカニバリが起きます。本記事は、AIを安全に導入するための初回見積前に、何を整理し、何を見積条件に入れ、何を後回しにできるかを扱います。
横にスクロールして確認できます
| 比較対象 | 主な読者の悩み | 本記事との違い |
|---|---|---|
| データ漏えい安全導入の既存ベンダー変更 | 既存ベンダーから成果物・設定・権限・ログを引き継ぎたい | 本記事は導入前・見積前の範囲整理が主題 |
| データ漏えい安全導入のRFP | 複数候補会社へ正式提案依頼を出したい | 本記事はRFPを書く前の要件・費用・本番化条件整理 |
| データ漏えい権限設計の見積前 | 権限設計そのものの要件と費用を整理したい | 本記事は権限だけでなく、AIデータ経路、RAG、AIエージェント、DLP、ログ、教育、初動まで扱う |
| シャドーAI対策 | 未承認AI利用を可視化・統制したい | 本記事はこれから安全にAIを導入するための見積前整理 |
| AI導入リスク管理ガイド | AIガバナンス全般を知りたい | 本記事は見積前に渡すべき実務要件と費用分解に特化 |
本記事の主語は「見積依頼前に、データ漏えい対策をどこまで見積条件へ入れるか」です。AI機能の実装方法ではなく、見積の前提を揃えることに集中します。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
見積前に整理する60項目
まず、次の60項目を確認してください。すべてを初回実装に入れる必要はありません。ただし、見積依頼時に「含める」「後で検討」「対象外」のどれかに分けておく必要があります。
横にスクロールして確認できます
| 整理項目 | 見る理由 | 曖昧な時に起きること |
|---|---|---|
| AI導入目的 | 業務効率化、品質向上、売上貢献を分ける | 何を作るかだけで比較する |
| 対象業務 | 問い合わせ、営業、法務、開発などを決める | 対象範囲が広がる |
| 初期ユーザー | 部門、人数、権限を決める | PoCが全社利用になる |
| 利用シーン | 要約、検索、分類、生成、操作を分ける | リスクが混ざる |
| 入力データ | AIへ渡す情報を把握する | 機密情報を入れてしまう |
| 参照データ | RAGが読む文書を把握する | 権限外文書が回答に混ざる |
| 出力データ | 社外提出、社内判断、下書きを分ける | 出力確認責任が曖昧 |
| 個人情報 | 顧客、社員、応募者情報を確認する | 法務確認が後回しになる |
| 顧客情報 | 取引先、契約、問い合わせ履歴を確認する | 顧客説明ができない |
| 技術情報 | コード、ログ、設計書を確認する | 認証情報が混ざる |
| 認証情報 | APIキー、トークン、接続文字列を確認する | Secrets漏えいが起きる |
| AI入力禁止情報 | 入れてはいけない情報を決める | 社員判断がばらつく |
| マスキング | 本番データを加工するか決める | PoCで生データを使う |
| データ保存先 | 社内、クラウド、外部APIを分ける | データ所在が説明できない |
| 保存期間 | 入力、出力、ログの保存期間を決める | 削除できない |
| 学習利用 | 入力が学習に使われるか確認する | 契約外利用の懸念が残る |
| 外部API | モデル、プラグイン、Webhookを確認する | 外部送信が見えない |
| AI機能付きSaaS | SaaS内AI機能を確認する | 知らずにAIへ送る |
| RAG範囲 | どの文書を検索対象にするか決める | 機密文書が混ざる |
| ベクトルDB | 保存場所、削除、権限を確認する | 検索用データが残る |
| AIエージェント | 操作範囲と停止条件を決める | 危険操作を自動化する |
| 高リスク操作 | 送信、削除、権限変更、請求を分ける | 人の承認が抜ける |
| 管理者権限 | 誰が設定変更できるか決める | 退職者権限が残る |
