AI導入審査に使えるプロンプト集とは|生成AI利用ルール・リスク評価・社内承認
法務実務を、記事で学ぶだけで終わらせない。
契約レビュー、ハラスメント対応、契約管理、マスキング、AI法律相談など、 目的に合わせて使える実務ツール・プロンプト集をまとめています。
AI導入審査に使えるプロンプト集とは|生成AI利用ルール・リスク評価・社内承認
ChatGPT、生成AI、AI議事録ツール、AI翻訳、AI契約レビューサービスなど、業務利用を目的としたAIサービスの導入相談が、法務・情報システム・セキュリティ・コンプライアンス部門に急増しています。「便利そうだから使う」「他社が使っているから使う」という入口で導入すると、後から個人情報・営業秘密・契約情報の取り扱いや、ベンダー側の学習利用、国外移転、再委託といった論点が課題として浮上します。
こうしたAI導入審査を効率化する場面で、AI導入審査 プロンプトやAI導入審査 ChatGPTの活用が広がっています。ただし、ChatGPTでAI導入可否を判断したり、AIサービスのリスクを自動判定したりすることはできません。AIに任せられるのは、確認事項の整理、リスク評価表のたたき台、ベンダー質問票、社内承認資料、利用ルール案といった「整理」と「言語化」の領域です。
2026年3月31日には総務省・経済産業省より「AI事業者ガイドライン第1.2版」が公表され、AIエージェントやフィジカルAIの定義が新設されるとともに、リスクベースアプローチの具体化が進められています。さらに2026年4月9日には「AI利活用における民事責任の解釈適用に関する手引き」も公表されており、AIガバナンス構築の重要性は一層高まっています。本記事では、生成AI 利用ルール・生成AI リスク評価・AI利用ガイドラインを整備する場面で、AI導入審査プロンプト集をどう使うかを実務目線で整理します。
AI導入審査では、利用目的、入力データ、利用規約、セキュリティ、社内承認資料など、整理すべき項目が多くあります。AI導入審査の確認事項整理の型を持っておきたい方は、法務AIプロンプト100選や改正法対応プロンプト集ハブもあわせて確認してください。AIサービス契約のレビューには契約書AIレビュー専用プロンプト集も活用できます。
まず結論:AI導入審査ではAIを「審査資料の下書き」と「確認事項整理」に使う
AI導入審査におけるAIの位置づけ
- 利用目的・利用部門・利用者を整理する
- 入力データの種類を分類する
- 個人情報・営業秘密・契約情報の有無を洗い出す
- 利用規約・プライバシーポリシー・DPA・セキュリティ資料の確認項目を一覧化する
- ベンダーへの質問票を作る
- リスク評価表のたたき台を作る
- 社内稟議・承認資料の構成案を作る
- 生成AI利用ルール・利用者向けガイドラインの案を作る
ただし、導入可否の最終判断、個人情報保護法上の適法性、営業秘密・秘密保持上の判断、セキュリティリスクの判断、契約締結可否、社内利用ルールの最終確定は、法務・情報システム・セキュリティ・個人情報保護担当・事業部門・責任者・必要に応じて弁護士やセキュリティ専門家が行うべき領域です。AIは判断者ではなく、確認事項を整理する補助者として位置づけてください。
図解:AI導入審査にプロンプトを使う流れ
AI導入審査は、申請受付からリスク評価、社内承認、利用開始、定期見直しまでの一連のフローで捉えると、AIに任せる工程と人間が判断する工程を分けやすくなります。
AI導入審査でChatGPTが得意なこと
AI導入審査は確認項目が広い反面、論点自体は反復性が高く、ChatGPTで「整理」と「言語化」を効率化しやすい領域です。AI SaaS 導入審査の場面でAIが得意なのは、主に以下の作業です。
利用目的・利用部門の整理
事業部門から寄せられる導入相談は、説明粒度がばらつきがちです。サービス名・想定利用部門・想定業務・出力結果の用途を伝えると、ChatGPTが利用目的整理表のたたき台を出力できます。担当者は、その表をベースに事業部門への追加ヒアリングを行えます。
入力データの分類
「このAIに入力する想定のデータは何か」を、個人情報・要配慮個人情報・営業秘密・契約情報・顧客情報・社外秘情報のカテゴリに分類するたたき台を作成できます。分類軸が共通化されることで、複数の導入審査案件を横並びで比較しやすくなります。
個人情報・営業秘密・契約情報の有無チェック
「このサービスに入力する想定の業務データに、個人情報・要配慮個人情報・営業秘密が含まれる可能性はあるか」「含まれる場合、社内のどの規程に関連するか」といったチェックを、観点リスト形式で出力できます。
利用規約・プライバシーポリシー確認項目の洗い出し
