活用事例DX推進AI利用ガイドラインガバナンス

社内の AI 利用申請が、AI 利用ガイドラインに沿っているか AI にチェックさせてみた

現場から上がってくる生成 AI の利用申請を、社内 AI 利用ガイドライン・個人情報の取扱い・機密区分と照合。リスク区分の判定や禁止用途の抵触を根拠つきで自動仕分けしました。

ININDX 編集部プロダクトチーム｜2026年5月18日｜約7分で読めます

「現場から届いた AI 利用申請、ガイドラインのどこに引っかかるか毎回一から読み込んでいる——」。DX 推進室の審査担当者が口を揃えるこの悩みを、INDX Compliance で実際に解いてみました。本物の操作画面とともにご紹介します。

背景

「AI 利用申請の審査」は、なぜこんなに属人化するのか

ある企業の DX 推進室では、現場部門からの生成 AI 利用申請が月に数十件届くようになりました。申請書には利用目的・使用ツール・入力データの種類が書かれていますが、それが社内の AI 利用ガイドラインや個人情報保護法・機密区分規程に照らして問題ないかを、審査担当者が 1 件ずつ目視で判断しています。

ガイドライン文書は複数あり、「禁止用途」「リスク区分」「機密情報の取扱い」が別々のページに散らばっています。条文の解釈は担当者によってぶれ、可否の判断基準が属人化しているのが実情です。審査が特定の担当者に集中し、ボトルネックになっていました。

ぶつかっていた課題

現場からの AI 利用申請が急増し、審査が特定の担当者に集中してボトルネック化していた
ガイドラインの解釈が人によってぶれ、同じ申請でも可否判断が担当者次第になっていた
機密情報の入力など禁止用途の見落としが、そのまま情報漏えいリスクに直結していた
なぜ却下・条件付き承認にしたのか根拠が残らず、後から説明を求められると困っていた

01やってみた

チェックしたいことを、ふつうの日本語で伝えるだけ

まず、難しい設定は一切しません。「申請がガイドラインや禁止用途に抵触していないか、根拠つきで確認したい」と、ふだん上司に説明するような言葉で入力しました。すると AI が、確認すべき手順（チェックの観点）を自動で組み立ててくれます。

app.indx-compliance.com/start/draft

管

あなたが入力した指示（自然文でOK）

「現場から上がってきた生成 AI の利用申請が、社内の AI 利用ガイドラインや個人情報の取扱い、機密区分の規程に沿っているか確認したい。リスク区分や禁止用途への抵触を根拠つきでチェックして。」

AI がチェック手順を自動生成draft · 4 ステップ

01ガイドラインと関連規程を取り込み
AI 利用ガイドライン・個人情報保護法・機密区分規程を対象に取り込み
02申請内容ごとにリスクを評価
利用目的・入力データ・用途を1項目ずつガイドラインと照合
03判定の根拠と自信度を検証
根拠となったガイドラインの該当条を実在チェック
04人による最終確認
高リスク・要確認の申請だけを DX 推進室に回す

画面①入力した自然文の指示から、AI が「ガイドラインの取り込み → 申請ごとのリスク評価 → 根拠の検証 → 人の最終確認」という4ステップの手順を自動生成。中身を確認して保存するだけ。

プログラミングの知識も、複雑なルール設定も不要です。生成された手順は中身を見て修正でき、一度作れば次回以降も同じ観点で何件でも使い回せます。

02やってみた

実行すると、観点ごとに「根拠つき」で合否が並ぶ

手順を保存して実行すると、申請の各観点がガイドラインと照合され、AI が 1 つずつ判定します。結果はこの 1 画面に集約されます。ポイントは、すべての判定に「どのガイドラインの・どの条が根拠か」が必ず添うこと。AI の言い分を鵜呑みにせず、人が原文で確かめられます。行をタップすると根拠の原文が開きます。

app.indx-compliance.com/runs/run_ai-2026-0078

管

AI利用申請チェック申請番号 AI-2026-0078v1

社内 AI 利用ガイドライン / 個人情報保護法 / 機密区分規程 / AI 倫理原則と照合

AI 利用ガイドライン適合チェック

2026-05-18 実行｜ 7 観点

根拠つき

合格

要確認

不適合

適合 57%

判定の根拠社内 AI 利用ガイドライン 4.2 p.5
第4条情報の取扱いにあたり、極秘・個人情報は外部 AI サービスへ入力してはならない。違反した場合は情報漏えいに準じた措置をとる。
照合した基準
社内 AI 利用ガイドライン 4.2
原文との照合
上位規程と矛盾の疑い
AI の自信度
87%
申請の利用シナリオに顧客の個人情報の入力が含まれており、禁止用途に抵触。高リスク。

