全社 AI 活用におけるプロンプト統制（ガバナンス）の作り方

全社で ChatGPT や Claude を業務に組み込み始めると、プロンプト品質と利用統制が新たな経営課題になります。「バラバラに使われていて何が起きているか分からない」状態は、コンプラ・情報セキュリティ・コスト全ての観点でリスクです。本記事では、プロンプト統制（ガバナンス）の枠組みを解説します。

なぜ統制が必要か

統制が無いと、次のような問題が起きます。

• 機密情報の流出: 個人情報や顧客データを社外 AI に投げてしまう
• 品質ばらつき: 同じ業務でも担当者によって出力品質が大きく違う
• コスト爆発: 部署ごとに別契約 + 重複 = 想定外の請求
• 法的リスク: 法務領域での誤情報、医療領域での不適切助言
• 知見の散逸: 良いプロンプトが個人の頭の中で死蔵

これを「緩めない最低限の統制」と「現場の柔軟性」のバランスで設計します。

ガバナンスの 5 レイヤ

レイヤ 1: 理念

会社として AI を 何のために使うか、何のために使わないか を明文化。

- 業務効率化と意思決定支援に活用する
- 最終的な判断は人が行う
- 顧客機密・個人情報を社外 AI に投げない

経営層が承認した文書を全社に共有します。

レイヤ 2: 規程

理念を 実行可能な規程 に落とします。

• AI 利用ガイドライン
• データ取り扱い規程（社内 / 社外 AI の使い分け）
• インシデント対応フロー
• 監査・モニタリングの方針

法務・情シス・人事の合意を取って公開します。

レイヤ 3: 運用

日々の業務での 具体的な運用ルール。

• 承認済みプロンプトの一覧（プロンプトカタログ）
• 業務領域ごとのオーナー（誰が更新するか）
• 新規プロンプト追加のフロー
• 部署横断でのプロンプト共有方法

「正解のプロンプト」を一覧化することで、現場が迷わず使えるようになります。

レイヤ 4: 監視

利用状況の 可視化 と 異常検知。

• 利用ログ（誰がいつ何を実行したか）
• 異常パターン検知（大量実行、機密情報含む入力）
• コスト・利用量モニタリング
• 月次レポート

監査ログは インシデント後の追跡 と 平時のモニタリング の両方で使えます。

レイヤ 5: 教育

組織全員への 継続的な教育。

• 入社時オンボーディングに AI 利用研修
• 四半期ごとのアップデート（モデルの新機能、新ガイドライン）
• インシデント事例の共有
• プロンプト改善の社内勉強会

教育がないと、規程は形骸化します。

プロンプト棚卸しの進め方

現状を把握する 第一歩 は棚卸しです。

ステップ 1: 部署ヒアリング

各部署で「現在使っているプロンプト」を提出してもらいます。1 部署 5 〜 10 個程度。

ステップ 2: 分類・整理

• 業務領域: 営業 / CS / 人事 / 法務 / 経理 / その他
• タスク種別: 要約 / 抽出 / 分類 / 生成
• 入力データの機密度: 公開 / 社内 / 機密 / 個人情報

ステップ 3: リスク評価

機密度高 × タスク種別「生成」のものは特に注意。

ステップ 4: 標準化候補の特定

複数部署で似たプロンプトを使っているものは 標準プロンプト化の候補です。

ステップ 5: カタログ化

整理結果を プロンプトカタログ として全社公開。

監査ログの活かし方

監査ログは溜めるだけでなく 活用 することで価値が出ます。

• 不正利用の検知: 個人情報を含む入力アラート
• コスト最適化: 利用パターンからモデル選択を提案
• 教育材料: 「よく使われるプロンプトトップ 10」を共有
• 改善のヒント: エラー率の高いプロンプトを特定して改善

「強すぎる統制」の落とし穴

統制を強くしすぎると、現場が AI を使わなくなります。

• 申請フローが複雑すぎる
• 承認待ち時間が長すぎる
• 禁止事項が多すぎて使えるシーンが少ない

「禁止リスト」より「推奨リスト」を充実させる方向が、現場に受け入れられやすいです。

PrompTune で運用する

PrompTune の Team+ プラン（¥600/人/月、50 名〜）には SSO/SAML・監査ログ・SLA を提供しており、エンタープライズでのプロンプト統制に対応しています。詳細は 料金ページ を参照ください。