情シス向け:エンタープライズAIエージェント評価フレームワーク
2026年4月版 | 稟議添付資料としてご活用ください
1. この記事の使い方
本記事は、大企業の情報システム部門、SE、PMが「AIエージェント製品の選定・稟議起案」を行う際の実務ガイドとして作成した。第2章の評価5軸で候補製品をスコアリングし、第3章の比較表で稟議資料の骨格を作り、第4章の業種別ROIで投資対効果の根拠を補強する構成となっている。第8章の導入判断チェックシートはそのまま稟議書の添付資料として利用可能である。
2. エンタープライズAIエージェント評価の5軸
2026年現在、情シス・セキュリティ部門がAIエージェントを評価する基準は、従来のクラウドサービス評価に「AI特有の自律性リスク」を加味したものへと進化した。以下の5軸は、稟議通過に必要な最低限の評価項目である。
2-1. データレジデンシー(日本リージョン有無)
金融・製造・商社など機密性の高いデータを扱う業種では、データが日本国内のリージョンで処理・保管されることが大前提となる。2026年3月のAI事業者ガイドライン改定により、AIエージェントが処理するデータが「重要インフラ」に関わる場合、より厳格な保管場所の指定が求められている。
確認ポイント:
– 日本リージョン(東京/大阪)でのデータ処理・保管が可能か
– プロンプトおよび応答データの経路上に国外リージョンを経由しないか
– データの物理的保管場所を契約書上で明記できるか
現状、Microsoft(東京/大阪)、AWS(東京/大阪)を基盤とするClaude、Salesforce Agentforceはこの要件をクリアしている。OSS系エージェントの場合、自社インフラでの運用が前提となるため、データレジデンシーは自社管理となるが、その分ガバナンス体制の構築コストが発生する。
2-2. セキュリティ認証(SOC2, ISO27001, ISO27017)
稟議通過のための必須要件として、以下の認証取得状況の確認が求められる。
| 認証 | 内容 | 稟議における位置づけ |
|---|---|---|
| SOC2 Type2 | サービス組織の統制に関する第三者保証報告書 | 必須。特に可用性・機密性の統制が重要 |
| ISO 27001 | 情報セキュリティマネジメントシステム | 必須。ISMS認証として国内で最も広く求められる |
| ISO 27017 | クラウドセキュリティに関する管理策 | 推奨。クラウドサービス利用時の追加統制を担保 |
これらの認証は「取得しているか否か」だけでなく、認証範囲にAIエージェント機能が含まれているかまで確認する必要がある。認証範囲が「チャットボット機能のみ」で、エージェントの自律実行機能が対象外というケースもあるため注意が必要である。
2-3. 認証基盤統合(SSO/SCIM/Entra ID対応)
エンタープライズ環境では、既存のID管理基盤との統合が不可欠である。AIエージェントの導入が、新たなID管理の孤島を作ることは許容されない。
必須要件:
– SSO(シングルサインオン): SAML 2.0またはOpenID Connect対応。Entra ID(旧Azure AD)、Oktaとの連携実績
– SCIM(System for Cross-domain Identity Management): ユーザーのプロビジョニング/デプロビジョニングの自動化。退職者アカウントの即時無効化が可能か
– RBAC(ロールベースアクセス制御): エージェントが操作可能な範囲を、ユーザーの職務権限に応じて制限できるか
特にAIエージェントの場合、「エージェントが誰の権限で動作するか」が従来のSaaS以上に重要となる。エージェントがAPI経由で外部システムを操作する際、そのアクションが「どのユーザーの承認の下で実行されたか」をトレースできる設計が必須である。
2-4. 監査ログ(フォレンジック対応)
AIエージェントが「いつ」「誰の権限で」「どのような判断を下し」「どのデータを操作したか」を時系列で記録する監査ログ機能は、不祥事発生時の原因究明(フォレンジック)のために必須とされる。
