先に結論:従業員利用管理の見積は「規程の有無」ではなく「社員が何を使い、何を入力し、誰が止めるか」で決まる
情報漏えい対策の社内ルールを作りたい。生成AIやAI機能付きSaaSの利用が広がってきたので、社員が何を入力してよいか、どのクラウド共有が危ないか、顧客情報や個人情報をどう扱うかを整理したい。こうした相談を外部支援会社へ出す時、最初に「情報漏えい対策の従業員利用管理はいくらですか」と聞くと、見積は大きくばらつきます。
ある会社は、社内ルール本文と社員向け注意事項だけを作る見積を出します。別の会社は、AI・SaaS・クラウド利用実態の棚卸し、利用台帳、入力禁止情報の業務別判断表、社員教育、管理職向けFAQ、例外承認フロー、違反・ヒヤリハット記録、個人情報漏えいが疑われる時の初動、月次レビューまで含めた見積を出します。前者は安く見えますが、従業員利用管理としては足りない可能性があります。後者は高く見えますが、会社として必要な管理を含んでいる可能性があります。
つまり、見積金額の差は「高い会社と安い会社の差」ではなく、「何を従業員利用管理と呼んでいるかの差」です。
経営者が見積前に決めるべき結論は、次の8点です。
- 情報漏えいの従業員利用管理で、禁止中心にするのか、活用しながら漏えいを防ぐのかを決める
- 対象社員、対象部門、対象AI・SaaS・クラウド、対象データを決める
- 利用台帳、許可区分、入力禁止情報、外部共有ルールを成果物に入れるか決める
- 社員教育、管理職FAQ、理解度確認、受講履歴を見積に含めるか決める
- 例外承認、違反報告、ヒヤリハット、個人情報漏えい懸念の初動を運用範囲に入れるか決める
- 初期90日で作る範囲と、3か月後に追加する範囲を分ける
- 支援会社に「一式」ではなく、診断、設計、教育、運用、継続支援を分けて見積依頼する
- 法的判断、セキュリティ監査、SaaS設定代行、社員教育、月次運用の責任分界を分ける
この8点を決めずに見積を取ると、安い見積ほど抜け漏れが見えにくくなります。反対に、見積前に整理しておけば、必要な範囲を初期費用に入れ、後回しでよい範囲を月次支援やフェーズ2へ分けられます。
本記事は、情報漏えいの「従業員利用管理」を外部に見積依頼する前の実務ガイドです。社内ルール作成そのものの記事ではありません。既存ベンダーから運用を引き継ぐ記事でもありません。複数候補会社へ正式なRFPを出す段階の記事でもありません。社員がAI、SaaS、クラウド、個人端末、外部委託先共有を使う現場を管理するために、見積前にどこまで要件化すべきかを整理します。
INSTANT ESTIMATE
計算式より、60秒で概算を出しませんか?
システム種別・規模・連携先を選ぶだけで、開発費用・期間・月額運用費の概算をその場で表示します。
この記事を読むべき会社
この記事は、情報漏えい対策の社内ルール、生成AI利用ルール、AI利用規程、情報セキュリティ規程、個人情報取扱ルール、外部委託管理ルールをこれから従業員利用管理まで含めて整えたい、または既存の簡易ルールをAI・SaaS・クラウド利用まで含めて見積依頼前に整理したい中小・中堅企業の経営者、DX責任者、情シス責任者、管理部門、法務向けです。
特に、次の状態なら本記事の検索意図に合います。
- 情報漏えい対策は必要だと分かっているが、社員利用管理をどこまで見積に入れるべきか分からない
- ChatGPT、Claude、Gemini、Copilot、議事録AI、翻訳AI、画像生成AI、AI機能付きSaaSが部門ごとに広がっている
- 社員が顧客情報、個人情報、契約書、ソースコード、採用情報、問い合わせ履歴をAIやSaaSへ入れてよいか迷っている
- Google Drive、Microsoft 365、Slack、Notion、Box、Dropbox、CRM、MA、会計SaaSなどの外部共有ルールが部門ごとに違う
- 社内ルール本文だけでなく、教育、FAQ、利用申請、例外承認、ヒヤリハット、月次レビューまで整えたい
- 見積書に「情報漏えい対策一式」「AI利用管理一式」と書かれていて、何が含まれるか判断できない
- 初期費用を抑えたいが、削ってはいけない範囲を知りたい
- 個人情報漏えいが疑われる時の初動を、社員利用管理とつなげたい
逆に、すでに情報漏えい対策の従業員利用管理を既存ベンダーと運用中で、支援会社を変更する段階なら、既存ベンダー変更の記事の方が近いです。複数候補会社へ正式にRFPを出し、回答書、採点表、契約条件まで比較する段階なら、RFP記事の方が近いです。本記事は、見積依頼前に「何を成果物と運用範囲にするか」を決めるための記事です。
この記事の商談設計
この記事で作りたい相談は、情報漏えいの従業員利用管理に関する見積前診断、AI・SaaS・クラウド利用実態棚卸し、利用台帳初版作成、入力禁止情報判断表、社員教育FAQ、例外承認フロー、個人情報漏えい初動、月次レビュー設計、見積比較レビューです。
