GXO
RAG・AI検索

経営者向け:データ漏えいを防ぐAI安全導入RFPに入れるべき要件・評価軸・契約条件

30分で読める

QUICK CHECK

本文を読みながら、自社で進めるべきか、相談前に何を整理するかを確認できます。

5分で自社の状況を診断する

GXO COLUMN

AIセキュリティ

先に結論:AI安全導入のRFPは「便利なAIを作る依頼」ではなく「漏えいさせない条件で候補会社を比較する文書」です

AIを安全に導入したい。社内検索AIを作りたい。問い合わせ履歴を要約したい。営業資料を自動生成したい。議事録AIを使いたい。AIエージェントでSaaS操作を自動化したい。見積前の整理も終わり、候補会社を数社に絞った。次はRFPを出して、提案を比較したい。

この段階で、RFPに「社内文書を検索できるAIを作りたい」「顧客対応をAIで効率化したい」「セキュリティに配慮してください」とだけ書く会社は危ないです。候補会社はそれぞれ違う前提で提案します。ある会社はAI機能だけを安く出します。別の会社はDLPやログまで含めて高く見えます。別の会社はPoCは得意でも、本番運用や事故時対応は弱いかもしれません。提案書の見た目は整っていても、データ漏えい対策の範囲がそろっていなければ、比較になりません。

AI安全導入のRFPで経営者が決めるべき結論は、次の10点です。

  1. RFPの主語を「AI機能」ではなく「守るデータ、通す経路、止める権限」にする
  2. 個人情報、顧客情報、契約情報、技術情報、営業情報、認証情報をAI入力可否で分ける
  3. RAG、AIエージェント、AI機能付きSaaS、外部API、クラウド共有を別々の要件にする
  4. DLP、ID管理、ログ、監査、端末、ネットワーク、SaaS権限を「必要なら別途」ではなくRFP本文に入れる
  5. 候補会社には、構成図だけでなく、データ経路図、権限表、ログ設計、事故時初動を回答させる
  6. 提案比較は価格だけでなく、データ漏えい設計、RAG/エージェント権限、契約、運用、検収で100点採点する
  7. 契約には、学習利用禁止、第三者共有、再委託、ログ引き渡し、削除、成果物権利、インシデント協力を入れる
  8. 検収条件は、精度だけでなく、権限テスト、DLP検知、ログ確認、削除確認、初動訓練まで含める
  9. 安い提案ほど「除外範囲」「別費用」「顧客側作業」「外部SaaS責任」を確認する
  10. RFPは候補会社を選ぶためだけでなく、契約後の手戻り、追加費用、責任不明を減らすために作る

本記事は、データ漏えいを防ぎながらAIを安全に導入したい企業が、複数候補会社へ正式RFPを出す段階に絞ります。既存ベンダーを変更する段階の記事ではありません。初回見積前に要件や費用を整理する記事でもありません。RFPに何を書き、どう回答させ、どう採点し、契約と検収へつなげるかを扱います。

AI ASSESSMENT

PoC の前に「そもそも使えるか」を30分で見極めませんか?

対象業務、データ、権限、ログ、運用責任を確認し、PoC前に失敗要因と本番化条件を整理します。

30分壁打ちを予約

この記事を読むべき会社

この記事は、AI導入、生成AI活用、社内検索、RAG、AIエージェント、AI機能付きSaaS、議事録AI、文書要約、問い合わせ対応、営業資料生成、コード生成、データ分析などについて、データ漏えいを防ぐ安全設計まで含めて複数候補会社へ正式提案依頼を出したい中小・中堅企業の経営者、CIO、DX責任者、情シス責任者、セキュリティ責任者、管理部門、法務向けです。

特に、次の状態なら本記事の検索意図に合います。

  • AI導入の候補会社が複数あり、提案を同じ条件で比較したい
  • 見積前の要件整理はしたが、RFP本文へ落とし込めていない
  • 「セキュリティに配慮」と書くだけでは足りないと感じている
  • 社内文書、顧客情報、問い合わせ履歴、契約書、営業資料、コード、ログをAIで扱う可能性がある
  • RAGやAIエージェントを使いたいが、権限とデータ漏えい対策を候補会社にどう説明させればよいか分からない
  • 提案額の差が、機能差なのか、セキュリティ範囲差なのか、運用範囲差なのか判断できない
  • 個人情報や顧客情報を扱うため、契約条件、再委託、外部API、ログ保存、削除条件を詰めたい
  • 本番化後に「DLPは別費用」「ログは見られない」「事故時対応は契約外」と言われるのを避けたい
  • 経営、情シス、法務、現場、セキュリティで同じ採点表を使って意思決定したい

