AI導入で最初に迷うのは、「どの業務から始めるべきか」です。問い合わせ対応、議事録作成、社内ナレッジ検索、PDF帳票チェック、営業メール作成など、候補はいくらでも出てきます。しかし、効果がありそうという理由だけで始めると、PoC後に「個人情報を入れてよいのか」「ログは残るのか」「誤回答時の責任者は誰か」で止まりがちです。
この記事では、AI導入候補を業務単位で「先にやる」「PoCで確かめる」「まだやらない」に分ける判断表として整理します。技術精度だけでなく、扱う情報、誤回答時の影響、ログ取得、承認者、現場の戻しやすさまで含めて判断します。
なお、経済産業省と総務省は2024年4月19日に「AI事業者ガイドライン(第1.0版)」を取りまとめています。また、デジタル庁は2025年5月27日に「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」を決定し、2025年6月13日に更新しています。本記事は、企業の情シス実務で使いやすい形に落とし込んだ判断フレームです。
https://www.meti.go.jp/press/2024/04/20240419004/20240419004.html
https://www.digital.go.jp/news/3579c42d-b11c-4756-b66e-3d3e35175623
結論:AI導入は「便利そう」ではなく、業務の失敗許容度で並べる
ひとり情シスで全部を一度に進めるのは難しいため、AIや自動化に回す業務は優先順位をつけて選んでいます。私が上から手をつけるのは、「頻度が高い × 1件あたりの工数が大きい × 判断がほぼ要らない」業務です。逆に、頻度が低い業務や判断が必要な業務は後回しにするか、人が対応する形を残しています。効果が大きそうに見えても、判断が絡む業務を最初に選ぶと、結局チェックに時間を取られて楽にならないことがありました。そのため、「ミスをしても影響が小さく、繰り返しが多い」業務から着手するようにしています。
AI導入の優先順位は、次の順で決めると大きく外しにくくなります。
- 誤っても人が戻せる業務から始める
- 入力情報に個人情報・機密情報が少ない業務を優先する
- 削減時間や品質改善を測れる業務を選ぶ
- ログ・承認・停止手順を先に決められる業務だけPoCに進める
反対に、顧客への確定回答、契約判断、採用合否、与信、医療・法務判断、金額承認など、誤りがそのまま不利益につながる業務は、最初の導入候補から外すか、人の承認を必須にします。
業務別AI導入優先度マトリクス
まずは、候補業務を次の表に当てはめます。ポイントは「AIに任せられるか」ではなく、AIが間違えたときに、人が発見し、止め、戻せるかです。
| 業務 | 優先度 | 向いている使い方 | 主なリスク | 導入条件 |
|---|---|---|---|---|
| 議事録・要約・社内文書の下書き | 高 | 要約、論点整理、メール草案、社内説明文のたたき台 | ニュアンスの欠落、事実誤認、機密情報の入力 | 人が確認してから共有する。機密区分と入力禁止情報を明文化する。 |
| 社内FAQ・ナレッジ検索 | 高 | 規程、手順書、過去問い合わせの検索補助 | 古い規程の参照、根拠不明の回答 | 回答に参照元を表示する。正式回答ではなく「確認補助」と位置付ける。 |
| 問い合わせ一次対応 | 中 | 分類、返信案作成、担当部署への振り分け | 顧客への誤案内、個人情報の入力、クレーム拡大 | 外部送信前に人が確認する。禁止回答とエスカレーション条件を用意する。 |
| PDF・帳票チェック | 中 | 項目抜け、金額差異、日付不整合の検出 | OCR誤読、誤承認、監査時の説明不足 | 自動承認ではなく「差異検出」から始める。原本、抽出値、判定ログを残す。 |
| 営業・マーケティング文面作成 | 中 | 案出し、構成案、顧客別メール下書き | 誇大表現、著作権・商標、顧客情報の入力 | 公開前レビューを必須にする。禁止表現リストを整備する。 |
| 契約・法務・人事評価・与信判断 | 低 | 論点整理、確認観点の洗い出し | 法的判断の誤り、不利益な自動判断、説明責任不足 | AIは判断主体にしない。専門部署の確認前提で補助利用に限定する。 |
4軸チェック:PoCに進める前に見るべき項目
候補業務が出たら、次の4軸で確認します。1つでも致命的な穴がある場合、ツール選定に進む前に業務設計へ戻してください。
| 軸 | 確認すること | NGになりやすい例 | 次の対応 |
|---|---|---|---|
| 情報リスク | 個人情報、取引先情報、未公開情報、認証情報を入力するか | 問い合わせ本文をそのまま外部AIに送る | マスキング、入力禁止、閉域・法人向け環境、契約条件を確認する。 |
| 業務影響 | 誤回答・誤判定が顧客、従業員、金銭、契約に影響するか | AI回答を顧客へ自動送信する | 人の承認、限定公開、エスカレーションを入れる。 |
| 効果測定 | 件数、処理時間、差し戻し率、品質を測れるか | 「便利そう」だけでKPIがない | PoC前に現状の件数、処理時間、差し戻し率を測定し、PoC後にどの数値が改善すれば本番候補にするかを決める。 |
| 統制・監査 | 入力、出力、利用者、時刻、判断者、修正履歴を追えるか | 誰が何を入力したか分からない | ログ項目、保存期間、閲覧権限、削除手順を決める。保存期間は、監査対応、問い合わせ対応、事故調査に必要な期間をもとに設定する。 |
個人情報を扱う場合は、個人情報保護委員会が公表している個人情報保護法、ガイドライン、漏えい等対応の情報を確認したうえで、自社の利用目的、委託関係、第三者提供、国外移転の有無を整理してください。
