この記事は、社内で生成AI研修を設計・担当する情報システム部門、総務・人事部門、コンプライアンス担当者の方を対象に、研修設計の具体的な中身を提供します。
IPAとAI安全・安心研究所(AISI)は2026年4月2日、「AI利用者のためのセキュリティ豆知識」と「AIセキュリティ短信」を一般公開しました。前者はスライド形式で社内研修用途を明示しており、後者は開発者・セキュリティ担当向けに国内外の重要動向を定期配信するものです。また同年同月、IPAが発表した「情報セキュリティ10大脅威2026」では「AIの利用をめぐるサイバーリスク」が組織脅威の第3位に初登場しています。
単に資料を配るだけでは、社員が「何を入力してはいけないのか」「誤回答が出たらどうするか」を自己判断できません。本記事では、IPA資料の要点を5モジュールに構造化し、対象者別の受講設計と理解度確認まで含む研修カリキュラムの骨格を示します。
IPA「AI利用者のためのセキュリティ豆知識」の要点
IPA資料が扱う主要リスクは次の5領域です。この5領域が、そのまま研修モジュールの設計軸になります。
| リスク領域 | 内容 | 現場で起きやすい失敗 |
|---|---|---|
| 機密情報の入力 | 顧客情報・契約情報・営業秘密のAIへの入力 | 「分析して」と指示するつもりで個人情報を貼り付ける |
| プロンプトインジェクション | 悪意ある入力によりAIが意図しない動作をする攻撃 | 社外から受け取ったテキストをそのままRAGに流す |
| コネクタ・API連携 | 外部サービスやデータベースへのAIからのアクセス | 承認なしに営業DBをAIエージェントに接続する |
| 出力の無検証転用 | AIの回答を確認なしに顧客・取引先へ転記する | 誤った法律情報・数値を含む回答をそのまま送付 |
| 事故報告の遅延 | 漏えい疑い・誤回答を発見しても報告しない | 「自分の操作ミスかも」と思い1週間様子を見る |
社内研修カリキュラム(5モジュール)
以下のカリキュラムは、IPA資料を土台に実務担当者が理解すべき優先順位でモジュール化しています。1モジュールあたり15〜20分を想定しており、全体で90分の一日研修または5週にわたる週次マイクロラーニングとして運用できます。
| モジュール | タイトル | 対象者 | 頻度 | 理解度確認の方法 |
|---|---|---|---|---|
| M1 | 入力してよい情報・禁止情報の判断基準 | 全社員(AI利用者) | 年2回 | 4択クイズ3問(個人情報・契約情報・公開情報の判別) |
| M2 | プロンプトインジェクションの仕組みと見分け方 | AI活用推進担当・情シス | 年1回 | 攻撃例シナリオへの対処判断(記述式) |
| M3 | コネクタ・API連携の承認フロー | AI導入プロジェクトメンバー・エンジニア | 初回導入時・変更時 | 承認申請書の提出と承認者レビュー |
| M4 | 出力レビューの基準と転記禁止ルール | 顧客接点・営業・カスタマーサポート | 年2回 | ロールプレイ(誤回答を含むチャット出力を判定) |
| M5 | 誤回答・漏えい疑い時の報告手順と停止判断 | 全社員 | 年1回+インシデント発生後 | フローチャートを参照したケーススタディ(グループ討議) |
モジュール別の設計ポイント
M1:入力禁止情報の具体化
「個人情報を入れるな」という抽象的なルールでは判断できません。研修では「このデータを入れていいか」を3秒で判定できる基準を渡します。入力可否の判定フローは次の問いで進めます。①社外の人が見てよい情報か→②現在有効な契約・個人情報か→③システム固有の認証情報を含むか。どれか一つでも「含む」ならAIへの直接入力を禁止し、システム担当者に相談ルートを設けます。
M2:プロンプトインジェクションの演習
IPA資料は、外部から受け取ったテキストをそのままAIに渡す操作がインジェクション経路になることを明示しています。研修では「取引先から届いたPDFをそのまま要約依頼したら、PDFの中に隠し命令が埋め込まれていた」というシナリオを使い、入力経路と出力の確認を習慣づけます。
M3:コネクタ承認フローの整備
AIエージェントが営業DB・顧客管理システム・メールに自律的にアクセスする構成は、承認なしに社内展開されるリスクがあります。M3では、連携先システム、アクセス権限の範囲、ログ取得の設定を確認する承認申請書のひな形を研修資材として配布し、情シス承認後にのみ接続する運用ルールとセットで教えます。