監査ログに求められる要素:
| 項目 | 内容 |
|---|---|
| タイムスタンプ | エージェントの判断・実行の正確な日時(ミリ秒単位) |
| 実行ユーザー | どのユーザーの権限でエージェントが動作したか |
| 入力プロンプト | エージェントに与えられた指示の全文 |
| 推論プロセス | エージェントがどのような判断ロジックで行動を選択したか |
| 実行アクション | 外部API呼び出し、データの読み書き、メール送信等の詳細 |
| 出力結果 | エージェントが生成・実行した結果の全文 |
| 保持期間 | 最低1年、金融機関では7年以上の保持が推奨される |
加えて、ログデータが改ざん不能な形式(WORM:Write Once Read Many)で保管されるか、SIEM(Security Information and Event Management)との連携が可能かも評価基準に含めるべきである。
2-5. SLAとサポート体制(日本語サポート有無)
OSSとエンタープライズ製品の最大の差は「障害時に誰が責任を持つか」である。24時間365日の運用保守を外部ベンダーに依存する日本企業にとって、SLAの有無は稟議通過の決定的要因となる。
SLA評価のチェック項目:
– 稼働率保証:99.9%以上か
– 障害発生時の初動対応時間(P1障害で30分以内が望ましい)
– 日本語での技術サポート窓口の有無
– 日本時間での対応可否(米国西海岸時間のみの対応は実務上困難)
– エスカレーションパス:ベンダー本社への直接エスカレーションが可能か
3. 稟議が通りやすいエージェント vs 通りにくいエージェント
3-1. 稟議が通りやすい3陣営の詳細
Microsoft 365 Copilot / Copilot Studio
2026年時点で日本大企業のデファクトスタンダードである。最大の強みは「既存のM365ライセンス体系に組み込まれている」点にあり、新規ベンダー審査が不要なケースが多い。住友商事ではグループ全体約9,000名に展開済みで月間アクティブ率90%、パナソニック コネクトでは年間44.8万時間の業務削減を達成している。
稟議上の強み:
– 既存のEntra IDとの完全統合(追加のID管理不要)
– 企業データはモデル学習に利用されない契約上の保証
– 99.9%以上の稼働率SLA
– Microsoft公式および認定パートナーによる日本語サポート
Salesforce Agentforce
CRM領域での導入が中心。2026年4月現在、セールス・サービス・マーケティングの3領域で日本語対応のエージェントがフル稼働している。日本経済新聞社では購読者問い合わせの自動化、リクルートでは事業部横断の営業支援に活用されている。
稟議上の強み:
– Data Cloudとの連携による厳格なデータ管理
– 従量課金・成果報酬型の柔軟な契約形態(初期投資リスクの軽減)
– Salesforce Japanによる日本語サポート体制
– エンタープライズSLA
Claude Enterprise(TIS等の国内パートナー経由)
高い推論能力と長文コンテキスト処理に強みを持つ。楽天グループなどのテック企業や金融機関で、コーディング支援やドキュメント分析に採用されている。Claude Codeは新機能実装時間を80%短縮するROIを示しており、技術部門からの支持が厚い。
稟議上の強み:
– TIS等の国内SIerによるフルマネージドサポート(リセラー契約)
– API経由でのデータ学習オプトアウトが契約上明確
– 利用量ベースまたは定額の柔軟な課金
– AWS東京リージョンでのデータ処理
3-2. OSS「4つの壁」
Hermes AgentやOpenClawなど、OSS系エージェントは開発者コミュニティでは絶大な人気を誇るが、日本大企業の情シス部門では以下の4つの壁により採用が見送られる傾向が強い。
| # | 壁 | 具体的リスク |
|---|---|---|
