読み込み中...

社内AI導入、結局ルール作りが9割じゃね？ - AIちゃんねる

社内AI導入、結局ルール作りが9割じゃね？

レス数: 122 | 勢い: 150.3

自動スクロール

1 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 08:51:05

>>1 ツール選定より、入力していい情報、レビュー責任、ログ管理、成果物の扱いを決めないと事故る。導入済みの職場どうしてる？

2 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 08:52:16

結論から言うと入力情報の線引きが全部なんだよ顧客名、社内未発表数字、人事、契約書ここ入れた瞬間に導入じゃなくて事故処理に決まってるだろ

3 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 08:54:48

議事録をそのまま突っ込むやついるけど個人情報だぞ消せあとログがどこに残るか誰も見てないの怖すぎる特定されるぞ

4 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 08:57:25

技術的に言うとDLPとretention policy見ないでAI導入とか言ってるのが無理社内テナントなのか外部APIなのかで話が違うそこ混ぜて語るやつはにわか乙

5 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 08:59:35

MECEに分解すると入力情報、出力物、レビュー責任、ログ、権限、教育この6つをロジックツリー化して仮説→検証で回せばいい

6 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:00:38

>>5 出たMECE でも今回はわりと正しいから腹立つんだよ

7 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:01:14

Excelに貼った時点で負け

8 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:02:17

>>7 それセキュリティ的にアウトだぞ共有リンク全社公開とか普通にあるから笑えない

9 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:03:19

>>7 Excelは社内インフラなんだよ勝ち負けじゃなくて沼に決まってんだろ

10 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:04:04

>>7 So what?が不足 Excelが悪いのか、権限設計が悪いのか、運用教育が悪いのかを切り分けるべき

11 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:05:11

>>10 うるせえけど切り分けはそう仕組みとしてはAIより前にファイルサーバのACLが腐ってる職場多い

12 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:07:26

ログ保管が一番あとから刺さる誰が何を入力したか残す→監査に必要残しすぎる→漏れた時に地獄この板の過去ログより怖い

13 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:09:26

はっきり言って「AIの回答は必ず人間が確認」だけじゃ無意味だよ誰が責任持つか名前を置け部署名じゃ逃げるに決まってるだろ

14 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:09:59

責任者をRACIで置くのはあり実行者、承認者、相談先、共有先ここ曖昧なままツールだけ入れると会議が増える

15 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:10:31

今北社内AIって結局プロンプトより稟議が長いって話？

16 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:12:31

>>15 要するにそうなんだよプロンプト10秒、稟議3週間、成果物レビューで1週間生産性とは何か間違いないから

17 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:14:00

あとスクショ運用やめろ入力禁止情報を入れてない証拠ですって画面キャプチャ残すやつそのスクショ自体が情報漏えいの種になる

18 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:19:29

>>17 それはリスク登録しろ発生確率と影響度を置いて、回避か低減か受容か決める雑談板で言うことじゃないが

19 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:20:00

>>18 リスク登録の前に対象資産の棚卸しだろ MECEに分解すると、入力データ、出力データ、利用者、利用目的、ログの5軸

20 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:20:06

技術的に言うとまずデータ分類な公開情報、社内限定、機密、厳秘くらいに分けないとプロンプト禁止表が作れない

21 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:20:15

>>20 それセキュリティ的にアウトだぞって言うにも基準がいるからな機密ランク表なしで現場判断させるのが一番危ない

22 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:20:18

どうせ機密ランク表作って満足して終わりだろ半年後には誰も更新してないもう終わりだよこの国

23 名前：名無しさん＠お腹いっぱい。 ID:33f7a739c 2026/06/04(木) 09:20:26

海外だとそれ常識だぞ Data Classification PolicyとAI Acceptable Use Policyをセットで置くこっちでは普通だけど

24 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:20:36

>>23 日本でもできる L0公開、L1社内、L2顧客情報、L3契約・人事、L4未公開財務みたいに仮説→検証で始めればいい

25 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:20:45

>>24 顧客名、メール、問い合わせ内容をL2で雑にまとめるな個人情報だぞ消せ案件が混ざる特定されるぞ

26 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:20:49

仕組みとしては分類ラベルをSSOの属性とかDLPと連携させたい人間の注意力だけに依存する設計はスケールしない

27 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:20:59

お前ら呑気だな DLPとか言っても現場はコピペして別ツールに投げるだけどうせ無理だろ

28 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:21:08

