セキュリティ部門とAI推進の協働 対立を避ける進め方
この記事の要点
セキュリティ部門がAI推進に慎重な理由を理解し、早期から巻き込む方法を解説する。リスク評価フォームの共同作成から「承認できるAI利用基準」の合意形成まで、対立を避けながら推進を加速する具体的な進め方を示す。
AI推進とセキュリティは対立しない
「AIを使いたい推進担当」と「リスクを警戒するセキュリティ担当」という対立構造は、実態とずれている。セキュリティ部門の目的は、業務を止めることではなく、組織のリスクを許容できる範囲に収めることだ。
対立が生まれる最大の原因は、相談のタイミングが遅いことだ。AI推進担当が「ツールを選んで使い始めた」後にセキュリティ部門に報告すると、「なぜ事前に相談しなかったのか」という感情的な摩擦が生まれる。セキュリティ部門は防衛的になり、強硬な制限を求める。
一方、最初から一緒に設計すると、セキュリティ部門は「どうすれば使えるようにできるか」という姿勢で関与する。問題を指摘する立場から、一緒に解決策を見つける立場に変わる。
この記事では、セキュリティ部門を早期から巻き込み、AI推進を加速させる具体的な方法を示す。
セキュリティ部門が慎重な理由を理解する
協働を成功させるには、セキュリティ担当者の立場から状況を理解する必要がある。
理由1:インシデントの責任を負う立場
情報漏洩が起きた場合、セキュリティ担当者は責任を問われる立場にある。「OK出したのにこうなった」という状況を回避するため、不確実性が高いものには慎重になる。生成AIは学習データ・出力品質・データの取り扱いについて不確実性が高く、従来のSaaSツールよりリスク評価が難しい。
理由2:リスク評価の基準がまだ確立されていない
生成AIのセキュリティリスクに関するガイドラインは、2024〜2025年にかけて整備が進んでいるが、まだ発展段階だ。「他のツールと同じ評価軸で判断できない」という不確実性が、慎重さにつながっている。
理由3:現場の利用実態を把握できていない
セキュリティ部門がAI活用の相談を受けていない場合、社員が個人でAIツールを使っていることを把握できていない。「シャドーIT」の状態で利用が広がるほど、セキュリティ部門は後から制限を求めることになる。早期に相談を受けた方が、適切な条件下での利用を認める判断をしやすい。
この背景を理解すると、「セキュリティが妨害している」ではなく「セキュリティを一緒に解決すべき課題として扱う」という姿勢に変えられる。
早期巻き込みの具体的な方法
最初の相談の持ちかけ方:
「AIツールを使いたいので承認してください」という持ちかけ方は、セキュリティ部門に「審査する」立場を与える。「社員がすでにAIを使い始めているが、適切なガイドラインがない状態が続くとリスクが高まる。一緒に安全な利用基準を作ってほしい」という持ちかけ方は、協力する立場に誘う。
最初の相談では、以下の内容を準備して持っていく:
- 現在の社員のAI利用状況(何人が何を使っているか)
- 解決したい業務課題(なぜAIを使いたいか)
- 想定するリスク(自分たちが認識しているリスク)
- 期待する協力内容(セキュリティ部門に何を判断してほしいか)
特に重要なのは「3. 想定するリスク」を自分たちで準備して持っていくことだ。「リスクを全部洗い出してほしい」という依頼は、相手の工数が読めないため、後回しにされやすい。AI推進担当が初期のリスク仮説を提示し、「これで合っているか確認してほしい」という形にすると、セキュリティ担当者の作業量が減り、返答が速くなる。
プロジェクトの共同オーナーシップ:
AI推進プロジェクトの体制を組む際に、情報システム部またはセキュリティ部門から1名を共同オーナーとして参加してもらう。「AI推進担当が主導し、セキュリティは承認する」という関係ではなく、「一緒に作る」という関係を最初から設計する。
共同オーナーシップにするメリット:承認プロセスが内部化され、外部審査の待ち時間がなくなる。セキュリティ担当者が自分事として関与するため、問題が出たときに一緒に解決しようとする。
リスク評価フォームの共同作成
