情シスとAI推進の連携 システム管理と現場活用を両立
この記事の要点
情シスのセキュリティ・コスト・サポート工数への懸念を理解した上で、共同評価フローと承認済みツールリストを整備し、推進担当と情シスの役割分担を明確にする方法を解説する。
情シスと推進担当が対立する構造
AI推進担当が新しいツールを現場に展開しようとすると、情シスが「待ってほしい」と言う場面は珍しくない。これを「情シスが保守的だ」と受け取ると話が進まない。
情シスには管理者として当然の懸念がある。セキュリティインシデントが起きたときの対応責任を負うのは情シスだ。許可していないツールが何十人にも使われ始めてから問題が発覚すると、停止も管理も困難になる。
推進担当が情シスの懸念を正面から理解し、問題を共に解決する姿勢で臨むことで、関係は対立から協力に変わる。この記事では、その具体的な方法を示す。
情シスが持つ3つの懸念
セキュリティリスク
情シスが最も警戒するのは、社内の機密情報・顧客データ・未公開情報が外部のAIサービスに送信されることだ。ツールによっては入力データがベンダーのサーバーに保存され、学習に使われる可能性がある。
シャドーITも大きな懸念だ。現場が情シスを通さずにツールを導入すると、管理外のデータフローが発生する。後から把握しようとしても、どのツールにどのデータが入力されたかを追跡するのは難しい。
コストの管理
クラウド型のAIツールは利用量に応じて課金されることが多い。部署ごとにバラバラに契約すると、全社のコスト総額が見えなくなる。情シスは「気づいたら月に数百万円の費用が発生していた」という事態を避けたいと考えている。
また、複数のベンダーと契約すると、それぞれの更新管理・支払い処理・利用規約の変更への対応が必要になり、管理コストが積み上がる。
サポート工数
新しいツールが増えると、情シスへの問い合わせも増える。使い方の質問・ログイン障害・ライセンス付与の依頼など、AIツール特有の問い合わせが追加されると、既存業務の対応が圧迫される。情シスの人員が限られている場合、これは無視できない懸念だ。
共同評価フローの設計
情シスが協力しやすくなるのは、評価の手順が明確で、推進担当が情シスの作業負担を下げる準備をしているときだ。
ステップ1:評価シートを推進担当が作成する
新規ツールを情シスに持ち込む際、以下の項目を埋めた評価シートを用意する。
| 項目 | 内容 |
|---|---|
| ツール名とベンダー | 正式名称・提供会社・URL |
| 用途と対象業務 | 何に使うか・どの部門が使うか |
| 想定利用者数 | パイロット時・全社展開時 |
| 入力するデータの種類 | 個人情報の有無・機密情報の有無 |
| データ処理の仕組み | 送信先・保存場所・学習利用の可否 |
| セキュリティ仕様 | SOC 2認証・ISO 27001などの取得状況 |
| コスト概算 | 月額・年額・利用量課金の単価 |
| 情シスへの依頼事項 | SSO連携が必要か・ネットワーク設定が必要かなど |
この資料を先に渡すことで、情シスが「何を確認すればいいか」を一から整理する手間がなくなる。
ステップ2:情シスとの評価会議を設ける
評価シートをもとに、情シスと30分の確認会議を設ける。会議では情シスが懸念を挙げ、推進担当が対応策を提示する形で進める。「承認できる条件は何か」を明確にすることを目標とする。
承認の条件として多いのは「個人情報を入力しない運用ルールの策定」「エンタープライズプランへの移行でデータ学習をオプトアウト」「SSO設定でアクセス管理を情シスが行う」の3つだ。条件が明確になれば、推進担当が対応策を用意して再提案できる。
ステップ3:パイロット導入と監視
承認が下りた後、最初は少人数のパイロットグループで導入する。情シスが設定するログ収集やアクセス監視の仕組みをパイロット段階から動かすことで、問題が小さいうちに発見できる。
AI導入の効果をどう測るかと同様に、パイロット期間は数値で評価し、情シスと推進担当が共同でレビューする機会を設ける。
情シス承認済みツールリストの整備
承認されたツールのリストを整備することで、シャドーITを防ぎつつ現場の利便性を保てる。
リストに掲載する情報は「ツール名」「用途カテゴリ」「利用申請の方法」「利用条件・禁止事項」の4点が最低限だ。現場が「何を使っていいか」を一目で確認できる状態にする。
リストは社内ポータルや情報共有ツールの目につく場所に置く。現場が「使いたいツールがリストにない」と思ったとき、申請手順が分かりやすければ正規の経路を使う。申請が面倒だと判断するとシャドーITが発生しやすくなる。
