「規程、作ってください。」——その一言を上司から言われたとき、正直、膝から崩れ落ちそうになった。
情報セキュリティ担当になって数ヶ月。情報資産台帳はなんとか整えた。リスクも棚卸しした。でも「規程を書いてほしい」となると話が違う。何を書けばいいかの前に、何を書く必要があるか自体が分からないという壁が目の前に立ちはだかった。
そこで試したのが、AIへの丸投げだ。結論から言う。半日でドラフトが完成した。驚き・誤算・「これは道具として完成している」という感想まで、正直に書いていく。
目次
1. なぜ「規程をAIで」と思ったか
情報セキュリティ規程を一から書いたことがある人は分かると思う。まず「何を書けばいいか」が分からない。JIS Q 27001(ISO27001)には管理策のリストがある。でも「どの管理策が自社に必要か」を判断するにはリスクアセスメントの結果が必要で、そのためには情報資産台帳が必要で……という連鎖に、頭がこんがらがる。
情報資産台帳の整理にAIを使ったときの手応えが、頭に残っていた。「ならば規程のドラフトも、同じ要領でいけるんじゃないか。」試してみたのは、そんな軽い気持ちからだった。
→ 情報資産台帳のAI活用の話はこちら:棚卸しから始めるISO27001——情報資産台帳をAIで効率化した話
2. 実際にやってみた:Claudeへの問いかけ方
まずやったのは「現状を整理して伝える」ことだ。組織の規模(従業員数)、業種、扱っている情報の種類、すでにある社内ルール——これらをざっくりテキストにまとめて、Claudeに渡した。
プロンプトはシンプルにした。「ISO27001に準拠した情報セキュリティ基本方針と運用規程のドラフトを作成してください。対象組織の状況は以下の通りです——」という書き出しで、あとは現状テキストを貼り付けるだけ。
出てきた回答が、想定の3倍くらいの精度だった。
基本方針(目的・適用範囲・責任体制・年次レビューの定め)から、具体的な運用規程(パスワード管理、情報資産の取り扱い、インシデント報告フロー)まで、構造化されたドラフトが2分以内に出力された。
3. 驚き①:雛形の精度が「想定の3倍」高かった
正直、期待していたのは「ゼロから書くよりはマシな出発点」だった。でも出てきたものは、そのまま上司に見せられるレベルの構成になっていた。
特に良かったのが「適用範囲」と「責任体制」の記述だ。担当者が書くと「全従業員が対象」という一文で終わりがちな部分が、「正社員・契約社員・業務委託先を含む」という形で、実務的に漏れのない表現になっていた。
インシデント報告フローも、「発見→即時報告→初動対応→記録→再発防止」というステップが明示され、手順書として使える形に近かった。ISO27001の管理策番号まで参照されていたのは、さすがに驚いた。
「これ、本当に自分で書かなくていいのでは?」と思った瞬間だった。
4. 驚き②:「考える素材」として優秀すぎる
もうひとつの発見は、AIのドラフトが「叩き台として優秀」だということだ。
ドラフトを読んでいると、「あ、うちにはこの項目が抜けてる」「この表現は現場の実態と合わない」という気づきが次々と出てきた。ゼロから考えると何も出てこないのに、叩き台があると問題点が見える。これは情報資産台帳の整理でも感じた感覚と同じだった。
結局、AIが出したドラフトを60〜70%ベースに、自組織の実態に合わせて加筆・修正する形になった。ゼロから書いていたら丸2日かかっていた作業が、半日で形になった。
ISO27001の「仕組みを作る」という観点でいえば、AIはその最初の一歩を劇的に短縮してくれる道具だと思っている。
→ ISO27001の「仕組み重視」の考え方はこちら:ISO27001とは何か?仕組み重視の情報セキュリティ入門【中小組織向け】
5. 正直に言う。「1つの誤算」
良いことばかり書いたので、正直なところも書く。ファクトチェックは必須だ。
AIが出した規程の中に、「個人情報保護法の第○条に基づき〜」という記述があった。確認したら、条番号がずれていた。法改正のタイミングとモデルの学習データの関係もあり、最新の法令への対応が完全ではないことがある。
また、業種特有の規制——医療なら医療法、金融なら金融商品取引法——への言及は薄い。一般的な規程としては機能するが、業種固有のリスクに対応するには人間が補う必要がある。
AIは「下書きを速く作る道具」であって、「法令確認を代替する道具」ではない。この線引きを意識せずにいると、規程に誤りが紛れ込む。最後に人間の目が入ることは省けない。
6. 規程は「作ること」より「使うこと」の方が難しい
半日で規程のドラフトができた。でも、本当の意味でそれが「機能する」かどうかは、作った後の話だ。
規程が机の引き出しにしまわれたまま誰も読まない——これはISO27001の現場では日常的な光景だ。年次レビューで更新し、従業員に周知し、運用されていることを確認するサイクルが回って初めて、規程は意味を持つ。
AIは「作る」スピードを上げてくれる。でも「使い続ける仕組みを作る」部分は、まだ人間の仕事だ。そもそも経営層を巻き込んで規程を組織に定着させることの難しさは、前の記事で書いた通りだ。
→ 「上が動かない」問題の話はこちら:社内セキュリティが進まない本当の理由——上司の知識不足という盲点
次は、完成した規程を従業員に「伝える」ための社内研修の設計について書いていく予定だ。
関連記事
・棚卸しから始めるISO27001——情報資産台帳をAIで効率化した話
本記事の「前段」。情報資産を可視化してからセキュリティ規程に進むという流れを解説している。
・社内セキュリティが進まない本当の理由——上司の知識不足という盲点
規程を作った後に立ちはだかる「運用できない」問題の構造と、担当者の翻訳術を解説した記事。
・ISO27001とは何か?仕組み重視の情報セキュリティ入門【中小組織向け】
セキュリティは「機器」より「仕組み」で決まるという話。本記事を読む前の基礎知識として。
・AIツールの「企業姿勢」で選ぶ時代——僕がClaudeを使い始めた話
セキュリティ担当者がClaudeを選んだ理由。AIツール選定の視点で読める記事。
0 件のコメント:
新しいコメントは書き込めません。