まだAI導入の範囲や費用を整理していない場合は、見積前整理の記事が近いです。すでに既存ベンダーと導入済みで、別会社へ移管したい段階なら、既存ベンダー変更の記事が近いです。権限設計だけを深く扱いたい場合は、データ漏えい権限設計の記事が近くなります。本記事は、正式RFPで候補会社を比較し、契約と検収へつなげる段階に絞ります。

既存記事との違い:この記事は「正式RFPで比較・契約・検収する段階」に絞る

同じデータ漏えい領域でも、検索意図を分けないとカニバリが起きます。本記事は、候補会社へ正式に提案依頼を出し、回答を同じ基準で比較し、契約条件と検収条件まで落とす段階に絞ります。

横にスクロールして確認できます

比較対象主な読者の悩み本記事との違い
データ漏えい安全導入の既存ベンダー変更既存ベンダーから成果物・設定・権限・ログを引き継ぎたい本記事は既存ベンダー移管ではなく、候補会社へ正式RFPを出す段階
データ漏えい安全導入の見積前記事何を見積条件に入れればよいか整理したい本記事は見積前整理後に、RFP本文、回答形式、採点、契約、検収まで作る
データ漏えい権限設計の記事権限設計そのものを深く見直したい本記事は権限だけでなく、AIデータ経路、RAG、エージェント、DLP、ログ、契約、運用を含む
シャドーAI対策未承認AI利用を可視化・統制したい本記事はこれから導入するAIをRFPで安全に発注することが主題
AI導入リスク管理ガイドAIガバナンス全体を知りたい本記事は候補会社比較と発注条件に使う実務文書へ落とすことに特化

本記事の主語は「RFPで、データ漏えい対策まで候補会社に回答させる」です。AI機能の便利さではなく、比較可能性、契約可能性、検収可能性を扱います。

FREE DOWNLOAD

AI導入チェックリスト(PoC 失敗要因 10項目)

情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。

RFP本文に入れるべき基本方針

RFPの冒頭には、候補会社へ次の前提を明確に伝える必要があります。

「本件は、AI機能を短期間で作ることだけを目的にしない。社内文書、顧客情報、問い合わせ履歴、契約書、営業資料、コード、ログなどの機微情報を扱う可能性があるため、データ漏えいを防ぐ設計、権限、ログ、DLP、外部API、委託先管理、事故時対応、社員教育、月次運用まで含めて提案すること。提案書では、機能、費用、スケジュールだけでなく、データ経路、保存先、外部送信、権限、ログ、削除、学習利用、再委託、検収条件を明示すること」

この一文がないと、候補会社はAI機能中心の提案を出しやすくなります。経営者が欲しいのは、デモが動くAIではありません。顧客へ説明できるAI、社内監査で説明できるAI、事故時に止められるAI、契約上の責任分界が明確なAIです。

RFPの目的は、次の4つです。

  1. 候補会社に同じ前提で提案してもらう
  2. データ漏えい対策を見積と契約の範囲に入れる
  3. 提案比較を価格と印象ではなく、採点表で行う
  4. 契約後の追加費用、手戻り、責任不明を減らす

RFPに入れる60要件

RFPには、候補会社が「対応します」と書くだけで済まない粒度の要件を入れます。以下の60項目は、そのままRFP本文や別紙にできます。

1. 目的・対象業務・成果物

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
1AI導入の目的削減したい業務時間、改善したい品質、減らしたいリスク、対象部門
2対象業務社内検索、問い合わせ、議事録、営業資料、コード、分析などの対象範囲
3対象外業務初期導入では扱わない業務、後続フェーズに回す業務
4成果物設計書、構成図、データ経路図、権限表、テスト結果、運用手順、教育資料
5PoCと本番の分離PoCで確認する項目、本番化で必須にする項目
6成功条件精度、利用率、処理時間、漏えい防止、ログ確認、運用開始条件