新しいAIツールや用途を検討するたびに、ゼロからリスク評価をしていると時間がかかりすぎる。共通のリスク評価フォームを作成し、AI推進担当とセキュリティ部門が共同でメンテナンスすることで、個別評価のコストを下げる。
リスク評価フォームの構成:
AIツール・用途のリスク評価フォーム
【基本情報】
- ツール名・バージョン
- 提供事業者・所在国
- 利用目的・対象業務
【データの種類の確認】
□ 個人情報を含む業務への利用
□ 顧客の機密情報を含む業務への利用
□ 社外秘に指定された社内情報への利用
□ 上記のいずれも含まない(一般的な業務文書)
【ツールのセキュリティ確認】
□ 企業向けプランで入力データが学習に使われない設定になっているか
□ データ保存場所(日本国内/海外)の確認
□ ISO 27001またはSOC2の認証取得状況
□ データ処理契約書(DPA)の締結可否
【利用制御の確認】
□ 管理コンソールによるユーザー管理が可能か
□ 利用ログの取得が可能か
□ アクセス権限の設定が可能か
【リスク評価結果】
□ 承認(制限なし)
□ 条件付き承認(使用可能な業務・情報の種類を限定)
□ 追加情報が必要
□ 不承認(理由: )このフォームをAI推進担当とセキュリティ担当が一緒に作ることで、両者が同じ基準で評価するようになる。フォームへの回答が揃っていれば、承認/不承認の判断が1〜2日で下りるようにすることを目指す。
AI利用ポリシーとの整合についてはAI利用ポリシーのテンプレートと作り方で詳しく扱っている。
「承認できるAI利用基準」の合意形成
リスク評価の結果を蓄積していくと、「どんな条件を満たせばAI利用を承認できるか」という基準が見えてくる。この基準を文書化し、AI推進担当とセキュリティ部門が合意する。
承認基準の例:
| 条件 | 判断 |
|---|---|
| データ学習オプトアウト設定があるEnterprise版を使用 | 承認可能 |
| 一般的な業務文書(社外秘でない)への利用 | 承認可能 |
| 個人情報を含まない社内資料への利用 | 承認可能 |
| 個人情報を含む業務への利用、DPA締結済み | 条件付き承認 |
| 個人情報を含む業務への利用、DPA未締結 | 不承認 |
| 未承認の個人向け無料プランの業務利用 | 不承認 |
この基準表が存在すると、AI推進担当は「この用途はOKのはず」と事前判断でき、セキュリティ部門への個別確認なしに進める用途が増える。セキュリティ部門への相談は、基準表にない新しいケースだけに絞られる。
基準表の更新は四半期ごとにレビューする。新しいツールや用途で判断事例が増えたら、基準表に追加する。
セキュリティ部門との関係を維持する日常的な工夫
協働は一度確立したら終わりではない。日常的な接点を作ることで、関係を維持する。
月次の情報共有ミーティング:
AI推進担当とセキュリティ担当の月1回の30分ミーティングを設ける。アジェンダは、先月の承認申請の振り返り・社外のAIセキュリティ関連ニュース共有・今月の推進計画のアップデートの3項目だ。
定期ミーティングがあると、「何かあれば相談できる」という心理的安全性が両者に生まれる。問題が起きてからの緊急相談ではなく、日常の情報交換の延長で問題を早期にキャッチできる。
セキュリティ担当者を社内AI勉強会に招く:
月次の社内AI勉強会に、セキュリティ担当者をゲストとして招き、「今のセキュリティ観点でのAI利用上の注意点」を話してもらう。セキュリティ担当者にとっては、自分の発信が組織に届く機会になる。AI推進担当にとっては、セキュリティの最新観点を定期的に吸収できる。
双方が学びを得られる場を作ることが、対立から協力への関係を維持する。
インシデント発生時の対応での連携:
AI利用に関連したインシデント(情報入力ミス・ポリシー違反など)が発生した場合、AI推進担当とセキュリティ担当が一緒に対応する。「AI推進担当が事後報告する」ではなく、「一緒に対応策を決める」というプロセスが、その後の協働関係をさらに強固にする。
生成AIのセキュリティの基礎については生成AIとセキュリティで確認できる。