| ID管理 | SSO、MFA、退職者停止を確認する | アカウント管理が分断 |
| 端末管理 | 会社端末、個人端末を分ける | BYODから入力される |
| DLP | 送信制御と検知対象を決める | ルールだけで止まらない |
| CASB/SASE | SaaS利用と外部送信を見る | シャドーAIが残る |
| ログ | 入力、出力、操作ログを決める | 調査できない |
| SIEM連携 | 監査ログ集約を決める | アラートが分断 |
| アラート条件 | 何を危険と見るか決める | 検知しても動けない |
| 承認フロー | 新規AI利用の承認者を決める | 部門判断が増える |
| 例外承認 | 例外の期限と条件を決める | 例外が固定化する |
| 社員教育 | 利用前教育を決める | ルールが届かない |
| 管理職教育 | 承認・例外・違反対応を決める | 管理職判断がばらつく |
| FAQ | 現場の迷いを想定する | 問い合わせが属人化 |
| 問い合わせ窓口 | 誰に聞くか決める | 現場が勝手判断する |
| インシデント初動 | 発見、停止、証拠保全を決める | 漏えい疑い時に遅れる |
| 個人情報対応 | 速報、確報、本人通知判断の体制を決める | 法務対応が後手になる |
| 顧客連絡 | 取引先説明の責任者を決める | 営業現場が個別対応 |
| PoC目的 | 精度検証か運用検証か分ける | PoCが本番化できない |
| PoCデータ | テストデータ、本番データを分ける | PoC環境が漏えい経路 |
| PoC期間 | 何週間で何を判断するか決める | だらだら続く |
| 本番化条件 | 精度、権限、ログ、教育を決める | 動くが出せない |
| 成果物 | 台帳、設計書、教育資料を決める | 納品物が曖昧 |
| 編集可能形式 | Word、Excel、Markdown、設定JSONを指定 | PDFだけで更新不可 |
| 契約主体 | API契約、SaaS契約の名義を決める | 後で移管できない |
| 再委託 | 外部モデル、クラウド、開発会社を確認 | 説明できない外部処理 |
| 秘密保持 | データと成果物の扱いを決める | 共有範囲が曖昧 |
| 保守範囲 | 障害、設定変更、問い合わせを分ける | 本番後が別費用 |
| 月次運用 | 台帳、ログ、例外、教育を更新する | 作って終わりになる |
| 費用上限 | 初期費用と月額費用を分ける | 安く見えて継続費が膨らむ |
| 削る範囲 | 後回しにできるものを決める | 必須項目まで削る |
| 削らない範囲 | データ経路、入力禁止、ログなどを守る | 安全性が崩れる |
| 社内体制 | 経営、情シス、法務、現場の役割 | ベンダー任せになる |
| 意思決定者 | 誰がGo/No-Goを決めるか | 本番化判断が止まる |
| 既存規程 | 情報セキュリティ規程、個人情報規程との整合 | 既存ルールと矛盾 |
| 監査証跡 | いつ誰が何を承認したか残す | 後で説明できない |
| 見積比較表 | 候補会社を同じ軸で比較する | 金額だけで選ぶ |
| 契約前レビュー | 契約、権利、削除、ログ引き渡しを確認 | 移管不能になる |
| 成功指標 | 工数削減、品質、事故ゼロ、問い合わせ減 | 効果測定できない |
この60項目をすべて文章化する必要はありません。見積依頼前に最低限、入力データ、参照データ、外部送信、権限、ログ、PoC範囲、本番化条件、費用分解を1枚にまとめれば、見積の精度は大きく変わります。
費用を分ける:一式見積ではなく9つに分解する
AI安全導入の見積で危ないのは、「AI導入一式」「生成AI活用一式」「社内検索AI一式」のような見積です。一式が悪いのではありません。一式の中に、データ漏えい対策、権限、ログ、教育、初動、運用が入っているか見えないことが問題です。
見積前には、少なくとも次の9項目に分けてください。
横にスクロールして確認できます