AIサービスの利用規約・プライバシーポリシー・DPAは、サービスごとに条文構成が異なります。ChatGPTには、「学習利用」「二次利用」「保存期間」「削除方法」「国外移転」「再委託」「責任制限」「サービス停止・仕様変更」など、確認すべき観点の一覧を出力させ、それを実際の規約と照合する形で使うのが現実的です。
ベンダー質問票の作成
利用規約・セキュリティ資料を読んでも明確にならない点を、ベンダーに質問する質問票を作成できます。質問項目、想定回答形式、回答を確認すべき社内部門までセットで整理することで、ベンダーとのやり取りが効率化されます。
リスク評価表のたたき台作成
AIリスク評価表として、観点(個人情報、営業秘密、契約、著作権、セキュリティ、学習利用、国外移転、再委託、アクセス権限、出力結果の利用方法、社内運用)ごとに、確認事項・想定リスク・確認資料・関係部門・追加確認事項を整理した表のたたき台を出力できます。
社内稟議・承認資料の作成
導入目的、対象業務、利用部門、想定効果、入力データ、確認済みリスク、リスク低減策、利用条件、関係部門の確認状況、承認を求める事項を構成として、稟議資料・承認資料のたたき台を作成できます。
生成AI利用ルール案の作成
ChatGPT 社内利用 ルールとして、利用可能な業務、利用禁止業務、入力禁止情報、個人情報・営業秘密の扱い、出力結果の確認、著作権・引用、社外利用、ログ・記録、違反時対応、問い合わせ先などを含む利用ルール案のドラフトを作成できます。
利用者向け注意喚起文の作成
「初めて生成AIを業務で使う方への注意」「契約書・個人情報をAIに入力する際の社内ルール」など、利用者の理解度に合わせた注意喚起文のドラフトを作成できます。
専門家相談前メモの作成
弁護士・セキュリティ専門家・外部監査人に相談する前に、論点と現時点の検討状況を整理したメモを作成できます。専門家相談の時間を、論点整理ではなく「判断」に集中させやすくなります。
AI導入審査でChatGPTに任せてはいけないこと
一方で、AI導入審査の判断責任を伴う領域は、AIに任せてはいけません。以下は、人間・関係部門が必ず判断する必要がある事項です。
導入可否の最終判断
AIサービスを導入してよいかどうかは、会社の事業判断、リスク許容度、コンプライアンス方針、業務上の必要性などを総合考慮して決まる事項です。ChatGPTが「導入してよい/いけない」と答えたとしても、それを最終判断として採用することはできません。
個人情報保護法上の適法性判断
個人情報の取得・利用・提供・委託・第三者提供・国外移転に関する適法性は、最新の個人情報保護法・施行令・施行規則・ガイドライン・Q&Aに即して判断する必要があります。2026年4月7日に閣議決定された改正法案では、課徴金制度の導入、漏えい等本人通知義務の緩和、委託先義務の見直しなどが含まれており、施行時期も含めた継続的なフォローが不可欠です。
営業秘密・秘密保持上の最終判断
営業秘密の三要件(秘密管理性・有用性・非公知性)に該当する情報をAIに入力することが、不正競争防止法上の「秘密管理性」を喪失させないかは、会社の情報管理体制を踏まえた判断が必要です。AIに最終判断はできません。
セキュリティリスクの最終判断
認証方式、暗号化、アクセスログ、ベンダーのセキュリティ認証(ISO/IEC 27001、SOC2、ISMS等)の評価、脅威分析、自社のセキュリティポリシーとの整合は、情シス・セキュリティ部門が判断する領域です。
契約締結可否の最終判断
利用規約・DPA・SLA・MSA・データ処理契約などの契約条件は、責任制限、補償、サービスレベル、データ取扱い、解除事由、準拠法・管轄など、契約全体を見渡したうえで法務が判断します。
利用規約・DPA・SLAの最終レビュー
ChatGPTは、利用規約に書かれている内容の要約や、確認項目の洗い出しはできますが、契約条項の最終評価はできません。とくにAI事業者ガイドライン第1.2版でも示されているように、AIシステムには「ハルシネーション」のリスクがあり、規約読解の結果をそのまま信用するのは危険です。
著作権侵害・生成物利用可否の最終判断
AIが生成した文章・画像・コードを、自社の業務成果物・顧客提供物として使ってよいかは、学習データ、生成プロセス、ベンダーの利用条件、生成物の独自性などを踏まえた判断が必要です。
社内利用ルールの最終確定
AIに作らせた利用ルール案は、社内規程体系(情報セキュリティポリシー、個人情報保護規程、就業規則等)との整合を取り、社内決裁を経て規程化する必要があります。AIだけで完結する作業ではありません。
機密情報・個人情報を無加工でAIに入力すること
