ChatGPT、Microsoft Copilot、Google Geminiなどの生成AIが業務に浸透し、社員一人ひとりの生産性が劇的に変わりつつあります。一方で、「機密情報がプロンプトに混入していないか」「シャドーAI化したサービスから情報が外に出ていないか」と頭を悩ませる情シス担当者の声を多く聞きます。

しかし、対策が後手に回ったまま利用が広がると、誤情報の社内拡散、意図しない学習データ提供、コンプライアンス違反などのリスクが顕在化します。IBMの調査では、企業の60%が生成AIに関し一貫性ある全社的アプローチを未確立と報告されています（参考：IBM「AI solutions for DX」）。

情シスが取り組むべき生成AI管理対策を、ガイドライン策定・技術的統制・教育・モニタリングの観点から整理します。利用ポリシーの作り方、エンタープライズAIへの移行、CASB／DLPによる統制、Microsoft PurviewやLasso Securityなどの主要ソリューション、5ステップの実装手順までを網羅的に解説します。

情シスが生成AIの管理対策を整える必要性

生成AIの業務利用が爆発的に拡大しているにもかかわらず、情シスが管理範囲を明確にしないままだと、リスク領域が見えないまま放置される構造になります。とくに以下の3点が、対策の優先順位を一気に押し上げる要因です。

第1に、機密情報の外部流出リスクです。社員が無償の生成AIに業務文書、顧客情報、ソースコードを貼り付けて利用するケースが頻発しており、サムスン電子の社内ソースコード流出事例は世界的に大きく報道されました。

第2に、シャドーAIの増殖です。情シスが把握しない無償AIサービスが業務に入り込み、契約・データ保護・利用ログのいずれも統制が効かない状態が広がります。Ciscoの2025年Cybersecurity Readiness Indexでは、60%の企業がシャドーAIの検出に自信がないと回答しています。

第3に、コンプライアンス・規制対応の側面です。EU AI法、個人情報保護法、業界別ガイドライン（金融・医療・公共）など、AI利用を前提とした統制要件が増えており、未対応のままでは取引先からの信頼確保にも影響します。

参考：総務省・経済産業省「AI事業者ガイドライン」

情シスがカバーすべき生成AI管理の範囲

情シスの管理範囲を整理すると、以下の5領域に分かれます。すべてを同時に整える必要はありませんが、抜け漏れなく把握しておくことが起点になります。

1. 利用ポリシーとガイドライン

業務利用してよい生成AIの種類、扱ってよいデータの範囲、入力禁止事項、利用ログの取り扱いなどを明文化します。AI事業者ガイドライン、NIST AI RMF、ISO/IEC 42001（AI Management System）が参考になります。

2. 利用状況の可視化

社員がどの生成AIサービスをどの頻度で利用しているか、CASBやSaaS統合管理プラットフォームで可視化します。シャドーAIの検出と利用契約の整理が出発点です。

3. データ保護

生成AIへの入力データに対するDLP適用、機密情報の自動マスキング、エンタープライズAI（学習させない契約）への移行を進めます。Microsoft PurviewやNetskope GenAIなどがこの領域の代表ソリューションです。

4. アクセス統制

IDaaSと条件付きアクセスにより、社員ごとに利用許可するAIサービスを制御します。退職者アカウントの取り消し、利用ライセンスの最適化も情シスの管理範囲です。

5. 教育と運用モニタリング

利用ガイドラインを浸透させる教育プログラム、定期的な利用ログレビュー、インシデント発生時の対応フローを整備します。属人化を避け、運用設計として制度化することが鍵です。