| 費用項目 | 内容 | 見積で確認すること |
|---|---|---|
| 1. 見積前診断 | 目的、データ、リスク、体制の整理 | 何回のヒアリングと成果物があるか |
| 2. PoC設計 | 小さく試す範囲と評価方法 | 本番化に必要な検証を含むか |
| 3. データ分類 | 個人情報、顧客情報、機密情報の整理 | AI入力可否表まで作るか |
| 4. AI機能実装 | RAG、要約、分類、生成、エージェント | 機能単位と対象業務が明確か |
| 5. セキュリティ設計 | DLP、ID管理、ログ、権限、外部API | 技術制御が見積内か |
| 6. 契約・法務確認 | 学習利用、保存期間、再委託、削除 | 法務レビューの前提資料が出るか |
| 7. 社員教育 | 利用ルール、FAQ、管理職教育 | 受講履歴と問い合わせ対応を含むか |
| 8. 初動訓練 | 漏えい疑い時の停止、証拠保全、連絡 | 机上訓練か実地確認か |
| 9. 月次運用 | 台帳更新、ログ確認、例外承認、改善 | 初月だけか継続契約か |
見積を比較する時は、総額だけでなく「どこまでが初期費用で、どこからが月額費用か」を見てください。安い見積は、PoCだけを安く見せて、本番化条件、DLP、ログ、教育、月次運用を後から追加することがあります。逆に高い見積でも、最初から本番運用まで含めているなら、単純に高いとは言えません。
GXOが見積レビューで重視するのは、費用の安さではなく、責任分界が読めることです。AI安全導入は、見積が安いほど安全というテーマではありません。
初期スコープを決める:最初から全部やらない
データ漏えいを防ぐAI安全導入は、最初から全社展開しない方がよいです。理由は単純です。データ分類、権限、ログ、教育、初動が追いつかない状態で利用者を広げると、便利さとリスクが同時に広がるからです。
初期スコープは、次のように切ると現実的です。
横にスクロールして確認できます
| 初期スコープ | 向いている会社 | 注意点 |
|---|---|---|
| 社内規程・FAQ検索 | 社内文書が整理されている会社 | 権限差がある文書を混ぜない |
| 問い合わせ回答下書き | CSや営業支援を効率化したい会社 | 顧客情報と送信前レビューを分ける |
| 議事録要約 | 会議が多い会社 | 個人情報・機密会議の扱いを決める |
| 契約書レビュー補助 | 法務・営業管理を支援したい会社 | 法的判断をAI任せにしない |
| コードレビュー補助 | 開発組織がある会社 | Secrets、ログ、本番情報を入れない |
| AIエージェントの限定操作 | SaaS作業を自動化したい会社 | 送信・削除・権限変更は人の承認を残す |
初期スコープで大切なのは、業務効果があり、かつデータ漏えい対策を設計しやすい範囲を選ぶことです。全社のあらゆる文書を検索できるRAGより、特定部門の公開可能なFAQを検索する方が安全に始められます。すべてのSaaSを操作するAIエージェントより、読み取りだけのレポート作成から始める方が本番化しやすくなります。
本番化条件を先に決める
AI導入のPoCでよくある失敗は、PoC開始時に本番化条件を決めていないことです。精度が良ければ本番化する、という条件だけでは不十分です。データ漏えいを防ぐAI安全導入では、精度以外の条件を満たさなければ本番に出せません。
本番化条件は、最低でも次の10項目で定義してください。
横にスクロールして確認できます
| 本番化条件 | 合格ライン |
|---|---|
| データ分類 | AIへ入力・参照する情報が分類されている |
| 入力禁止情報 | 個人情報、顧客情報、認証情報などの扱いが明文化されている |
| 権限制御 | 利用者、管理者、参照範囲、操作範囲が分かれている |
| ログ | 入力、出力、操作、承認、エラーのログ方針が決まっている |
| DLP・ID連携 | 必要な送信制御、SSO、MFA、退職者停止が確認されている |