売上への接続は、見積前診断から、利用台帳整備、情報漏えい社内ルール作成・改定、生成AI・SaaS利用ルール整備、社員教育、申請・例外承認フロー設計、個人情報漏えい初動訓練、月次運用支援へ段階受注することです。
利益への接続は、見積前整理シート、AI・SaaS利用台帳テンプレート、入力禁止情報判断表、外部共有チェックリスト、教育履歴管理表、FAQテンプレート、例外承認台帳、ヒヤリハット記録表、月次レビュー表を標準化し、毎回ゼロから運用設計しない高粗利の継続支援へつなげることです。
主要CTAは AI活用・AI社内ルールの相談 です。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
既存記事との違い:この記事は「見積前の範囲決め」に絞る
同じ情報漏えい領域でも、記事の役割を分けないとカニバリが起きます。本記事は、情報漏えいの従業員利用管理を外部へ見積依頼する前に、範囲、費用、成果物、運用条件を決める記事です。
| 記事テーマ | 主な読者の悩み | 本記事との違い |
|---|---|---|
| 情報漏えい社内ルール作成の既存ベンダー変更 | 規程本文、成果物権利、条文根拠、責任分界を引き継ぎたい | 本記事はこれから見積依頼する前の範囲決めであり、既存ベンダーからの資料回収は主対象ではない |
| 情報漏えい社内ルール作成の見積前整理 | 社内ルール本文、規程、教育、委託先共有まで含めた初回作成範囲を決めたい | 本記事は社内ルール本文ではなく、社員のAI・SaaS・クラウド利用管理に絞る |
| 情報漏えい社内ルール作成RFP | 候補会社へ正式提案依頼を出したい | 本記事はRFP前に、要件、費用項目、成果物範囲を整理する段階 |
| 情報漏えいの従業員利用管理で既存ベンダーを変更する記事 | 作成済み・運用中の従業員利用管理を別ベンダーへ移したい | 本記事は初回見積または再見積の前段階であり、移管資料ではなく初期範囲を決める |
| ChatGPT情報漏えい対策 | 生成AI入力、学習、外部送信リスクを理解したい | 本記事は生成AIだけでなく、SaaS、クラウド共有、委託先共有、教育履歴、例外承認まで扱う |
本記事の主語は「情報漏えいを防ぐために、従業員が何をどう使うかを、見積条件に落とすこと」です。社内ルール本文の作成だけではなく、現場の利用管理資産まで含めて見積比較できる状態を作ります。
見積前に決めるべき42項目
まず、次の42項目を社内で確認してください。すべてを完璧に埋める必要はありません。ただし、空欄が多いほど支援会社は調査工数を厚く見積もるか、逆に安い見積では重要範囲を除外します。
| 項目 | 見積前に決めること | 曖昧なまま依頼した場合 |
|---|---|---|
| 目的 | 禁止中心、活用促進、顧客説明、監査対応、事故予防のどれを優先するか | ルールが制限文書になるか、活用ルールになるかがぶれる |
| 対象社員 | 全社員、管理職、AI利用部門、業務委託、派遣、外部パートナーを含むか | 教育対象と責任範囲がずれる |
| 対象部門 | 営業、開発、管理、人事、法務、広報、CSなど | ヒアリング範囲と費用が後から増える |
| 対象AI | AIチャット、議事録AI、翻訳AI、画像生成AI、コード生成AI、SaaS内AI機能 | 台帳に載せる範囲が決まらない |
| 対象SaaS | CRM、MA、会計、人事、ファイル共有、チャット、ナレッジ管理 | AI以外の情報漏えい経路が漏れる |
| 契約形態 | 会社契約、部門契約、個人契約、無料版、試用版をどう扱うか | Shadow AI、Shadow SaaSが残る |
| 利用目的 | 要約、翻訳、資料作成、コード生成、議事録、調査、顧客対応 | 用途別リスクが整理できない |
| 入力情報 | 顧客情報、個人情報、契約書、営業資料、ソースコード、採用情報 | 入力禁止情報が抽象論になる |
| 外部共有 | 共有リンク、社外招待、委託先共有、顧客共有、期限付き共有 | クラウド経由の漏えいが残る |
| 出力利用 | 社内参考、顧客提出、外部公開、契約判断、採用評価、コード反映 | レビュー責任が決まらない |
| 許可区分 | 許可、条件付き許可、申請制、禁止、検証中の分類 | 部門ごとに判断が割れる |
| 利用台帳 | 新規作成か、既存SaaS台帳と統合するか | 見積に台帳作成が入らない |
| 入力禁止情報表 | 業務別に入力不可データを整理するか | 社員が現場で判断できない |
| 外部共有チェック | 共有先、期限、権限、再共有可否を確認するか | 期限なしリンクや過剰権限が残る |
