「ガイドラインを更新しなきゃ」と思いながら、何を変えればいいかわからない。セキュリティベンダーのレポートを読んでも、現場に落とし込める具体的な一手が見えない。そういった情シスの悩みが、2026年に入ってから増えています。
ChatGPTに「Lockdown Mode」が追加されたことで、プロンプトインジェクション攻撃を自動ブロックできるようになりました。ただし、この機能をどう社内ポリシーに落とし込むかは、まだ情シスの手元に残る課題です。
プロンプトインジェクションを1分で理解する
添付PDFや外部URLの中に「これまでの指示を無視して○○せよ」という命令が仕込まれ、AIがそれに従ってしまう。それがプロンプトインジェクションです。ユーザーには見えないため、気づかないまま機密情報が出力されるリスクがあります。
ChatGPTのLockdown Modeはこれを検知・ブロックしますが、有効化は各ユーザーに委ねられています。ガイドラインに「Lockdown Modeは原則オン」と明記しないと、現場は各自で判断することになります。
ChatGPTで既存ガイドラインを30分で診断する
まず今のガイドラインをChatGPTに貼り付け、「AI安全性の観点で抜け漏れを指摘してください」と依頼します。プロンプトインジェクション対策、Lockdown Modeの有効化義務、外部ファイル読み込み時の注意点の3点が含まれているかを確認するよう指示を絞ると、精度が上がります。
ガイドライン自体がほとんどない場合は、「当社はSaaSのChatGPTを業務利用している。プロンプトインジェクションを念頭に置いた利用規程のひな型を作って」と頼めば、10分で叩き台が出ます。ゼロから考える必要はありません。
返ってきた指摘をそのまま採用する必要はありません。自分の職場に当てはまるかを判断しながら取捨選択する。AIは草案を出す係、判断は人間の役割です。
改訂・チェックリスト化・更新サイクルの3ステップ
ステップ1は改訂案の作成です。ChatGPTに「以下の指摘を既存ガイドラインに組み込んだ改訂版を作ってください」と依頼すると、追記・修正済みのドラフトが出てきます。一から書く必要はありません。
ステップ2はチェックリスト化です。「情シス担当者向けに、AI利用の確認事項を箇条書きにして」と続けると、現場に配布できる形になります。月次の確認作業が形式化され、属人化を防げます。
ステップ3は更新サイクルの組み込みです。ガイドライン末尾に「3か月ごとにこのチェックリストをChatGPTで再確認する」というルーティンを追加します。AI関連のリスクは変化が早い。一度整備して終わりにしない仕組みが、長期的には効きます。
この3ステップなら、30分以内に初稿まで到達できます。Lockdown Modeひとつで全てのリスクが消えるわけではありません。でも、ガイドラインに「有効化を義務づける」と書く作業は今すぐできます。完璧より、まず動かせる状態にする。それが今の情シスに必要なスピード感です。
ガイドライン更新、どこから手をつければいいか迷いますよね。
ChatGPT自身に診断を頼めるとわかると、急に動き出せる気がします。完璧を目指すより、まず今日動かせる状態を作ることが大事だと改めて感じました。
30分で初稿が出るなら、今日始めてみてください。