| 外部API契約 | 学習利用、保存期間、削除、再委託を確認している |
| 出力レビュー | 社外提出物や重要判断の人間確認が定義されている |
| 社員教育 | 利用前教育、FAQ、問い合わせ窓口が用意されている |
| 初動 | 漏えい疑い時の停止、証拠保全、影響範囲確認が決まっている |
| 月次運用 | 台帳更新、ログ確認、例外承認、改善会議が決まっている |
この10項目が未定のままPoCを始めると、PoCは動いても本番化で止まります。見積前に本番化条件を伝えれば、候補会社は「PoCだけの見積」と「本番化までの見積」を分けて出しやすくなります。
見積依頼書にそのまま入れる要件サンプル
見積依頼時には、抽象的な要望ではなく、候補会社が回答しやすい形で書いてください。次の文面をそのまま使えます。
目的
当社は、生成AI、RAG、AIエージェント、AI機能付きSaaSの活用を検討している。ただし、個人情報、顧客情報、契約情報、技術情報、営業情報、認証情報の漏えいを防ぐことを前提とする。候補会社は、AI機能の実装だけでなく、データ分類、入力禁止情報、権限、ログ、DLP、外部API契約、社員教育、インシデント初動、本番化条件を含めた見積を提示すること。
初期範囲
初期範囲は、全社展開ではなく、対象部門と対象業務を限定したPoCとする。候補会社は、PoCで検証する業務、利用者数、利用データ、外部API、ログ、評価指標、本番化条件を提案すること。PoCで本番データを使う場合は、マスキング、アクセス権限、保存期間、削除手順を明記すること。
データ漏えい対策
候補会社は、AIに入力・参照・保存・出力されるデータを分類し、AI入力禁止情報表を作成すること。個人情報、顧客情報、契約情報、技術情報、営業情報、認証情報について、入力禁止、条件付き入力、入力可能の区分を提案すること。外部APIまたはAI機能付きSaaSを利用する場合は、学習利用、保存期間、再委託、削除、ログ取得可否を整理すること。
権限・ログ
候補会社は、利用者権限、管理者権限、RAG参照範囲、AIエージェント操作権限、外部送信権限を分けて提案すること。送信、削除、権限変更、請求、顧客連絡などの高リスク操作は、人間の承認条件を明記すること。ログについては、入力、出力、操作、承認、エラー、アラートの保存範囲と保存期間を提案すること。
本番化条件
候補会社は、PoCから本番化へ進む条件を、精度、業務効果、データ分類、権限、ログ、DLP、契約確認、社員教育、初動訓練、月次運用の観点で提示すること。精度だけで本番化可否を判断しないこと。
候補会社に聞く質問
見積依頼時には、候補会社へ次の質問を投げてください。回答が曖昧な会社は、AI機能は作れても、データ漏えい対策の本番運用で弱い可能性があります。
横にスクロールして確認できます
| 質問 | 見たいこと |
|---|---|
| AIに入力されるデータをどう分類しますか | データ分類力 |
| 個人情報や顧客情報を扱う場合、どこまで見積に含みますか | 法務・安全設計の範囲 |
| RAGの参照範囲と権限制御をどう設計しますか | 社内文書漏えい防止 |
| AIエージェントの高リスク操作をどう制限しますか | 自動化リスクの理解 |
| 外部APIの学習利用、保存期間、再委託をどう確認しますか | 契約・外部処理の確認 |
| DLP、ID管理、ログ連携は見積に含まれますか | 技術制御の範囲 |
| PoCで本番データを使う場合の条件は何ですか | PoC安全性 |
| 本番化条件を精度以外でどう定義しますか | 運用設計力 |
| 漏えい疑い時の停止・証拠保全は見積に含みますか | 初動設計 |
| 月次運用と改善会議は別費用ですか | 継続費用 |
この質問に即答できないこと自体は問題ではありません。問題は、調査範囲や見積条件に落とせないことです。候補会社が「詳細は導入後に決めましょう」としか言わない場合、本番化直前に費用とリスクが膨らみます。
見積比較表