| 1 | SLAの欠如 | コミュニティ主導のため、脆弱性発覚時の修正保証や稼働率保証が存在しない。24/365運用保守を外部ベンダーに依存する日本企業にとって致命的 |
| 2 | 責任の所在 | エージェントが自律的にAPIを呼び出し、誤発注やデータ削除を起こした際の法的責任主体が不明確 |
| 3 | データガバナンス | 自己学習型AIの永続メモリデータの物理的保管場所(Data Residency)やOpt-out制御の一元管理が困難 |
| 4 | 技術的複雑性 | 既存のSSO・監査ログシステムへの統合に高度な自社開発力が必要。TCO(総保有コスト)が市販ツールを上回るリスク |
3-3. 主要製品の比較表
| 評価項目 | Microsoft 365 Copilot | Salesforce Agentforce | Claude Enterprise (TIS経由) | OSS (Hermes Agent等) |
|---|---|---|---|---|
| 契約形態 | 年間サブスクリプション | 従量課金/ライセンス | 企業向け個別契約 | MITライセンス等(無償) |
| 価格帯 | 月額30ドル~/ユーザー | 成果報酬型も存在 | 利用量ベース/定額 | 自社インフラ費用のみ |
| データ保護 | 学習利用なし(契約保証) | Data Cloud厳格管理 | パートナー経由セキュア提供 | ユーザー完全制御(自己責任) |
| 日本リージョン | 東京/大阪 | 対応済み | AWS東京 | 自社管理 |
| SOC2/ISO | 取得済み | 取得済み | 取得済み | なし |
| SSO/SCIM | Entra ID完全統合 | 対応済み | 対応済み | 自社開発が必要 |
| 監査ログ | 標準搭載 | 標準搭載 | パートナー運用 | 自社構築が必要 |
| SLA | 99.9%以上 | エンタープライズSLA | パートナー運用保守 | なし |
| 日本語サポート | MS公式+認定パートナー | SF Japan日本語対応 | TIS等SIerフルマネージド | コミュニティのみ |
4. 業種別導入事例とROI
4-1. 商社:全社展開による莫大なコスト削減
住友商事(約9,000名展開)
「Copilot Champion」と呼ばれる現場主導の推進体制を構築し、Microsoft 365 Copilotを全社展開。年間12億円のコスト削減を実現した。1人あたり月間4時間の業務削減に相当する。月間アクティブユーザー率は90%に達しており、「導入はしたが使われていない」という日本企業にありがちな失敗を回避している。
成功要因は、IT部門主導ではなく「現場のチャンピオン」がユースケースを発掘・横展開する推進モデルにある。稟議書上は、ライセンス費用に対して月間4時間x9,000名の工数削減効果を定量的に示すことで投資対効果を立証している。
三菱商事(AI資格必須化)
2025年度から管理職昇格の必須要件に「AI資格」を追加した。AIを使いこなすことを商社パーソンの基本スキルと定義し、投資判断の高度化にエージェントを活用している。組織的なAIリテラシーの底上げにより、導入後の定着率を高める戦略である。
4-2. 金融:厳格な規制と高度な顧客対応の両立
明治安田生命(36,000名デジタル秘書)
36,000人の職員が「デジタル秘書」としてAIエージェントを活用。顧客訪問記録の自動生成や、複雑な保険約款の即時検索により、営業現場の負担を軽減している。金融機関特有のFISC安全対策基準への準拠が最大のハードルであったが、データ処理の国内完結とPII(個人情報)の匿名加工処理により、セキュリティ審査をクリアした。
楽天証券
顧客向けのAI投資支援機能を導入。マーケット動向を自律的に分析し、各顧客のポートフォリオに最適化された提案を行う。金融商品取引法上のアドバイザリー行為との境界線については、最終判断を顧客自身が行うHuman-in-the-Loop設計で対応している。
4-3. 製造:品質管理と「カイゼン」の自動化
パナソニック コネクト(年間44.8万時間削減)