M4:出力レビューの基準
出力を確認なしに顧客へ送ることを禁止するには、「どう確認するか」を具体的に示す必要があります。基準は①数値(金額・日付・法令条項)→一次情報で照合②固有名詞(社名・人名)→公式ページで確認③推奨・断定表現→事実ベースへ書き換えの3点です。
M5:報告フローとログの仕組み
報告が遅れる最大の理由は「自分の操作ミスかどうか判断がつかない」ことです。研修では「疑い段階で報告する」ルールを明示し、報告した結果インシデントでなかった場合は問題なしと扱います。報告先と連絡先を1枚のフロー図でまとめ、Slackチャンネルやメールアドレスをカリキュラム資料に記載しておきます。
研修を機能させる3つの運用条件
研修を実施しても運用に定着しないケースには共通のパターンがあります。
- ルールと研修が同期していない:禁止事項の範囲は生成AIツールの導入状況に応じて変わります。新しいツールを導入した際に研修を改訂するプロセスを先に決めます。
- 管理職が受講していない:現場担当者だけが研修を受け、上長が把握していないと、例外承認の判断基準が揺れます。M1とM5は管理職にも必修とします。
- 事故事例が共有されない:抽象的なリスク説明より、他社・自社の事例1件の方が記憶に残ります。IPA「AIセキュリティ短信」は国内外のインシデント事例を定期配信しており、最新号の抜粋を毎回の研修イントロに使うと効果的です。
社内の生成AIセキュリティ設計を先に整えた上でカリキュラムを組むと、研修内容とシステム設計が整合します。また、研修設計の前にLLMリスクを棚卸しする場合はLLMセキュリティreadiness診断が判断の出発点になります。
GXOはどう支援するか
GXOでは、IPA資料のような公開ガイドラインを自社の研修カリキュラムと社内ルールに落とし込む設計を支援しています。対象業務・扱うデータ・利用中のAIツール・既存の規程を確認した上で、研修資材のひな形作成、入力禁止リストの整備、理解度確認クイズの設計まで一貫してお手伝いします。「とりあえず資料を配った」状態を、実際に機能する研修設計へ変えるところから始められます。
よくある質問
Q1. 既存のセキュリティ研修にAI内容を追加するだけではいけませんか
既存研修への追記は出発点として有効ですが、AIに固有のリスク(プロンプトインジェクション・コネクタ連携・出力の無検証転用)は従来型のセキュリティ研修では扱っていないことが多いです。既存研修の何ページ目に何を追加するかを検討するより、5モジュールの体系で何が既存カバー済みかを確認してから差分補完する方が効率的です。
Q2. 年2回の研修は頻繁すぎませんか
AIツールの機能追加・新ツール導入のペースを考えると、年2回でも追いつかないケースがあります。全員対象のM1・M5は年2回、専門担当向けのM2・M3は年1回と頻度を変え、ツール変更時に都度ミニ更新を入れる設計が現実的です。
Q3. 理解度確認はどこまで厳格に管理すべきですか
受講履歴と理解度確認の結果を記録しておくことが重要です。インシデント発生時に「誰が研修を受けていたか」を証跡として出せることが、社内調査と取引先説明の両方で求められます。記録はLMS(学習管理システム)がなくても、スプレッドシートで受講日・スコアを管理する形で対応できます。
参考情報
- IPA「AI利用者のためのセキュリティ豆知識」:https://www.ipa.go.jp/digital/ai/security/ai_security_tips.html
- IPA「AIセキュリティ短信」:https://www.ipa.go.jp/digital/ai/security/ai-security-bulletin.html
- IPAプレスリリース(2026年4月2日公開):https://www.ipa.go.jp/pressrelease/2026/press20260402.html
- IPA「情報セキュリティ10大脅威2026」:https://www.ipa.go.jp/security/10threats/10threats2026.html
生成AI研修カリキュラムの設計を一緒に進めませんか
GXOでは、IPA資料を土台に入力禁止ルール・プロンプトインジェクション対策・事故報告フローを自社向けに整備する研修設計支援を行います。研修資材のひな形、理解度確認クイズ、受講管理の設計まで対応します。