参考：NIST AI Risk Management Framework

参考：ISO/IEC 42001 AI Management System

利用ガイドラインの作り方｜押さえるべき7項目

利用ガイドラインは、現場で守れる粒度に落とし込むことが重要です。情シスが起点となって作成する際の標準項目を整理します。

1. 利用目的と対象範囲

業務での生成AI利用目的を明確にし、対象とする社員・部門・業務範囲を定めます。研究開発、営業資料、顧客応対といった業務単位で利用可否を整理します。

2. 利用してよいAIサービスのリスト

会社として契約・推奨する生成AIサービスをホワイトリスト化します。逆に、利用してはいけないサービスをブラックリストとして示すアプローチもあります。

3. 入力してよい／いけないデータ

社外秘、個人情報、ソースコード、未公開財務情報など、生成AIに入力してはいけないデータの分類を明示します。データ分類ポリシーと整合させることが重要です。

4. 出力結果の検証ルール

ハルシネーション（誤情報）を前提に、生成AI出力を業務に使う前のレビュー・検証プロセスを明文化します。誰が責任を持つかを明確にします。

5. 著作権と商用利用ルール

生成された文書・画像・コードの著作権の扱い、商用利用時の注意点を整理します。各AIサービスの利用規約と整合する形で記述します。

6. インシデント発生時の報告フロー

機密情報を誤って入力した、生成AIから不適切な出力が出た、外部サービスが侵害された等のケースで、誰に・いつ・どのように報告するかを定義します。

7. 違反時の対応

ガイドライン違反時の対応プロセス（注意喚起、利用停止、人事処分等）を整備します。実効性を持たせるため、人事部門と連携した規程化が望ましいです。

参考：JEITA「生成AI業務利用ガイドライン作成支援文書」

参考：日本ディープラーニング協会（JDLA）「生成AIの利用ガイドライン」

エンタープライズAIへの移行と契約上のポイント

無償の生成AIから、企業向けのエンタープライズAI（Microsoft 365 Copilot、ChatGPT Enterprise、Google Gemini for Workspaceなど）への移行は、データ保護の観点で最重要施策の1つです。

エンタープライズAIの主な利点は、入力データを学習に使わない契約、SOC 2／ISO 27001準拠、SSO／MFA対応、利用ログの可視化、企業向けデータ分離などです。とくに「Inputs are not used to train models」のような契約条項は、流出リスクを構造的に下げる効果が大きい要素です。

契約検討時に確認したい主要ポイントは次のとおりです。

• 学習データへの利用有無と利用拒否（オプトアウト）の可否
• データ保管リージョン（日本国内・米国・EUなど）
• データ保持期間と削除請求への対応
• IDaaS連携（SAML／OIDC）とMFA対応
• 監査ログの取得と保存期間
• セキュリティ認証（ISO 27001、SOC 2 Type II、ISMAP等）

エンタープライズAIへの移行は、情シス・法務・購買が連携して進めるプロジェクトとして組成するのが現実的です。

参考：ChatGPT Enterprise セキュリティ概要

参考：Microsoft 365 Copilot エンタープライズ向け説明

技術的統制：CASB・DLP・AIガバナンスツール

ガイドラインだけでは限界があるため、技術的な統制を組み合わせることが対策の決め手になります。以下の3レイヤーで実装すると整理しやすくなります。

CASBによるシャドーAIの可視化と制御

CASB（Microsoft Defender for Cloud Apps、Netskope、Zscalerなど）は、社員がアクセスしている生成AIサービスを検出し、許可・ブロック・利用ログ取得を実装します。シャドーAIの統制において、まず導入すべき層です。

DLPによる入力データ保護

DLPは、生成AIへの入力時に機密情報を検出し、マスキング・ブロック・アラートを実行します。Microsoft Purview、Netskope GenAI、Forcepointなどが該当します。Slackやブラウザ拡張で動作するエンドポイントDLPと組み合わせる構成も増えています。

AIガバナンス専用プラットフォーム

近年は、生成AI特有のリスク（プロンプトインジェクション、ジェイルブレイク、有害出力検知）に特化したAIガバナンスプラットフォームが登場しています。Lasso Security、Robust Intelligence、Lakera、Microsoft Defender for Cloudの「AI Workload Protection」などが代表例です。

参考：Lasso Security: GenAI Security Platform

主要な生成AI管理対策ソリューション6選

情シスがツール選定の起点にしやすい主要ソリューションを6つ取り上げます。それぞれ得意領域が異なるため、自社環境に合わせて組み合わせることが現実的です。

Microsoft Purview

Microsoft 365テナント内のCopilotや外部生成AI利用を一元的に可視化・統制するプラットフォームです。ChatGPTやGeminiといった外部AIへのアクセスログ、機密データ送信検出、ポリシー適用を一括管理します。Microsoft中心の環境では第一候補となります。

