自治体に求められるガバナンス設計とMicrosoft 365による実装
生成AIの活用は、自治体においても急速に広がっています。
文書作成、議事録作成、企画書作成、問い合わせ対応など、職員の業務効率化に大きく貢献する可能性があり、多くの自治体で導入や実証が進められています。
一方で、「個人情報は入力してもよいのか」「どのようなルールで利用すればよいのか」といった不安の声も少なくありません。
先日公開された「自治体DX深堀」の連載では、自治体における生成AI活用の背景、制度、導入状況、そして最新動向について詳しく解説されています。
本記事では、その内容を踏まえながら、自治体における生成AI活用の本質的な課題と、その解決の方向性について考察します。
参照記事
【自治体DX深堀】自治体の生成AI活用-第1回:背景と制度
https://www.digital-gyosei.com/post/2026-06-17-colmun-generationai-1/
【自治体DX深堀】自治体の生成AI活用-第2回:現状と先進事例
https://www.digital-gyosei.com/post/2026-06-18-colmun-generationai-2/
【自治体DX深堀】自治体の生成AI活用-第3回:直近の動向
https://www.digital-gyosei.com/post/2026-06-19-colmun-generationai-3/
3回にわたる連載から見えてくる共通メッセージを次のように整理しました。
① 自治体における生成AIは急速に普及している
生成AIは、文書作成や議事録要約など行政業務との親和性が高く、多くの自治体で導入検討や試行が進んでいます。
② 制度・運用はまだ発展途上にある
生成AIを取り巻く制度は複数の法律やガイドラインにまたがっており、現場では「何を守ればよいのか分かりにくい」という課題があります。
③ 自治体間で活用レベルに大きな差がある
都道府県や政令指定都市では導入が進む一方、小規模自治体では人材や体制不足により導入が進みにくい状況が見られます。
④ 生成AIは「実証」から「実装」のフェーズへ移行している
これまでは「まず使ってみる」という実証段階でしたが、今後は「どう安全かつ継続的に運用するか」が重要なテーマになります。
重要なのはAI導入ではない
これらを踏まえると、自治体における生成AI活用の課題はAIそのものではありません。
重要なのは、
「ルール・体制・運用の仕組みづくり」(ガバナンス設計)
です。
特に小規模自治体では、
- 専門人材不足
- 運用体制不足
- 利用ルール未整備
が大きな課題となっています。
自治体の生成AI活用を取り巻く4つのルール
生成AIの利用ルールは一つではありません。
複数のレイヤーが重なり合って構成されています。
法律国の方針ガイドライン組織内ルール
① 法律
- 個人情報保護法
- 著作権法
最も強い拘束力を持つルールです。
② 国の方針
- AI事業者ガイドライン
- デジタル社会推進方針
- 自治体DX推進計画
生成AI活用の方向性を示しています。
③ ガイドライン
- 総務省関連ガイドライン
- 自治体情報セキュリティポリシー
自治体が実務で参考にするルールです。
④ 組織内ルール
- 利用規程
- 承認フロー
- 運用手順
- データ分類ルール
実際の運用はここで決まります。
本当の課題は「現場運用」
法律やガイドラインは整備されつつあります。
しかし現場では、
- 住民情報を入力してよいのか
- どこまで利用できるのか
- 誰が判断するのか
- 例外時はどうするのか
が明確になっていないケースも少なくありません。
その結果、
- 部署ごとに運用が異なる
- 判断が属人化する
- シャドーAI利用が発生する
といった問題が発生します。
つまり、ルールは存在しても、運用できなければ意味がありません。
生成AI活用は「実装フェーズ」へ
現在、多くの自治体で生成AIの有効性は確認されつつあります。
これからの課題は、
- 利用ルールの整備
- セキュリティ対策
- データ管理
- 監査
- 職員教育
- 効果測定
を継続的に実施することです。
生成AIを導入することが目的ではなく、安全に活用し続けること が目的になります。
また、生成AIを利用する際は、個人情報や機密情報を入力しないルールの整備、利用履歴の管理、監査対応なども重要になります。技術導入だけではなく、組織として継続的に管理できる体制づくりが求められます。
〔広告〕
Microsoft 365導入、事前準備から支援します
Microsoft 365の導入検討段階や課題整理の状況に応じて、 最適な支援内容をご提案します。
自治体向け Microsoft 365 導入準備支援サービス
解決策は「ルールを仕組みで支える」こと
これまでの情報セキュリティ対策では、
「職員教育によってルールを守る」
という考え方が中心でした。
しかし生成AI時代には、それだけでは十分ではありません。
重要なのは、
「人の判断だけに依存せず、仕組みで支えること」
です。
Microsoft 365 が提供するガバナンス基盤
Microsoft 365とCopilotは、単なる生成AIツールではありません。
認証、アクセス制御、情報保護、監査などの仕組みと連携しながら利用できることが大きな特徴です。
個人情報の保護
Microsoft PurviewのDLP機能を利用することで、
- マイナンバー
- 個人情報
- 機密情報
などを検出し、利用制御を行うことができます。
下記の図は、検出可能な機密情報の一例です。
情報の分類
Word / Excel / PowerPoint等の文書を
- 公開
- 内部利用
- 機密
などに分類し、利用ルールを適用できます。
例えば、「機密文書は生成AI利用対象外」といった運用も可能です。
監査ログの取得
誰が、いつ、どのデータにアクセスしたのかを記録できます。
説明責任が求められる自治体において、監査機能は重要な要素です。
Copilot導入前に確認したいこと
Copilotが危険なのではありません。
危険なのは、
- 過剰な共有権限
- 整理されていないSharePoint
- 放置されたファイル
です。
Copilotは、それらの問題を新たに作るのではなく、既存の問題を可視化します。
導入前には、
- SharePoint権限の棚卸し
- OneDrive共有設定の見直し
- 情報資産の分類
を実施することが重要です。
まとめ
自治体における生成AI活用は、実証段階から実装段階へ移行しつつあります。
これから求められるのは、
- AIを導入すること
ではなく、 - AIを安全かつ継続的に活用すること
です。
そのためには、
- ルール
- 体制
- 運用
- セキュリティ
- データ管理
を含めた「仕組みづくり」が欠かせません。
特に人材や体制が限られる自治体ほど、
「人が頑張る運用」ではなく、「仕組みで支える運用」
が重要になります。
Microsoft 365、Microsoft Copilot、Microsoft Purviewは、その実現を支える有力な基盤の一つと言えるでしょう。
なお、生成AIは誤った情報を生成する可能性があるため、住民対応や行政判断に利用する場合は、必ず職員による確認と最終判断が必要です。
MS365導入・運用でお悩みありませんか?
✔ セキュリティ設定が不安
✔ Intune / Entraの設計が難しい
✔ 自治体ガイドラインに対応できているか不明
✔ ISMSの運用負荷が高い
✔ 校務DXをMS365で実現したい
→ 現場経験10年以上のエンジニアが直接対応します
著者紹介
山田幸志
MS365認定アドミニストレーターエキスパート、情報処理安全確保支援士。
Microsoft 365を中心としたクラウド、セキュリティ、インフラ領域を専門とするITエンジニア。
でも得意分野はLinux/仮想化。
日本最古のITコミュニティの幹事や、日本最大のネットワークオペレーター会議の実行委員長、セキュリティイベントやGadgetイベント発起人など、数多くの技術コミュニティの運営に携わる。コミュニティ活動を通じて幅広い知見と実践的なスキルを磨き、現場で得た経験や技術情報を発信している。
