先週、部下の一人がGigazineの記事を社内チャットに貼ってきました。「Odysseus」というセルフホスト型のAIワークスペースの紹介記事です。チャット・メール・カレンダー・ディープリサーチまで一通り揃っていて、しかも無料で自社サーバー上に構築できるという話でした。
読んでみると、確かに機能の幅は広い。IMAP/SMTPによるメール連携、CalDAVでのカレンダー同期、ウェブ検索、ファイルアップロード、さらにMCPにも対応していると書いてあります。ChatGPTやClaudeと並べて遜色ないとGigazineは評価していました。部下が「これ、社内でも使えないですかね」と送ってきた気持ちは分かります。
ただ、私の立場から見ると、すぐに「いいね、試してみよう」とは言えません。
情報漏洩リスクの論点整理が先決
我が社の場合、従業員が1500名います。営業部門だけでも相当な数の顧客情報や商談データが日々飛び交っています。そういった情報をAIに入力するとき、「どこのサーバーに送られているか」は情報セキュリティ部門が必ず確認する項目です。
セルフホスト型であれば、データが外部クラウドに送られないのは大きなメリットです。Odysseusの場合、ローカルモデルをダウンロードして自社環境で動かすことができます。Dockerによる構築にも対応しています。そのあたりは情報セキュリティ部門への説明資料として使えそうです。
一方で、「無料のOSSを自社インフラに乗せる」となると、また別の問題が出てきます。
- 脆弱性が見つかったときの対応責任はどこか
- アップデート管理を誰が担うか
- 2段階認証は実装されているが、社内認証基盤との統合はできるか
- ログ管理・監査証跡はシステム部門の要件を満たすか
Odysseusの設定画面には管理者限定でログ出力やデータエクスポートの機能があるとのことでした。その点は評価できます。ただし、それが我が社のセキュリティポリシーのどこに当てはまるのかは、システム部門と詰めないと判断できません。
稟議の前に「小さく検証」する理由
こういうツールを経営陣に説明するときに一番困るのは、「で、効果はどのくらいあるんですか」という問いです。私自身、過去に似たようなケースで痛い目を見たことがあります。ある業務効率化ツールを「使えそうだから」という理由で稟議を通そうとして、情報セキュリティ部門からセキュリティ審査の書類を求められ、ベンダーが対応できずにそのまま頓挫した経験があります。あのときは部門内への根回しも甘かったと反省しています。
今回は最初から手順を踏みたいと考えています。まずシステム部門と情報セキュリティ部門に声をかけて、Odysseusのアーキテクチャを共有します。その上で「部内の検証環境で試す」という形の小規模実証を提案します。予算は最小限で済みますし、効果測定のデータが取れれば、その後の稟議書の説得力が上がります。
部下に対しては、まず個人PCでOdysseusを動かして操作感を確認させるつもりです。GitHubのREADMEを見ると、WindowsであればPythonとGit for Windowsが入っていれば基本的にインストールできるようです。若手の何人かはすぐに試してくれると思います。
投資対効果の観点では、商用のAIツールライセンスと比較したときのコスト差が一つの論点になります。1500名規模の組織でライセンス費用が月単位でかかるのと、自社サーバーに構築してランニングコストだけで運用するのとでは、数年スパンで見ると無視できない差が出ることもあります。ただしそれを試算するには、まず実際の利用シーンと負荷を把握する必要があります。小さく検証してから数字を出す、という順序を守ることが大事だと思っています。
息子が「最近AIって何でもタダで使えるじゃん」と言っていたことがあります。個人利用と企業利用では、タダの意味がまったく違うんだよ、と説明したことを思い出しました。無料のOSSであっても、企業として使うには見えないコストと責任が乗ってきます。その整理を丁寧にやることが、結局は導入成功への近道です。
まずは来週、システム部門の担当者に声をかけてみます。