セキュリティ事業
こんな課題はありませんか
- 現場が生成AIを使い始めたが、社内ルールがないまま走っている
- 「これは入れていい情報か」の線引きが属人化している
- 私的なプランを業務に流用し、学習利用に回る経路が残っている
- 顧客の個人情報を海外サーバーで処理し、越境移転の同意が取れていない
ルールを設計すれば、安全に広げられます
現場任せのままだと
- 誰が・何を入れたかを、後から遡れない
- 機密度の判断が、担当者ごとにばらつく
- 事故は監査や漏洩が起きてから表面化する
ガバナンスを設計すると
- 機密度に応じて「何をどのプランで扱うか」が決まる
- 契約とログで、扱いを追える状態になる
- 止めずに、安全に全社へ展開できる
禁止するのではなく、安全に使うための設計
生成AIのセキュリティは、ツールを禁止すれば解決するものではありません。データの流れ・契約形態・利用ルールを一体で設計し、機密情報を守りながら現場の生産性を止めない状態をつくります。データ機密度の線引きから、ZDR(Zero Data Retention)などの契約設計、利用ガイドラインの策定、そして個人情報保護法・越境移転への対応までを、実運用の知見にもとづいて支援します。
提供内容
- データ機密度の設計
- 扱う情報を機密度で5段階に分類し、「どのレベルをどのプランで扱ってよいか」の判断フレームを整備します。
- 契約・プラン設計
- 保持期間・学習利用の有無・ZDRなど、契約形態から安全性を確保します。
- 利用ガイドライン策定
- 入力してよい情報・禁止事項・承認フローを明文化し、現場が迷わないルールにします。
- シャドーAIの棚卸し
- 現場で使われているツール・私的プラン流用を可視化し、リスクを整理します。
- 法対応・教育・監査体制
- 個人情報保護法・越境移転への対応、社内教育、運用後のログ・監査の仕組みをつくります。
進め方
- 現状診断使われているツールと、入力されている情報の実態を棚卸しします。
- ルール設計機密度の分類・契約形態・利用ガイドラインを設計します。
- 展開・教育ルールを現場に落とし込み、社員教育で定着を図ります。
- 運用・監査ログと監査の仕組みで、安全な状態を継続できるようにします。
「指定サーバーからしか呼べない」という要件にどう応えるか
社内AI基盤の導入では、「AIのAPIは社内の指定サーバーからしか呼べないようにしたい」「顧客データや機密情報を社外に出したくない」という要件がよく挙がります。実現できるかは、構成の選び方とデータの送信先の設計で決まります。
まず論点
クラウド型(SaaS)で使うか、セルフホスト型(自社ネットワーク内)で使うかで、かけられる制御が変わります。クラウド型は手軽ですが、前段にネットワーク機器を置けません。
送信元の制限
セルフホスト型なら、ファイアウォールや逆プロキシで「許可した指定サーバーのIPのみ受信」をネットワーク層で確実に実現できます。クラウド型は送信元IP制限が標準になく、APIキーの秘匿に依存します。
データの送信先
見落とされがちですが、回答生成のための推論データはLLMへ送られます。Azure OpenAIやAmazon Bedrockなら、自社契約のクラウド・リージョン内で処理し、学習に再利用しない構成が取れます。
現実的な進め方
まずクラウドで低コストに検証し(機密データは入れない)、本番はセルフホスト+送信元IP制限+一般公開の無効化+自社リージョンのLLM、という二段構えが堅実です。
選ばれる理由
01
実運用している当事者Claude Code・Codexを自ら業務で使ってきたからこそ、机上ではない現実的な線引きを設計できます。
02
導入支援と両輪活用を前提に設計するので、現場を止めません。AI導入支援と一体で進められます。
03
法対応まで踏まえた実務個人情報保護法・越境移転まで視野に入れ、現場が迷わないチェックリストに落とします。
よくあるご質問
- ルール策定だけの依頼でも可能ですか。
- ガイドライン策定だけ、現状診断だけといったご相談も承ります。必要な範囲からお声がけください。
- すでに現場でAIが使われていますが、間に合いますか。
- まずシャドーAIの棚卸しから始め、実態を可視化したうえで、止めずに安全な運用へ移行する道筋を設計します。
- セキュリティだけでなく、導入もお願いできますか。
- AI導入支援・受託開発・研修と一体でご提供できます。安全性と活用を両立させる設計が私たちの強みです。
京都でのAI活用をお考えの方は、地域特化の入口 京都AIハブ もご覧ください。