| 生成物レビュー | 顧客提出物、公開物、コード、契約文案を誰が確認するか | 誤情報や権利問題が現場責任になる |
| 利用申請 | 新規AI・SaaS利用を誰が申請し、誰が受け付けるか | 新しいサービスが台帳外に増える |
| 例外承認 | 例外を誰が認め、期限をどう切るか | 例外が恒久化する |
| 事故時対応 | 誤入力、情報漏えい懸念、誤送信、顧客指摘の連絡先 | 初動が遅れる |
| 違反対応 | 禁止AI利用、無断入力、未承認外部提出への対応 | 規程が形骸化する |
| ヒヤリハット | 事故未満の事例を記録するか | 改定材料が残らない |
| 教育対象 | 全社員、管理職、AI利用者、新入社員、外部委託先 | 教育費用と周知証跡がずれる |
| 教育資料 | 規程解説、NG例、業務別判断例、FAQを作るか | 読まれないルールになる |
| 理解度確認 | テスト、受講記録、誓約、未受講者管理を入れるか | 周知した証跡が残らない |
| FAQ | 社員から出る質問を先に用意するか | 問い合わせが属人化する |
| 管理者権限 | AI・SaaSの管理者、退職者対応、権限棚卸しを含めるか | アカウント管理が抜ける |
| ログ確認 | 管理画面、監査ログ、利用履歴、権限変更履歴を見るか | 問題発生時に追跡できない |
| 関連規程 | 情報セキュリティ、個人情報、就業規則、委託契約との整合 | 社内規程同士が矛盾する |
| 法務確認 | 社内法務、顧問弁護士、支援会社の役割を分けるか | 法的判断を支援会社に過剰期待する |
| 情シス設定 | SSO、DLP、アカウント制御、SaaS設定まで見るか | 文書とシステム統制が分断される |
| 委託先管理 | 業務委託、士業、BPO、開発会社、外部パートナーを含めるか | 社外経由の漏えいが抜ける |
| 顧客同意 | 議事録AI、顧客資料分析、商談要約の同意取得をどう扱うか | 顧客信頼を損なう |
| 社内責任者 | 経営、情シス、管理部門、法務、現場責任者の役割 | ベンダー任せになる |
| 会議回数 | ヒアリング、ワークショップ、レビュー、説明会の回数 | 工数と費用がずれる |
| 修正回数 | 初稿、経営会議後、法務確認後、現場説明後の修正 | 追加費用になりやすい |
| 成果物 | ルール本文、別紙、台帳、判断表、FAQ、教材、月次表 | 納品物の認識がずれる |
| 検収条件 | 何をもって完了とするか | 納品後に追加修正が続く |
| 月次更新 | 利用台帳、FAQ、例外承認、ヒヤリハットを誰が更新するか | 作って終わりになる |
| 費用区分 | 初期診断、設計、教育、運用、追加相談を分けるか | 安い見積に必要範囲が抜ける |
| 成果物権利 | 改変、再利用、社内配布、次ベンダー共有が可能か | 後で作り直しになる |
| 対象外範囲 | 法律意見、セキュリティ監査、SaaS設定代行、個別契約確認を含むか | 期待値がずれる |
| 7日以内の暫定対応 | 見積前でも止めるべき危険利用を定義するか | 見積期間中にリスクが放置される |
| 経営報告 | 取締役会、経営会議、顧客説明へ出せる資料を作るか | 投資判断と現場運用が分断される |
この42項目は、見積依頼書そのものではなく、見積依頼前の社内整理表です。未定の項目があっても構いません。ただし、未定なら「支援会社に設計してほしい」「社内で決めるので見積外」「フェーズ2で扱う」のどれかに分けてください。未定のまま「一式」で依頼すると、見積は安く見えても、発注後に追加費用が出やすくなります。
費用は8階層で見る
情報漏えいの従業員利用管理は、1つの金額で比較しない方がよいです。次の8階層に分けると、必要な範囲と後回しにできる範囲が見えます。
| 階層 | 内容 | 主な成果物 | 費用が増える要因 |
|---|---|---|---|
| 現状診断 | 社員利用、対象AI・SaaS、既存規程、部門別課題を確認 | 現状診断レポート、未管理AI・SaaS一覧、課題一覧 | 部門数、サービス数、既存資料不足 |
| 利用台帳・分類 | AI・SaaS・クラウド利用を許可、条件付き許可、申請制、禁止、検証中に分ける | 利用台帳、許可区分表、入力情報分類 | SaaS数、例外利用、部門独自契約 |
| 入力・共有判断 | 個人情報、顧客情報、契約書、コード、外部共有を業務別に判断する | 入力禁止情報表、外部共有チェック表 | 事業部数、顧客情報の種類、委託先数 |
| ルール連動設計 | 社内ルール本文と、台帳、申請、教育、報告を対応させる | 条項対応表、責任分界表、承認フロー | 関連規程との整合、法務確認回数 |
| 教育・FAQ | 社員向けガイド、管理職向け説明、FAQ、理解度確認を作る | 教材、FAQ、受講記録、未受講者管理表 | 対象社員数、職種別教材、説明会回数 |
