生成AIの検討フェーズはもう終わり 情シスが導入を成功させる「7つの勘所」

情シスは生成AIの導入、活用をいかに戦略的かつ安全に進めるかという難題に直面しています。情シスが生成AIを導入をするための「7つの勘所」を紹介します。

[久松 剛，エンジニアリングマネージメント]

情シス百物語

「IT百物語蒐集家」としてITかいわいについてnoteを更新する久松氏が、情シス部長を2社で担当した経験を基に、情シスに関する由無し事を言語化します。

　「ChatGPT」をはじめとする生成AIの登場により、社内文書や議事録の作成、問い合わせ対応など、“人を雇う前にAIを試す”という選択肢が現実味を帯びてきました。私はマイクロ法人を経営しており、「人を増やしたいと思ったらまずはAIでできないかどうかを調査する」という習慣付けをしています。

　「生成AIを導入すべきかどうか」という問いはもはや時代遅れになりつつあります。キーマンズネットが2025年2月に実施した読者アンケートでも、半数の企業で生成AIの利用が進んでいることが分かりました。

　こうした中で、企業の情報システム部門（情シス）は生成AIの導入、活用をいかに戦略的かつ安全に進めるかという難題に直面しています。生成AIの可能性を認めつつも、情報漏えいや誤用のリスクを抑えるための「現実的なルール設計」と「段階的な導入」が求められているのです。

情シスが生成AI導入を成功させる「7つの勘所」

　以降では、情シスが生成AIを導入をするための「7つの勘所」を紹介します。安全で効果的な生成AIの導入を成功させましょう。

1．導入前に明確化すべき「方針と目的」

　生成AI導入の第一歩は、「なぜ導入するのか」「何に使うのか」を明文化することです。例えば以下のような活用例が想定されます。

• 社内ナレッジの蓄積と検索
• マニュアルや手順書の自動生成と翻訳
• 社内申請や報告書のたたき台の作成
• 社内資料をベースにしたプレゼンテーション資料のたたき台の作成
• プログラムのレビューやバグの修正

　「取りあえず生成AIを導入し、後から考える」ではなく、用途と対象業務を絞り込むことが成功の鍵になります。生成AIサービスを選定する上での指針にもなるでしょう。

2．セキュリティと契約の視点は情シスの要

　生成AI導入において最も注意すべきは情報セキュリティです。クラウドサービスを利用する場合、入力した情報がベンダーのシステムに保存、学習される可能性があり、機密情報や個人情報の漏えいリスクが生じます。このため以下のような対策が推奨されます。

• 「Azure OpenAI」や「AWS Bedrock」など、閉域ネットワーク型生成AIの利用
• 入力内容を制限するルール設定（例：　顧客名、評価情報の入力禁止）
• 利用ログの保存と監査対応
• 学習データに使われないことを前提としたSaaSの選定

　まずはPoC（概念実証）として小規模で導入して成果とリスクを見極めるといった現実的なアプローチが推奨されます。

　契約期間にも注意が必要です。2025年現在における生成AIサービスの進化はとても早いため、より優位なソリューションが登場する可能性が高く、サービス終了の可能性もあるでしょう。1年を超えた契約は慎重に検討すべきです。

3．社内ユーザー教育とガバナンスの重要性

　どれだけ高機能なツールであっても、使い方を誤ればトラブルの原因になります。以下の教育と運用設計が不可欠です。

• ハルシネーション（AIによる誤情報生成）への注意喚起と検証手順
• プロンプト設計の基本（効果的な指示方法）
• 入力してよい情報、禁止の情報の明確なルール
• 仕様変更やモデルのアップデートへの継続的な教育体制

　特に「評価情報」や「従業員に関する記述」の入力には細心の注意が必要です。生成内容が第三者に流出した場合、重大なコンプライアンス問題につながります。

4．導入・運用における「責任範囲の明確化」

　生成AIの導入、運用に当たっては、情シスだけでなく関係部門や経営層も巻き込んだ「責任範囲の明確化」が欠かせません。

　生成AIは単なるツールではなく、業務そのものに踏み込みます。技術管理は情シスが担う一方で、利用目的の明確化や業務適用範囲の管理は各部門の責任、導入に対する意思決定やリスク承認は経営層の役割と位置付けるべきです。以下のような分担が考えられます。

