第 8 章

セキュリティとコンプライアンス

データ分類体系を構築し、財務およびHRデータのプライバシーを保護し、コンプライアンス要件を確実に満たし、部門横断の安全な協業を実現します。

コードの安全性

コードの安全性を保ち、機密情報の漏えいを防ぎます。

コードアップロード戦略

  • 機密コードはアップロードしない:ローカルモデルを使用して機密コードを処理する
  • コードの匿名化処理:APIキー、パスワード、秘密鍵などの機密情報を削除する
  • コードレビュー機構:AI 支援 + 人間によるレビューで、安全性を確保する
  • ホワイトリスト機構:どのコードをアップロードできるかを明確にする

API Key 管理

  • 統一鍵管理ツール:1Password、Vault などのツールを使用
  • 鍵ローテーション機構:APIキーを定期的にローテーションする
  • 鍵アクセス制御:アクセス権限を設定し、最小権限の原則を適用する
  • キー使用監視:すべての鍵の使用状況を記録する

データ保護とプライバシー

データ分類体系を構築し、データの機密性に応じて適切なツールと処理方法を選択する。

データ分類体系

Level 1: 公開データ

公開可能な情報で、機密内容は含まない

ツールの選択:任意のクラウドAIツールを使用できます
例:公開された技術文書、ブログ記事、公開APIドキュメント
レベル2: 内部データ

内部使用、対外非公開

ツールの選択:データ保護契約のある企業版ツールを使用する
例:内部技術ドキュメント、プロジェクト文書、社内 Wiki
レベル 3: 機密データ

個人情報、営業秘密を含む

ツールの選択:ローカルモデル(Ollama)を使用し、クラウドにアップロードしない
例:従業員情報、顧客データ、財務データ
Level 4: 機密データ

非常に機密性が高く、法的保護が必要

ツールの選択:AI ツールの使用は禁止、または完全にオフラインのローカルモデルを使用する
例:財務データ、法的契約、医療記録

金融データのプライバシー保護

財務データの分類
  • 公開財務情報:クラウドツールを使用できる(公開されている財務諸表など)
  • 社内財務データ:エンタープライズ版ツールを使用し、データ保護契約あり
  • 機密財務データ:ローカルモデル(Ollama)を使用し、完全オフライン
  • 機密の財務データ:AI ツールの使用は禁止
財務データ使用規範
  • データの匿名化:財務データは使用前に必ず匿名化する(金額、口座番号など)
  • ツール選択:財務データはローカルモデルを優先的に使用する
  • 承認フロー:AI ツールで財務データを処理するには承認が必要
  • 監査記録:すべての財務データ関連の AI ツール使用を記録
財務報告の生成
  • • Fabric を使用してレポートテンプレートを生成する(実際のデータなし)
  • • ローカルモデルを使って財務データを分析する
  • • Cursor を使用して財務文書を作成する(機密データを含まない)

HRデータのプライバシー保護

HR データ分類
  • 公開情報:求人票JD、公開された研修資料
  • 内部情報:社員ハンドブック、研修計画
  • 機密情報:従業員の個人情報、評価データ、給与情報
  • 機密情報:従業員の健康情報、身元調査データ
HR データ利用規範
  • 個人情報保護:従業員の個人情報はクラウドにアップロードしない
  • データ分析:ローカルモデルを使用して従業員データを分析する
  • レポート生成:テンプレートを使用してレポートを生成し、個人を特定できる情報を含めません
  • コンプライアンス要件:GDPR、個人情報保護法などの法規制を遵守する
HR AI のユースケース
  • • 採用 JD 生成: Fabric を使用して採用説明を生成する(機密情報を含まない)
  • • 面接問題生成:AIを使って面接問題テンプレートを生成する
  • • 研修資料の作成:Cursor を使って研修ドキュメントを作成する
  • • データ分析:ローカルモデルを使用して従業員のフィードバックを分析する(匿名化後)

データの匿名化

匿名化ルール
  • • 個人情報:氏名、身分証番号、携帯番号 → マスキング
  • • 財務情報:金額、口座番号、取引記録 → 匿名化
  • • 営業秘密:顧客情報、契約内容 → 匿名化
匿名化ツール
  • • 自動匿名化スクリプト
  • • 匿名化ルールの設定
  • • 匿名化効果の検証
匿名化プロセス
  1. データ分類:機密データの識別
  2. 秘匿化処理:秘匿化ルールを適用する
  3. 効果検証:マスキング効果を確認する
  4. AIツールを使用する:匿名化されたデータを処理する

コンプライアンス要件

関連法令を遵守し、監査とログの仕組みを構築する。

法規制の遵守

個人情報保護
  • • GDPR(EU)
  • • 個人情報保護法(中国)
  • • データ最小化の原則
  • • 目的制約の原則
財務コンプライアンス
  • • 財務データの保護
  • • 監査要件
  • • コンプライアンスチェック
業界コンプライアンス
  • • 医療データ:HIPAA
  • • 金融データ:金融規制
  • • 教育データ:FERPA

監査とログ

ツール使用ログ
  • • すべての AI ツールの使用状況を記録する
  • • データアップロード状況を記録する
  • • モデル選択の状況を記録する
API 呼び出しログ
  • • API呼び出しの時刻、内容、結果を記録する
  • • Token の使用状況を記録する
  • • コスト情報を記録する
機密データアクセスログ
  • • 機密データへのアクセス状況を記録する
  • • データの匿名化状況を記録する
  • • 承認プロセスを記録する

コンプライアンスチェック

定期的なコンプライアンスチェック
  • • 毎月のチェック:ツール使用のコンプライアンス
  • • 四半期ごとに確認:データ保護コンプライアンス
  • • 毎年確認:包括的なコンプライアンス監査
コンプライアンス問題の是正
  • • 問題を発見 → すぐに是正
  • • 是正措置 → 記録保管
  • • 改善効果 → 検証確認
コンプライアンスレポート
  • • 月次コンプライアンスレポート
  • • 四半期コンプライアンス報告書
  • • 年次監査報告書

部門横断のプライバシー保護協力

部門をまたぐ協業の規範を確立し、データの安全を確保する。

HR と財務の連携

  • データ共有の規範:どのデータを共有できるかを明確にする
  • ツール選択:データの機密度に基づいてツールを選択する
  • 承認フロー:部門をまたぐデータ利用には承認が必要

法務および財務の連携

  • 契約書レビュー:ローカルモデルを使って財務関連契約を審査する
  • コンプライアンスチェック:AIツールを使用して財務コンプライアンスをチェックする
  • ドキュメント生成:テンプレートを使って財務・法務文書を生成する

実践演習

練習の提案:

  • 1データ分類体系を策定する(Level 1-4 の定義と使用規範)
  • 2財務データ保護スキームを設計する(データ分類、利用規範、承認フロー)
  • 3HR データのプライバシー保護プロセスを構築する(データ分類、利用規範、コンプライアンス要件)
  • 4部門間の協業ルールを策定する(データ共有、ツール選定、承認フロー)
  • 5設計コンプライアンスチェックプロセス(定期チェック、問題是正、コンプライアンスレポート)

学習成果

この章を終えると、あなたは:

  • 1データ分類と保護方法を習得する(Level 1-4 データ分類体系)
  • 2財務および HR データのプライバシーを保護できる(データ分類、利用規範、承認プロセス)
  • 3コンプライアンス要件を理解する(法規制順守、監査ログ、コンプライアンスチェック)
  • 4部門横断的なプライバシー保護の協働方法(人事、財務、法務部門の連携規範)を習得する