| 例外・事故対応 | 例外承認、違反、ヒヤリハット、個人情報漏えい懸念の初動を設計 | 例外承認台帳、事故時初動表、報告ルート | リスク許容度、顧客情報利用、部門差 |
| 月次運用 | 利用台帳更新、FAQ改定、許可区分見直し、問い合わせレビューを続ける | 月次レビュー表、改善バックログ、更新履歴 | 相談件数、AI・SaaS追加頻度 |
| 継続支援 | 月次会議、社内相談、ルール改定、教育更新を伴走する | 月次レポート、改定案、教育追加案 | 社内問い合わせ量、経営報告頻度 |
この分解をせずに「情報漏えい対策の従業員利用管理一式」と見積を取ると、比較できません。A社は現状診断と利用台帳を含み、B社は社内ルール本文とFAQだけ、C社は月次運用まで含む。これらを総額だけで比べると、安い会社ほどよく見えてしまいます。
見積依頼時は、支援会社に次のように聞いてください。
- 現状診断は何部門、何名、何時間を想定していますか
- AI・SaaS・クラウド利用台帳の初版作成は含まれますか
- 許可、条件付き許可、申請制、禁止の分類根拠は成果物になりますか
- 顧客情報、個人情報、契約書、ソースコード、採用情報の入力禁止判断表は作りますか
- クラウド共有、社外招待、委託先共有、顧客共有のチェック表は含まれますか
- 社員教育資料、FAQ、理解度確認、受講履歴管理は含まれますか
- 例外承認、違反、ヒヤリハット、個人情報漏えい懸念時の初動は含まれますか
- 月次更新の会議体、台帳更新、FAQ改定は初期費用か別契約ですか
この質問に答えられない見積は、金額が安くても危険です。従業員利用管理は、成果物の名前だけでは判断できません。どの運用が動く状態になるかで見る必要があります。
初期90日に入れるべき範囲、後回しにできる範囲
見積前には、初期範囲と後続範囲を必ず分けてください。最初から完璧な情報漏えい対策を作ろうとすると、費用も社内負荷も重くなります。反対に、初期費用を下げるために台帳や教育を削ると、運用が残りません。
初期90日に入れるべき範囲は、次の通りです。
| 初期90日に入れるべきもの | 理由 |
|---|---|
| 主要部門のAI・SaaS・クラウド利用実態棚卸し | 実態を知らずに利用管理はできない |
| 利用台帳の初版 | どのサービスを誰が何に使うかを可視化する |
| 許可・条件付き許可・申請制・禁止の区分 | 社員が利用可否を判断できる |
| 入力禁止情報の業務別判断表 | 顧客情報、個人情報、契約書、コードの扱いを明確にする |
| 外部共有チェック表 | 共有リンク、社外招待、期限、権限を確認する |
| 新規AI・SaaS利用の申請フロー | 新しいサービスが台帳外に増えるのを防ぐ |
| 例外承認の期限と責任者 | 例外が恒久化するのを防ぐ |
| 社員向けFAQ | ルール本文を読まない社員にも判断材料を渡す |
| 管理職向け説明 | 承認、違反、事故時対応を理解させる |
| 月次レビュー表 | 作って終わりにしない |
| 個人情報漏えい懸念時の初動連絡先 | 誤入力や顧客指摘時の初動を早くする |
後回しにできる可能性がある範囲は、次の通りです。
| 後回しにできるもの | 後回しにする条件 |
|---|---|
| 全社員の詳細ログ分析 | まず主要サービスと高リスク部門の棚卸しができている |
| 自動申請ワークフロー | 当面はフォームと台帳で運用できる |
| 高度なリスクスコアリング | 許可区分と入力禁止情報の判断表が先にある |
| 職種別の詳細研修 | 初回教育とFAQが先にある |
| 経営監査レポートの自動化 | 月次レビューが手動で回り始めている |
| 全SaaSのAI機能の完全棚卸し | 主要SaaSと顧客情報を扱うSaaSを先に見る |
| インシデント演習 | 事故時初動表と報告ルートが先にある |
| DLPやCASBなどの追加ツール導入 | まず業務ルール、台帳、権限棚卸しができている |
初期範囲の目的は、すべての情報漏えい経路を完璧に管理することではありません。社員が迷わず相談でき、会社として説明でき、危険な入力や外部共有を止められる最低限の運用を作ることです。
費用を抑える現実的な方法は、全範囲を薄くやることではなく、初期90日で扱う部門と利用経路を絞ることです。たとえば、営業、開発、管理部門の主要AI・SaaS利用を先に整理し、低リスクな翻訳・要約利用や利用頻度の低い部門は2回目以降の月次レビューで扱う。これなら、費用を抑えながらも、重要リスクを先に押さえられます。
利用台帳は見積の中心に置く
情報漏えいの従業員利用管理で、利用台帳を見積に入れないのは危険です。社内ルールに「会社が許可したサービスを利用する」と書いても、許可されたAI・SaaS・クラウドが台帳で管理されていなければ、社員は判断できません。情シス、法務、管理部門、現場責任者が同じ一覧を見る状態を作ることが、見積精度と運用品質の土台です。