全社展開によりAIを「仕事を頼む相手」として再定義。年間44.8万時間の業務削減を達成した。製造業においては、ソフトウェア上のエージェントに加え、物理的な制御を伴う「フィジカルAI」の活用も視野に入り始めている。
トヨタ自動車(岩手工場)
AIによる生産管理の高度化を推進。接着剤の塗布検査などを自動化し、0.002%という極めて低い不良検知率を実現している。品質管理領域でのAIエージェント活用は、日本の製造業が持つ「カイゼン文化」との親和性が高い。
味の素グループ
経費精算の確認業務にAIエージェントを導入。年間1万時間の削減を見込んでおり、バックオフィス業務の劇的な効率化を達成している。
4-4. 業種別ROI比較表
| 業種 | 企業例 | 導入規模 | 主な成果・ROI | 稟議上の訴求ポイント |
|---|---|---|---|---|
| 商社 | 住友商事 | 約9,000名 | 年間12億円コスト削減 | 1人月4時間削減の定量効果 |
| 商社 | 三菱商事 | 全社 | AI資格必須化による組織変革 | 人材育成投資としての位置づけ |
| 金融 | 明治安田生命 | 36,000名 | 営業現場のデジタル秘書 | 顧客対応品質の標準化 |
| 金融 | 楽天証券 | 技術部門 | AI投資支援の自動化 | 顧客体験の差別化 |
| 製造 | パナソニック コネクト | 全社 | 年間44.8万時間削減 | 労働力不足への構造的対応 |
| 製造 | トヨタ(岩手) | 工場単位 | 不良検知率0.002% | 品質管理コストの削減 |
| 食品 | 味の素 | バックオフィス | 年間1万時間削減見込 | 間接部門の生産性向上 |
| IT | 楽天グループ | 技術部門 | 機能実装時間80%短縮 | 開発スピードの競争優位 |
5. シャドーAI問題と対策
5-1. 実態データ
2026年1月の調査によると、生成AI利用者の約5人に1人(20%)が「シャドーAI」――すなわち会社が承認していないAIツールを業務に無断で持ち込んでいる。さらに深刻なことに、その中の6.8%が「氏名・住所・連絡先を含む個人情報(PII)」をアップロードしている実態がある。
情シス部門にとってシャドーAIが厄介なのは、「禁止すればするほど地下に潜る」という性質にある。従業員は業務効率化を善意で行っており、会社が公認ツールを用意していないがゆえに個人アカウントでの利用が蔓延する。
5-2. ソースコード流出事例
大手製造業において、エンジニアがプログラムのエラー修正のために自社の機密ソースコードを無料版AIに貼り付けた事例が報告されている。無料版ではデータがモデルの再学習に利用される契約であったため、コードが学習データに取り込まれ、取り返しのつかない事態となった。
この事例が示す教訓は、「禁止」だけでは防げないということである。エンジニアはエラーを解決するという正当な業務目的で行動しており、セキュリティインシデントの意図はなかった。
5-3. 対策5ステップ
情シス部門は、禁止するだけでは解決しないという教訓から、「守りながら攻める」アプローチを推奨している。
| ステップ | 施策 | 具体的アクション |
|---|---|---|
| Step 1 | 利用実態の可視化 | ネットワークログから未承認AIドメイン(api.openai.com、claude.ai等)へのアクセスを特定。CASB導入によるシャドーIT検出 |
| Step 2 | 公認ツールの最速提供 | 従業員のニーズを満たす「安全な法人版」を全社配布し、非公認ツールを使う動機を消す。Claude Enterprise、M365 Copilot等 |
| Step 3 | ガイドラインの明確化 | 「顧客データはNG、社内規程の要約はOK」等、A4数枚で具体的な入力許可範囲を周知 |
| Step 4 | 継続的な研修 | AI特有のリスク(ハルシネーション、著作権侵害、PII漏洩)を全社員に教育。年2回以上の更新 |