AI導入審査の整理にChatGPTを使うこと自体に、入力情報の管理リスクがあります。実際の利用規約全文、契約書、個人情報、顧客情報、社内文書を、確認のためにそのまま外部AIへ入力することは慎重に判断してください。
図解:AI導入審査の確認領域マップ
AI導入審査は、領域ごとに確認すべき観点と担当部門が異なります。下図は、主要な確認領域と、AIで整理できること・人間が確認すべきことを一覧化したものです。
表:AI導入審査でAIに任せやすい作業・人間が判断すべき作業
| 作業 | AIに向いていること | 人間・関係部門が判断すべきこと | 注意点 |
|---|---|---|---|
| 利用目的整理 | 目的・利用部門・利用者の整理表作成 | 事業上の必要性・代替手段の検討 | 業務実態とのすり合わせ |
| 入力データ分類 | カテゴリ別分類のたたき台 | 実データの中身確認 | 個人情報・営業秘密の混入確認 |
| 利用規約確認 | 確認項目リスト、要約のドラフト | 条項評価、契約締結判断 | ハルシネーションに注意 |
| セキュリティ確認 | 観点リスト、ベンダー質問票案 | 脅威評価、社内ポリシー整合 | 情シス・セキュリティ部門の判断必須 |
| 個人情報判断 | 該当性チェック観点 | 適法性、漏えい時対応設計 | 改正法対応の継続フォロー |
| 営業秘密判断 | 入力禁止情報の例示 | 秘密管理性維持の判断 | 三要件喪失リスクの確認 |
| リスク評価表 | 観点別たたき台 | 自社リスク許容度に応じた評価 | AIの自動判定として使わない |
| ベンダー質問票 | 質問項目の整理 | 回答評価、追加交渉 | ベンダー回答の真正性確認 |
| 社内承認資料 | 稟議書ドラフト | 承認権者の決裁 | 会社所定フォーマットに調整 |
| 利用ルール案 | ガイドラインのたたき台 | 規程化・社内決裁 | 既存規程との整合 |
| 記録・定期見直し | 見直し観点リスト | 再審査・契約見直し判断 | ベンダー仕様変更の継続把握 |
AI導入審査プロンプトに入れるべき前提条件
同じ「AI導入審査を整理して」というプロンプトでも、前提条件をどう与えるかでアウトプットの質が大きく変わります。AI導入 チェックリストを作成する際は、以下の前提条件を必ずプロンプトに含めてください。
| 前提条件 | 記載例 | 含める意義 |
|---|---|---|
| AIサービス名・種類 | 生成AI/AI SaaS/AI議事録/AI翻訳/AI検索/AI契約レビュー 等 | サービス類型に応じた観点が出力される |
| 利用目的 | 業務効率化/文書作成/検索/要約/分析/顧客対応 等 | 必要な確認項目の重点が変わる |
| 利用部門 | 法務/営業/人事/開発/管理部門 等 | 関係部門の調整先が変わる |
| 入力データ | 個人情報/営業秘密/契約情報/顧客情報/社外秘情報 等 | リスク観点の重み付けが変わる |
| ベンダー情報 | 利用規約/プライバシーポリシー/DPA/セキュリティ資料/再委託先 等 | 確認資料との照合がしやすい |
| 確認したい事項 | 学習利用/外部送信/保存期間/国外移転/アクセス権限/ログ管理 等 | 論点の漏れを防げる |
| 出力形式 | 確認表/リスク評価表/ベンダー質問票/稟議資料/利用ルール案 等 | 必要なフォーマットで作成される |
| 注意事項 | 導入可否判断はしない/関係部門確認前提/個人情報はマスキング前提 等 | 誤誘導や事故を避けるガードになる |
利用目的・利用データをAIで整理する方法
AI導入審査の入口で最も重要なのは、「何のために、何を入力するAIか」を明確にすることです。同じChatGPTでも、社内FAQ用途と顧客対応用途、契約書レビュー用途では、考慮すべきリスクが全く違います。生成AI 社内ルールを作る際にも、この入口の整理が前提になります。
利用目的・利用データの整理プロンプトには、以下の観点を含めてください。
- 誰が使うのか(部門・職位・人数)
- 何の業務で使うのか(具体的業務名)
- 何を入力するのか(テキスト、ファイル、画像、音声等の種別)
- 何が出力されるのか(要約、翻訳、分析、ドラフト文書等)
- 出力結果をどう利用するのか(社内のみ/顧客提供/外部公開)
- 利用頻度・件数の想定
- 失敗・誤出力時の影響範囲
これらをChatGPTに整理表として出力させると、事業部門・法務・情シスが同じ前提で議論しやすくなります。
個人情報・営業秘密・契約情報の確認にAIを使う方法