2. データ分類とAI入力可否

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
7データ分類個人情報、顧客情報、契約情報、営業情報、技術情報、認証情報の扱い
8AI入力可否入力可、条件付き可、禁止、匿名化後可、社内承認後可の区分
9入力禁止情報パスワード、APIキー、秘密鍵、未公開決算、要配慮個人情報などの禁止方法
10顧客情報顧客名、担当者名、問い合わせ履歴、契約条件、取引金額の扱い
11個人情報個人情報保護委員会の漏えい等対応を踏まえた初動、記録、報告判断
12匿名化・マスキングどの工程で誰が何をマスキングし、ログへ何を残すか
13データ保持入力、参照、出力、ログ、学習用データの保存期間と削除方法
14学習利用外部モデル、SaaS、再委託先での学習利用可否、オプトアウト、契約根拠

3. データ経路・外部API・SaaS

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
15データ経路図入力、保存、検索、外部送信、出力、ログ、削除までの経路
16外部API利用するLLM、OCR、音声認識、翻訳、検索、ベクトルDB、分析API
17AI機能付きSaaSSaaS内AI機能の有無、外部モデル連携、保存先、管理者設定
18クラウド保存保存リージョン、暗号化、バックアップ、削除、ログ取得
19再委託・サブプロセッサ利用する第三者、国、役割、契約、通知方法
20データ越境海外処理、海外保存、サポートアクセスの有無
21APIキー管理発行、保管、ローテーション、権限、漏えい時停止手順
22サービスアカウント目的別分離、最小権限、棚卸し、退職・契約終了時の削除

4. RAG・ナレッジベース

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
23取り込み対象取り込む文書、取り込まない文書、初期データ量、更新頻度
24文書権限部門、役職、案件、顧客、機密区分ごとの参照制御
25ベクトルDB保存データ、メタデータ、削除、暗号化、アクセス権限
26チャンク設計機微情報をまたいだ分割、過剰引用、出典表示、検索対象制御
27出力制御参照権限のない文書を回答へ混ぜない仕組み
28権限テスト権限の低いユーザーで機密文書が検索・回答されないことの確認
29更新・削除文書更新、退職者権限削除、顧客契約終了時の削除反映
30誤回答時対応誤引用、過剰開示、古い情報の回答を発見した時の修正手順

5. AIエージェント・自動操作

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
31操作対象CRM、SFA、グループウェア、ストレージ、メール、チケット、開発環境
32高リスク操作送信、削除、権限変更、支払い、契約更新、外部共有、顧客通知
33人間承認どの操作で承認を必須にし、誰が承認し、証跡を残すか
34権限分離読み取り、下書き、送信、削除、管理者操作を分ける設計
35停止条件異常操作、過剰アクセス、外部送信、DLP検知時の自動停止
36操作ログ誰の指示で、AIが何を読み、何を生成し、何を実行したか
37失敗時復旧誤送信、誤削除、誤更新、権限誤付与が起きた時の戻し方

6. DLP・ログ・監査

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
38DLP連携検知対象、検知場所、検知後の遮断・警告・記録
39ID管理SSO、MFA、退職者停止、権限棚卸し、特権管理
40監査ログ取得対象、保存期間、改ざん防止、検索方法、エクスポート形式
41SIEM連携既存ログ基盤への連携可否、アラート設計、運用担当
42端末・ブラウザコピー、ダウンロード、スクリーンショット、外部貼り付けの制御方針
43月次レビュー利用状況、例外承認、DLP検知、権限変更、インシデントを確認する会議
44監査対応社内監査、顧客監査、取締役会説明に使える証跡

7. インシデント・法務・運用

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
45漏えい疑い時の初動発見、停止、証拠保全、影響範囲確認、暫定対策
46個人情報対応個人情報保護委員会の漏えい等対応を踏まえた報告・本人通知判断の支援範囲
47顧客説明顧客へ説明する時に必要なログ、経路図、時系列、再発防止策
48連絡体制平日、夜間、休日、緊急時の連絡先と応答時間
49社員教育入力禁止情報、AI出力確認、外部共有、例外承認の教育
50例外承認業務上やむを得ないAI入力、外部共有、権限付与の承認フロー
51利用ルールAI利用規程、FAQ、禁止事項、違反時対応、月次更新
52運用移管社内担当へ引き継ぐ手順、運用台帳、教育、保守体制