| Step 5 | 技術的ガードレール | プロンプトフィルター、CASBによるDLP(Data Loss Prevention)、機密データの自動マスキング |
重要: Step 2を飛ばしてStep 3以降を実施しても効果は限定的である。まず「安全に使える環境」を提供し、そのうえでルールを設定することが、シャドーAI根絶の鉄則である。
6. 2026年規制動向
6-1. AI事業者ガイドライン第1.2版(2026年3月改定)
経済産業省・総務省が2026年3月末に正式公表したこのガイドラインは、AIエージェントと「フィジカルAI」に関する定義と要件を新設した。日本のAI規制は欧州のAI法のようなハードローではなく、技術進化に合わせた柔軟な「ソフトロー」を中心としている。
稟議書に影響する3つのポイント:
(1) Human-in-the-Loop(HITL)の義務化
AIエージェントが「外部に影響を与える操作」や「重要な変更」を行う前に、人間の最終確認を挟む設計が求められる。例えば、AIが見積書を自動作成しても、送信ボタンを押すのは人間であるべき、という考え方である。
稟議上の意味合い:エージェント製品がHITL機能(承認フロー)を標準搭載しているかが、ガイドライン準拠の判断基準となる。
(2) リスクベースアプローチ
リスクの大きさに応じて対策の優先順位を決定することを推奨。実務では以下のような段階的設計が求められる。
| リスクレベル | 例 | 求められる統制 |
|---|---|---|
| 低 | 社内FAQ検索 | ログ記録のみ |
| 中 | 小額の自動発注 | ログ+事後レビュー |
| 高 | 高額案件の承認 | 管理職による事前承認必須 |
| 最高 | 個人情報の外部送信 | 複数人承認+法務確認 |
(3) アジャイルガバナンス
ガイドラインを「一度守れば終わり」のものではなく、PDCAを回しながら継続的に改善する「イノベーションの加速装置」と位置づけている。稟議書には「導入後の定期的な評価・改善計画」を含めることが推奨される。
6-2. 個人情報保護委員会の見解
2026年4月現在、委員会は「AI学習への個人情報利用」について極めて慎重な姿勢を維持している。従業員の氏名や顧客データを含む情報をAIエージェントに入力する場合、それが「利用目的の範囲内」であるか、あるいは「匿名加工」がなされているかを厳格に管理するよう求めている。
稟議書への記載事項: AIエージェントへの個人情報入力ポリシーと、匿名加工処理の技術的手段を明記すること。
6-3. 業界別ガイドライン
| 業界 | 規制・ガイドライン | AIエージェント導入への影響 |
|---|---|---|
| 金融 | FISC安全対策基準+2026年「生成AI利活用ガイダンス」 | AIベンダーにも「外部委託管理基準」を適用。データの国内処理が必須 |
| 医療 | 厚労省ガイドライン | AI診断支援は医師の最終判断(HITL)が前提。医療機器該当性の判断が必要 |
| 行政 | デジタル庁「生成AIの調達・利活用ガイドライン」 | 調達時の評価項目としてセキュリティ・データ保護を明記 |
7. プロンプトインジェクション対策
7-1. OWASP 2026データ
AIエージェントが自律的に外部ツールを操作するようになり、セキュリティの焦点は「プロンプトインジェクション」への対策に移行した。OWASP 2026レポートによれば、プロンプトインジェクションはエージェントAIの最大脅威とされ、本番デプロイの73%で攻撃の形跡が確認されている。
プロンプトインジェクションの具体的な脅威シナリオは以下の通りである。
| 攻撃パターン | 概要 | 想定被害 |
|---|---|---|
| 直接インジェクション | 悪意あるプロンプトをユーザー入力として直接送信 | エージェントの権限を超えたデータアクセス |
| 間接インジェクション | 外部ドキュメントやWebページに悪意ある指示を埋め込み | エージェントが読み込んだ文書経由での情報窃取 |
| マルチステップ攻撃 | 複数回のやり取りを通じて段階的にガードレールを回避 | 段階的な権限昇格、機密データの外部送信 |