見積依頼時には、少なくとも次の項目を利用台帳に含める前提で依頼してください。
| 台帳項目 | 記録する内容 | 見積で確認すること |
|---|---|---|
| サービス名 | ChatGPT、Copilot、Gemini、Claude、議事録AI、CRM、クラウドストレージなど | 部門独自利用も棚卸し対象にするか |
| 利用部門 | 営業、開発、管理、人事、広報、CSなど | 部門ヒアリングを含むか |
| 利用目的 | 要約、翻訳、資料作成、コード生成、議事録、調査、顧客対応など | 業務別分類を作るか |
| 入力・共有情報 | 公開情報、社内資料、顧客情報、個人情報、ソースコードなど | 入力禁止情報と紐付けるか |
| 外部共有先 | 顧客、委託先、士業、BPO、開発会社、社外ゲストなど | 委託先管理まで含むか |
| 出力利用 | 社内参考、顧客提出、公開物、判断補助、コード反映など | レビュー責任を決めるか |
| 契約形態 | 会社契約、部門契約、個人契約、無料版、試用版 | 契約管理まで含むか |
| 管理者 | 情シス、部門長、管理部門、個人など | 退職者・権限変更管理を含むか |
| 承認状態 | 許可、条件付き許可、申請制、禁止、検証中 | 判断根拠を成果物にするか |
| 教育要否 | 利用前教育、管理職教育、部門別教育 | 教育履歴と連動するか |
| 見直し日 | 月次、四半期、随時 | 月次レビュー対象にするか |
台帳がない見積では、ルール本文と社員利用実態が分断されます。社員は「このAIやSaaSは使ってよいのか」を現場で判断し、管理部門は「どこで情報が外へ出ているのか」を把握できません。支援会社に見積依頼する時は、利用台帳の初版作成、更新ルール、月次レビューまで含めて確認してください。
入力禁止情報は「個人情報を入れない」だけでは足りない
情報漏えい対策の見積でよくある不足が、入力禁止情報の粒度です。「個人情報や機密情報を入力しない」と書くだけでは、社員は判断できません。実務では、次のような迷いが出ます。
- 顧客名を削除した商談メモはAIに要約させてよいのか
- 契約書の条文だけならAIに入れてよいのか
- 採用応募者の氏名を削れば面接メモを要約してよいのか
- エラーログに顧客IDが含まれる場合、コード生成AIに入れてよいのか
- 議事録AIを顧客会議で使う時、同意は必要なのか
- 社内資料をAIに翻訳させる時、未公開情報が含まれてよいのか
- 個人契約の有料AIなら会社情報を入力してよいのか
- クラウド共有リンクに期限を付ければ顧客資料を社外共有してよいのか
- 委託先が使うAIやSaaSまで自社ルールに含めるべきか
見積依頼時には、入力禁止情報を次のように業務別に整理する前提で依頼してください。
| 業務 | よくある入力・共有情報 | 見積に入れるべき判断 |
|---|---|---|
| 営業 | 商談メモ、提案書、顧客課題、競合情報、見積条件 | 顧客名、予算、未公開情報の扱い |
| 開発 | ソースコード、仕様、エラーログ、テストデータ、認証情報 | 顧客固有コード、認証情報、ログ内個人情報の扱い |
| 管理 | 稟議、経理資料、契約書、社内報告、役員資料 | 契約条件、財務情報、役員情報の扱い |
| 人事 | 採用情報、評価コメント、面接メモ、社員アンケート | 応募者情報、評価情報、匿名化条件 |
| 法務 | 契約文案、規程案、相談メモ、紛争情報 | 法的判断とAI出力の線引き |
| 広報 | 画像、動画、プレス文、SNS文案、顧客事例 | 著作権、肖像、ブランド表現、公開前情報の確認 |
| CS | 問い合わせ履歴、顧客要望、不具合報告、FAQ候補 | 顧客情報の匿名化、外部送信可否、二次利用条件 |
この判断表を見積に含めるかどうかで、費用も成果物の価値も変わります。ルール本文だけなら安く作れますが、社員が現場で使える判断表がなければ、問い合わせが増え、結局あとからFAQや教育を作ることになります。
外部共有はAI入力と同じくらい重要
情報漏えいの従業員利用管理では、生成AIへの入力だけを見ていては足りません。多くの会社では、クラウドストレージ、チャット、プロジェクト管理、CRM、ノーコードツール、オンライン会議、議事録AI、外部委託先のSaaSを通じて情報が外へ出ます。
見積依頼時には、次の外部共有チェックを含めるか確認してください。
| 外部共有の論点 | 確認すること |
|---|---|
| 共有リンク | 誰でも見られるリンク、期限なしリンク、パスワードなしリンクが残っていないか |
| 社外ゲスト | Slack、Teams、Notion、Google Drive、Microsoft 365に不要な社外アカウントが残っていないか |