8. 費用・スケジュール・契約前提

横にスクロールして確認できます

NoRFP要件候補会社に回答させる内容
53費用内訳調査、要件定義、設計、実装、テスト、教育、運用、保守、緊急対応
54別費用DLP、ログ、SaaS設定、外部API費、追加テスト、契約レビューの扱い
55スケジュール30日、60日、90日で何を完成させるか
56顧客側作業社内データ提供、権限付与、法務確認、現場レビュー、教育参加
57成果物権利設計書、プロンプト、設定、コード、ドキュメント、テンプレートの権利
58保守範囲障害、モデル変更、SaaS仕様変更、脆弱性、ログ確認、月次改善
59契約終了データ削除、ログ引き渡し、設定エクスポート、アカウント停止
60検収条件精度、権限、ログ、DLP、削除、教育、初動訓練、運用開始判定

候補会社の回答フォーマット

RFPでは、自由記述だけにすると比較できません。候補会社には、次の形式で回答してもらいます。

横にスクロールして確認できます

項目回答欄添付必須
提案範囲対象業務、対象外業務、PoC、本番、運用提案範囲表
データ経路入力、保存、外部送信、出力、ログ、削除データ経路図
データ分類AI入力可、条件付き可、禁止、匿名化後可入力可否判断表
RAG設計取り込み対象、権限、更新、削除、出典表示RAG構成図、権限テスト案
AIエージェント操作対象、高リスク操作、人間承認、停止条件操作権限表
DLP・ログ検知、遮断、保存期間、検索、エクスポートログ項目一覧
外部API・SaaS利用サービス、保存、学習利用、再委託サービス一覧、契約条件
インシデント初動、証拠保全、影響範囲、顧客説明支援初動フロー
契約条件権利、再委託、削除、ログ引き渡し、保守契約論点表
費用初期、月額、従量、別費用、顧客側作業費用内訳表
検収テスト、教育、運用開始、月次レビュー検収条件表

候補会社がこの形式で回答できない場合、提案が悪いとは限りません。しかし、AI安全導入を本番運用まで任せる相手としては、比較材料が不足します。特に、データ経路図、入力可否判断表、権限テスト案、ログ項目一覧、契約論点表が出ない提案は、価格が安く見えても本番化で追加費用が出やすいです。

100点採点表

RFPの採点は、価格だけで決めないことが重要です。以下は、データ漏えいを防ぐAI安全導入に使う100点採点表です。

横にスクロールして確認できます

評価軸配点100点に近い回答減点する回答
データ漏えい設計20データ分類、入力可否、経路、保存、削除、学習利用、再委託まで明確「セキュリティに配慮」だけで具体策がない
RAG・AIエージェント権限15文書権限、高リスク操作、人間承認、停止条件、権限テストがあるRAGやエージェントを機能名だけで説明する
DLP・ログ・監査15DLP、ID、MFA、監査ログ、SIEM、月次レビューが運用までつながるログはあるが誰が見るか不明
外部API・SaaS契約10学習利用、保存先、再委託、越境、削除、契約終了時を明示外部サービス名だけで契約条件がない
インシデント対応10発見、停止、証拠保全、影響範囲、顧客説明、個人情報対応がある事故時は顧客側対応としている
実装・テスト計画1030/60/90日計画、権限テスト、DLPテスト、削除確認があるデモ完成だけを成功条件にする
契約・成果物権利10成果物権利、編集可能形式、ログ引き渡し、削除、保守が明確契約終了時の扱いが不明
社員教育・運用移管5入力禁止情報、例外承認、月次レビュー、教育資料がある使い方説明だけで安全運用がない
費用透明性5初期、月額、従量、別費用、顧客側作業が分かれている一式見積で除外範囲が見えない

採点では、80点未満の提案は本番発注しない方がよいです。90点以上でも、契約条件と検収条件に落ちていない場合は、まだ発注前です。GXOの支援では、提案書の点数だけでなく、減点理由を契約前の確認質問に変換します。

