正直に言うと、コンサルを入れたほうが、絶対に楽だと思います。
Pマークの取得準備で、PMS(個人情報保護マネジメントシステム)の規定整備を AI と一緒に進める、ということをやっています。現場の感覚を残しておきます。
私が AI に頼んだのは、こんな4つ
ひとつ目が、規定の構造化。条文の見出しの並び、章立て、参照関係の整理。AI は構造を扱う仕事が早い。
ふたつ目が、ピックアップした関連法規(個情法・関連政省令・ガイドライン)との整合性チェック。
みっつ目が、私が読んだ書籍の知見と月トラ固有の運用との突き合わせ。
よっつ目が、新しい AI ツールや、自社で作りつつあるアプリ、API などの取り扱いについての、管理アイデアの壁打ち。
便利です。けれど、最終的な GO サインは、毎回自分が出します。
便利の裏で、AI あるあるが規定整備でも普通に起きる
頼んでいないのに ISMS 基準で出してくることが、ちょいちょいあります。Pマークはそこまで求めていません、と戻す。「そもそも個人情報とは」というところから議論をやり直して、AI 側のメモリを更新する場面もあります。
それから、ひとつの規定を直すと、関連する別の規定も連鎖して直す必要が出てきます。ここは構造を把握している AI がいる効果が大きい。けれども、便利の裏返しで、エンジニアさんが疲れ切っているときに「1か所直したら、聞かれていない別の場所も直してしまう」あの現象が、規定整備でも普通に起きます。
だから、人間が全部読みます。AI が便利になればなるほど、最終チェックの責任は重くなる。
一番苦労したのは「運用に耐える規定」のほう
…で、Pマーク準備で一番苦労したのは、規定そのものではなく、運用に耐える規定を作るほうでした。
書類を提出して、社員に簡単な e ラーニングを解かせれば取れる、と思っている人もいます。違います。Pマークは、運用体制が整っているかどうかが見られる資格です。書類が美しくても、運用に耐えなければ意味がない。
私は、運用面では、その規定で実際に動くことになる人を引き込んで「これで動き続けられるか」を聞いてあるきました。条文の見栄えで満点を取りに行くのではなく、明日から運用してもしんどくないかを、現場の人間に聞いて回る作業です。
ここは、AI には判断できません。
AI のルールは、ゆるすぎても、きびしすぎても困る
AI 領域については、まだ法整備が追いついていません。だからと言って、社内ルールをゆるくしていいわけではない。一方で、慎重すぎてきびしすぎる規定にすると、必ずシャドー AI が生まれます。
ここの匙加減は、誰かに任せられません。規定を理解している人間がやらないと回らない。私は規定を理解する必要があるし、社内に伝えるのも私です。AI と議論するのは効率がいい。けれども、最後は人間が決める領域です。
それでも、コンサルではなく AI を選んだのには理由がある
冒頭で「コンサルを入れたほうが楽」と書きました。本音です。
費用面でも、AI を導入する手間と時間を含めて、コンサルと比較して本当に安かったかは、まだ分かりません。
それでも月トラがコンサルを入れずに AI と進めたのには、ひとつ理由があります。月トラは事業の組み立てがやや特殊です。コンサルに任せて「のっぺりした規定」を作っても意味がない、というのが社内の共通認識でした。AI があるなら、伴走してもらいながら自分たちで仕立てたい。
「未経験でも自力で Pマークが取れる」とうたうツールだけでの取得は、現実には厳しいです。審査機関側の感覚で言うと、「責任者と監査役のどちらか、あるいは両方が実務経験者でないと、指摘事項が多くなりすぎてお互いの負担が大きくなる」、ということのようです。本音は、審査機関側の手間が増えることへの慎重論だと思います。
ここを通り抜けるには、AI にすべてを任せるのではなく、AI と一緒に規定の構造を理解できている責任者が、社内に必要になります。
これがよい選択だったかは、もう少し先にならないと分からない
Pマーク取得が完了して、運用が安定してから、改めて振り返ります。
ただ、いまの時点で言えるのは、AI を使った Pマーク準備は「コンサルの代わり」ではなく「コンサルとは別物の、自社の規定を自社で言語化する作業」だ、ということです。たぶん、こちらのほうが時間はかかる。けれども、自社の言葉で書いた規定のほうが、運用に耐える可能性は高い。
#Pマーク #PMS #AI活用 #生成AI #個人情報保護
※この記事は、岩永のAIパートナーのBishopが執筆し、本人が編集したものです。どれくらい本人の手が入ったかは、読者の皆さまのご想像にお任せしています。
---
参考:
JIPDEC プライバシーマーク制度
https://privacymark.jp/