複数社から見積を取る場合は、金額だけで並べないでください。次の表で比較すると、何が含まれていて、何が抜けているか分かります。
横にスクロールして確認できます
| 比較項目 | A社 | B社 | C社 |
|---|---|---|---|
| 見積前診断 | |||
| PoC範囲 | |||
| データ分類 | |||
| AI入力禁止情報表 | |||
| RAG権限制御 | |||
| AIエージェント操作制限 | |||
| DLP・ID管理連携 | |||
| ログ設計 | |||
| 外部API契約確認 | |||
| 社員教育 | |||
| 初動訓練 | |||
| 月次運用 | |||
| 成果物の編集可能形式 | |||
| 本番化条件 | |||
| 初期費用 | |||
| 月額費用 | |||
| 別費用になりそうな項目 |
比較表で空欄が多い会社ほど、後で追加費用が出る可能性があります。逆に、初期費用が高く見えても、データ分類、DLP、ログ、社員教育、初動訓練、月次運用まで含んでいるなら、総額では妥当な場合があります。
業種別に最初のスコープを変える
AI安全導入の見積は、業種によって初期スコープを変えるべきです。同じ「データ漏えい対策」でも、製造業、士業、医療・介護、BtoB SaaS、EC、建設、不動産、人材、金融周辺では、AIへ渡してはいけない情報と本番化条件が違います。
横にスクロールして確認できます
| 業種 | 初期に向くAI活用 | 見積前に特に見るデータ |
|---|---|---|
| 製造業 | 作業手順書検索、品質不良の分類、設備保全FAQ | 図面、製造条件、取引先情報、写真、検査記録 |
| 士業・専門サービス | 相談メモ要約、文書ドラフト、法令・規程検索 | 顧客相談内容、個人情報、契約書、税務・労務資料 |
| 医療・介護周辺 | 問い合わせ分類、社内FAQ、記録要約補助 | 健康情報、利用者情報、職員情報、委託先情報 |
| BtoB SaaS | 問い合わせ回答下書き、ヘルプ検索、障害一次整理 | 顧客ログ、契約情報、障害情報、APIキー、管理者情報 |
| EC・小売 | 商品説明生成、レビュー分類、CS要約 | 顧客情報、購入履歴、決済関連情報、返品・苦情履歴 |
| 建設・不動産 | 契約書確認、現場報告要約、物件資料作成 | 図面、顧客情報、地権者情報、現場写真、契約条件 |
| 人材・採用 | 求人票作成、面談メモ要約、候補者分類 | 履歴書、評価情報、給与、面談記録、推薦文 |
| 金融周辺 | FAQ、審査資料整理、顧客対応下書き | 本人確認情報、取引情報、信用情報、契約書 |
業種別に見る理由は、見積会社が「AIでできること」を一般論で出してくることが多いからです。経営者は、自社の業種で漏えいした時に信用・売上・契約へ直撃するデータを先に示してください。そこが見積の安全条件になります。
見積に入れる成果物を指定する
見積依頼時に成果物を指定しないと、候補会社ごとに納品物がばらばらになります。ある会社はシステムだけを納品し、別の会社は設計書と教育資料まで含め、別の会社はPoCレポートだけを出す。これでは比較できません。
見積前に、少なくとも次の成果物を候補会社へ指定してください。
横にスクロールして確認できます
| 成果物 | 初期に必要か | 理由 |
|---|---|---|
| AI利用目的整理シート | 必須 | 経営目的と対象業務を揃える |
| データ分類表 | 必須 | AIへ渡す情報を分ける |
| AI入力禁止情報表 | 必須 | 社員が判断できる形にする |
| データ経路図 | 必須 | 入力、保存、出力、外部送信を確認する |
| PoC計画書 | 必須 | 何を検証するかを明確にする |
| 本番化条件表 | 必須 | 精度以外の合格条件を決める |
| 権限設計メモ | 必須 | 利用者、管理者、参照範囲を分ける |
| ログ方針 | 必須 | 事故時に追跡できるようにする |
| 外部API・SaaS確認表 | 必須 | 学習利用、保存、再委託を見る |