契約条件に入れるべき条項

AI安全導入のRFPは、採点で終わりではありません。採点で選んだ候補会社と契約する時に、次の条項を契約書、個別契約、仕様書、発注書、覚書のいずれかに入れます。

  1. 成果物権利: 設計書、構成図、データ経路図、プロンプト、設定、コード、テスト結果、教育資料、運用手順を編集可能形式で納品する。
  2. 学習利用禁止: 顧客データ、入力、出力、ログ、問い合わせ履歴、文書を、外部モデルや第三者の学習に利用しない。例外がある場合は事前承認制にする。
  3. 第三者共有・再委託: 再委託先、外部API、SaaS、サブプロセッサを一覧化し、変更時の通知と承認条件を定める。
  4. ログ引き渡し: 監査ログ、操作ログ、AI入出力ログ、DLP検知ログを、契約終了時または事故時に指定形式で引き渡す。
  5. データ削除: PoCデータ、テストデータ、バックアップ、ベクトルDB、ログ、外部SaaS内データの削除範囲と証跡を定める。
  6. サービスアカウント・秘密情報: APIキー、秘密鍵、管理者権限、サービスアカウントを顧客管理へ移管し、ローテーションと失効手順を定める。
  7. インシデント協力: 漏えい疑い時の初動、証拠保全、影響範囲確認、顧客説明資料、再発防止策作成への協力範囲と応答時間を定める。
  8. モデル・SaaS変更: 利用モデル、API、SaaS仕様、保存先、再委託先が変わる場合の通知、再評価、追加テストを定める。
  9. 検収条件: 精度だけでなく、権限テスト、DLP検知、ログ確認、削除確認、教育完了、初動訓練を検収に含める。
  10. 契約終了時の移管: 設定、データ、ログ、権限、運用手順、未解決課題を次の運用者へ渡せる状態にする。

この条項がないと、導入直後は問題なくても、担当変更、ベンダー変更、事故、監査、顧客説明の場面で詰まります。AIは導入して終わりではなく、利用データ、外部API、モデル、SaaS、社員利用が変わり続けるため、契約に運用前提を入れる必要があります。

検収条件は「AIが答える」では足りない

AI導入の検収でよくある失敗は、デモで回答が出たら合格にしてしまうことです。データ漏えいを防ぐAI安全導入では、次の検収条件を入れます。

横にスクロールして確認できます

検収項目合格条件
データ経路図入力、保存、検索、外部送信、出力、ログ、削除が図で説明できる
入力禁止情報表個人情報、顧客情報、認証情報、契約情報などの入力可否が定義されている
RAG権限テスト権限の低いユーザーが機密文書を検索・回答できない
AIエージェント承認送信、削除、権限変更、外部共有などに人間承認が入る
DLP検知禁止情報の入力、貼り付け、外部送信を検知・記録できる
ログ確認誰が、いつ、何を入力し、何を参照し、何を出力したか確認できる
外部API確認利用サービス、保存、学習利用、再委託、削除条件が説明できる
削除確認PoCデータ、テストデータ、ベクトルDB、ログの削除手順と証跡がある
教育完了入力禁止、出力確認、例外承認、事故時連絡の教育が完了している
初動訓練漏えい疑い時に停止、証拠保全、影響範囲確認、連絡判断ができる

この10項目を満たさない場合、AI機能が動いていても本番化しない判断が必要です。特に、RAG権限テスト、AIエージェント承認、DLP検知、ログ確認は、後から足すと設計変更になりやすいです。

候補会社へ出す質問例

RFP本文に加えて、候補会社へ質問票を出します。質問は抽象的にせず、証跡を求めます。

  1. 本件で扱う可能性があるデータを、AI入力可、条件付き可、禁止に分類してください。
  2. 入力データ、参照データ、出力データ、ログ、学習利用、削除までのデータ経路図を提出してください。
  3. 利用する外部API、AIモデル、SaaS、ベクトルDB、再委託先を一覧化してください。
  4. 外部サービスが顧客データを学習に利用しない根拠を示してください。
  5. RAGで、権限のない文書が回答に混ざらない仕組みを説明してください。
  6. AIエージェントが外部送信、削除、権限変更を行う場合の承認とログを説明してください。
  7. DLPや既存ID管理と連携できる範囲、できない範囲を明示してください。
  8. 漏えい疑い時に、何分以内に誰が何を止め、どの証跡を保全するか説明してください。
  9. 契約終了時に、データ、ログ、設定、成果物をどう引き渡し、何を削除するか説明してください。
  10. 見積に含まれない作業と、追加費用になる条件を明示してください。