AIに入力するデータに、個人情報・営業秘密・契約情報・顧客情報・社外秘情報が含まれるかは、AI導入審査の根幹です。各カテゴリの確認観点をChatGPTに整理させると、自社内で抜け漏れチェックがしやすくなります。
- 個人情報(氏名、メールアドレス、社員番号、ID等)
- 要配慮個人情報(病歴、信条、犯罪歴等)
- 顧客情報(取引先名、購買履歴、契約条件等)
- 営業秘密(製造ノウハウ、顧客リスト、価格戦略等)
- 契約書・価格情報・社外秘資料
- 従業員情報(人事評価、給与、健康情報等)
- 第三者から預かった機密情報(NDA対象情報)
これらの分類軸を「入力データ分類表」として整理しておくと、複数のAIサービス導入案件を横並びで比較しやすくなります。実際の入力データ確認時には、サンプルデータを匿名化したうえで参照することが望ましく、その手前で、第26話「ChatGPTに契約書を入れる前のチェックリスト」で扱う前処理の考え方とも接続します。
利用規約・プライバシーポリシー・DPAの確認にAIを使う方法
AIサービスの利用規約・プライバシーポリシー・DPA(データ処理契約)は、ベンダー・サービスごとに表現や構成が異なります。AIサービス 利用規約 確認の場面では、ChatGPTを「確認項目のチェックリスト生成」「規約の要約」「論点抽出」に使い、契約判断は法務が行う設計が現実的です。
必ず確認すべき主要観点
- 学習利用の有無:入力データがAIモデルの学習に使われるか、明示的にオプトアウトできるか
- 二次利用の範囲:サービス改善、統計利用、第三者提供などへの利用範囲
- 保存期間:入力データ・出力データの保存期間、サービス解約後の保管
- 削除方法:ユーザーが削除を求めた場合の対応、削除完了の保証
- 国外移転:データ処理拠点、データセンター所在地、GDPR対応、個人情報保護法28条対応
- 再委託:処理委託先の有無、再委託先の管理体制
- 責任制限:損害賠償の上限、間接損害の除外、補償の有無
- サービス停止・仕様変更:通知期間、代替手段、データ取り出し
- 準拠法・紛争解決:海外法・海外裁判所が指定されていないか
これらの観点をChatGPTにチェックリストとして出力させ、実際の規約と一行ずつ照合する作業は、法務担当者が必ず行う必要があります。AIの規約読解結果をそのまま社内に共有することは、ハルシネーションの観点からも避けてください。
AIサービスの導入では、利用規約、DPA、SLA、責任制限、データ利用条件などの確認も重要です。AIサービス契約やクラウド契約のレビュー型を揃えたい場合は、契約書AIレビュー専用プロンプト集もあわせてご確認ください。網羅的な法務AI活用を一気に揃えたい方は、法務AIプロンプト100選も参考になります。
セキュリティ・アクセス権限の確認にAIを使う方法
セキュリティ観点は、情シス・セキュリティ部門の領域ですが、法務担当者やAI導入審査担当者が「最低限確認すべきこと」を整理する場面で、ChatGPTは役立ちます。観点リストを作り、情シスにレビュー・回答してもらうフローを設計するイメージです。
- 認証方式(ID/パスワード、SSO、MFA、SAML、OIDC)
- アカウント管理(個別アカウント/共有アカウント、ライセンス管理)
- ログ管理(操作ログ、アクセスログ、保管期間、改ざん防止)
- 権限設定(ロール設計、最小権限原則、管理者権限の範囲)
- データ保存(保存場所、データセンター所在地、バックアップ)
- 暗号化(通信暗号化、保存時暗号化、鍵管理)
- インシデント対応(ベンダーの通知体制、自社の対応フロー)
- 退職者・異動者の権限削除(自動連携、定期棚卸し)
- セキュリティ認証の有無(ISO/IEC 27001、SOC2、ISMS、ISMAP等)
これらの観点を質問票化し、ベンダー回答と自社のセキュリティポリシーを照合する作業は、情シス・セキュリティ部門が判断する領域です。AIに最終判定をさせる設計は避けてください。AI事業者ガイドライン第1.2版でも、リスクベースアプローチの具体化や、AIエージェント・フィジカルAIに関するリスク整理が示されており、自社のリスク管理体制と照らし合わせて参照する価値があります。
図解:AI導入審査のリスク評価マップ
下記は、AI導入審査でよく確認される論点をカード型に整理したものです。色分けは「高リスク/中リスク/低リスク」を機械的に判定するためではなく、観点を見落とさないためのガイドとしてご利用ください。実際のリスク評価は、自社のリスク許容度・利用目的・入力データに応じて、人間・関係部門が行います。
生成AI利用ルール・ガイドラインをAIで作る方法