| 見積比較表 | 推奨 | 候補会社を同じ軸で比較する |
| 社員教育資料 | 本番前に必須 | 現場利用前に周知する |
| FAQ | 本番前に必須 | 問い合わせを属人化させない |
| 初動フロー | 本番前に必須 | 漏えい疑い時に止める |
| 月次レビュー表 | 本番前に必須 | 導入後に改善を続ける |
成果物は、できるだけ編集可能形式で指定してください。PDFだけでは、運用開始後に更新できません。Word、Excel、Markdown、CSV、設定JSON、管理画面のエクスポートなど、次の担当者や別ベンダーが引き継げる形式を指定します。
失敗する見積依頼の共通点
データ漏えいを防ぐAI安全導入の見積依頼で失敗する会社には、共通点があります。
横にスクロールして確認できます
| 失敗パターン | 起きること |
|---|---|
| 「AIを使いたい」だけで見積を取る | 候補会社ごとに提案範囲がばらばらになる |
| 機能一覧だけを渡す | データ漏えい対策が別費用になる |
| PoCを安さだけで選ぶ | 本番化条件を満たせない |
| 本番データ利用を曖昧にする | PoC環境が漏えい経路になる |
| 外部API契約を確認しない | 学習利用や保存期間を説明できない |
| DLPやログを後回しにする | 事故時に追跡できない |
| 社員教育を削る | 現場が入力可否を判断できない |
| 月次運用を見積に入れない | 導入後に台帳とルールが古くなる |
| 法務確認を最後に回す | 本番直前で止まる |
| 経営者が効果だけを見る | 費用・責任・停止条件が残る |
この失敗を避けるには、見積依頼前に「何を作るか」ではなく「何をAIへ渡し、何を渡さず、誰が止め、何を本番化条件にするか」を決める必要があります。
削ってよい範囲と削ってはいけない範囲
予算が限られている場合、すべてを初期に入れる必要はありません。ただし、削ってよい範囲と削ってはいけない範囲を間違えると、AI安全導入ではなく、単なるAI機能導入になります。
横にスクロールして確認できます
| 区分 | 項目 | 判断 |
|---|---|---|
| 削ってよい場合がある | 対象部門の拡大 | 初期は1部門でよい |
| 削ってよい場合がある | 高度な自動化 | まず人間承認付きでよい |
| 削ってよい場合がある | 多数の外部SaaS連携 | 初期は重要システムに限定 |
| 削ってよい場合がある | 高度な分析ダッシュボード | 月次レビュー表から始めてよい |
| 削ってはいけない | データ経路図 | どこで漏れるか分からなくなる |
| 削ってはいけない | AI入力禁止情報表 | 社員判断がばらつく |
| 削ってはいけない | 権限とログの方針 | 事故時に追跡できない |
| 削ってはいけない | 外部API契約確認 | 学習利用や保存期間を説明できない |
| 削ってはいけない | 漏えい疑い時の初動 | 止める判断が遅れる |
| 削ってはいけない | 本番化条件 | PoCが動いても本番化できない |
費用を抑えるなら、機能を絞るべきです。安全性の土台を削るべきではありません。最初は対象部門、対象データ、対象業務を絞り、その範囲でデータ分類、権限、ログ、初動まで入れる方が安全です。
30日・60日・90日で進める見積前ロードマップ
見積前整理は、長くても30日以内に終えるべきです。ただし、PoCから本番化までの見通しは90日単位で持つと、候補会社の見積を比較しやすくなります。
横にスクロールして確認できます
| 期間 | やること | 成果物 |
|---|---|---|
| 1〜30日 | AI利用目的、対象業務、データ分類、初期スコープ、費用分解、本番化条件を整理 | 見積前整理シート、AI入力可否表、見積依頼メモ |
| 31〜60日 | 候補会社見積、PoC設計、データ経路、権限、ログ、外部API契約を確認 | 見積比較表、PoC計画、リスク一覧 |
