この章の位置づけ — ルール・契約・教育の「セット」
第 4 章の統制モデルは「会社として何を管理するか」の骨格です。本章は、現場が実際に回るための具体物 — 社内ルール、ツール契約の確認、社員教育 — を、専門外の方にも伝わる言葉でまとめます。
本章の内容は、国内の法人向け AI 安全活用の実務記事(なかのひとカンパニー Qiita シリーズ等)と NIST AI RMF・各社エンタープライズ契約の公開情報を整理し、KEEL のゲートウェイ導入ストーリーに合わせて蒸留したものです。
なぜ 3 つセットで用意するのか
| 柱 | 役割 | たとえ |
|---|---|---|
| 社内ルール | 何をしてよいか明文化 | 社内の交通ルール |
| 契約・規約 | ツール側の約束を確認 | 賃貸契約の特約チェック |
| 社内教育 | 全員が同じ理解になる | 安全運転講習 |
ゲートウェイ(技術)だけ入れても、「ルールが分からない」「契約がバラバラ」「教育がない」と使い方がぶれます。第 2 章でも述べた 三位一体 の実務版が本章です。
社内ルール — 最低限入れる 7 項目
LLM 利用ポリシー(第 15 章テンプレ 1 の上位文書)に、次を必ず書きます。
| # | 項目 | 書き方のコツ(わかりやすく) |
|---|---|---|
| 1 | 使ってよいツール | 「社内ゲートウェイ経由のみ」など、一覧で |
| 2 | 使ってはいけないデータ | 第 1 章の 5 つをそのまま転記可 |
| 3 | 申請のしかた | 誰に、どのフォームで(第 10 章) |
| 4 | 違反したとき | 注意 → キー停止 → 人事・法務へ、と段階を |
| 5 | 個人契約の扱い | 業務利用は禁止 or 例外申請 |
| 6 | 問い合わせ先 | メール・チャット・担当者名 |
| 7 | 改訂日と版数 | 年 1 回以上見直す |
長い法律用語は避け、「送ってはいけない 5 つ」 を表やイラストで 1 ページにまとめると浸透しやすいです。
AI ツール導入時の契約チェックリスト
調達・法務・情シスが、新しい AI サービスを契約する前に確認する項目です。
| # | 確認項目 | 合格の目安 |
|---|---|---|
| C-1 | 入力データの学習利用 | エンタープライズでオプトアウト明記 |
| C-2 | データの保存場所 | 国・リージョンが社内ポリシーと一致 |
| C-3 | サブプロセッサ | 第三者委託先の一覧が取れる |
| C-4 | DPA(データ処理契約) | 署名可能な最新版がある |
| C-5 | ログ・監査 | 利用記録の提供方法が契約上明確 |
| C-6 | 解約・データ削除 | 契約終了後の削除期限が書いてある |
| C-7 | インシデント通知 | 漏洩時の連絡 SLA |
| C-8 | 利用規約の変更 | 一方的変更時の通知義務 |
チェック結果は 契約台帳 に残し、ゲートウェイの許可プロバイダ一覧(第 5 章)と突き合わせます。
運用ガイドライン — 日々の回し方
「ポリシー」が法律、「運用ガイドライン」がマニュアルです。
日常運用(利用者向け 1 ページ)
【毎日】
・承認されたツール・仮想キーのみ使用
・顧客名・パスワードをチャットに入れない
・エラーで止まったらヘルプデスクへ(自己判断で個人 API は使わない)
【週次】(チームリーダー)
・使いすぎアラートが出ていないか確認
・「個人アカウントでやってた」報告がないかヒアリング
【月次】(PM / CoE)
・コストレポートをプロジェクトに共有
・新ツール試用希望の収集 → 契約チェックへ
インシデント時(簡易フロー)
- 利用者が気づく → すぐ上司・セキュリティへ(第 1 章)
- セキュリティがキー停止(第 6 章)
- PM が影響範囲を整理
- 必要なら法務・顧客へ報告(第 14 章)
社内教育 — カリキュラム例
| 対象 | タイミング | 内容 | 時間 |
|---|---|---|---|
| 全社員 | ゲートウェイ本番の 2 週前 | 第 1 章相当の e ラーニング | 30 分 |
| 開発者 | キー発行時 | 第 9 章ハンズオン + 禁止データ演習 | 60 分 |