AI利用ガイドラインは、社内向けの「やってよいこと/やってはいけないこと」を明示する文書です。ChatGPTにはガイドラインのたたき台を作らせ、規程化・社内決裁は人間が行います。盛り込むべき項目の例は以下のとおりです。
- 入力禁止情報(個人情報、要配慮個人情報、営業秘密、NDA対象情報、契約金額、顧客識別情報等)
- 利用可能な業務(社内向け文書ドラフト、要約、翻訳、調査メモ等)
- 利用禁止業務(顧客への自動回答、人事評価判断、法的判断の最終確定等)
- 出力結果の確認(必ず人間がレビューしてから利用)
- 著作権・引用(生成物の利用範囲、第三者著作物への配慮)
- 個人情報・営業秘密の扱い(入力前の確認、マスキング、社内ルール)
- 社外利用・顧客対応での扱い(生成物の開示可否、AI利用の明示)
- ログ・記録(業務記録、社内監査対応)
- 違反時対応(報告ルート、懲戒、再発防止)
- 問い合わせ先(法務・情シス・コンプライアンス)
AIに作らせたルール案は、既存の情報セキュリティポリシー、個人情報保護規程、就業規則、内部通報規程と整合させる必要があります。規程化は、必ず法務・情シス・人事・コンプライアンス部門の確認を経て行ってください。
社内承認資料・稟議資料をAIで作る方法
AIサービス導入の稟議書・承認資料は、承認権者が短時間で判断できるよう、論点が整理されている必要があります。ChatGPTで作成するたたき台の構成は、以下が基本です。
- 導入目的(解決したい業務課題)
- 利用範囲(対象部門・対象業務・対象者)
- 想定効果(定量・定性)
- リスク(個人情報、営業秘密、セキュリティ、契約、運用)
- 対応策(リスク低減のための条件付け、ガイドライン整備)
- 費用(初期費用・継続費用・代替案との比較)
- 管理体制(運用責任者、ログ確認体制、見直しサイクル)
- 承認条件(マスキング徹底、利用部門限定、定期再審査等)
稟議書のフォーマットは会社ごとに異なるため、AIに作らせたドラフトは、自社の所定フォーマットへの落とし込みが必要です。承認権者が判断しやすいよう、論点を1〜2ページで簡潔にまとめる工夫も有効です。
ベンダー質問票をAIで作る方法
利用規約・プライバシーポリシー・セキュリティ資料を読んでも不明な点は、ベンダーに質問する必要があります。質問票のドラフトをChatGPTに作らせ、回答後に法務・情シス・セキュリティが評価する流れを設計してください。質問項目の例は以下のとおりです。
- 入力データの利用目的(サービス提供、改善、学習、第三者提供等)
- 学習利用の有無(オプトアウト可否、対象データの範囲)
- 保存期間(入力・出力・ログそれぞれ)と削除方法
- 再委託先の有無、所在地、管理体制
- 国外移転(処理拠点、データセンター所在地)
- セキュリティ認証(ISO/IEC 27001、SOC2、ISMS、ISMAP等)
- インシデント対応(検知、通知、復旧、補償)
- 監査・ログ提供(顧客への監査権、ログ閲覧)
- サービス停止・終了時のデータ取り扱い
- 契約条件(解除事由、責任制限、補償、準拠法)
各質問には、想定回答形式(自由記述/選択式/資料提示)と、回答を確認すべき社内部門を併記しておくと、ベンダー回答後の社内処理がスムーズになります。
図解:AI導入審査のプロンプト活用フロー
AI導入審査では、1つの大プロンプトで全てを出力させるのではなく、段階的にプロンプトを使い分けることで品質と再利用性を高められます。以下は標準的なフローです。
表:AI導入審査の場面別AI活用例
| 審査場面 | AIで作れるもの | 人間・関係部門が確認すべきこと | 専門家確認が必要になりやすい場面 |
|---|---|---|---|
| 利用目的整理 | 目的整理表、利用部門マッピング | 事業上の必要性、代替手段 | 業務基幹システムに組み込む場合 |
| 入力データ分類 | カテゴリ別分類表 | 実データの中身確認 | 要配慮個人情報を扱う場合 |
| 個人情報確認 | 該当性チェック観点 | 適法性、本人同意、利用目的 | 国外移転・第三者提供を伴う場合 |
| 営業秘密確認 | 該当性チェック観点 | 秘密管理性維持の判断 | 研究開発情報・顧客リストを扱う場合 |
| 利用規約確認 | 確認項目リスト、要約ドラフト | 条項評価、契約締結判断 | 海外ベンダー・準拠法が海外法の場合 |
| セキュリティ確認 | 観点リスト、質問票案 | 脅威評価、ポリシー整合 | 機密性の高いデータを扱う場合 |
| ベンダー質問票 | 質問項目の整理 | 回答評価、追加交渉 | セキュリティ認証の評価が必要な場合 |
| リスク評価表 | 観点別たたき台 | リスク許容度に応じた評価 | 金融・医療・行政分野等の高リスク領域 |