| 委託先共有 | 士業、BPO、開発会社、制作会社、採用支援会社への共有範囲が契約と合っているか |
| 顧客会議 | 議事録AI、録画、文字起こし、要約AIの利用同意をどう取るか |
| 個人端末 | 私物端末、個人メール、個人クラウドへの持ち出しをどう扱うか |
| 退職者・異動者 | アカウント停止、権限変更、共有解除の手順があるか |
| 再共有 | 委託先や外部パートナーによる再共有をどう禁止・管理するか |
AIへの入力禁止だけを作っても、外部共有が緩ければ情報漏えい対策としては弱いです。見積前に、AI入力とクラウド共有を同じ台帳・同じ教育・同じ月次レビューで扱うのか、それとも別プロジェクトに分けるのかを決めてください。
教育とFAQを見積に入れないと、ルールは現場に届かない
情報漏えいの従業員利用管理では、教育とFAQを見積に入れるべきです。社内ルール本文をポータルに置いただけでは、社員は読まないか、読んでも自分の業務に当てはめられません。
見積に入れるべき教育・FAQの成果物は次の通りです。
| 成果物 | 目的 | 見積で確認すること |
|---|---|---|
| 全社員向け説明資料 | 情報漏えい対策の基本ルールを伝える | 何ページ、何分想定か |
| 管理職向け説明資料 | 承認、例外、違反、事故時対応を理解する | 管理職専用の判断例があるか |
| 部門別FAQ | 営業、開発、管理、人事、CSなどの迷いを減らす | 部門ヒアリングを反映するか |
| NG例集 | 入力してはいけない情報、共有してはいけない状態を具体化する | 実務例を作るか |
| 理解度確認 | 受講しただけでなく理解を確認する | テストや確認フォームを作るか |
| 受講履歴管理表 | 周知証跡を残す | 未受講者管理まで含むか |
| 問い合わせテンプレート | 社員が相談しやすくする | 相談窓口や申請フォームと連動するか |
教育を削ると、ルールは現場に届きません。FAQを削ると、同じ質問が情シス、法務、管理部門に繰り返し届きます。理解度確認を削ると、事故時に「会社として周知した」と説明しにくくなります。
ただし、初期段階で豪華な研修動画や職種別教材を作り込む必要はありません。最初は全社員向けの短い説明、管理職向けの判断例、よくある質問、入力禁止情報のNG例、受講履歴の管理表で十分です。問い合わせが増えた領域から、月次レビューでFAQや部門別資料を増やす方が実務的です。
例外承認とヒヤリハットは、最初から仕組みに入れる
情報漏えい対策は、全面禁止でも全面自由でもありません。実務では、条件付きで許可したいAI・SaaS・クラウド利用が必ず出ます。たとえば、顧客名を削除した商談メモの要約、匿名化した問い合わせデータの分析、社内限定のコードレビュー補助、顧客同意を得た議事録AI利用、委託先との期限付き共有などです。
こうした例外をその場の口頭判断にすると、後から誰が何を許可したのか分からなくなります。見積依頼時には、例外承認とヒヤリハットの仕組みを成果物に含めるか確認してください。
| 仕組み | 決めること | 成果物 |
|---|---|---|
| 例外申請 | 誰が、何を、どの理由で申請するか | 例外申請フォーム |
| 例外承認 | 誰が承認し、どの条件で許可するか | 承認フロー、責任分界表 |
| 期限管理 | 例外をいつ見直すか | 例外承認台帳 |
| ヒヤリハット記録 | 事故未満の不安事例をどこへ残すか | ヒヤリハット記録表 |
| 事故時初動 | 誤入力、誤送信、漏えい懸念、顧客指摘時の連絡先 | 事故時初動表 |
| 月次反映 | 例外やヒヤリハットをFAQやルールへ戻すか | 月次レビュー表 |
例外承認とヒヤリハットを入れない見積は、初期費用を抑えられます。しかし、運用開始後に現場から質問が出た瞬間、結局その場で判断することになります。最初から完璧なワークフローを作る必要はありませんが、少なくとも「誰が、どこに、何を申請し、いつ見直すか」は初期90日に入れるべきです。
個人情報漏えい初動は、法務論点ではなく運用論点として見積に入れる
個人情報保護委員会は、個人情報の漏えい等が発生した場合の対応について情報を公開しています。報告要否や本人通知の要否は個別事情で変わります。外部支援会社へ見積依頼する時に重要なのは、法的結論を支援会社へ丸投げすることではありません。社員が誤入力、誤送信、誤共有、外部AIへの入力、委託先への過剰共有に気づいた時、社内でどこへ報告し、誰が初動を切り分けるかを決めることです。
見積に入れるべき個人情報漏えい初動の成果物は、次の通りです。
| 初動項目 | 決めること |
|---|---|
| 発見者の報告 | 何を、いつ、どこへ、どの様式で報告するか |