参考：Microsoft Purview（AI保護機能）

Netskope Oen AI Security

CASBの一機能として、生成AIへのアクセス制御、機密情報の自動マスキング、利用ログの可視化を提供します。サードパーティAIへの利用統制において広範な対応が特徴です。

参考：Netskope Generative AI Security

Zscaler AI Protection

Zscalerのクラウドセキュリティプラットフォーム上で、生成AI利用の可視化・制御・データ保護を提供します。Zero Trust Exchangeと統合して、エンドツーエンドの統制を実現します。

参考：Zscaler AI Protection

Lasso Security

LLMアプリケーション向けに特化したセキュリティプラットフォームです。プロンプトインジェクション検知、機密情報フィルタリング、有害出力検出など、生成AI固有のリスクに対応します。

参考：Lasso Security

Microsoft Defender for Cloud Apps

CASBとして広く使われる製品で、シャドーAIアプリの検出と制御に強みがあります。Microsoft Entra IDとの統合により、条件付きアクセスから利用制御まで一貫して整備できます。

参考：Microsoft Defender for Cloud Apps

ジョーシスのプラットフォーム

国内発のSaaS統合管理プラットフォームとして、ChatGPT・Copilot・Geminiなどの生成AIサービスを含むSaaSアカウント・ライセンス・利用状況を一元管理します。シャドーAI検出、入退社時の自動プロビジョニング、ライセンス最適化を実現する点が特徴です。CASBやDLPと並行して、SaaSアカウント側からのガバナンスを軽量に整える起点として活用できます。

参考：ジョーシス｜SaaS統合管理プラットフォーム

生成AI管理対策の5ステップ実装フロー

情シスが起点となる実装ステップを整理します。

ステップ1：現状把握とシャドーAI検出

CASBやSaaS統合管理プラットフォームで、社内で利用されている生成AIサービスをすべて棚卸しします。利用部門、利用頻度、データ機密度、契約有無を整理します。

ステップ2：利用ガイドラインの策定

経営層・法務・人事と連携して、利用ガイドラインを文書化します。ホワイトリスト・データ取扱・出力検証・違反時対応を盛り込みます。

ステップ3：エンタープライズAIへの移行

業務利用が定着している生成AIについて、エンタープライズ版（Microsoft 365 Copilot、ChatGPT Enterprise等）への切り替えを進めます。データ学習への提供を遮断し、SSO／MFA・利用ログを整備します。

ステップ4：技術統制の導入

CASB・DLP・AIガバナンスツールを段階的に導入します。Microsoft中心ならMicrosoft Purview、マルチクラウドならNetskopeやZscalerが候補です。

ステップ5：教育・モニタリング・改善

社員教育、定期的な利用ログレビュー、ガイドライン改訂のサイクルを定着させます。AIサービスは進化が早いため、四半期単位での見直しが現実的です。

参考：Gartner「Top Strategic Technology Trends for 2026」

生成AI管理用語集

社内検討やベンダー比較で頻出する用語を整理します。

• 生成AI（Generative AI）：テキスト・画像・コードなどを生成するAI技術
• LLM（Large Language Model）：大規模言語モデル。生成AIの中核技術
• ハルシネーション：AIが事実と異なる内容を生成する現象
• プロンプトインジェクション：悪意ある指示でAIの動作を不正操作する攻撃
• ジェイルブレイク：安全制限を回避してAIから不適切な出力を引き出す試み
• RAG（Retrieval-Augmented Generation）：外部知識を取り込んで生成するアーキテクチャ
• シャドーAI：情シスの把握外で利用される生成AIサービス
• AIガバナンス：AI利用の倫理・コンプライアンス・リスクを統制する仕組み
• AI Red Team：AIシステムを攻撃者視点でテストするチーム
• DLP for AI：生成AI向けのデータ漏えい防止ソリューション
• ISO/IEC 42001：AIマネジメントシステムの国際規格

