AIセキュリティ対策チェックリスト|中小企業が作る5つの書類

AIセキュリティ対策チェックリスト|中小企業が作るべき5つの書類

生成AIを業務に導入すると、文章作成や情報整理の速度は上がります。一方で、利用ルールやアカウント管理が整わないまま利用範囲だけが広がるケースもあります。

個人アカウントでの議事録要約、請求書文面の作成、生成AIへの顧客情報入力など、日常業務の中にリスクが生まれます。AIを使った精巧ななりすましにも備えなければなりません。

必要なのは、AIの利用を一律に禁止する規程ではなく、安全に使い続けるための書類と運用手順です。

目次

3行サマリー

  • AI時代の対策は、高額な監視製品の導入だけでなく、入力ルール、送金確認、初動連絡を文書化するところから始められます
  • 最初に用意したい書類は、生成AI利用規程、リスクチェックリスト、委託先確認票、なりすまし送金確認手順、インシデント初動フローの5点です
  • 無料の30項目チェックリストと診断プロンプトを使うことで、30日、60日、90日の順に担当者と期限を設定できます
AIセキュリティ対策チェックリスト Excel無料配布

30項目のAI・サイバーセキュリティチェックリストを無料配布中。

Excelチェックリストをダウンロード(無料)

AI時代のサイバー攻撃で何が変わったのか

2026年6月30日付の日本経済新聞朝刊によると、主要企業の81.1%がAIを利用したサイバー攻撃への対策投資を「大幅に増やす」または「やや増やす」と回答しました。内訳は、大幅に増やすが18.1%、やや増やすが63.0%です。

変化の中心は、まったく新しい攻撃が突然生まれたことではありません。既存の攻撃を、より速く、大量に実行できるようになったことです。IPAの「情報セキュリティ10大脅威2026」は、生成AIによって多言語のフィッシング文面を自然に作りやすくなり、攻撃の頻度や平均的な技術水準が上がると説明しています。

守る対象はパソコンだけではありません。AIへ入力する顧客情報、個人アカウント、APIキー、委託先が使うクラウド、退職者のログイン権限まで確認が必要です。IPAもAIの課題として、サプライチェーン攻撃、情報漏えい、データ改ざん、偽情報を挙げています。

参考資料:

中小企業にも関係がある理由

サイバー防衛への投資は大企業だけの課題ではありません。取引先や委託先を経由する攻撃では、企業規模にかかわらず対策が求められます。

IPAの中小企業向けガイドラインは、中小企業が発注元企業への標的型攻撃の足掛かりにされる懸念を明記しています。経済産業省も、自社だけでなく委託先やビジネスパートナーを含むサプライチェーン全体の対策を求めています。

中小企業では、次のような日常的な管理漏れがリスクになります。

  • 退職者のGoogleアカウントが残っている
  • ChatGPTやGeminiを個人アカウントで業務利用している
  • 顧客名や見積金額を、そのままプロンプトへ貼っている
  • 外注先がどのAIサービスを使うか把握していない
  • 振込先変更をメールだけで承認している

警察庁は、取引先や経営者になりすますビジネスメール詐欺への対策として、送金依頼をメール以外の方法で確認するよう案内しています。確認には、メール本文に記載された電話番号ではなく、名刺や社内で管理している連絡先を使用します。

警察庁「ビジネスメール詐欺に注意!」

最初に作るべき5つの書類

セキュリティ規程を一冊にまとめるだけでは、実務で参照しにくくなる場合があります。目的別に5つの書類へ分けると、担当者が必要な手順を確認しやすくなります。

1. 生成AI利用規程

誰が、どのAIを、何の業務に使用できるかを定めます。最低限、許可サービス、入力禁止情報、個人アカウントの扱い、出力確認、著作権、APIキー、事故報告を含めます。

目的はAIを禁止することではありません。入力できる情報と禁止する情報の境界を明確にします。

2. AI・サイバーリスクチェックリスト

チェックリストでは、現在の対応状況を確認します。対応済み、一部対応、未対応の3段階で評価し、担当者、期限、完了を示す証跡を記録します。

IPAの「5分でできる!情報セキュリティ自社診断」は25項目です。本記事の配布版では、生成AI、APIキー、シャドーAI、AIなりすまし、委託先利用を加えた30項目を確認できます。

配布版は、記事上部と本節末尾のダウンロードボタンから取得できます。

3. 委託先セキュリティ確認票

制作会社、税理士、クラウドベンダー、業務委託者が扱う情報と権限を確認します。多要素認証、再委託、バックアップ、生成AI利用、事故報告期限、契約終了時のデータ削除を確認項目に含めます。

