生成AIの全社導入とガバナンス整備

金融事業を営む中で、生成AIを全社的に活用して生産性を高めたいニーズがあった。一方で、個人情報保護法・社内規程・機密情報の取り扱いを厳格に守る必要があり、無秩序な利用はコンプライアンス上のリスクとなる環境だった。

• 個人情報保護法・社内規程との整合
• 機密情報の外部送信リスクの管理
• J-SOX IT全般統制（ITGC）・FISC安全基準への準拠
• 内部監査対応と指摘への是正

「使わせない」ではなく「安全に使わせる」方針を採用。利用ガイドラインの策定と権限・ログ設計を先行させ、入力プロンプトの全量モニタリング基盤を整備。統制を担保したうえで、業務自動化を段階的に全社展開した。

Claude / OpenAI API と AWS を中心に、複数の生成AI業務システムを構築・運用：①既存システムの仕様書の全自動生成、②通話録音の文字起こし＋LLMによる一次評価の自動化、③社員の生成AI入力プロンプトの全量モニタリング、④顧客問い合わせの一次回答、⑤J-SOX ITGC・FISC安全基準アセスへの回答生成ハーネス、⑥非上場企業の情報収集自動化。

• 統制を保ったまま全社で生成AIを活用できる体制を確立
• 複数業務の自動化により運用工数とコストを削減
• 入力プロンプトの全量モニタリングで機密情報の取り扱いリスクを可視化・管理
• 内部監査の指摘に対応・是正を完了

生成AIのガバナンスは「禁止」より「安全に使える設計」が本質。統制と活用は二者択一ではなく、ログ・権限・モニタリングを先に整えることで両立できる。