生成AI研修

AI 利用セキュリティポリシー

金融決済システム開発における生成AI利用時のセキュリティガイドライン

AI 利用セキュリティポリシー

金融インフラ開発に携わる組織として、生成AIの利活用にあたり以下のセキュリティポリシーを遵守してください。

1. データ分類と AI ツールへの入力制限

データ分類AI への入力
極秘暗号鍵、認証トークン、顧客口座情報、決済認証情報禁止
機密社内API仕様、決済ロジック、顧客PII、SWIFT関連情報禁止
社外秘社内ドキュメント、設計書、基幹システムアーキテクチャ情報禁止
グループ内グループ内共有ドキュメント、技術標準承認済みツールのみ
公開OSS コード、公開API仕様、技術ブログ利用可

重要: 金融システムの特性上、社外秘以上の情報は承認済みツールであっても入力を禁止します。

2. 承認済み AI ツールと設定

GitHub Copilot

  • Business プランで利用(コード片がGitHubに送信されない設定)
  • Suggestions matching public codeBlock に設定
  • 決済コアリポジトリ、資金決済システムリポジトリでは無効化
  • 公開情報ベースの開発(共通ライブラリ、ツール類)でのみ有効化

Claude Code

  • Enterprise プランで利用
  • --allowedTools で利用可能ツールを制限
  • CLAUDE.md に社内コーディング規約とセキュリティルールを記載
  • 決済関連コードの直接的な生成には使用しない

3. プロジェクト別の利用可否

プロジェクト区分AI コード生成AI コードレビューAI ドキュメント生成
資金決済システム禁止参考のみ(最終判断は人)禁止(機密情報含む)
バンキング基幹限定的(非決済ロジック)参考のみテンプレートのみ可
社内ツール・共通基盤利用可利用可利用可
技術検証・PoC利用可利用可利用可

4. 禁止事項

  • 顧客の個人情報(氏名、口座番号、取引履歴等)をプロンプトに含めること
  • 決済ロジック・資金移動ロジックのソースコードをAIに入力すること
  • AI 生成コードをレビューなしで本番環境にデプロイすること
  • 社外の AI チャットサービスに社内コードを貼り付けること
  • AI ツールのログ・履歴を社外のサービスに同期すること
  • 未承認の AI ツール・プラグインの導入

5. インシデント対応

AI ツールに誤って機密情報を入力した場合:

  1. 直ちに情報セキュリティ部門およびプロジェクトリーダーに報告
  2. 該当セッション/会話を削除
  3. 影響範囲の調査と記録
  4. 社内インシデント対応プロセスに従い報告
  5. 必要に応じて顧客・監督官庁への報告

6. 監査とモニタリング

  • AI ツールの利用ログは 1年間 保持します
  • 四半期ごとに AI 利用状況の監査を実施します
  • 不審な利用パターンは自動アラートで検知されます
  • 年次の FISC 安全対策基準準拠状況確認に AI 利用状況を含めます

生成AI × ソフトウェア開発 研修

金融決済領域向け 生成AI活用研修カリキュラム

決済ドメイン知識

決済システム開発に必要な業務知識の基礎

On this page

AI 利用セキュリティポリシー1. データ分類と AI ツールへの入力制限2. 承認済み AI ツールと設定GitHub CopilotClaude Code3. プロジェクト別の利用可否4. 禁止事項5. インシデント対応6. 監査とモニタリング