AIを入れたあと、仕事はどう回るのか。判断・責任・レビューを設計する仕事をしています

Fragment Practice 合同会社の新庄泰大です。

現在は、AI活用、セキュリティ統制、ガイドライン対応、業務運用設計が重なるテーマに対して、上流整理とアドバイザリーを行っています。

関心があるのは、AIを導入すること自体よりも、AIを使い始めたあとに、組織の判断、責任、確認、記録、説明がどう回るかです。

AIの導入は、以前より始めやすくなりました。
生成AIツールや各種AIサービスは身近になり、PoCや一部業務での利用も進めやすくなっています。

一方で、実務に入るほど、次のような論点が出てきます。

• どの業務でAIを使うのか
• どこまでをAIに任せるのか
• どこからを人が確認・判断するのか
• 入力情報や出力利用をどう扱うのか
• 誰がレビューし、誰が最終判断を持つのか
• 何を記録として残すのか
• ルールや方針を、どう現場で回る形にするのか
• 経営層や関係部門に、どの粒度で説明するのか

こうした論点は、技術だけでも、規程だけでも解けません。
AI活用、セキュリティ、業務運用、責任分界、レビュー、記録、説明材料を、ひとつの仕事の構造として整理する必要があります。

Fragment Practice では、そうしたテーマに対して、判断材料づくり、レビュー観点設計、責任分界整理、業務運用への接続、経営・関係部門向け説明材料づくりを支援しています。

「AIを使うかどうか」よりも、「どう確認し、どう責任を残すか」

AI活用の相談では、「使ってよいか」「禁止すべきか」という話になりがちです。

もちろん、利用可否の判断は重要です。
ただ、実務ではそれだけでは足りません。

実際には、次のような問いが残ります。

• 利用ケースごとに、リスクや影響はどう違うのか
• AIの出力を、そのまま使ってよい場面と、人が確認すべき場面はどこか
• 人による確認は、誰が、どの観点で行うのか
• 記録や証跡は、何をどこまで残すのか
• 責任は、利用者、管理者、承認者、組織のどこに残るのか
• 活用を広げる前に、どの条件が整っている必要があるのか

AI活用を本当に進めるには、ブレーキだけでなく、アクセルを踏める条件を整理する必要があります。

安全に進めるための確認観点があり、判断の責任が見えていて、記録や説明の形がある。
そうした状態が整ってはじめて、組織としてAI活用を広げやすくなります。

私が支援しているのは、この「活用を止めるための整理」ではなく、「説明可能で、レビュー可能で、段階的に広げられる状態をつくるための整理」です。

これまで一貫して扱ってきたこと

これまでのキャリアを振り返ると、一貫して扱ってきたのは、技術・統制・運用のあいだをつなぐ仕事でした。

最初のキャリアでは、SIerでシステム開発とセキュリティ実務の両方を経験しました。
Webアプリケーション開発、脆弱性診断、CSIRT支援、セキュア開発標準、セキュリティ教育などに関わり、技術や運用が実際の現場でどう制約を受けるのかを見てきました。

その後、KPMGコンサルティングでは、IT-BCP、インシデント対応、委託先セキュリティ、教育、ロードマップ策定などを担当しました。
この時期に強く意識するようになったのは、リスクや統制の要求を、現場で実行できる運用に落とすことの難しさです。

さらに、NRI / NRIセキュアでは、大手金融機関や保険グループ向けに、セキュリティアドバイザリー、脆弱性管理、生成AI利用の評価、Defender活用整理、教育、訓練準備、ガイドライン対応方針整理などに関わりました。

規制や業界基準、技術要件をそのまま並べるだけでは、組織は動きません。
組織の中で判断できる形に翻訳し、誰が何を確認し、何を次の工程へ渡すのかまで整理する必要があります。

その経験が、現在の Fragment Practice の支援につながっています。

直近で扱っているテーマ

最近は、特にAI活用とセキュリティ統制が重なるテーマを扱っています。

たとえば、金融領域では、AI活用が経営テーマとして上がっている一方で、現場の整備状況、利用ケース、責任分界、レビュー観点、ガイドラインや監督当局の観点、今後の推進方針が混ざった状態になることがあります。

そのような場合には、まず現在の整備状況と制約条件を確認し、守るべき観点、説明性・監査性を高める観点、段階的に活用を広げるための条件を整理します。
最終的には、経営報告や中期的な方針検討に使える材料として、AI活用の進め方を構造化していきます。

また、AIを活用したSOCサービス構想のように、PoCや技術検証は進んでいるものの、サービスとして何を提供するのか、どこを自社の強みとして持つのか、どこを外部ベンダーに任せるのか、顧客側にはどの判断力や運用力を残すのかが整理されていないケースもあります。

その場合には、単に「AI SOCを作る」という話ではなく、一次対応、二次判断、ナレッジ、プレイブック、運用設計、顧客側への引き継ぎ条件を含めて、サービスとして成立する条件を整理します。

共通しているのは、AIやセキュリティを単独の技術テーマとして扱わないことです。
判断、責任、レビュー、記録、説明、運用に接続して、はじめて実務で扱える状態になります。

