活用事例社内規程コンプライアンス部門ISO/Pマーク

新しく作った社内規程が、上位規程や法令とズレていないか AI にチェックさせてみた

改定したばかりの「情報セキュリティ管理規程」を、上位の基本規程・就業規則・個人情報保護法と突き合わせ。どの条文がどこと矛盾しているかを、根拠つきで AI に洗い出してもらいました。

ININDX 編集部プロダクトチーム｜2026年5月20日｜約8分で読めます

「規程を直したけれど、上の規程や法律とちゃんと整合が取れているか不安——」。多くのコンプライアンス部門が抱えるこの悩みを、INDX Compliance で実際に解いてみました。本物の操作画面とともにご紹介します。

背景

「規程の整合チェック」は、なぜこんなに大変なのか

ある企業の情報システム部門が、「情報セキュリティ管理規程」を v2.1 に改定しました。テレワークやクラウド利用の実態に合わせた、ごく普通の見直しです。ところが、いざ施行しようとすると法務・コンプライアンス部門からストップがかかりました。

理由は「上位の情報管理基本規程や、就業規則・個人情報保護法と矛盾していないかを確認できていない」から。社内規程は単独では成立せず、必ず上位の規程や法令とのつながりの中にあります。1 つの条文を直すと、別の規程との整合が崩れることも珍しくありません。

ぶつかっていた課題

上位規程・法令を何冊も並べ、条文を目視で突き合わせていて、丸2週間かかっていた
「どの条文が、どの規程のどこと矛盾するのか」を担当者の記憶と経験に頼っていた
レビューのたびに観点がぶれ、見落としが施行後に発覚するリスクがあった
差戻し・修正のやり取りがメールに埋もれ、なぜその判断をしたのか後から追えない

01やってみた

チェックしたいことを、ふつうの日本語で伝えるだけ

まず、難しい設定は一切しません。「この規程が、上位規程や法令と矛盾していないか確認したい」と、ふだん上司に説明するような言葉で入力しました。すると AI が、確認すべき手順（チェックの観点）を自動で組み立ててくれます。

app.indx-compliance.com/start/draft

管

あなたが入力した指示（自然文でOK）

「改定した『情報セキュリティ管理規程 v2.1』が、上位の『情報管理基本規程』や就業規則・個人情報保護法と矛盾していないか確認したい。条文ごとに、根拠を示しながらチェックして。」

AI がチェック手順を自動生成draft · 4 ステップ

01関連する社内規程・法令を検索
情報管理基本規程・就業規則・個人情報保護法・ISO 27001 を対象に取り込み
02条文ごとに適合性を評価
本規程の各条が、上位規程・法令の要求を満たしているかを 1 条ずつ判定
03引用の妥当性と自信度を検証
判定の根拠となった条文を実在チェック。確からしさをスコア化
04人による最終レビュー
要確認・不適合の項目だけを担当者に回し、承認/差戻しを記録

画面①入力した自然文の指示から、AI が「関連規程の検索 → 条文ごとの適合判定 → 引用の検証 → 人の最終確認」という4ステップの手順を自動生成。中身を確認して保存するだけ。

プログラミングの知識も、複雑なルール設定も不要です。生成された手順は中身を見て修正でき、一度作れば次回以降は同じ観点で何度でも使い回せます。

02やってみた

実行すると、条文ごとに「根拠つき」で合否が並ぶ

手順を保存して実行すると、規程の各条文が上位規程・法令の要求を満たしているかを、AI が 1 つずつ判定します。結果はこの 1 画面に集約されます。ポイントは、すべての判定に「どの規程の・どの条文が根拠か」が必ず添うこと。AI の言い分を鵜呑みにせず、人が原文で確かめられます。

app.indx-compliance.com/runs/run_kitei-v21

管

社内規程レビュー情報セキュリティ管理規程v2.1

情報管理基本規程 / 就業規則 / 個人情報保護法 / ISO 27001 と照合

社内規定適合性チェック

2026-05-20 実行｜ 10 観点

根拠つき

合格

要確認

不適合

適合 60%

判定の根拠情報管理基本規程 p.4
第8条退職・異動が発令された場合、対象者のアクセス権限は発令日当日中に剥奪しなければならない。剥奪の責任者は所属長とする。
照合した上位規程・法令
情報管理基本規程
原文との照合
上位規程と矛盾の疑い
AI の自信度
88%
上位規程は「当日中の剥奪」を要求。本規程 v2.1 には剥奪の時期・責任者の定めがなく、矛盾の疑い。

