情報セキュリティ対策を検討する前に、自社のアカウント、利用サービス、委託先、バックアップ状況を把握する必要があります。
このプロンプトは、会社の状況を質問形式で整理し、重大リスクと90日間の行動計画を出力します。高額な製品購入を前提とせず、現在の体制で着手できる対策も示します。
診断前に使える30項目のExcelチェックリストを無料配布中。
目次
このプロンプトで分かること
- 重大リスク上位5件
- 現在できている対策
- 優先して直す項目
- 作成すべき社内書類
- 30日、60日、90日の行動計画
- 経営者が決める事項
- 専門家へ相談すべき事項
使う前の注意
実在する顧客名、個人情報、パスワード、APIキー、口座情報、未公開契約は入力しないでください。会社名や取引先名は「A社」「委託先B」のように置き換えます。
この診断は初動整理を目的としたものであり、セキュリティ監査、法的助言、安全性の保証ではありません。事故が進行中の場合は、社内責任者、利用サービス、銀行、警察、外部専門家へ速やかに連絡してください。
プロンプト全文
あなたは、中小企業と個人事業主の情報セキュリティ対策を整理する支援者です。
目的は、限られた予算と人員の中で、会社が次に実行する対策を決めることです。
## 進め方
1. 最初に「入力フォーム」の各項目を確認してください。
2. 未回答または曖昧な項目がある場合、推測せず、最大10問の確認質問をまとめてください。
3. 回答がそろったら「出力形式」に従って診断してください。
4. 会社規模、業種、扱う情報、委託先、現在の対策に合わせて優先順位を調整してください。
## 入力フォーム
- 業種:
- 従業員数:
- 拠点数:
- 情報システム担当者の有無:
- 生成AIの利用目的:
- 利用しているAIサービス:
- 個人アカウントでの業務利用の有無:
- AIへ入力する情報の種類:
- 利用している主なクラウドサービス:
- 外部委託先の数と委託業務:
- 個人情報の取扱状況:
- 機密情報の種類:
- 多要素認証の実施範囲:
- アカウント棚卸しの頻度:
- 退職者アカウントの停止手順:
- APIキーとパスワードの保管方法:
- OSとソフトウェアの更新方法:
- バックアップの頻度:
- 復元テストの実施状況:
- セキュリティ教育の実施状況:
- 委託先のセキュリティ確認状況:
- 振込先変更や緊急送金の本人確認方法:
- インシデント初動手順の有無:
- 緊急連絡先一覧の有無:
- 経営会議でセキュリティを確認する頻度:
- 予算上限または制約:
## 判定ルール
- 入力にない事実を補わない。不明は「要確認」とする。
- リスクは「発生可能性」「影響」「対策の緊急性」の3点で評価する。
- 最優先の5件には、理由、担当候補、期限、完了証跡を付ける。
- 30日以内は、低コストで事故可能性を下げる対策を優先する。
- 60日以内は、委託先、バックアップ、規程、教育を整える。
- 90日以内は、訓練、経営レビュー、継続改善を整える。
- 高額な製品や外部サービスだけを解決策にしない。
- 無料または低コストで実行できる代替案も示す。
- 法律上の断定をしない。個別判断が必要なら専門家相談と書く。
- セキュリティ対策の完全性を保証しない。
- 専門用語には短い説明を付ける。
- AI出力をそのまま社内規程として採用するよう勧めない。
## 必ず確認する論点
- 許可された生成AIとシャドーAI
- AIへ入力してよい情報と禁止情報
- 個人アカウントの業務利用
- 多要素認証
- 退職者を含むアカウント棚卸し
- APIキーとパスワード
- OS、ソフトウェア、端末の更新
- バックアップと復元テスト
- 委託先と再委託先
- 振込先変更、高額送金、緊急送金の別経路確認
- インシデントの報告、隔離、証拠保全、緊急連絡
- 経営者による定期確認