| 61〜90日 | PoC実施、効果測定、データ漏えい対策確認、本番化判断 | PoC評価表、本番化判定表、改善バックログ |
| 91日以降 | 本番導入、社員教育、初動訓練、月次運用 | 運用台帳、教育履歴、月次レビュー表 |
見積依頼前の30日で、すべての答えを出す必要はありません。見積会社が同じ前提で回答できる程度に、要件と不明点を整理することが目的です。
経営会議で使う判断表
経営会議では、技術用語を細かく説明するより、投資判断に変換した方が進みます。次の表を使ってください。
横にスクロールして確認できます
| 判断軸 | 経営者が聞くべき質問 | NG回答 |
|---|---|---|
| 目的 | このAIで何の業務指標を改善するのか | とりあえずAIを試したい |
| データ | AIへ渡す情報に個人情報や顧客情報はあるか | ベンダーに任せます |
| 費用 | PoC、本番化、運用の費用は分かれているか | 一式です |
| 安全性 | 入力禁止情報、権限、ログは見積に入っているか | 導入後に決めます |
| 契約 | 外部APIの学習利用、保存期間、再委託は確認するか | 利用規約は未確認です |
| 本番化 | 何を満たせば本番化するか | 精度が良ければ進めます |
| 初動 | 漏えい疑い時に誰が止めるか | 情シスが対応します |
| 運用 | 月次で誰が台帳とログを見るか | 運用は別途です |
NG回答が多い場合、見積依頼はまだ早いです。先に見積前診断を行い、候補会社に渡す前提条件を整えてください。
GXOに相談すべきタイミング
次のどれかに当てはまるなら、記事を読むだけで止めず、見積前診断か見積レビューから相談した方がよいです。
- AI導入の見積を取りたいが、要件をどう書けばよいか分からない
- 候補会社の見積に、データ漏えい対策が含まれているか判断できない
- RAG、AIエージェント、AI機能付きSaaSを使いたいが、個人情報や顧客情報の扱いが不安
- PoCを安く始めたいが、本番化で追加費用が膨らむのを避けたい
- DLP、ログ、ID管理、社員教育、初動訓練をどこまで初期に入れるべきか迷っている
- 経営会議に、費用、リスク、効果、本番化条件を説明したい
- 見積はあるが、何が含まれていて何が別費用なのか分からない
GXOでは、データ漏えいを防ぐAI安全導入について、見積前診断、AI利用目的整理、データ分類、AI入力可否判断表、PoC範囲設計、本番化条件表、見積比較レビューまで一体で支援できます。
まずは AI活用・AI社内ルールの相談 から、検討中のAI利用目的、使いたいデータ、候補会社の見積、社内で不安視されている情報の種類を共有してください。
関連記事
- データ漏えいを防ぐAI安全導入で既存ベンダーを変更する前に見る引き継ぎ条件
- AI導入のリスク管理ガイド
- シャドーAI対策完全ガイド
- AIエージェント型ランサムウェアから考える、認証情報・権限・バックアップ設計
- 生成AIセキュリティはプロンプト対策だけでは足りない
- NIST AI RMFとCSF 2.0から作るAIガバナンス最小セット
参照した一次情報・公的情報
- NIST AI Risk Management Framework: https://www.nist.gov/itl/ai-risk-management-framework
- NIST Cybersecurity Framework: https://www.nist.gov/cyberframework
- OWASP Top 10 for LLM Applications: https://owasp.org/www-project-top-10-for-large-language-model-applications/
- 個人情報保護委員会「漏えい等の対応」: https://www.ppc.go.jp/personalinfo/legal/leakAction/