| PM | Phase 1 開始前 | 申請審査・予算(第 10 章) | 90 分 |
| リーダー | 四半期 | 新しい脅威・ルール変更の 15 分ブリーフ | 15 分 |
| 新入社員 | 入社 1 週間以内 | 15 章 + 申請のしかた | 45 分 |
教育で効く 3 つの工夫
- 実例は匿名化 — 「こういう貼り付けで止まりました」デモ
- 禁止だけでなく代替 — 「ゲートウェイならこう書けます」
- 小テスト 3 問 — 「この文面は送れる?」形式
一度の全社集会だけでは定着しません。申請時のチェックボックス(第 15 章)と 四半期リマインド をセットにしてください。
コストの見える化(組織向けの補足)
「便利さの次にぶつかるコストの壁」は、部門ごとの個人契約では特に起きやすい問題です。
| 症状 | ゲートウェイ + 本章の対策 |
|---|---|
| 請求がバラバラ | 仮想キーと project_code で一元集計(第 10 章) |
| 高いモデルを使いがち | 用途別の推奨モデル表(第 15 章テンプレ 2) |
| 使ったつもりがない請求 | 月次レポートを PM が必ず開く文化 |
第 4 章・第 15 章との対応
| 本章の内容 | 既存章での詳細 |
|---|---|
| 7 項目ルール | 第 4 章「ポリシー文書体系」 |
| 契約チェック | 第 5 章 DPA、第 14 章ベンダー管理 |
| 教育カリキュラム | 第 10 章ロールアウト計画 |
| 申請フォーム | 第 15 章テンプレ 1 |
次に読む章
| 役割 | 推奨 |
|---|---|
| PM・人事・総務 | 第 10 章 → 第 15 章 |
| セキュリティ・法務 | 第 6 章 → 第 14 章 |
| 全社員(復習) | 第 1 章 |
| 本番品質を上げる担当 | 第 7 章 |
研修 — PM コース C 補助(確認 3 問)
| # | 問題 | 正解 |
|---|---|---|
| 1 | 利用申請で「顧客機密」と書かれているのに DLP なしで進めてよい? | いいえ — セキュリティ承認必須 |
| 2 | 教育の目的は「禁止」だけか? | いいえ — 安全に使う経路の提供が主 |
| 3 | 契約上 AI 利用禁止の顧客案件で社内 GW を使うのは? | 契約・法務確認まで停止 |
演習 — 利用申請レビュー(15 分)
架空申請:
- 目的: 顧客 A 社のソースコードレビュー支援
- データ: 本番 DB 接続文字列を含む設定ファイル
- モデル: 外部クラウド GPT-4 クラス
討議: 承認 / 差戻し / セキュリティエスカレーション — 理由を 1 行で。
> 模範: 差戻し + セキュリティ相談。秘密情報除去・匿名化後に再申請。顧客契約の AI 条項も確認(第 15 章テンプレ参照)。
v1.10 — 契約チェック追補(学習 ≠ 保持)
| # | 確認項目 | 合格の目安 |
|---|---|---|
| C-9 | データ保持期間・ZDR | 入力の一時保持期間が DPA に明記。Zero Data Retention が必要な案件は別途合意 |
| C-10 | ツール出力の扱い | エージェントのコマンド/DB 結果がログ・学習対象外であることの確認 |
「学習不使用=個人情報 OK」は契約違反どころか漏洩事故の温床。C-1(学習)と C-9(保持)は別行で必ず確認する。
Issue・チケット・README への貼り付けルール
Issue 駆動開発では、障害調査のログやデータを Issue に貼る場面が必ずあります。貼った時点でエージェントが読む前提で運用します。
| 貼る前の変換 | 例 |
|---|---|
| 顧客名 → 匿名 | A社 / CUSTOMER_X |
| メール・電話 → ダミー | user@example.com |
| DB 結果 → 必要カラムのみ | 氏名列を除いた状態・件数だけ |
| 接続文字列 → 除去 | ホスト名・DB 名のみ(秘密は別途) |
PM・チームリーダーは月次ヒアリングで「Issue に生データを貼っていないか」を確認(第 10 章運用ガイドと整合)。