申請→評価→承認→リスト追加のサイクルを2週間以内に完結させることを目標にすると、現場は「申請すれば早く使える」と認識するようになる。
生成AIとセキュリティで示すように、承認プロセスは現場の利便性を著しく損なわない範囲で設計することが重要だ。
推進担当と情シスの役割分担
役割が曖昧だと、双方が「あちらがやるはず」と思って滞る。以下の分担を最初に合意しておくと動きやすい。
| 役割 | 推進担当 | 情シス |
|---|---|---|
| ツールの選定・評価提案 | 主体 | 助言 |
| セキュリティ評価 | 資料作成 | 審査・承認 |
| 利用ルールの策定 | 原案作成 | 確認・承認 |
| 承認済みリストの管理 | 更新申請 | 掲載・管理 |
| 現場サポート | 主体 | 技術障害のみ |
| 費用の申請・管理 | 予算申請 | 集約管理 |
| 利用状況のモニタリング | 効果測定 | アクセスログ |
この分担表を関係者に共有することで、「情シスの承認が遅い」「推進担当が勝手に進める」という摩擦が減る。
情シスを巻き込む際の注意点
コスト削減のメリットを提示する
バラバラな契約を統合することでコストが下がる可能性があることを示すと、情シスは「管理コスト削減」というメリットを感じやすい。複数の部署が同じカテゴリのツールを個別に契約している場合、統合すれば費用の節減と管理簡略化の両方を実現できる。
情シスの作業負担を見積もる
「評価にどれくらいの工数がかかるか」を事前に情シスに確認し、その工数を計画に組み込む。情シスが「また仕事が増えた」と感じないよう、評価シートの作成や現場サポートは推進担当が引き受けることを明示する。
情シスをAI推進の共同推進者として位置づける
情シスが承認リストの管理者として関わることで、AI推進の運営に当事者意識を持ちやすくなる。「AI推進に情シスが貢献している」という実績が生まれると、次のツール評価もスムーズになる。
セキュリティ部門とAI推進の協働で示す通り、情シスやセキュリティ部門を推進のパートナーとして巻き込む姿勢が、長期的な推進の加速につながる。
定期的な見直しサイクル
AIツールは新しいものが次々に登場し、既存ツールの機能やポリシーも更新される。四半期に一度、以下の3点を推進担当と情シスで確認する場を設けることを推奨する。
- 承認済みリストの棚卸し:使われなくなったツールの契約解除・費用削減
- 新規申請の傾向確認:現場でどのような用途のニーズが高まっているか
- セキュリティインシデントや規制変更の共有:利用条件の見直しが必要なツールの確認
情シスとの信頼関係は、この定期的な対話の積み重ねによって強化される。最初の評価が時間のかかるものだったとしても、2回目・3回目はプロセスが洗練され、スピードが上がっていく。
よくある質問
情シスが最も懸念するのはどの点ですか
セキュリティリスクとサポート工数の増加です。特に、許可されていないツールが現場で勝手に使われるシャドーITの発生を情シスは強く警戒しています。
情シスの承認を得るためにはどうすればいいですか
ツールのセキュリティ仕様書・データ処理の流れ・想定利用者数・コスト見積もりを事前にまとめた評価シートを持ち込むことが有効です。論点を整理して渡すほど確認が速くなります。
シャドーITを防ぐにはどうすればよいですか
承認済みツールのリストを現場が見やすい場所に公開し、新しいツールを使いたい場合の申請手順をシンプルにすることが有効です。入口を塞ぐより、正規の経路を使いやすくすることが現実的です。
情シスの人手が少ない場合はどう進めますか
評価と運用の多くを推進担当が担う代わりに、情シスは最終承認と最低限のセキュリティ確認に集中する役割分担が有効です。作業負担の見積もりを事前に示すことで協力が得やすくなります。
関連記事
社内にFDEチームを作る方法:体制・採用・予算の実際
FDEチームは2〜3人の少人数から始め、最初の90日でパイロット案件を1つ完遂するのが最速の立ち上げ方だ。ミッション設定・採用方法・IT部門との役割分担・年間予算の目安を具体的に解説する。
オンプレSLMのセキュリティリスク:外に出なければ安全は本当か
オンプレSLMは外部に通信しないため安全、という認識は不完全です。内部不正・プロンプトインジェクション・サプライチェーンリスクなど実際に存在する脅威と、組織が整備すべき対策を解説します。
AI導入フェーズ別チェックリスト 推進担当の確認事項
AI導入を立ち上げ期・定着期・拡大期の3フェーズに分け、各フェーズで推進担当が確認すべき事項をチェックリスト形式で整理した。次のフェーズに進む判断基準も示す。