| 社内承認資料 | 稟議書ドラフト | 承認権者の決裁 | 取締役会付議が必要な大規模導入 |
| 利用ルール案 | ガイドラインのたたき台 | 規程化・社内決裁 | 規程改正・労働組合協議が必要な場合 |
AI導入審査で使えるプロンプト例1:利用目的・入力データ整理
まずは導入相談の入口で、利用目的・入力データを整理するプロンプトです。導入可否の判断はAIにさせず、不明点は【要確認】として明示させてください。
あなたは企業法務担当者を支援する立場です。
以下のAIサービス導入相談について、利用目的、利用部門、利用者、
入力予定データ、出力結果の利用方法、想定されるリスク、追加確認事項を整理してください。
【AIサービス名】{サービス名}
【ベンダー】{ベンダー名}
【種類】{生成AI/AI SaaS/AI議事録/AI翻訳/AI契約レビュー 等}
【利用部門・想定利用者】{部門・職位・人数}
【想定業務】{具体的な業務名}
【入力予定データ】{テキスト、ファイル、画像、音声 等の概要}
【出力結果の用途】{社内のみ/顧客提供/外部公開}
【出力形式】
表形式で、以下の列を含めること。
- 観点
- 整理した内容
- 想定されるリスク
- 追加確認事項
【前提】
- 導入可否の判断は行わないこと
- 不明点は【要確認】として明示すること
- 個人情報・営業秘密・契約情報の有無は最初に確認すること
- 法的判断は法務、セキュリティ判断は情シス・セキュリティ部門が行う前提とすることAI導入審査で使えるプロンプト例2:リスク評価表作成
利用目的・入力データが整理できたら、リスク評価表のたたき台を作成します。観点別に網羅的に整理することがポイントです。
以下のAIサービス導入案件について、リスク評価表のたたき台を作成してください。
【サービス概要】{サービス名、ベンダー、利用目的}
【利用部門・利用者】{部門・人数}
【入力データ】{個人情報の有無、営業秘密の有無、契約情報の有無 等}
【ベンダー情報】{所在国、再委託先、セキュリティ認証 等}
【観点】
- 個人情報
- 営業秘密
- 契約情報
- 著作権
- 学習利用
- 国外移転
- 再委託
- セキュリティ
- アクセス権限
- 出力結果の利用方法
- 社内運用
【各観点の整理項目】
- 確認事項
- 想定されるリスク
- 確認資料(利用規約、DPA、セキュリティ資料、ベンダー回答 等)
- 関係部門(法務、情シス、セキュリティ、個人情報担当 等)
- 追加確認事項
【前提】
- 導入可否の結論は出さないこと
- リスクの高低判定はAIが自動で行わず、観点と確認事項を整理するに留めること
- 関係部門の人間が最終判断する前提で作成することAI導入審査で使えるプロンプト例3:ベンダー質問票作成
不明点はベンダーに直接確認することが、AI導入審査の品質を高めます。質問票は、回答後の社内処理まで見通して設計してください。
以下のAIサービスについて、ベンダーに確認すべき質問票を作成してください。
【サービス概要】{サービス名、ベンダー、利用目的}
【質問項目】
- 入力データの利用目的
- 学習利用の有無(オプトアウトの可否)
- データ保存期間(入力/出力/ログ)
- 削除方法(ユーザー削除要請への対応)
- 国外移転(処理拠点、データセンター所在地)
- 再委託(再委託先の有無、所在地、管理体制)
- セキュリティ対策(暗号化、認証方式)
- アクセス管理(権限設計、SSO、MFA)
- ログ管理(操作ログ、保管期間、改ざん防止)
- インシデント対応(検知、通知、復旧、補償)
- 契約条件(解除事由、責任制限、補償、準拠法)
【各質問の付帯情報】
- 想定回答形式(自由記述/選択式/資料提示)
- 回答を確認すべき社内部門
- 回答が不十分な場合の追加確認事項
【前提】
- 質問はベンダーが回答しやすいよう、論点ごとに番号を振ること
- 業務上必須でない項目は「参考情報」として分けることAI導入審査で使えるプロンプト例4:社内承認資料作成
承認権者が短時間で判断できるよう、論点が整理された稟議資料を作るためのプロンプトです。
以下のAIサービス導入案件について、社内承認資料のたたき台を作成してください。
【サービス概要】{サービス名、ベンダー、利用目的、対象業務、利用部門}
【構成】
1. 導入目的(解決したい業務課題)
2. 対象業務・利用部門・利用者
3. 想定効果(定量・定性)
4. 入力データ(個人情報・営業秘密・契約情報の有無)
5. 確認済みリスク(観点別)
6. リスク低減策(条件付け、ガイドライン整備、教育 等)
7. 利用条件(マスキング、利用部門限定、承認制 等)