SaaS統合管理から始める生成AIガバナンス

生成AIの管理対策に取り組む情シスの多くが、最初の壁にぶつかるのが「どの生成AIサービスが使われているのか分からない」という可視化の問題です。SaaS統合管理プラットフォームは、この最初の壁を低コストで突破するための実用的な起点になります。

ジョーシスのプラットフォームは、350以上のSaaSアプリ（31カテゴリ）とAPI連携してアカウント・利用状況・コストを一元管理し、シャドーIT・シャドーAIの検出、退職者アカウントの自動取り消し、ライセンス最適化までを統合的に提供します。国内外700社以上で導入されており、事例によってはIT工数を最大50%・ITコストを最大75%削減したケースがあります（効果は個社の状況により異なります）。

CASB／DLPによる入力データ保護、AIガバナンスツールによる出力検証と並行して、SaaS層からアイデンティティ・利用契約のガバナンスを整える起点として活用ください。

生成AI管理に関するよくある質問

生成AI利用を全面禁止すべきですか？

業務生産性の向上効果が大きいため、全面禁止は現実的ではありません。利用ガイドラインで「使ってよい範囲」を明確にしたうえで、エンタープライズAIへの移行とCASB／DLPによる技術統制を組み合わせる「リスクコントロール型」の運用が主流です。

Copilotを導入すれば対策は十分ですか？

Microsoft 365 Copilotはエンタープライズ向けの安全な選択肢ですが、それだけで全社AIガバナンスが完結するわけではありません。社員が個人的に使うChatGPTやClaude、Geminiといった他社AIを統制する仕組みが別途必要となります。

中堅企業でもAIガバナンスツールは必要ですか？

機密情報の取り扱い・規制業務・利用部門数によっては、CASBやDLPの導入を検討する時期にあります。Microsoft中心の環境であればMicrosoft Purviewから着手するのが現実的です。中小企業はSaaS統合管理プラットフォームでの可視化＋エンタープライズAI契約への切替が、まず取り組むべきラインです。

AI事業者ガイドラインを完全準拠する必要はありますか？

法的拘束力はありませんが、AI事業者ガイドラインは経済産業省・総務省が示す指針として、自社方針の参考にされることがあります。取引先からのセキュリティ評価においても参照されることがあり、ガイドラインを基に自社方針を整備する企業も見られます。

退職者が使っていた生成AIアカウントはどう対処すればよいですか？

退職時にSSOやIDaaSを介してアカウントを一括失効できる体制が理想です。エンタープライズAIであれば管理者コンソールから個別に無効化できます。SaaS統合管理プラットフォームを活用することで、退職者アカウントの棚卸しと自動取り消しを仕組み化し、抜け漏れを防ぐことができます。

まとめ｜生成AI管理は「ガバナンス＋技術＋教育」の3点セットで

生成AIの管理対策は、ガイドライン策定、技術的統制、社員教育の3点セットで構成するのが定石です。エンタープライズAIへの移行、CASB／DLPによるシャドーAI統制、Microsoft PurviewやLasso Securityなどの専用ツール導入を、リスクと予算に応じて段階的に進めていきます。

最初に着手すべきは、利用状況の可視化と利用ガイドラインの整備です。可視化ができれば、優先的に対策すべきリスク領域が見えるようになり、技術投資の説得力も高まります。可視化の起点として、SaaS統合管理プラットフォームによるシャドーAI検出が有効です。

ジョーシスは、SaaS層の可視化からアカウント統制、ライセンス最適化までを一体化したプラットフォームとして、多くの情シス部門に導入されています。生成AIガバナンスの起点として活用したい方は、まずは資料ダウンロードや無料デモで、自社環境への適用イメージを確認してみてください。

JosysでAIツール利用状況を把握・管理する

事例によってはIT工数を最大50%・ITコストを最大75%削減したケースがあります。（効果は個社の状況により異なります）

資料ダウンロード（無料）

無料デモを申し込む

関連記事：シャドーITとは｜情シスが知るべき4つの種類とリスク・対策

関連記事：CASBとは｜クラウド利用の可視化と統制を実現する仕組み