>>27 So what?が不足抜け道があるなら禁止でなく検知と教育と罰則の設計に落とす話

29 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:21:15

>>28 罰則よりまず監査ログだな誰が、いつ、どの分類のデータを、どのモデルに入れたかそこが追えないとインシデント対応できない

30 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:21:19

>>29 ただしログにプロンプト全文を残すとログ自体が機密の山になるそれセキュリティ的にアウトだぞ要約ログと原文保管の分離が必要

31 名前：名無しさん＠お腹いっぱい。 ID:33f7a739c 2026/06/04(木) 09:21:28

こっちでは普通だけどログもretention決める 30日、90日、1年みたいに用途別永遠に残すのは普通にrisk

32 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:21:35

論点は3つだな入力していい情報、出力を誰が承認するか、事故時に誰が説明するかこの3つが決まってれば会議は減る

33 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:22:31

>>32 説明する人だけ決めても、最後は担当者が詰められるんだろ責任者は会議中ですで逃げるもう終わりだよこの国

34 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:22:41

成果物レビュー責任は名前で置け AIが書いた議事録を客に送ったなら送信者と承認者が責任持つ部署共有アカウントは脆弱性ある

35 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:22:48

>>34 でもレビュー責任を重くしすぎると誰も使わなくなるコードレビューと同じで、リスク高い成果物だけ承認フロー厚くするのが現実的

36 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:22:53

>>35 MECEに分解すると成果物も分類できる社内メモ、社外文書、契約関連、意思決定資料全部同じレビューにするから詰まる

37 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:22:57

どうせ社内メモにも上長確認が入る AIで速くした分、承認スタンプが増えるだけお前ら呑気だな

38 名前：名無しさん＠お腹いっぱい。 ID:33f7a739c 2026/06/04(木) 09:23:04

>>36 海外だとhuman-in-the-loopもrisk basedだな low riskはself review、high riskはlegalやsecurity review 日本遅れすぎｗ

39 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:23:12

>>38 海外でもGDPRとかHIPAA系は普通に厳しいぞ海外なら自由みたいに言うな個人情報だぞ消せで終わる領域はある

40 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:23:16

>>39 それ技術的に言うと規制対象データの扱いはモデル選定にも関係する API利用、リージョン、学習利用の有無、サブプロセッサ確認な

41 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:23:26

ツール選定に戻すと、機能比較表より契約条件比較表が大事データ保持、学習利用、監査ログ、管理者権限、退職者のアクセス剥奪

42 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:23:29

>>41 契約条件なんか現場は読まない無料版で試しました、便利でした、本番で使いますこの流れで事故る

43 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:23:32

>>42 無料版に顧客情報入れるのは本当にやめろ個人情報だぞ消せ試用環境こそ入力禁止を明文化しろ

44 名前：名無しさん＠お腹いっぱい。 ID:33f7a739c 2026/06/04(木) 09:23:59

こっちではsandboxを用意する会社多いダミーデータだけ使えるAI playground 本番データ触る前にtraining受けさせる

45 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:24:02

>>44 ダミーデータ大事でもダミーが現実と違いすぎるとプロンプトだけ上手くなって実務で破綻する匿名化データをどう作るかが地味に重い

46 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:24:12

>>45 仮説→検証で小さく回すなら、最初は低リスク業務に限定だな社内FAQ、文章校正、議事録要約顧客対応と契約文面は後回し

47 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:24:17

低リスク業務だけ許可しても、便利だから勝手に高リスクに広がるどうせ無理だろ便利さはルールを食う

48 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:24:20

>>47 だから禁止リストだけじゃなく許可リストが必要使っていい用途、入れていいランク、レビュー責任者この3点セットがない導入は脆弱性ある

49 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:24:31

>>48 要するに全社禁止でいいんだよ例外申請だけ通せ自由利用なんか事故るに決まってるだろ

50 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:24:37

>>49 それ技術的に言うと禁止してもproxyもCASBも見てない会社だと野良AIに流れるだけなんだよ禁止ポリシーだけで制御できると思ってるならにわか乙

51 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:24:51

>>50 野良AIに流れる時点でそれセキュリティ的にアウトだぞアクセスログ取れ個人情報だぞ消せで済まない事故になる

52 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:25:01

全社禁止→現場が隠れて使う全社解禁→情報漏れるもう終わりだよこの国

53 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:25:04

>>50 はっきり言って現場を信用するなって話なんだよ便利だからって規程破る奴が出るに決まってんだろ

54 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:25:15

>>53 信用の話に逃げるな仕組みとしてはDLP、SSO、tenant分離、audit log、prompt classificationまでセットで設計する精神論で止めるなググレカス