画面②合格6 / 要確認3 / 不適合1 を一覧で。各行をクリックすると、判定の根拠となった上位規程・法令の原文（ハイライト箇所）と、矛盾の理由がその場で開きます。実際に行をタップして試せます。

今回 AI が見つけたのは、「アクセス権限の剥奪期限が、本規程に書かれていない」という1件の不適合。上位規程が「発令日当日中の剥奪」を求めているのに、改定後の規程ではそこが抜け落ちていました。人の目視レビューでは見落とされがちな、典型的な穴です。

03やってみた

人は「要確認・不適合」だけを見て、確定する

AI が合格と判定した 6 件は、根拠つきなので素通しで確認できます。人が頭を使うのは、要確認 3 件と不適合 1 件の、合わせて 4 件だけ。担当者は不適合だった条文を起案部門に差戻し、追記された規程を再実行して、最終的に承認・確定しました。

app.indx-compliance.com/runs/run_kitei-v21/review

管

最終レビュー（人が確定）

不適合アクセス権限の付与・剥奪の手続

上位規程は「当日中の剥奪」を要求。本規程に剥奪期限の定めがないため、起案部門へ差戻し。

人が見るのは要確認・不適合の4件だけ。合格6件は根拠つきで素通しでき、判断に集中できます。

監査ログ（改ざん不可）

14:02AI
10 観点を判定（合格6 / 要確認3 / 不適合1）
hash a1f9…3c
14:18コンプラ担当佐藤
「アクセス権限の剥奪」を差戻し（条文追記を依頼）
hash b7c2…0e
15:40規程起案田中
第9条に剥奪期限を追記し再実行 → 合格
hash d3e8…91
15:41コンプラ担当佐藤
全項目を承認・確定
hash f0a4…22

画面③左：人が確認するのは要対応の項目のみ。右：AI の判定から人の承認・差戻しまで、すべての操作が改ざん不可のログに自動で残ります。

一連の操作・判断はすべて改ざんできない監査ログに記録されます。「いつ・誰が・何を・どの根拠で判断したか」が後から完全にたどれるので、内部監査や外部審査での説明もそのまま使えます。

できたこと

結果：2週間の規程レビューが、半日に

目視で丸 2 週間かかっていた整合チェックが、観点の準備から最終確定まで半日で完了しました。何より、人手では見落としていた剥奪期限の漏れを施行前に拾えたことが、担当者にとって一番の安心材料でした。

2週間→半日
規程レビューの所要時間: 100%
判定に根拠がついた割合: 4件 / 10件
人が見るべき項目に圧縮

この事例のポイント

チェックの設定は自然な日本語の指示だけ。専門知識もプログラミングも不要。
すべての合否に上位規程・法令の原文という根拠が添うので、AI を鵜呑みにせず人が確かめられる。
人が見るのは要確認・不適合だけ。判断に集中でき、見落としも減る。
操作・判断は改ざん不可のログに残り、内部監査・外部審査の説明にそのまま使える。

まとめ

規程・契約・申請——「ルールとの照合」はすべて同じ形で

今回は社内規程の事例でしたが、INDX Compliance の使い方はどれも同じです。「ものさしになる文書（上位規程・法令・社内基準）」と「確認したい文書」を渡し、根拠つきで突き合わせる。契約書のレビュー、申請書の不備チェック、ISO 監査の事前点検——ルールとの照合が発生するあらゆる業務に、同じ手順がそのまま使えます。