| 一次受付 | 情シス、管理部門、法務、経営の誰が受けるか |
| 証拠保全 | メール、ログ、共有リンク、AI入力履歴、SaaS操作履歴を消さない手順 |
| 影響範囲確認 | 対象情報、対象人数、対象顧客、委託先、外部サービスを把握する方法 |
| 外部連絡判断 | PPC、本人、取引先、委託先への連絡判断を誰が行うか |
| 社員への再周知 | 同じ事故を防ぐ教育やFAQに戻す方法 |
| ルール改定 | 禁止事項、例外承認、FAQ、台帳へ反映する方法 |
ここでの見積範囲は、法律意見そのものではありません。顧問弁護士や社内法務が判断すべき領域と、支援会社が運用設計として整理できる領域を分ける必要があります。支援会社には「PPCへの報告要否を判断してほしい」と依頼するのではなく、「報告要否を判断するために、発見者、一次受付者、証拠保全、影響範囲確認、社内エスカレーションの流れを作ってほしい」と依頼する方が実務的です。
安い見積で抜けやすい12項目
情報漏えいの従業員利用管理で安い見積が出た時は、次の12項目が抜けていないか確認してください。
| 抜けやすい項目 | 抜けた時に起きること |
|---|---|
| 部門ヒアリング | 現場のAI・SaaS利用が分からない |
| 利用台帳 | 許可・禁止の対象が一覧化されない |
| 入力禁止情報判断表 | 社員が個別業務で判断できない |
| 外部共有チェック表 | クラウド共有や委託先共有が残る |
| 管理職向けFAQ | 承認や例外判断が属人化する |
| 受講履歴管理 | 周知証跡が残らない |
| 例外承認台帳 | 例外が口頭判断で終わる |
| ヒヤリハット記録 | 改善材料が残らない |
| 個人情報漏えい初動 | 誤入力や誤送信時に動けない |
| 月次レビュー | 作って終わりになる |
| 成果物権利 | 後で改変・再利用できない |
| 対象外範囲 | 法務、情シス、支援会社の責任が曖昧になる |
安い見積が悪いわけではありません。初期範囲を絞ること自体は合理的です。ただし、何を初期範囲から外したのかを分からないまま発注するのは危険です。上の12項目について、含む、含まない、フェーズ2、月次支援のどれかに必ず分けてください。
支援会社に必ず聞く質問
見積依頼時には、支援会社に次の質問をしてください。回答が曖昧な場合、見積金額だけで比較しない方がよいです。
- 情報漏えいの従業員利用管理で、現状診断、台帳、教育、運用のどこまでを含みますか
- AIだけでなく、SaaS、クラウド共有、委託先共有も対象にできますか
- 部門ヒアリングは何部門、何名、何時間を想定していますか
- 利用台帳の初版作成と、月次更新ルールは成果物に含まれますか
- 入力禁止情報の業務別判断表を作れますか
- クラウド共有、社外招待、期限なしリンク、委託先共有のチェック表を作れますか
- 社員教育資料、管理職向けFAQ、理解度確認、受講履歴は含まれますか
- 例外承認、違反、ヒヤリハット、個人情報漏えい懸念時の初動を設計できますか
- 法的判断が必要な論点と、運用設計で整理できる論点を分けられますか
- 情シス設定、SSO、DLP、ログ確認、権限棚卸しは対象に含まれますか
- 成果物は当社が改変・再利用・社内配布・次ベンダー共有できますか
- 初期90日と月次運用の見積を分けられますか
- 見積後に追加費用になりやすい項目は何ですか
- 既存の情報セキュリティ規程、個人情報取扱規程、委託契約との整合を確認できますか
- GXOのようにシステム・AI・運用の実装側まで見られる会社と、文書作成中心の会社では何が違いますか
この質問に対して、支援会社が「社内ルール本文を作ります」「一般的な注意事項を入れます」だけで返す場合、従業員利用管理の見積としては浅いです。必要なのは、社員が実際に使うAI・SaaS・クラウドと、入力・共有・承認・教育・初動・月次運用をつなげる設計です。
社内で用意しておく資料
見積依頼前に、完璧でなくてもよいので次の資料を集めてください。資料があるほど、支援会社は調査工数を下げ、見積の精度を上げられます。
| 資料 | 目的 |
|---|---|
| 既存の情報セキュリティ規程 | 情報漏えい対策の基準を確認する |
| 個人情報取扱規程 | 個人情報の扱いと初動を確認する |
| 生成AI・SaaS利用ルール | 既存ルールの有無を見る |
| SaaS一覧 | 利用中サービスを把握する |
| 部門別AI利用メモ | Shadow AIを把握する |
| クラウド共有の管理者一覧 | 権限と外部共有の確認に使う |
| 委託先一覧 | 外部共有・再委託・秘密保持の対象を確認する |
| 過去のヒヤリハット | 教育・FAQの材料にする |
| 社員からの質問 | 実務で迷っている論点を把握する |
