自治体や公共団体で生成AIを使う場合、最初に「個人情報を入力しない」というルールが置かれることが多い。これは重要だが、それだけでは十分ではない。AIが参照する文書、利用者権限、外部送信、ログ、委託先管理まで含めて設計する必要がある。
公共・医療領域では、コンプライアンス支援とLLMセキュリティ readiness 診断を先に行うと、導入範囲を切り分けやすい。
個人情報以外にも見るべきリスク
| 論点 | 見ること |
|---|---|
| 業務秘密 | 内部文書や未公開資料を入力しない |
| 権限 | 職員ごとに参照できる文書を分ける |
| ログ | 誰が何を入力し、どう使ったかを残す |
| 委託 | AIサービス提供者や再委託先を確認する |
| 説明 | 住民対応でAIを使う範囲を説明できる |
| 事故 | 誤回答や情報漏えい時の対応を決める |
AI利用ルールは、禁止事項だけでなく、使ってよい業務と承認が必要な業務を分けるべきである。
AI ASSESSMENT
PoC の前に「そもそも使えるか」を30分で見極めませんか?
情シス部門の稟議書作成をサポートする無料の30分壁打ち。ROI 試算シート・失敗要因チェックリストをその場で共有します。
RAG導入で注意すること
自治体の規程、FAQ、申請書、議事録などをRAGに入れる場合、文書ごとの公開範囲と閲覧権限を確認する。職員なら誰でも見てよい資料と、部署限定資料を混ぜてはいけない。
医療・福祉・住民情報に近い業務では、医療・介護DX支援のように、専門領域の情報管理も踏まえる必要がある。
よくある質問
Q1. 個人情報を入力しなければ自治体AIは安全ですか
安全とは言い切れない。内部情報、機密文書、住民対応履歴、権限、ログ、委託先管理も確認する必要がある。
Q2. 職員向けの文章作成だけなら簡単ですか
比較的始めやすいが、入力禁止情報と出力確認ルールは必要である。外部送信や住民対応に使う場合はさらに慎重に設計する。
Q3. 何を最初に決めるべきですか
対象業務、入力可能データ、禁止データ、承認フロー、ログ、問い合わせ対応を決める。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
参考情報
-
デジタル庁「GENAI」:https://www.digital.go.jp/en/policies/genai
自治体AI導入の個人情報・権限・ログを整理しませんか
GXOでは、自治体・公共向け生成AIの利用ルール、RAG設計、セキュリティ確認を支援します。