8. 関係部門の確認状況(法務・情シス・セキュリティ・個人情報担当)
9. 費用(初期・継続・代替案との比較)
10. 管理体制(運用責任者、ログ確認体制、見直しサイクル)
11. 承認を求める事項
【前提】
- 導入可否の判断は行わず、承認者が確認しやすい形にすること
- 1〜2ページで読み切れる分量にすること
- 不明点は【要確認】として明示することAI導入審査で使えるプロンプト例5:生成AI利用ルール案作成
社内向けの生成AI利用ガイドライン案を作成するプロンプトです。最終的な規程化は人間が行う前提で出力させてください。
社内向けの生成AI利用ルール案を作成してください。
【会社情報】{業種、規模、対象サービス(ChatGPT、Copilot等)}
【利用想定部門】{全社/法務・人事・営業・開発 等}
【ルール案に含める項目】
- 利用可能な業務
- 利用禁止業務
- 入力してはいけない情報(個人情報、要配慮個人情報、営業秘密、NDA対象情報、契約金額、顧客識別情報 等)
- 個人情報・営業秘密の扱い
- 出力結果の確認(必ず人間がレビュー)
- 著作権・引用(生成物の利用範囲、第三者著作物への配慮)
- 社外向け利用時の注意(生成物の開示、AI利用の明示)
- ログ・記録(業務記録、社内監査対応)
- 違反時対応(報告ルート、懲戒、再発防止)
- 問い合わせ先(法務・情シス・コンプライアンス)
【前提】
- 最終的な社内規程化は法務・情シス・関係部門が確認する前提で作成すること
- 既存の情報セキュリティポリシー・個人情報保護規程・就業規則と整合させる前提で書くこと
- 利用者が読んで実行できる、平易な日本語にすることAI出力をAI導入審査資料として使う前のチェックポイント
AIが出力したAI導入審査資料は、必ず以下のチェックリストに沿って人間が確認してから社内展開・承認手続に回してください。
- 利用目的が明確に整理されているか
- 入力データの種類が整理されているか
- 個人情報・営業秘密・契約情報の有無を確認したか
- 利用規約・プライバシーポリシー・DPAを確認したか
- 学習利用・二次利用・保存期間・削除方法を確認したか
- 国外移転・再委託の有無を確認したか
- セキュリティ資料・アクセス権限・ログ管理を確認したか
- 情シス・セキュリティ・個人情報保護担当の確認を受けたか
- 社内利用ルール・教育・記録化までの設計があるか
- 定期見直し・再審査の運用が決まっているか
- 必要に応じて弁護士・セキュリティ専門家の確認を受ける前提になっているか
- 承認権者が確認しやすい形式・分量になっているか
AI導入審査とマスキングの関係
AI導入審査の過程では、契約書、個人情報、顧客情報、営業秘密、価格情報、社外秘資料、社内相談内容などを扱うことが頻繁にあります。AIサービスに実データを入力して試す(PoC・トライアル)場合は、もちろん入力データの取り扱いに注意が必要ですが、それだけでなく、AI導入審査の整理そのものをChatGPT等で行う場合も、入力情報のリスクを意識する必要があります。
たとえば、ベンダーから受領した契約書ドラフトをそのままChatGPTに貼り付けて要約させると、貼り付けた契約書の内容が外部サービスに送られることになります。利用規約・DPA・ベンダー資料も同様です。AI導入審査の整理時には、以下のような情報のマスキング・抽象化を行ってください。
- ベンダー名・サービス名(識別不能な抽象化)
- 契約金額・取引条件
- 関係者・担当者の個人名
- 具体的な顧客名・取引先名
- 営業秘密・ノウハウに該当しうる業務固有情報
AI導入審査では、契約書、個人情報、顧客情報、営業秘密、価格情報、社外秘資料などを扱うことがあります。AI入力前に伏せたい情報を整理したい場合は、LegalOS マスキングのような前処理ツールを使う方法もあります。AI導入審査の案件管理・承認証跡を整理したい場合は、LegalOSシリーズもあわせてご確認ください。
AI導入審査プロンプト集を使うメリット
AI導入審査は、論点が広く、毎回ゼロからプロンプトを組み立てると非効率です。AI導入審査プロンプト集として整備されたテンプレートを使うと、以下のような効率化が見込めます。
- 利用目的整理、入力データ分類、リスク評価表、ベンダー質問票、社内承認資料の型をそろえやすい
- 法務・情シス・セキュリティ・事業部門の確認事項を明確に分けやすい
- 一人法務・少人数法務でも、AI導入審査の初動整理が標準化される
- 複数のAIサービス導入案件を、横並びで比較しやすい
- 担当者交代時の引継ぎがしやすい
- 利用ルール改定・年次見直し時にも型として再利用できる
