AI活用ガイド
簡易版もあります
このページの概要を1分で読みたい方は 簡易版 をご覧ください。
生成AI(Claude Code等)を使ったSCS対応の半自動化は可能です。ただし「制度説明の簡略化」と「証跡・回答作成の半自動化」が現実的な範囲であり、最終判断や対外提出は人がレビューする運用が前提となります。
三層モデル
第1層
説明・教育
AI
AI
→
第2層
整理・下書き
AI+人間
AI+人間
→
第3層
判断・承認
人間
人間
第1層: 説明・教育
AI活用度: 高
制度の要約、社内向け教育、用語の平易化。AIにかなり任せられる領域。
例: 社内説明資料、FAQ、用語集の生成
第2層: 整理・下書き
AI活用度: 中
設問回答案の生成、証跡候補の収集、規程差分の抽出。半自動化の本丸。
例: ギャップ評価、回答ドラフト、不足項目リスト
第3層: 判断・承認
AI活用度: 低
事実確認、責任者承認、提出可否判断。人が持つべき領域。
例: 最終レビュー、経営承認、外部提出
AIが向いている作業・向いていない作業
| 向いている作業 | 向いていない作業 |
|---|---|
| 資料の要約・平易化 | 実施事実の断定 |
| 設問への一次回答案作成 | 監査適合の保証 |
| 不足証跡の列挙 | 提出可否判断 |
| 既存文書との差分整理 | 例外判断 |
| チェックリスト・教育資料のたたき台作成 | 個人情報の外部送信 |
| ローカル文書の横断検索・更新 | 存在しない規程の捏造 |
Claude Codeの役割定義
Claude Codeの役割は「探す・整える・下書きする」で止めます。承認は人間が持ちます。
Claude Codeの守備範囲
| ステップ | 作業内容 |
|---|---|
| 探す | 社内文書を横断検索し、確認項目に該当する規程・証跡を見つける |
| 整える | ギャップ評価を実施し、各項目の対応状況を整理する。証跡を一覧にまとめる |
| 下書きする | 回答案を生成する。不足項目リストを作成する。経営向け概要を下書きする |
人間の守備範囲
| ステップ | 作業内容 |
|---|---|
| レビュー | 事実確認、証跡の妥当性検証 |
| 承認 | 責任者による内容承認、署名 |
| 提出 | 外部報告、取引先への提出 |
4つの鉄則
| No. | ルール | 理由 |
|---|---|---|
| 1 | 根拠ファイル名を必ず書く | 回答のトレーサビリティを確保するため |
| 2 | 根拠がなければ「未確認」と書く | 推測による虚偽回答を防ぐため |
| 3 | 推測で補完しない | LLMが存在しない規程をそれらしく捏造するリスクを排除するため |
| 4 | 回答案と改善提案を分ける | 現状の事実と将来の提案を混同しないため |
注意事項
| リスク | 対策 |
|---|---|
| LLMが存在しない規程や未実施の運用を「それらしく」書いてしまう | 証跡リンク付き回答を必須とし、根拠がなければ「未確認」と明記する |
| AI活用自体がセキュリティ評価の対象になりうる | 入力データの取り扱い、権限管理、監査ログ、社外送信の制御を先に決める |
| 回答の品質が社内資料の整備度に依存する | まず「AIが読める形に社内資料を整える」ことから始める |
セキュリティ上の配慮
| 項目 | 対策 |
|---|---|
| データの外部送信 | Claude Codeはローカルファイルを読んでAPIに送信する。機密度「高」のデータの取扱いルールを事前に決める |
| 権限管理 | Claude Codeがアクセスできるディレクトリを限定する |
| 監査ログ | Claude Codeの実行履歴を記録する |
注意
AI活用自体がセキュリティ評価の対象になりうることに留意してください。AIへのデータ入力範囲を明確にし、社内ルールとして文書化しておくことを推奨します。