委託先との信頼関係がある場合でも、情報の取扱方法と責任範囲は書面で確認する必要があります。

4. AIなりすまし・送金確認手順

経営者や取引先から、振込先変更、高額送金、緊急送金を依頼された場合の確認手順をまとめます。

登録済み連絡先への折り返し、別経路での本人確認、複数人による承認を基本とします。メールや音声だけで手続きを完結させず、緊急性を理由に確認を省略しないことも明記します。

5. インシデント初動対応フロー

事故が疑われる場合に、誰へ連絡し、何を停止し、どの情報を保存するかを決めます。端末の隔離、証拠保全、パスワード変更、銀行への連絡、取引先への確認、警察や専門機関への相談を時系列で整理します。

社内責任者、銀行、利用サービス、警察、外部専門家などの連絡先を事前に記載しておくことが重要です。

AIセキュリティ対策チェックリスト Excel無料配布

5つの書類を作る前に、自社の未対応項目を確認できます。

30項目のExcelをダウンロード(無料)

30項目チェックリストの構成と検証結果

配布するExcelは、IPAの中小企業向け資料、AIセキュリティ資料、警察庁のBEC対策を基に作成しています。

確認項目に加えて、対応状況、担当者、期限、証跡、次の対応を記録できます。対応済みは2点、一部対応は1点、未対応は0点として、総合点と対応率を自動集計します。

動作確認では、次の架空企業を診断しました。

  • 従業員18人、1拠点、情報システム専任者なし
  • ChatGPTとGeminiを一部社員が個人アカウントで利用
  • Google WorkspaceとDropboxを利用
  • 外部委託先は6社
  • 多要素認証は経理だけ、アカウント棚卸しなし
  • バックアップは月1回、教育と初動手順は未整備

診断結果では、シャドーAI、全社MFA、退職者を含むアカウント棚卸し、バックアップ復元テスト、委託先と送金手順の5件が最優先になりました。30日以内は「許可AIと入力禁止情報を決める」「全社MFA」「登録済み連絡先による送金確認」、60日以内は委託先確認と復元テスト、90日以内は初動訓練と経営会議での定期確認という順序です。

高額な製品導入よりも、権限管理、連絡体制、確認経路の整備が優先される結果となりました。

担当者・期限・証跡まで記録する理由

チェック項目だけでは、未対応事項を具体的な業務へ移せません。

「誰が」「いつまでに」「何を実施するか」を決め、設定画面や実施記録などの証跡を残すことで、対応状況を客観的に確認できます。

そのため、配布版には担当者、期限、証跡の列を設けています。未対応項目を選び、具体的な担当業務として管理してください。

AIで社内文書を作る時の注意点

診断プロンプトは専門家の代わりではなく、自社の状況と優先課題を整理するための補助ツールです。

顧客名、個人情報、パスワード、APIキー、未公開の契約情報は入力しないでください。会社名は伏せ、情報を抽象化します。AIが不足情報を補っていないか確認し、法務、個人情報、事故対応に関する最終判断は、必要に応じて専門家へ相談してください。

プロンプトへ入力する情報を整理する際は、OpenAIプロンプト6戦略の「参考テキストを提供する」と「体系的にテストする」が参考になります。社内文書の文章を整える場合は、ビジネス文書の校正プロンプトも利用できます。

今日から使えるAIセキュリティ診断プロンプト

専用ページには、質問項目、制約、出力形式まで含めた全文と入力例を掲載しています。

中小企業向けAI・サイバーセキュリティ簡易診断プロンプト

簡易版を試す場合は、以下をAIへ入力してください。

あなたは中小企業の情報セキュリティ対策を整理する支援者です。
以下の会社情報だけを使い、重大リスク上位5件と、30日・60日・90日の行動計画を作成してください。

# 会社情報
- 業種:
- 従業員数:
- 利用中の生成AI:
- 個人アカウントでの業務利用:
- 多要素認証:
- アカウント棚卸し:
- バックアップと復元テスト:
- 外部委託先:
- セキュリティ教育:
- インシデント初動手順:

# 条件
- 不明な項目は推測せず、確認質問として分ける
- 高額製品の導入を前提にしない
- 各施策に担当候補、期限、完了を確認する証跡を付ける
- 法律上の断定や安全性の保証をしない

出力例の冒頭は次のようになります。

最優先は、個人AIアカウントの把握と全社MFAです。30日以内に許可サービス、入力禁止情報、対象アカウントを一覧化してください。完了証跡は承認済みサービス一覧とMFA設定画面です。

まとめ

AI時代のサイバー対策は、必ずしも大きな予算を組むところから始める必要はありません。

まず、利用しているAIとアカウントを把握します。入力禁止情報を決め、送金依頼は別経路で確認します。事故発生時の連絡先を整理し、それぞれの対策に担当者と期限を設定してください。

ニュースで把握したリスクを、社内書類と具体的な対応業務へ移すことが重要です。

関連コンテンツ

目次