プロンプト集は「正解を出す魔法」ではなく、「AI導入審査の確認事項・承認資料作成の型」として位置づけてください。AIに任せる範囲と人間が判断する範囲が明確になり、結果として審査品質が安定します。
AI導入審査プロンプト集が向いている人・向いていない人
| 区分 | 具体的な特徴 |
|---|---|
| 向いている人 |
・社内でAIサービス導入相談を受けることがある ・生成AI利用ルール・AI利用ガイドラインを整備したい ・AI導入のリスク評価表やベンダー質問票を作りたい ・法務・情シス・セキュリティ・個人情報担当の確認事項を整理したい ・一人法務・少人数法務でAI導入審査の型がほしい ・複数のAIサービスを横並びで比較したい ・AIガバナンス構築の初動を進めたい |
| 向いていない人 |
・AIをほとんど使わない/使う予定がない ・AI導入可否をAIに判断させたい ・利用規約・個人情報・セキュリティ確認を省略したい ・機密情報・個人情報を無加工で外部AIに入力する運用を考えている ・社内ルール整備や利用者教育を行うつもりがない ・記録化・定期見直しの運用を作らないまま導入したい |
注意点:AI導入審査では「使うAI」と「入力する情報」を分けて考える
AI導入審査でよくある誤解は、「このAIサービスは安全か/危険か」という二択でAIサービスを評価しようとすることです。実際は、AIサービスそのものの仕様と、自社が何を入力するかは、別の軸で評価する必要があります。
- 提供事業者の信頼性
- セキュリティ認証の有無
- 利用規約・DPA・SLA
- 学習利用・二次利用
- 国外移転・再委託
- サービス継続性
- 個人情報・要配慮個人情報の有無
- 営業秘密・ノウハウの有無
- 顧客情報・契約情報の有無
- NDA対象情報の有無
- 社外秘・機密区分
- マスキング・匿名化の可否
同じChatGPTを使う場合でも、社内向けFAQの下書きに使うのか、顧客向けの契約書ドラフトに使うのか、人事情報の分析に使うのかで、リスクの種類と重さは全く異なります。「サービス側の安全性」と「入力情報の機密性」を別軸で評価し、その掛け算で利用条件を設計することが、AI導入審査の基本です。
また、利用開始後も、ベンダー側の仕様変更、利用規約改定、社内利用範囲の拡大、社内インシデントの発生に応じて、定期的な再審査が必要です。重要案件・高リスク案件では、弁護士・セキュリティ専門家による外部レビューも検討してください。
AI導入審査の型で、確認・承認・利用ルールを揃える
AI導入審査の利用目的整理、入力データ分類、リスク評価表、ベンダー質問票、社内承認資料を効率化したい方は、法務AIプロンプト100選をご活用ください。AIサービス契約・クラウド契約のレビューには契約書AIレビュー専用プロンプト集、改正法対応・AIガバナンス関連の動向反映には改正法対応プロンプト集ハブもあわせてご確認ください。AI入力前のマスキングが必要な場合はLegalOS マスキング、案件管理・承認証跡の整理にはLegalOSシリーズも活用できます。
まとめ
- AI導入審査では、ChatGPTを利用目的整理、入力データ分類、利用規約確認項目、リスク評価表、ベンダー質問票、社内承認資料、利用ルール案作成に使える
- ただし、導入可否、契約締結、セキュリティ承認、個人情報対応の最終判断は、法務・情シス・セキュリティ・個人情報担当・事業部門・責任者・必要に応じて弁護士やセキュリティ専門家が行う
- 利用規約、プライバシーポリシー、DPA、セキュリティ資料、入力データ、利用ルールを確認する必要がある
- 「使うAIサービスの仕様」と「入力する情報の内容」を別軸で評価し、その掛け算で利用条件を設計する
- 2026年は、AI事業者ガイドライン第1.2版(3月31日公表)、AI利活用における民事責任の解釈適用に関する手引き(4月9日公表)、個人情報保護法改正案(4月閣議決定)など、AIガバナンス関連の動きが活発であり、継続的なフォローが必要
- AI導入審査プロンプト集を使うと、確認事項・リスク評価・承認資料の型をそろえやすく、法務・情シス・セキュリティの連携も効率化できる
- 次回(第26話)は「ChatGPTに契約書を入れる前のチェックリスト|個人情報・営業秘密・NDA情報をどう扱うか」を解説する予定です
🔍 関連ガイドへ進む
この記事と関連度の高い実務ガイドをまとめています。次に読むならこちら。
記事で学んだ実務を、そのまま使える道具にする。
法務実務にそのまま投入しやすいAIプロンプト集に加え、 契約受付、契約管理、過去相談検索、契約書整形、マスキングまで、 LegalOSシリーズも順次公開しています。
