先週、文科省が生成AIとセキュリティに関する指針を改訂したというニュースを読みました。教育現場向けの話ではあるのですが、読み進めるうちに他人事ではないと感じてきました。
文科省の指針は「次世代校務DX」を掲げており、生成AIの活用と情報セキュリティの両立を具体的に示す内容です。学校現場でさえここまで整理しているのか、というのが正直な感想でした。翻って自分の部署を見ると、生成AI活用の社内ルールは半年前に暫定運用を始めたままで、まだ正式な規程になっていません。
経営陣への説明で詰まるのは、いつも「セキュリティどうするの」の一言
営業DX推進部として生成AIツールの本格導入を提案したのは昨年の秋のことです。ベンダーからの提案書を精査して、投資対効果の試算もそれなりに揃えました。ところが役員会議でブロックされた理由は、ツールの機能でも費用でもなく「情報漏洩リスクをどう管理するか、根拠を示せ」という一言でした。
結局そのときはパイロット運用という名目で、部下5名だけに限定した試験導入に縮小されました。25名いる部のうち5名だけの運用では、生産性向上の効果測定もほとんど意味をなしません。あの判断は自分としても悔しかったです。
文科省の指針改訂を見ると、生成AIの利用範囲とデータの取り扱いルールをセットで示しています。「こういう用途ならばここまで使ってよい」「個人情報はここから先に流さない」という形で整理されています。これを経営陣への説明資料に応用できないか、と読みながら考えていました。
ベンダー選定のとき「セキュリティ要件書」を先に作っていなかった
振り返ると、昨年の稟議で足をすくわれた原因の一つは、ベンダー評価のタイミングにありました。機能比較とコスト比較から先に始めてしまい、セキュリティ要件書を後から足した形になっていたのです。経営陣からすれば「セキュリティは後付けで考えているのか」という印象になっても仕方がなかった。
今回の文科省の指針は、AIの導入検討と情報セキュリティの見直しを同時並行で進める構成になっています。ツール選定より先に「何をどこまで守るか」を決めておく、という順序です。教育委員会向けの話ではありますが、企業の部門長として読むと刺さるものがあります。
今期の再提案に向けて、自分がやろうとしていることを整理すると、こんな流れです。
- 社内情報セキュリティ部門と共同でAI利用に関するリスク分類を先に作る
- そのリスク分類をもとにベンダー要件書を書き直す
- 投資対効果の試算にパイロット5名分の実績数値を盛り込む
- 稟議書の冒頭に「セキュリティ対応状況」の章を独立させて置く
部下の一人で、比較的ITリテラシーが高い山田さんは、パイロット期間中に提案資料の作成時間が週あたり約3時間短縮できたと報告してくれました。25名に展開できれば単純計算でも週75時間分の工数削減になります。この数字をもっと前面に出すべきでした。
経営陣に「安全に使える」と「使うと得をする」の両方を同時に見せないと、大手製造業の社内政治は動きません。文科省の指針がそのヒントを意外なところから与えてくれた気がしています。次の役員報告は、セキュリティの章から始める稟議書に作り直してみます。