| 退職者・異動者対応手順 | アカウント停止と権限変更を確認する |
| 顧客からのセキュリティ質問票 | 顧客説明に必要な統制を確認する |
| 経営会議資料 | 投資判断と説明責任に使う |
資料が足りない場合も、見積依頼はできます。ただし、資料不足を隠して「一式」で依頼すると、見積後に調査不足が発覚しやすくなります。資料不足は資料不足として伝え、「初期診断で棚卸ししてほしい」と依頼する方が、結果的に費用と手戻りを抑えられます。
30日・60日・90日の進め方
見積前に、導入後90日の進め方まで想定しておくと、支援会社の見積を比較しやすくなります。
| 期間 | やること | 成果物 |
|---|---|---|
| 1〜30日 | 既存資料回収、部門ヒアリング、AI・SaaS・クラウド利用棚卸し、危険利用の暫定停止 | 現状診断表、利用台帳初版、暫定リスク一覧、見積範囲確定 |
| 31〜60日 | 許可区分、入力禁止情報、外部共有チェック、申請・例外承認フローを設計 | 判断表、承認フロー、FAQ初版、事故時初動表 |
| 61〜90日 | 社員周知、管理職説明、理解度確認、月次レビュー開始 | 教育資料、受講履歴、月次レビュー表、改善バックログ |
この90日計画を見積依頼に添えると、支援会社は「初期納品で終わる見積」ではなく、「運用が始まる見積」を出しやすくなります。特に情報漏えい対策は、納品日がゴールではありません。社員から質問が来て、例外申請が出て、ヒヤリハットが記録され、月次レビューでFAQや台帳が更新されて初めて、管理が始まります。
経営者が見積書で見るべき読み方
見積書が届いたら、総額より先に次の順番で見てください。
- 対象範囲にAI、SaaS、クラウド、委託先共有が含まれているか
- 現状診断、台帳、判断表、教育、例外承認、月次運用が分かれているか
- 成果物名だけでなく、どの業務・部門・サービスを対象にするか書かれているか
- 社員教育と管理職向け判断例が含まれているか
- 個人情報漏えい懸念時の初動が、社内報告・証拠保全・影響確認まで入っているか
- 初期費用と月次運用費が分かれているか
- 対象外範囲が明記されているか
- 成果物を自社で改変・再利用できるか
見積書に「情報漏えい対策一式」とだけ書かれている場合は、再提出を依頼した方がよいです。情報漏えい対策は、文書の量ではなく、社員が現場で迷わず判断できる運用に落ちているかで価値が決まります。
GXOに相談すべきタイミング
次のどれかに当てはまるなら、記事を読むだけで止めず、見積前診断か見積レビューから相談した方がよいです。
- AI・SaaS・クラウド利用が部門ごとに広がり、会社として一覧化できていない
- 社員が顧客情報、個人情報、契約書、コード、採用情報をAIやSaaSへ入れてよいか迷っている
- 情報漏えい対策の社内ルールはあるが、教育、FAQ、例外承認、月次レビューがない
- 見積書に「一式」と書かれていて、何が含まれるか判断できない
- 個人情報漏えいが疑われる時の初動を、社員利用管理とつなげたい
- 文書作成だけでなく、SaaS、AI、権限、ログ、運用改善まで見てほしい
GXOでは、情報漏えいの従業員利用管理について、見積前診断、利用台帳初版、入力禁止情報判断表、外部共有チェック、社員教育FAQ、例外承認フロー、個人情報漏えい初動、月次レビュー設計まで一体で整理できます。
まずは AI活用・AI社内ルールの相談 から、現在のAI・SaaS・クラウド利用状況、既存ルール、見積依頼前に迷っている範囲を共有してください。
関連記事
- 情報漏えいの従業員利用管理で既存ベンダーを変更する前に見る引き継ぎ条件
- 情報漏えい社内ルール作成を見積依頼する前に整理する要件・費用・運用条件
- 情報漏えい社内ルール作成RFPに入れるべき要件・評価軸・契約条件
- ChatGPTの社内情報漏えいを防ぐ3層ガイド
- Shadow AIと情報漏えいを防ぐAI利用台帳
- 生成AI社内ルール・ガバナンスの親ピラー
参照した一次情報・公的情報
- 個人情報保護委員会「漏えい等の対応」: https://www.ppc.go.jp/personalinfo/legal/leakAction/
- IPA「情報セキュリティ10大脅威」: https://www.ipa.go.jp/security/10threats/
- NIST Cybersecurity Framework: https://www.nist.gov/cyberframework
- OWASP Top 10 for LLM Applications: https://owasp.org/www-project-top-10-for-large-language-model-applications/
- NISC: https://www.nisc.go.jp/