画面②合格4 / 要確認2 / 不適合1 を一覧で。各行をクリックすると、判定の根拠となったガイドラインの原文（ハイライト箇所）と、抵触の理由がその場で開きます。実際に行をタップして試せます。

今回 AI が見つけたのは、「顧客の個人情報を外部 AI サービスへ入力する利用シナリオ」がガイドラインの禁止用途に抵触するという高リスクの1件。気づかず承認すると情報漏えいに直結する、最も避けたい見落としです。

03やってみた

人は「要確認・不適合」だけを見て、確定する

AI が合格と判定した 4 件は、根拠つきなので素通しで確認できます。人が頭を使うのは、要確認 2 件と不適合 1 件の、合わせて 3 件だけ。担当者は禁止用途に抵触した申請を起案部門に差戻し、個人情報の入力を除外したシナリオに修正した再申請を確認して、最終的に承認・確定しました。

app.indx-compliance.com/runs/run_ai-2026-0078/review

管

最終レビュー（人が確定）

不適合機密区分「極秘」情報を外部 AI に入力しないこと

顧客の個人情報を含む利用シナリオが、ガイドラインの禁止用途に抵触。申請部門へ差戻し、シナリオの見直しを依頼。

人が見るのは要確認・不適合の3件だけ。合格4件は根拠つきで素通しでき、判断に集中できます。

監査ログ（改ざん不可）

10:14AI
7 観点を判定（合格4 / 要確認2 / 不適合1）
hash c3f7…2a
10:31AI 利用審査担当鈴木
「極秘情報の外部 AI 入力」を差戻し（利用シナリオの見直しを依頼）
hash e9b1…4d
11:55申請部門中村
個人情報入力を除外したシナリオに修正し再申請 → 不適合が解消
hash a7d5…08
11:57AI 利用審査担当鈴木
全観点を承認・確定。DX 推進室が申請を正式受理
hash b2e6…f1

画面③左：人が確認するのは要対応の項目のみ。右：AI の判定から人の承認・差戻しまで、すべての操作が改ざん不可のログに自動で残ります。

一連の操作・判断はすべて改ざんできない監査ログに記録されます。「いつ・誰が・何を・どの根拠で判断したか」が後から完全にたどれるので、内部監査やガバナンス報告での説明もそのまま使えます。

できたこと

結果：審査の属人化が解消し、リスクの見落としもゼロに

担当者の経験と記憶に頼っていた申請審査が、誰が担当しても同じ基準で判定できるようになりました。そして何より、禁止用途への抵触を承認前に確実に検出できたことが、担当者にとって最大の安心材料でした。

属人化を解消
AI 利用申請の審査: 100%
判定に根拠がついた割合: 3件 / 7件
人が見るべき申請に圧縮

この事例のポイント

チェックの設定は自然な日本語の指示だけ。専門知識もプログラミングも不要。
すべての合否にガイドラインの原文という根拠が添うので、AI を鵜呑みにせず人が確かめられる。
人が見るのは要確認・不適合だけ。判断に集中でき、禁止用途の見落としも防げる。
操作・判断は改ざん不可のログに残り、内部監査・ガバナンス報告の説明にそのまま使える。

まとめ

規程・契約・申請——「ルールとの照合」はすべて同じ形で

今回は AI 利用申請の事例でしたが、INDX Compliance の使い方はどれも同じです。「ものさしになる文書（ガイドライン・法令・社内基準）」と「確認したい文書（申請書・契約書・規程）」を渡し、根拠つきで突き合わせる。社内規程の整合チェック、契約書のレビュー、ISO 監査の事前点検——ルールとの照合が発生するあらゆる業務に、同じ手順がそのまま使えます。