【START】 この情報をAIに入力してよいか判断したい
↓
Q1: 個人を特定できる要素が含まれていますか?
(氏名、住所、電話番号、メールアドレス、顧客番号、社員番号など)
→ はい
【レッド:入力禁止】
個人情報に該当します。匿名化処理を検討してください。
→ いいえ ↓
Q2: NDA(秘密保持契約)の対象になっていますか?
(取引先から受領した情報、NDA締結先との交渉内容など)
→ はい
【レッド:入力禁止】
取引先に確認なく入力することは契約違反のおそれがあります。
→ いいえ ↓
Q3: 未公開の財務情報、人事情報、特許申請前の技術情報が含まれていますか?
→ はい
【レッド:入力禁止】
経営レベルの承認なく入力することはできません。
→ いいえ ↓
Q4: この情報は「社外秘」に分類されていますか?
(社内限定の戦略文書、部門予算、未公表の新製品情報など)
→ はい
【イエロー:上長承認後に入力可】
イエロー情報利用申請書を提出し、直属上長の承認を得てください。
→ いいえ ↓
Q5: この情報は「社外に公開されている情報」または「社内で広く共有される一般的な業務文書」ですか?
→ はい
【グリーン:申請不要で入力可】
通常通りAIを活用してください。
→ どちらとも言えない
【判断保留】
上長またはセキュリティ担当に確認してください。
「確信が持てない場合は上長に確認する」文化を浸透させることが重要です。
イエロー判定時の承認フロー
承認ライン: 申請者 → 直属上長(第一承認) → 情報セキュリティ管理者または部門長(第二承認)
第一承認: 業務上の必要性確認
第二承認: 情報セキュリティ上のリスク評価
※小規模組織では兼任も可能