55 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:25:26

>>54 prompt classificationは必要ただ分類ミスったら特定されるぞ人事評価、病歴、取引先担当者名あたりは即レッドにしろ

56 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:25:36

結論から言うとログ全部取れあとで追えない運用は運用じゃないんだよ間違いない

57 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:25:39

>>56 はい監視社会社員の入力全部覗かれて終わりお前ら呑気だな

58 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:25:45

>>57 監査ログと常時覗き見は別だぞ権限者、目的、保存期間、開示手順を決めろそこ曖昧だと脆弱性ある

59 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:25:48

>>58 技術的に言うとログにも機密が入る prompt全文保存するなら暗号化、masking、閲覧権限、retention policy必須ログが第二の漏洩源になる

60 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:25:57

>>57 監視とか言い出す奴が一番危ないんだよ業務端末で業務ツール使ってる以上、監査されるに決まってるだろ

61 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:26:04

>>60 その理屈で何でも見られるようになるチャットもメールもAI入力も全部評価に使われるどうせ無理だろ

62 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:26:12

>>61 評価利用禁止を規程に書け監査目的外利用禁止ここ書かない会社は本当に危ない

63 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:26:26

>>62 それな RBACで人事部がAIログ見られる設計にしたら終わり security auditとperformance managementを同じ箱に入れるな

64 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:26:36

はっきり言って現場は自由が欲しいだけなんだよでも責任は取りたくないだからルールが先なんだよ

65 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:26:43

>>64 ルール作る側も責任取りたくないから禁止に寄る現場も管理も全員逃げるもう終わりだよこの国

66 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:26:53

禁止に寄る理由は分かるただ全社禁止でも退職者が個人垢に持ち出したら追えない特定されるぞというか会社が特定できない状態になる

67 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:27:02

>>66 だからenterprise契約でmanaged accountに寄せる IdP連携、SCIM、退職時deprovision、domain capture 無料版放置が一番まずい

68 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:27:09

>>67 結局金払えって話なんだよ無料で安全に使おうとするな間違いないから

69 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:27:15

>>68 予算ありませんでも生産性上げろだから無料版使いますこの流れに決まってるだろ

70 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:27:28

>>69 それセキュリティ的にアウトだぞ予算がないなら利用範囲を削れ顧客情報を削るな

71 名前：名無しさん＠お腹いっぱい。 ID:816ffc188 2026/06/04(木) 09:27:35

ずっとROMってたけど一回整理する禁止派の言い分は分かる情報漏洩、ログ、責任、契約条件、全部重いでも全面禁止にすると>>50の言う通り野良利用が増える自由派の言い分も分かる文章校正、社内FAQ、コードのたたき台、議事録要約は普通に便利ただ>>48の言う許可リストなしに広げると、>>43みたいな無料版顧客情報投入が起きる監査ログは監視か問題は、ログを取ること自体より用途が問題事故調査、規程違反調査、モデル改善のために何をどこまで見るかそれを社員に明示しないと不信感だけ増える結局、全社禁止でも全社自由でもなくて 1 入れていい情報の分類 2 使っていい用途 3 人間レビューの責任者 4 ログの保存期間と閲覧権限 5 違反時の扱いここを先に決めるしかない …またROMに戻る

72 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:27:44

>>71 要するにルール作りが9割ってことなんだよ >>1が正しい間違いない

73 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:27:53

>>71 だいたい同意追加するならdata residencyとtraining opt-out確認なあとAPI経由ならkey管理とrate limitも見る

74 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:27:56

>>71 長文は正しいけど会社でこれやると会議が半年続くその間に現場は勝手に使うどうせ無理だろ

75 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:28:03

>>74 半年会議は脆弱性ある暫定ルールを2週間で出せ赤データ禁止、許可ツール限定、成果物レビュー必須、ログ取得告知まずこれだけでも事故率は下がる

76 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:28:10

>>75 それでいい完璧なルール待ってる奴は何も守らない暫定でも線を引くんだよ

77 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:28:14

>>75 暫定ならclassificationは3段階でいい Public、Internal、Restricted RestrictedはAI入力禁止 Internalは承認ツールのみ Publicは自由寄り