セキュリティ評価が長引く場合の対処法
セキュリティ評価に2か月以上かかる場合、プロセスのどこで止まっているかを確認する。
よく詰まるポイントと対処法:
| 詰まりポイント | 原因 | 対処法 |
|---|---|---|
| ベンダーへの質問が返ってこない | 確認項目が多すぎる | 最優先の5項目に絞って回答を求める |
| 承認権者のスケジュールが取れない | 決裁者が多忙 | セキュリティ担当者に「暫定OK」をもらい、正式承認を追いかける |
| 判断基準が不明確で評価が止まる | 評価軸がない | リスク評価フォームで評価軸を作り、判断を構造化する |
| 過去に同種のインシデントがあった | 組織の記憶 | そのインシデントとの違いを明確化し、再発防止策を提示する |
承認が長引いている場合に「急いでいるから特別に早めてほしい」という依頼は逆効果になる場合がある。「評価をスムーズに進めるために、不足している情報を教えてほしい」という依頼の方が、相手の作業を支援する姿勢を示せる。
AI推進の全体ガバナンスへの貢献
セキュリティ部門との協働がうまくいくと、AI推進のガバナンス全体が強化される。
AI利用ポリシーの策定・更新にセキュリティ部門が関与することで、ポリシーの実効性が上がる。「形式的なルールを作った」のではなく、「実際に守れるルールを一緒に作った」状態になる。
新しいAIツールの評価プロセスが明確になることで、現場からの「使っていいですか」という問い合わせに対して、AI推進担当が迅速に答えられる。「セキュリティに確認が必要なので数か月かかります」ではなく、「評価フォームを出していただければ2週間以内に回答します」と言える状態が目指す姿だ。
AI推進の全体像はAI推進のロードマップの作り方で整理されている。セキュリティガバナンスをロードマップのどのフェーズに位置づけるかを確認するとよい。
まとめ
セキュリティ部門とAI推進の対立は、巻き込みのタイミングが遅いことで生まれる。要件定義の段階から「一緒に安全な利用基準を作る」という形で早期に巻き込む。リスク評価フォームを共同で作成し、「承認できるAI利用基準」を文書化することで、個別確認の工数を下げる。月次のミーティングと社内勉強会への参加で日常的な接点を作ることが、長期的な協働関係の基盤になる。セキュリティ部門が推進の妨げではなく、共同設計者として関わると、AI活用のガバナンス全体が強固になる。
よくある質問
セキュリティ部門に相談したらすべて止められそうで怖いです
全部止めるのがセキュリティ部門の目的ではありません。リスクを許容できる形にすることが目的です。「何がリスクか」を一緒に定義することから始めると、禁止の判断ではなく条件付き承認の判断に変わりやすい。
セキュリティ部門への相談タイミングはいつが正しいですか
ツールを選定する前が正解です。選定後に相談すると「なぜ事前に相談しなかったのか」という感情的摩擦が生まれます。要件定義の段階から「一緒にセキュリティ要件を決めてほしい」と依頼することで、協力者として巻き込めます。
セキュリティ部門の承認が下りるまでの期間を短縮する方法はありますか
ベンダーのセキュリティホワイトペーパーとデータ処理契約書(DPA)を事前に用意し、セキュリティ評価シートと一緒に提出することで、2〜4週間の評価期間を1〜2週間に短縮できるケースが多いです。
関連記事
AI利用ポリシーのテンプレートと作り方
社内AI利用ポリシーに必要な5要素は、対象範囲・禁止事項・承認フロー・インシデント対応・更新プロセスだ。各条項の書き方とひな型の構成例を具体的に示す。
社内にFDEチームを作る方法:体制・採用・予算の実際
FDEチームは2〜3人の少人数から始め、最初の90日でパイロット案件を1つ完遂するのが最速の立ち上げ方だ。ミッション設定・採用方法・IT部門との役割分担・年間予算の目安を具体的に解説する。
AI導入フェーズ別チェックリスト 推進担当の確認事項
AI導入を立ち上げ期・定着期・拡大期の3フェーズに分け、各フェーズで推進担当が確認すべき事項をチェックリスト形式で整理した。次のフェーズに進む判断基準も示す。