RAGは社内文書を扱うため、セキュリティとプライバシーの設計が欠かせません。特に、顧客情報、契約情報、人事情報、技術情報を検索対象にする場合は慎重な設計が必要です。
扱う情報を分類する
まず、RAGに入れる情報を分類します。
-
公開情報
-
社内限定情報
-
部署限定情報
-
顧客情報
-
個人情報
-
契約情報
-
技術機密
-
経営情報
分類ごとに、投入可否、閲覧者、ログ保存、外部AI利用可否を決めます。
AI ASSESSMENT
PoC の前に「そもそも使えるか」を30分で見極めませんか?
情シス部門の稟議書作成をサポートする無料の30分壁打ち。費用対効果 試算シート・失敗要因チェックリストをその場で共有します。
外部AI利用の確認
RAGでは、LLMや埋め込みモデルを外部サービスとして利用する場合があります。その場合、入力データがどこに送信されるか、学習に使われるか、保存されるか、リージョンや契約条件はどうなっているかを確認します。
直接的な国名指定で表現するより、社内基準として「利用可能なAIサービスの条件」「データ保存場所」「学習利用の有無」「契約・監査要件」を定義する方が、運用しやすく誤解も生みにくくなります。
ログにも機密が残る
RAGの質問ログや回答ログには、個人情報や機密情報が含まれる可能性があります。ログ保存期間、マスキング、閲覧権限、削除依頼への対応を決めておく必要があります。
検索対象だけでなく、利用履歴も保護対象になる点を忘れてはいけません。
FREE DOWNLOAD
AI導入チェックリスト(PoC 失敗要因 10項目)
情シス部門が PoC 前に押さえるべき失敗要因を10項目に整理した無料チェックリスト。
発注前チェック
-
RAGに入れる情報の分類表があるか
-
個人情報を含む文書を扱うか
-
外部AIサービス利用の社内基準があるか
-
質問ログ・回答ログの保存範囲を決めているか
-
情報漏えい時の対応フローがあるか
セキュリティ設計は、あとから追加するより初期設計に組み込む方が安全です。
RAGのセキュリティ・個人情報対策を相談できます
情報分類、外部AI利用基準、ログ保存、権限設計を含めて、安全に使えるRAG導入を支援します。