• 情報システム部門：　技術選定、セキュリティ対策、ガイドライン策定、利用ログ監査
• 各業務部門：　業務適用範囲の決定、日常的な運用と一次対応、現場フィードバック
• 経営層：　生成AI導入に伴うリスク承認、予算配分、全社ガバナンス体制の整備

　このように、導入前に関係者間で責任範囲を明文化することで、PoCから正式導入にスムーズに移行しやすくなります。

5．社内に潜在化する「野良AI利用」

　実態として既に一部の従業員が個人アカウントでChatGPTなどを利用しているケースも多いでしょう。こうした“野良AI”利用が進行している可能性を情シスは認識すべきです。

　野良AIを放置すると、情報漏えいリスクや情シスの統制機能の形骸化を招きます。現場の創意工夫を尊重し、安全な環境を整える仕組み作りが求められます。

6．PoCから始めて、成功事例をつくる

　予算に余裕のある企業であれば、全社に対して一斉に有償アカウントを配布するケースも見られます。一般的には、全社展開に先立ち、まずはPoCとしてスモールスタートすることが効果的なこともあるでしょう。

• 限定された業務や部署での試験導入
• 成果の可視化（作業時間削減、品質向上など）
• ルールや教育体制の仮設計と検証
• 経営層へのレポートと次フェーズへの合意形成

　PoC段階で効果や課題、ルールの明確化をすることで、全社展開時の混乱を最小限に抑えられます。成功事例は横展開の強力な後押しにもなります。

　また、単に導入するだけでなく、利用率のモニタリングも重要です。利用している部門がITエンジニアの部署であっても私用に踏み出せていなかったり、業務フローが変わることを恐れたり、生成AIに対する指示が下手で有効利用できなかったり、あれこれ理由をつけて使用しなかったりする企業を散見します。自身の仕事がなくなる恐怖心から意識的に拒否するパターンも見られます。

　一般に新たな技術導入では、最初に使い始める層（イノベーター、アーリーアダプター）は全体の約16％程度とされています（イノベーター理論より）。このため、PoC対象者のうち1〜2割が積極的に活用していれば成功と見なしてよいでしょう。

　以下のようなモニタリング結果を基に、ルールや教育内容をブラッシュアップすることで、次フェーズへの展開がよりスムーズになります。

• 定期的な利用率チェック（週次、月次など）
• 利用者からのフィードバック収集
• 使われない場合の原因分析（ツールの問題か、教育不足か）

　利用率が低かったり従業員のフィードバックがネガティブだったりする場合、他のソリューションへの移行も検討しましょう。

情シスが担うべき「生成AIの旗振り役」

　情シスは単なる技術導入部門ではありません。生成AIの導入は業務変革そのものですルールや契約、教育、セキュリティまでをトータルに設計し、社内変革の旗振り役として機能することが求められます。

　生成AIの導入はもはや無視できる段階ではありません。「導入する／しない」ではなく、「どう安全に、どう効果的に導入するか」が問われる時代です。情シスが戦略的に先手を打つことは、企業全体の競争力強化にも直結します。攻めの姿勢で臨んでほしいと思います。

著者プロフィール：久松 剛（エンジニアリングマネージメント　社長）

　エンジニアリングマネージメントの社長兼「流しのEM」。博士（政策・メディア）。慶應義塾大学で大学教員を目指した後、ワーキングプアを経て、ネットマーケティングで情シス部長を担当し上場を経験。その後レバレジーズで開発部長やレバテックの技術顧問を担当後、LIGでフィリピン・ベトナム開発拠点EMやPjM、エンジニア採用・組織改善コンサルなどを行う。

　2022年にエンジニアリングマネージメントを設立し、スタートアップやベンチャー、老舗製造業でITエンジニア採用や研修、評価給与制度作成、ブランディングといった組織改善コンサルの他、セミナーなども開催する。

Twitter : @makaibito