7-2. 対応3原則
情シス部門は、以下の3原則をAIエージェント導入の設計基準としている。
(1) 権限最小化(Least Privilege)
エージェントに与えるAPI権限を必要最小限に絞る。「読み取り専用」で十分な業務に「書き込み権限」を付与しない。具体的には、エージェントごとに専用のサービスアカウントを作成し、必要なAPIスコープのみを許可する設計とする。
(2) サンドボックス分離
AIの実行環境を基幹ネットワークから論理的に分離する。エージェントが操作可能なシステムを明示的にホワイトリスト化し、基幹系システムへの直接アクセスを遮断する。VPC(Virtual Private Cloud)やネットワークセグメンテーションの活用が有効である。
(3) Human-in-the-Loop(HITL)
外部に影響を与える操作(送金、メール送信、データ削除、契約変更等)の前に、必ず人間が承認ボタンを押す仕組みを構築する。2026年3月のガイドライン改定により、この原則は「推奨」から「事実上の義務」へと格上げされた。
8. 導入判断チェックシート(稟議添付用テンプレート)
以下のチェックシートは、AIエージェント製品の導入稟議に添付する評価テンプレートである。各項目を「対応済/一部対応/未対応/該当なし」で記入し、総合判定の根拠資料として使用する。
AIエージェント導入判断チェックシート
評価日: _年_月日
評価対象製品: ___
評価者(所属・氏名): ___
稟議番号: ____
A. データレジデンシー・法規制準拠
| # | チェック項目 | 対応状況 | 備考 |
|---|---|---|---|
| A-1 | データの処理・保管が日本リージョンで完結するか | [ ] 対応済 / [ ] 未対応 | |
| A-2 | プロンプト・応答データの経路上に国外リージョンを経由しないか | [ ] 対応済 / [ ] 未対応 | |
| A-3 | 入力データがモデルの再学習に利用されない契約上の保証があるか | [ ] 対応済 / [ ] 未対応 | |
| A-4 | オプトアウト設定の証跡(監査ログ)が取得可能か | [ ] 対応済 / [ ] 未対応 | |
| A-5 | AI事業者ガイドライン(第1.2版)のHITL要件を満たす設計か | [ ] 対応済 / [ ] 一部対応 / [ ] 未対応 |
B. セキュリティ認証
| # | チェック項目 | 対応状況 | 備考 |
|---|---|---|---|
| B-1 | SOC2 Type2レポートが取得済みか(AIエージェント機能が認証範囲に含まれるか) | [ ] 対応済 / [ ] 未対応 | |
| B-2 | ISO 27001認証が取得済みか | [ ] 対応済 / [ ] 未対応 | |
| B-3 | ISO 27017(クラウドセキュリティ)認証が取得済みか | [ ] 対応済 / [ ] 未対応 | |
| B-4 | 業界固有の認証要件を満たしているか(FISC、ISMAP等) | [ ] 対応済 / [ ] 該当なし |
C. 認証基盤・アクセス制御
| # | チェック項目 | 対応状況 | 備考 |
|---|---|---|---|
| C-1 | SAML 2.0またはOpenID ConnectによるSSOに対応しているか | [ ] 対応済 / [ ] 未対応 | |
| C-2 | 自社のID基盤(Entra ID / Okta等)との連携実績があるか | [ ] 対応済 / [ ] 未対応 | |
| C-3 | SCIMによるユーザープロビジョニング/デプロビジョニングが可能か | [ ] 対応済 / [ ] 未対応 | |
| C-4 | RBAC(ロールベースアクセス制御)でエージェントの操作範囲を制限できるか | [ ] 対応済 / [ ] 未対応 | |
| C-5 | エージェントの動作がどのユーザーの権限に基づくかトレース可能か | [ ] 対応済 / [ ] 未対応 |
D. 監査ログ・フォレンジック