候補会社が誠実であれば、できないことも書きます。できないことがある提案は失格ではありません。危ないのは、できないことを曖昧にし、契約後に別費用へ回す提案です。

赤信号になる提案

次の提案は、採点前に注意が必要です。

  • 「弊社はセキュリティに配慮しています」とだけ書き、データ経路図がない
  • 外部API、SaaS、再委託先、保存先、学習利用の説明がない
  • RAGの文書権限を「社内ユーザーのみ利用」といった粗い単位で扱っている
  • AIエージェントに送信、削除、権限変更を任せるのに人間承認がない
  • DLP、ログ、ID管理、SIEM、端末制御を「必要に応じて」とだけ書いている
  • 個人情報漏えい疑い時の初動が、顧客側責任だけになっている
  • 成果物がPDFだけで、設定、プロンプト、コード、ログ形式を引き渡さない
  • PoC後のデータ削除、ベクトルDB削除、ログ保存期間が決まっていない
  • 安いが、教育、運用、月次レビュー、事故時対応、契約レビューが全部別費用
  • 提案書のデモ画面はきれいだが、検収条件が精度と納期だけになっている

RFPの目的は、こうした赤信号を発注前に見つけることです。契約後に見つけると、追加費用か、スコープ縮小か、責任不明になります。

RFP本文サンプル

以下は、RFP本文に入れられるサンプルです。

「当社は、社内文書、顧客情報、問い合わせ履歴、契約書、営業資料、業務ログ等を活用し、AIによる検索、要約、分類、回答支援、業務支援の導入を検討している。本RFPでは、AI機能の実装だけでなく、データ漏えいを防ぐためのデータ分類、入力可否判断、RAG権限設計、AIエージェント操作権限、DLP、ID管理、監査ログ、外部API・SaaS契約、個人情報漏えい疑い時の初動、社員教育、月次運用までを提案対象とする。

提案者は、提案書において、対象業務、対象外業務、データ経路図、外部サービス一覧、入力禁止情報、RAG権限設計、AIエージェント高リスク操作、人間承認、DLP・ログ設計、インシデント初動、契約終了時のデータ削除・ログ引き渡し、検収条件、費用内訳、別費用条件を明示すること。

当社は、提案を価格、機能、スケジュールだけでなく、データ漏えい防止設計、権限・ログ・監査、契約条件、運用移管、検収可能性の観点で評価する。PoC段階であっても、本番化時に必要となるデータ経路、権限、ログ、削除、教育、事故時対応の前提を提案に含めること」

このサンプルは、業務内容に合わせて短くして構いません。ただし、データ経路、外部サービス、権限、ログ、契約終了時、検収条件は削らない方がよいです。

30日・60日・90日の進め方

RFPから本番化までを一気に進めると、データ漏えい対策が後回しになりがちです。候補会社には、30日、60日、90日の区切りで提案させます。

横にスクロールして確認できます

期間目的完了条件
0-30日現状整理と設計確定データ分類、入力可否、データ経路、外部API、RAG/エージェント範囲、採点表確定
31-60日PoCと安全テストRAG権限テスト、DLP検知、ログ確認、外部API設定、入力禁止情報テスト
61-90日本番化判定と運用移管検収、教育、初動訓練、月次レビュー開始、契約終了時手順、改善 backlog

30日でデモだけを作る提案は危険です。30日で必要なのは、データと権限の前提を固めることです。60日で必要なのは、安全テストを通すことです。90日で必要なのは、社員が使い、ログを見て、事故時に止められる状態へ移すことです。

経営者が最後に見るべき判断表

最終的には、経営者は次の表で判断します。

横にスクロールして確認できます

判断項目発注してよい状態発注を止める状態
データ入力可否と禁止情報が明確何をAIへ入れるか現場任せ
権限RAGとエージェントの権限がテスト可能「社内限定」だけで権限差がない
ログ事故時に時系列を追えるログはあるが検索・引き渡しできない
契約学習利用、再委託、削除、成果物権利が明確外部サービス条件が未確認
検収DLP、権限、ログ、削除、教育まで含むデモ動作と精度だけ
費用初期、月額、別費用、顧客側作業が明確一式見積で追加条件が多い
運用月次レビューと初動訓練があるリリース後の担当が不明