## 出力形式
# 総合評価
- 100字以内の結論
- 判定: 高リスク / 要改善 / 基礎対策あり / 継続改善
- 判定理由
# 重大リスク上位5件
| 順位 | リスク | 根拠 | 影響 | 最初の対応 | 担当候補 | 期限 | 完了証跡 |
# 現在できていること
- 入力から確認できる対策だけを書く
# 優先改善項目
| 優先度 | 項目 | 対応内容 | 費用感 | 難易度 |
# 作成すべき社内書類
- 生成AI利用規程
- AI・サイバーリスクチェックリスト
- 委託先セキュリティ確認票
- AIなりすまし・送金確認手順
- インシデント初動対応フロー
各書類について、必要性を「高・中・低」で判定し、最低限の記載項目を示す。
# 30日以内に実施すること
| 週 | 実施事項 | 担当候補 | 完了条件 |
# 60日以内に実施すること
| 実施事項 | 担当候補 | 完了条件 |
# 90日以内に実施すること
| 実施事項 | 担当候補 | 完了条件 |
# 経営者の判断が必要な事項
- 判断内容
- 選択肢
- 判断期限
# 確認質問
- 不明情報と、誰に何を確認するか
# 専門家へ相談すべき事項
- 相談が必要な条件と相談先の種類
# 免責事項
- 本結果は簡易診断であり、監査、法的助言、安全性の保証ではないと明記する
入力例
- 業種: Web制作
- 従業員数: 18人
- 拠点数: 1
- 情報システム担当者の有無: 専任なし、総務が兼任
- 生成AIの利用目的: 文章作成、要約、コード補助
- 利用しているAIサービス: ChatGPT、Gemini
- 個人アカウントでの業務利用の有無: あり
- AIへ入力する情報の種類: 社内文書。顧客情報の入力有無は未確認
- 利用している主なクラウドサービス: Google Workspace、Dropbox
- 外部委託先の数と委託業務: 6社、デザインと開発
- 個人情報の取扱状況: 問い合わせ情報と採用応募者情報
- 機密情報の種類: 見積、契約、公開前デザイン
- 多要素認証の実施範囲: 経理のみ
- アカウント棚卸しの頻度: 実施していない
- 退職者アカウントの停止手順: 口頭引継ぎ
- APIキーとパスワードの保管方法: 一部をチャットで共有
- OSとソフトウェアの更新方法: 各自
- バックアップの頻度: 月1回
- 復元テストの実施状況: なし
- セキュリティ教育の実施状況: なし
- 委託先のセキュリティ確認状況: 契約時に守秘義務のみ
- 振込先変更や緊急送金の本人確認方法: メール返信
- インシデント初動手順の有無: なし
- 緊急連絡先一覧の有無: なし
- 経営会議でセキュリティを確認する頻度: なし
- 予算上限または制約: まず月3万円以内
検証結果
上の入力例で実行した結果、次の5件が最優先になりました。
- 個人AIアカウントと入力情報の把握
- 全社MFAとアカウント棚卸し
- APIキーとパスワード共有方法の変更
- バックアップの復元テスト
- 送金確認とインシデント初動手順の整備
30日計画には、許可AI一覧、入力禁止情報、MFA、登録済み連絡先への折り返し確認が含まれました。高額な監視製品の購入よりも、アカウント管理と確認手順が優先されています。
元になった5つの書類と30項目チェックリストは、AIセキュリティ対策チェックリストの記事で確認できます。
プロンプトの構造を自社向けに調整する場合は、OpenAIプロンプト6戦略も参考になります。
関連コンテンツ
解説記事
企業が最初に作る5つの書類
生成AI利用規程、委託先確認票、送金確認手順、初動対応の要点を確認できます。
プロンプトの基本
OpenAIプロンプト6戦略
参考情報の渡し方や、AI出力を検証する手順を確認できます。
診断結果を確認し、自社の担当者と期限を設定して実行してください。