| # | チェック項目 | 対応状況 | 備考 |
|---|---|---|---|
| D-1 | エージェントの入力・推論・実行・出力の全プロセスがログに記録されるか | [ ] 対応済 / [ ] 一部対応 / [ ] 未対応 | |
| D-2 | ログの保持期間が自社のポリシーを満たすか(最低1年、金融は7年以上) | [ ] 対応済 / [ ] 未対応 | |
| D-3 | ログの改ざん防止措置(WORM等)が講じられているか | [ ] 対応済 / [ ] 未対応 | |
| D-4 | 自社のSIEM(Splunk、Sentinel等)との連携が可能か | [ ] 対応済 / [ ] 未対応 |
E. SLA・サポート体制
| # | チェック項目 | 対応状況 | 備考 |
|---|---|---|---|
| E-1 | 稼働率保証(SLA)が99.9%以上か | [ ] 対応済 / [ ] 未対応 | |
| E-2 | P1障害の初動対応時間が明記されているか | [ ] 対応済 / [ ] 未対応 | |
| E-3 | 日本語での技術サポート窓口が存在するか | [ ] 対応済 / [ ] 未対応 | |
| E-4 | 日本時間(JST)での対応が可能か | [ ] 対応済 / [ ] 未対応 | |
| E-5 | AIエージェント起因の損害に対する責任範囲が契約上明確か | [ ] 対応済 / [ ] 未対応 |
F. セキュリティ対策
| # | チェック項目 | 対応状況 | 備考 |
|---|---|---|---|
| F-1 | プロンプトインジェクション対策(入力フィルタリング等)が実装されているか | [ ] 対応済 / [ ] 一部対応 / [ ] 未対応 | |
| F-2 | エージェントのAPI権限が最小権限の原則に基づいて設計されているか | [ ] 対応済 / [ ] 未対応 | |
| F-3 | エージェントの実行環境がサンドボックスで分離されているか | [ ] 対応済 / [ ] 未対応 | |
| F-4 | 外部影響操作(送金・メール送信等)にHITL承認フローが組み込まれているか | [ ] 対応済 / [ ] 未対応 |
G. コスト・ROI
| # | チェック項目 | 記入欄 |
|---|---|---|
| G-1 | 初年度の総コスト(ライセンス+導入+教育) | ______円 |
| G-2 | 年間ランニングコスト(2年目以降) | ______円 |
| G-3 | 期待される定量効果(工数削減時間 x 人件費単価) | ______円/年 |
| G-4 | 投資回収期間(ペイバック期間) | ______ヶ月 |
| G-5 | シャドーAI対策としての効果(リスク低減の定性評価) | ______ |
総合判定
| 判定 | 基準 |
|---|---|
| 導入推奨 | A~Fの全項目が「対応済」、G-4が24ヶ月以内 |
| 条件付き導入可 | 「一部対応」が3項目以内、かつ対応計画が明確 |
| 再検討 | 「未対応」が3項目以上、またはA-1~A-3のいずれかが「未対応」 |
| 導入不可 | SLA未提供(E-1未対応)、またはデータ学習オプトアウト不可(A-3未対応) |
総合判定結果: [ ] 導入推奨 / [ ] 条件付き導入可 / [ ] 再検討 / [ ] 導入不可
判定理由・特記事項:
本記事は2026年4月27日時点の公開情報を基に構成しています。AI技術および規制環境の変化は極めて速いため、実務においては常に最新の官公庁ガイドラインおよび各ベンダーのSLAを確認することを推奨します。
出典:経済産業省・総務省「AI事業者ガイドライン(第1.2版)」、OWASP AIセキュリティレポート2026、各社プレスリリース・事例記事、エルテス「シャドーAI実態調査2026」、TIS「マネージドサポートサービス」、FISC安全対策基準
関連記事
この記事は「AIエージェント全体図:あなたが学ぶべきもの、放置していいもの」(note)のスピンオフ記事です。