この表で赤が残るなら、RFPの追加質問を出します。候補会社を責めるためではなく、発注後に同じ論点で止まらないようにするためです。

提案比較会議での進め方

RFPを出した後の比較会議では、候補会社のプレゼンを聞くだけで終わらせないことが重要です。プレゼンはどうしても機能、画面、実績、価格に寄りやすく、データ漏えい対策の弱い部分が見えにくくなります。会議では、事前に100点採点表を配り、経営、情シス、法務、現場、セキュリティが同じ順番で質問します。

最初に見るのは価格ではありません。まず、候補会社が本件で扱うデータを正しく理解しているかを見ます。顧客情報、個人情報、契約情報、営業情報、技術情報、認証情報をひとまとめにしている提案は、後で権限設計とログ設計が粗くなります。次に、データ経路図を見ます。AIへ入力する前、RAGへ取り込む時、外部APIへ送る時、AIエージェントがSaaSを操作する時、ログを保存する時、契約終了時に削除する時のどこかが空白なら、その空白が漏えい時の説明不能点になります。

次に、候補会社へ「できること」ではなく「できないこと」を説明してもらいます。DLP連携が難しい範囲、既存SaaSのログ制約、外部APIの保存条件、RAG権限の限界、AIエージェントの承認設計で初期対応できない範囲を先に聞きます。できないことを正直に出す会社は、契約後の手戻りが少ない傾向があります。逆に、全部できますと言いながら別紙や契約条件に落ちていない提案は、発注後に「それは別費用です」となりやすいです。

比較会議の最後には、候補会社ごとに追加質問を3つ以内に絞ります。質問が10個以上残る提案は、RFPへの回答が不足しています。追加質問は、値引き交渉より先に、データ経路、権限、ログ、契約終了、検収の不明点を潰すために使います。経営者が最終決裁する時は、安い会社を選んだ理由ではなく、漏えい時に止められる、説明できる、戻せる会社を選んだ理由を社内に説明できる状態にしておくべきです。

この議事録自体も、後日の契約交渉で使います。候補会社が口頭で説明した制約、前提、別費用、顧客側作業は、必ずRFP回答書か契約別紙へ戻します。口頭説明だけで安心すると、担当者変更や契約終了時に証跡が残りません。AI安全導入では、よい提案を選ぶだけでなく、選んだ理由と残したリスクを文書にしておくことが、経営判断の防御線になります。

GXOに相談すべきタイミング

次のどれかに当てはまるなら、RFPを出す前に相談した方がよいです。

  • RFPに「AI機能」と「セキュリティ配慮」しか書けていない
  • 候補会社ごとの提案額の差が、何の差なのか説明できない
  • RAG、AIエージェント、外部API、DLP、ログ、契約条件を同じ採点表で比較できない
  • 個人情報や顧客情報をAIで扱う可能性があるが、入力禁止情報表がない
  • 法務、情シス、現場、経営で、何を検収すべきか合意できていない
  • PoCは進めたいが、本番化条件と事故時対応が決まっていない

GXOでは、AI安全導入RFPの本文、候補会社質問票、回答フォーマット、100点採点表、契約論点表、検収条件表まで作り、提案比較と契約前レビューまで伴走できます。AIを導入するかどうかではなく、漏えいさせない条件で導入できるかを一緒に判断します。

相談先は AI活用・AI社内ルールの相談 です。

参照した一次情報

2026年7月9日時点で、上記の公式ページが閲覧可能であることを確認しています。本記事は法的助言ではなく、AI導入RFP、提案比較、契約前整理、検収条件設計の実務ガイドです。個別の法的判断は、顧問弁護士、個人情報保護、セキュリティ、契約実務の専門家と確認してください。

ISSUE HUB

社内情報を探しやすくしたいの全体像を見る

関連する中カテゴリ・小カテゴリ・記事を横断し、課題の整理、優先順位、解決策をまとめて確認できます。

課題別ハブを見る

CATEGORY CLUSTER

同じ課題で読む

この記事の親カテゴリと近い小カテゴリをたどると、課題の全体像から具体的な解決策まで順に確認できます。

関連 HUB

この記事は以下の業種・悩み hub にも掲載されています。同じテーマの実務ナレッジと支援サービスをまとめてご覧いただけます。

お気軽にご相談ください

AI・DXに関するご質問やお見積もりなど

無料相談する

CONTACT

まずは 無料相談 から始めませんか。

サービスについてのご相談・ご質問などお気軽にお問い合わせください。
※ 営業電話はしません | オンライン対応可 | 相談だけでもOK