QAILaboratory|AI活用ニュース【2026年3月29日〜4月4日号】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
📮 QAILaboratory|AIツールを選ぶ前に、入力の線引きだけ決めておく
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
おはようございます。QAILaboratoryの鳴海です。
今週お伝えしたいことは1つだけです。 AIをどう使うかの前に、「何を渡すか・渡さないか」の線引きを、承認フロー付きで決めてください。
■ なぜ今これか
今週、AI安全性を最重視していると公言するAnthropicが、自社のAIコーディングツール「Claude Code」のソースコード約50万行を、アップデート時のパッケージングミスで公開レジストリに流出させました。未リリース機能の内部情報まで含まれていたと報じられています。
AI開発企業自身ですら、ヒューマンエラー1つで内部情報が外に出ます。 であれば、AIツールに自社の情報を渡す側は、なおさら線引きが要ります。
■ よくある誤解
「ガイドラインを配れば、情報漏洩リスクは防げる」。
これが一番多い誤解です。 実際には、ガイドラインを配っても承認フローがなければ、誰も守れません。
たとえば、ある製造業の現場でよくある場面。 担当者が品質記録の要約をAIに依頼するとき、顧客名を消して貼っている。一見、問題なさそうに見えます。 しかし、文面に未公開仕様や工程条件、不具合情報がそのまま残っていれば、顧客名がなくても特定できます。
ガイドラインには「機密情報を入力しないこと」と書いてある。 でも、何が機密かの判断基準が曖昧で、最終確認者もいない。 結果、入力の可否が個人の感覚に委ねられている。
これでは、監査で聞かれたときに説明できません。
■ QAIとしての見立て
1. 今回やるべき判断
AIに入力してよい情報と、入力してはいけない情報を4段階で分けてください。
- そのまま入力OK → 公開済みの製品仕様、一般的な業界用語など
- 加工すれば入力OK → 固有名詞・数値を伏せれば使える社内文書
- 社内レビュー後に入力OK → 見積条件、工程条件など、加工だけでは不十分なもの
- 入力NG(禁止) → 未公開仕様、不具合情報、顧客との秘密保持対象、個人情報
大事なのは、この4分類を紙で配るだけで終わらせないことです。 「加工すれば入力OK」と「社内レビュー後に入力OK」の間には、承認フローと最終確認者の指定が必要です。 ここが抜けると、ガイドラインを配っただけで誰も運用しない状態になります。
2. まだやらなくてよいこと
全社一斉のAI利用ルール策定は、まだ不要です。 まず、自部門で最もAI入力リスクが高い業務を1つだけ選び、そこだけ4分類と承認フローを決めてください。 1つの業務で回れば、横展開の型になります。
3. 残る成果物
AI入力NG/OKライン表(4分類+承認フロー+最終確認者を1枚にまとめたもの)。 この表が残れば、監査時にも「当社のAI利用における情報管理基準」として説明できます。 SOPや教育資料の土台にもなります。
■ 今週やること
自部門で「AIに一番データを渡している業務」を1つ特定し、今の入力内容を4分類に当てはめてみてください。 15分で終わります。 分類してみると、「これ、誰の判断で入力OKにしているのか」が分からない項目が見つかるはずです。 それが、承認フローを最初に置くべき場所です。
▶入力OK/NGチェックシートのテンプレートをダウンロード(
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
QAILaboratory 代表 鳴海
「AIで事故らない」運用設計の専門家。
トヨタ系列のエンジン開発担当を経て、パナソニックAP・
トランスコスモス・日産自動車の開発部門など、
現場の複雑さを知る企業のAI導入に携わってきた経験から、
「ツールより先にルールを決める」設計を大切にしています。
現在は製造業・サービス業・IT企業など、
1社ずつ深く入るスタイルでAI導入・運用設計の支援を続けています。
30日で土台・90日で定着。検収条件は事前に明文化します。
📧 ご質問はこのメールに返信ください(直接お読みします)
返信