RAGは社内文書を扱うため、セキュリティとプライバシーの設計が欠かせません。特に、顧客情報、契約情報、人事情報、技術情報を検索対象にする場合は慎重な設計が必要です。

扱う情報を分類する

まず、RAGに入れる情報を分類します。

  • 公開情報
  • 社内限定情報
  • 部署限定情報
  • 顧客情報
  • 個人情報
  • 契約情報
  • 技術機密
  • 経営情報

分類ごとに、投入可否、閲覧者、ログ保存、外部AI利用可否を決めます。

外部AI利用の確認

RAGでは、LLMや埋め込みモデルを外部サービスとして利用する場合があります。その場合、入力データがどこに送信されるか、学習に使われるか、保存されるか、リージョンや契約条件はどうなっているかを確認します。

直接的な国名指定で表現するより、社内基準として「利用可能なAIサービスの条件」「データ保存場所」「学習利用の有無」「契約・監査要件」を定義する方が、運用しやすく誤解も生みにくくなります。

ログにも機密が残る

RAGの質問ログや回答ログには、個人情報や機密情報が含まれる可能性があります。ログ保存期間、マスキング、閲覧権限、削除依頼への対応を決めておく必要があります。

検索対象だけでなく、利用履歴も保護対象になる点を忘れてはいけません。

発注前チェック

  1. RAGに入れる情報の分類表があるか
  2. 個人情報を含む文書を扱うか
  3. 外部AIサービス利用の社内基準があるか
  4. 質問ログ・回答ログの保存範囲を決めているか
  5. 情報漏えい時の対応フローがあるか

セキュリティ設計は、あとから追加するより初期設計に組み込む方が安全です。

RAGのセキュリティ・個人情報対策を相談できます

情報分類、外部AI利用基準、ログ保存、権限設計を含めて、安全に使えるRAG導入を支援します。

RAGセキュリティ設計を相談する