https://www.ppc.go.jp/personalinfo/legal/
https://www.ppc.go.jp/personalinfo/legal/leakAction/
判断フロー:AI導入候補を3段階に分ける
会議では、次の順番で判定すると議論が散らばりません。
- その業務で扱う情報に、個人情報・認証情報・契約情報・未公開情報が含まれるか。
- AIの出力が誤っていた場合、顧客・従業員・金銭・法令対応に直接影響するか。
- 出力前に人が確認できるか。確認できない場合、自動送信や自動承認を止められるか。
- 入力・出力・利用者・時刻・参照元・人の修正履歴を記録できるか。
- 現状の件数、処理時間、差し戻し率を測れるか。
判定ルール
・「情報リスクが低い」「誤っても人が戻せる」「効果を測れる」なら、優先導入候補。
・「情報リスクはあるが、人の承認とログで抑えられる」なら、PoC候補。
・「誤りが重大影響に直結する」「ログが取れない」「責任者が決まらない」なら、見送りまたは再設計。
PoCで測るべき指標:精度だけでは足りない
PoCでは、AIの回答精度だけを見ると本番化でつまずきます。情シスが確認すべきなのは、実運用に乗せたときの手戻りです。
| 指標 | 見る理由 | 記録方法 |
|---|---|---|
| 処理時間 | 本当に工数削減になるかを見るため | AI利用前後の平均処理時間を比較する。 |
| 人の修正時間 | AI出力の確認・修正に時間を取られすぎていないかを見るため | 1件あたりのレビュー時間を記録し、従来の処理時間や許容できる確認工数と比較する。 |
| 差し戻し率 | 現場や承認者の負荷を把握するため | 出力件数、差し戻し件数、理由を分類する。 |
| 重大エラー件数 | 本番化可否を判断するため | 顧客影響、金銭影響、法務影響を別枠で記録する。 |
| ログ再現性 | 監査・問い合わせ時に説明できるかを見るため | 入力、出力、利用者、時刻、参照元、修正履歴を検索できるか確認する。 |
試験件数は業務量やばらつきにより変わるため、固定値で断定しません。PoCでは、通常時の業務、繁忙期に増える業務、例外パターン、担当者ごとの差が分かるようにサンプルを選びます。件数だけでなく、どのカテゴリを何件試したか、どの条件で失敗したか、どの範囲なら本番利用できるかを記録して判断します。
稟議に貼れるAI導入テンプレート
AI導入の稟議では、ツール名や費用だけでなく、「なぜその業務なら始めてよいのか」を説明できることが重要です。以下をそのまま貼り付けて使えます。
AI導入稟議テンプレート
対象業務:[業務名]
利用目的:[例:問い合わせ分類、返信案作成、社内規程検索、帳票差異検出]
AIに入力する情報:[入力項目]
入力禁止情報:[個人番号、認証情報、未公開決算情報など]
出力の扱い:AI出力は最終判断ではなく、担当者が確認したうえで利用する。
承認者:業務責任者[氏名/役職]、情シス責任者[氏名/役職]、法務・個人情報担当[要否を記載]
ログ項目:入力、出力、利用者ID、利用日時、参照元、修正履歴、承認者
ログ保存期間:監査、問い合わせ対応、事故調査に必要な期間をもとに保存期間を定め、保存期間・閲覧権限・削除方法を本番開始前に確認する。
停止条件:重大な誤回答、個人情報の不適切入力、想定外の外部送信、監査ログ欠落が発生した場合は一時停止する。
効果測定:処理時間、差し戻し率、修正時間、問い合わせ件数、利用者満足度をPoC前後で比較する。
情シスが先に決めるべき「利用ルール」
AIツールの選定前に、最低限次のルールを決めておくと、現場展開後の混乱を減らせます。
- 入力禁止情報:個人番号、パスワード、APIキー、未公開の人事情報、未公開財務情報など。
- 利用できる業務:下書き、要約、分類、検索補助、差異検出など。
- 利用できない業務:契約締結判断、採用合否、与信、懲戒、医療・法律判断など。
- 確認義務:外部送信、顧客回答、社外公開前には人が確認する。
- ログ確認:監査担当または管理者が確認できる範囲を決める。
- 例外申請:高リスク業務で使う場合の申請ルートを用意する。
デジタル庁の「テキスト生成AI利活用におけるリスクへの対策ガイドブック(α版)」は、テキスト生成AIの利用形態やユースケースによって想定リスクが変わることを前提に、リスクと対策を整理しています。同ページでは、2025年6月6日に同ガイドブックの内容を「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」へ統合し、当該ガイドラインの枠組みで更新すると説明されています。
https://www.digital.go.jp/resources/generalitve-ai-guidebook
まとめ:AI導入の優先順位は「戻せる業務」から決める
AI導入で最初に狙うべきなのは、効果が大きく、かつ間違えても人が戻せる業務です。議事録、要約、社内ナレッジ検索、問い合わせ分類、帳票の差異検出は候補になりやすい一方、契約判断、人事評価、与信、顧客への自動回答は慎重に扱うべきです。
情シスは、AIの精度を比較する前に、入力してよい情報、ログ、承認者、停止条件、効果測定を決めてください。ここを先に固めることで、PoC後の稟議差し戻しや、本番化後の監査対応に追われるリスクを減らせます。
判断に迷ったら、「AIが間違えたとき、誰が、どのログを見て、いつ止められるか」を確認してください。この問いに答えられない業務は、まだ導入ではなく設計の段階です。
コメント