Fragment Practice の位置づけ

Fragment Practice は、受託開発会社でも、汎用的なAI導入支援会社でもありません。

位置づけとしては、AI活用、セキュリティ統制、ガイドライン対応、業務運用、構想整理が重なるテーマを、判断・説明・レビューしやすい材料へ整理する独立系アドバイザリーです。

対象にしているのは、何も始まっていないテーマというより、すでに動いているが、まだ構造が十分に見えていないテーマです。

たとえば、次のような状況です。

• AI活用を進めたいが、利用ケースや責任分界が整理されていない
• ルールやガイドラインはあるが、現場で確認・運用できる形になっていない
• 会議や資料は増えているが、判断理由や残論点が残りにくい
• 情報システム、セキュリティ、業務、企画の前提が揃っていない
• 推進責任者に、翻訳、優先順位付け、説明資料化の負荷が集中している
• 経営層や関係部門に説明する前に、論点を整理したい
• 後続工程に渡す前に、前提、確認観点、責任範囲を明確にしたい

こうした状況に対して、論点整理、判断軸の設計、レビュー観点の整理、責任分界の明確化、説明資料化、後続工程への引き継ぎ整理を行っています。

実装責任を丸ごと引き受けるというより、組織側が判断し、説明し、レビューし、次へ進められる状態をつくる支援です。

大事にしていること

支援で大事にしているのは、正しいことを並べることではありません。

重要なのは、組織の中で実際に使える形にすることです。

たとえば、AIガバナンスであれば、抽象的な方針だけでは現場は動きにくいです。
利用ケース、入力情報、出力利用、人による確認、承認、記録、責任分界、例外時の扱いまで落ちてはじめて、現場で確認しやすくなります。

セキュリティ統制やガイドライン対応も同じです。
要求事項を読むだけではなく、自社の現状との差分、優先度、確認観点、証跡、説明材料、後続工程への引き継ぎに接続する必要があります。

会議や資料も同じです。
話し合ったことが、判断材料、レビュー観点、責任分界、次のアクションとして残っていなければ、仕事は進んでいるように見えても、状態は変わっていないことがあります。

そのため、私は支援の中で、次のような材料を残すことを重視しています。

• 論点・判断整理メモ
• AI利用ケース整理
• レビュー観点整理
• 責任分界マップ
• 要求事項・確認観点整理メモ
• 経営・関係部門向け説明資料
• 後続工程への引き継ぎ材料
• 継続的に見直すべき論点の整理

会話だけで終わらせず、次の会議、承認、経営説明、レビュー、後続工程で使える形にする。
そこに Fragment Practice の価値があると考えています。

自社側で考えていること

実務支援と並行して、自社側でも、仕事の記録や思考の構造を支える仕組みを試しています。

特に関心があるのは、テキストファーストな思考支援と、再利用しやすい情報構造です。

ノート、会議メモ、ログ、Markdown、YAML のような軽量な単位を起点に、あとから再利用・再構成しやすい形で仕事を残せないかを継続して考えています。

AIの価値は、その場で速く答えを出すことだけではありません。
むしろ、判断の前提や文脈を残し、次回の会議、次の担当者、次の検討へ引き継ぎやすくすることにも大きな価値があります。

AIを使うほど、何を残すか、どこに前提を置くか、誰が確認するかが重要になります。
その意味で、AI活用と記録設計、レビュー設計、業務運用設計は切り離せないテーマだと考えています。

これから取り組みたいこと

今後も、AI活用、セキュリティ統制、ガイドライン対応、業務運用設計が重なる領域で、判断材料づくりとアドバイザリーを続けていきます。

特に取り組みたいのは、人とAIのあいだの仕事の設計です。

新しいツールを導入するだけでは、仕事は自動的には整いません。
むしろ、AIを使うことで、これまで曖昧だった判断、責任、記録、レビューの問題が見えやすくなることがあります。

だからこそ、次のような問いを扱っていきたいと考えています。

• どの条件ならAIに任せられるのか
• どこで人が確認・判断すべきか
• 何を記録として残すべきか
• 責任分界をどう設計するか
• 経営や関係部門にどう説明するか
• 現場で無理なく回るレビューや運用をどう作るか
• 次工程や次の担当者に、どう引き継げる形にするか

AI活用は、単なる効率化だけではなく、仕事の構造を見直す機会でもあります。

Fragment Practice では、その構造を、判断・説明・レビュー・引き継ぎに使える材料として整理していきたいと考えています。

近いテーマがあれば

AI活用、AIガバナンス、セキュリティ統制、ガイドライン対応、業務運用設計、構想整理などで、次のような状況があれば、お役に立てる可能性があります。

• AI活用を進めたいが、利用条件や責任分界を整理したい
• 経営層や関係部門に説明する材料が必要になっている
• ガイドラインや要求事項を、現場で確認できる形に落としたい
• PoCやサービス構想を、成立条件や比較軸から整理したい
• 会議や資料はあるが、判断や残論点が残りにくい
• 推進責任者や管理職の整理・説明負荷を軽くしたい
• 実装に入る前に、レビュー観点や引き継ぎ条件を明確にしたい

情報交換、壁打ち、初期整理、短期スプリント、継続的なレビュー支援など、状況に応じて関わり方を調整できます。

AIを入れることよりも、その後の仕事がどう回るか。
その問いに近いところで悩んでいる方がいれば、ぜひ一度お話しできればと思います。