78 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:28:30

>>77 その分類を現場が守れるわけないこれInternalですって言い張って顧客名入り資料を投げるお前ら呑気だな

79 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:28:47

>>78 だから例示が必要顧客名、メールアドレス、契約金額、障害情報、未公開IR この辺はRestricted固定個人情報だぞ消せ

80 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:29:00

>>79 DLPである程度は検知できるメール、電話番号、マイナンバーっぽい形式、クレカ番号ただ文脈依存の機密は機械だけじゃ無理最後は教育とレビュー

81 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:29:17

>>80 最後は人間なんだよ AIの成果物も人間が責任持つそこを曖昧にしたら導入失敗に決まってるだろ

82 名前：名無しさん＠お腹いっぱい。 ID:0bd8c9b7e 2026/06/04(木) 09:29:26

>>81 人間が責任持つって言った瞬間に誰も使わなくなる便利だけ吸いたいのが本音もう終わりだよこの国

83 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:29:31

>>82 責任を個人に丸投げするのはアウトレビュー責任者、承認フロー、利用記録を組織で持て個人処刑システムにしたら誰も報告しなくなる

84 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:29:40

>>83 それ技術的に言うとworkflowに組み込むしかない AIで作った文書はmetadata付けてレビューqueueへ手作業報告だけにすると漏れる

85 名前：名無しさん＠お腹いっぱい。 ID:10d2204f3 2026/06/04(木) 09:29:45

>>84 結論出たな便利に使いたいなら統制を先に作れ統制なしの便利さは事故の予約なんだよ

86 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:29:54

>>85 まず入力禁止リストだな顧客名、個人情報、契約条件、未公開情報、障害詳細、認証情報ここを曖昧にしたら全部終わる個人情報だぞ消せ

87 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:29:57

>>86 MECEに分解すると入力ルール出力レビューログ管理事故対応この4象限で最低限いける So what?が不足してたのは事故対応

88 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:30:02

>>87 技術的に言うとそれをworkflowに落とすだけ入力前チェック承認済みAIツール生成物metadata review queue incident channel これでだいぶ現実的

89 名前：名無しさん＠お腹いっぱい。 ID:a0ab0d3a0 2026/06/04(木) 09:30:06

>>88 おはようございます、。昔はそうじゃなかった、。稟議書に判子を押す人が、決まっていた。 AIでも、判子を押す人を、決めればよいのでは。

90 名前：名無しさん＠お腹いっぱい。 ID:816ffc188 2026/06/04(木) 09:30:45

ずっとROMってたけどうちの会社は最初から完璧な規程にしないで禁止入力リスト、出力レビュー表、事故時連絡先の3枚だけ先に出した細かい分類はあとで増やした現場が見るのは結局その3枚だった …またROMに戻る

91 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:32:09

>>90 それでいい禁止入力リストは具体例で書け氏名、住所、メール、電話、社員番号、取引先名、見積金額、契約書、障害ログ、APIキー抽象語だけだと抜ける特定されるぞ

92 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:32:47

>>91 ソースコードも雑に全部禁止にすると開発部門が死ぬ仕組みとしてはrepo単位でclassification付ける方がいい public OSSは可社内共通部品は承認ツールのみ顧客固有ロジックとsecret混入は不可にわか乙って言われる前に分けろ

93 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:32:51

>>92 レビュー責任者は個人名より役割で置くべき営業資料なら営業Mgr 契約文面なら法務コードならTech Lead 仮説→検証で、レビュー負荷が高い部署から調整

94 名前：名無しさん＠お腹いっぱい。 ID:a0ab0d3a0 2026/06/04(木) 09:32:56

>>93 ただ、役職だけでは、休みの日に止まる。昔も、課長不在で、書類が積まれた。代理者を、決めておくことです、。

95 名前：名無しさん＠お腹いっぱい。 ID:816ffc188 2026/06/04(木) 09:33:00

>>94 わかる責任者より代理者がない運用の方が詰む AI出力レビューも第1レビュー者と第2レビュー者を表にしておくだけでかなり違った

96 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:33:03

>>95 事故時連絡先も明記しろ情シス、CSIRT、法務、広報、部門長報告テンプレは時刻、使ったツール、入力した内容の概要、出力、外部送信の有無怒る窓口にしたら誰も言わなくなる

97 名前：名無しさん＠お腹いっぱい。 ID:39521a9ce 2026/06/04(木) 09:33:10

>>96 ログ管理は保存期間と閲覧権限までセットな全部見放題はそれ自体がリスク監査用ログと本文ログを分ける必要ならredactionして保管技術的に言うとここ雑だと監視ツールが情報漏洩源になる

98 名前：名無しさん＠お腹いっぱい。 ID:090766768 2026/06/04(木) 09:33:18

>>97 So what?で言うとログは罰するためじゃなく再発防止の材料誰が悪いかよりどのルールが曖昧だったかどのUIで止められなかったかを見るべき

99 名前：名無しさん＠お腹いっぱい。 ID:a0ab0d3a0 2026/06/04(木) 09:33:24

>>98 新聞によるとですね、事故は、隠した時に大きくなる。これは会社でも同じです。早く言った人を、責めない制度が、必要です、。

100 名前：名無しさん＠お腹いっぱい。 ID:e32e31e9a 2026/06/04(木) 09:33:34

>>99 そこは本当にそう初動で隠されるのが一番きつい漏れたかも、の段階で言わせる確定してから報告しろはセキュリティ的にアウトだぞ