会社で繰り返される仕事を、人の代わりにVelros AIが引き受けます 無料で診断を受ける →

セキュリティ・統制

AIが動いても、
会社の責任は人が握ります。

顧客対応と運用は、速さより責任です。業界でも、お金を動かす、外部へメッセージを送る、権限・個人情報を変えるといった仕事は、人の確認を通す設計が基本です。Velros AI は、この境界を会社の基準に合わせて最初から用意しておきます。

いつも人が確認する仕事

  • お金・決済・精算
  • 契約・見積もりの確定
  • 返金・補償
  • 外部への大量送信
  • 個人情報の変更

実行の判断

すべての仕事を同じやり方では処理しません。

取り消しやすいか、基準が明確かに応じて三つに分けます。簡単な仕事はすぐに、あいまいなら確認、危険なら止めます。

すぐに実行

取り消しやすく基準が明確な繰り返し業務は、下書き・整理・案内まで人の手を介さずに処理します。

配送状況の案内 · 営業時間の回答 · 受付の確認 · 資料の整理

承認待ち

金額・条件・トーンが絡む仕事は下書きを作り、実行の前に担当者や人の確認へ回します。

5,000円を超える返金 · 割引の例外 · 見積もりの確定 · 大量のレビュー依頼

止めて引き渡し

取り消しにくい、または危険な仕事は自動では行わず、そのまま人に引き渡します。

個人情報の削除・変更 · 法的な表現が混じったクレーム · 契約の解除

なぜ「人の確認」が先なのか

統制を後回しにした自動化がどこで崩れるかを、データがすでに示しています。

Velros AI の承認・記録の原則は、好みではなく、日本の法律と業界データに沿った設計です。

法が要請

個人情報保護法は、個人情報の利用目的をできるかぎり特定し(第17条)、書面などで直接取得するときはあらかじめ利用目的を明示するよう求めています(第21条第2項)。目的の範囲を超える利用には本人の同意が要り、個人情報を扱う処理を自動任せにはできません。

個人情報保護委員会(PPC)
40%+

Gartner は、コスト増加、事業価値の不明確さ、リスク統制の不足などを理由に、エージェンティックAIプロジェクトの40%以上が2027年末までに中止されると予測しています。統制は後づけでは間に合いません。

Gartner · 2025
68%

企業の情報漏えい事故の68%に、悪意のない人的要因(ミス・だまし)が関わっていました。人も機械も、確認のない実行が事故を生みます。

Verizon DBIR · 2024 · グローバル
8%

Business.com の調査では、米国の従業員250人未満の企業で、AI主導の方式を望んだ回答者は8%でした。多くは、人が最終判断を握る協業を望んでいます。

Business.com Small Business AI Outlook · 米国の従業員1,009人 · 2026
承認待ち 09:14

顧客A · 6,000円の返金案内を送信

金額の基準を超過 · 初回取引の顧客

承認 修正を依頼

承認カード

人が3秒で判断できるように整理します。

一件の承認待ちには、判断に必要なものだけを載せます。もう一度聞き返さなくてよいように。

  1. 何をしようとしているか 実行する行動を一行で。「顧客Aに6,000円の返金案内を送ります。」
  2. なぜそう判断したか 根拠になった原文と基準を一緒に。顧客のメッセージ、注文の履歴、適用した会社の基準。
  3. 何が引っかかるか リスク要素を表示。金額の基準を超過、初回取引の顧客、悪いレビューの可能性。
  4. 人の選択 承認 · 却下 · 修正の依頼 · 担当者へ引き渡し。選んだ結果は次の基準の候補として残ります。

証拠の記録

なぜそう処理したかを、あとでそのまま見返せます。

すべての処理に記録が残ります。問題が起きてもたどり直せて、うまくいった処理は次の基準になります。

時刻 いつ入ってきて、いつ処理されたか
担当 AIが下書きしたか、誰が承認したか
処理の内容 何を見て何を実行したか
適用した基準 どの会社の基準・例外に従ったか
結果 実行・保留・却下のどれになったか
修正・取り消し 担当者が直した文言とその理由

分離と権限

会社の情報は会社の中だけに置きます。

会社ごとの記憶の分離

各お客様の話し方・基準・例外は会社ごとに別々に積み上げ、他のお客様とは決して混ぜません。

権限ごとの表示

担当者は自分の業務を、確認する人は承認と報告を見ます。デリケートな情報は、必要な人にだけ表示されます。

必要な範囲だけアクセス

最初からすべての資料を渡すことはありません。最初の業務に必要な資料だけを、記録の基準を決めてから連携します。

IT・セキュリティ担当がいるなら

原則を読むだけでなく、契約前に確認する資料を整理します。

公開ページでは承認・記録・会社ごとの分離という原則を説明しています。実際のセキュリティ審査では、任せる業務と接続範囲に合わせて、下記の値と証跡を確認する必要があります。

データの流れとモデルの境界

どのデータがどこへ入り、モデルの学習や他社の処理に使われないか。

データフロー図・処理の目的・モデル提供者の利用範囲

アクセス権限とアカウント

お客様・Velros担当者・専門家がそれぞれ何を見られ、権限をどう回収するのか。

権限表・最小権限の基準・アカウント回収の手順・監査ログの項目

保存・削除と返還

原文・添付・処理記録をどれだけ保管し、契約終了や削除要請のときに何を消して何を返すのか。

保存期間表・削除/返還の手順・バックアップへの反映基準

外部事業者と連携

メール・SMS・決済・AIモデルなど、外部事業者がどのデータを処理するのか。

委託先/サブプロセッサ一覧・国とリージョン・お客様アカウントの範囲

障害と事故への対応

連携の失敗、誤送信、データ事故が起きたとき、誰がいつ知らせ、どう手動処理へ切り替えるのか。

障害通知の基準・対応の連絡網・復旧/手動切替の手順・事故通知の基準

調達・法務パケット

自社のセキュリティ質問票と契約審査に要る文書を、どの形式で受け取れるのか。

DPA・セキュリティ質問票・SLA/サポート範囲・契約と引き継ぎの条項

セキュリティの範囲は業務・連携・契約条件によって変わります。以下は確認する項目であり、認証や特定のセキュリティ水準をすでに取得しているという意味ではありません。

よくある質問

Velros AI は顧客に勝手にメッセージを送りますか?+

いいえ。取り消しやすい繰り返しの案内と、危険な外部送信を分けます。お金・契約・返金・クレームが絡む送信は承認待ちに残り、人が確認してから送られます。

担当者が見ていた資料をすべて渡す必要がありますか?+

いいえ。最初の業務に必要な資料だけを連携し、デリケートな資料は権限と記録の基準を先に決めます。範囲は、任せる仕事が増えるほど一緒に広げます。

自社の話し方や基準が他社に混ざりますか?+

混ざりません。お客様ごとに運用の記憶を分け、会社の基準と例外をそれぞれ別に管理します。

誤って処理された場合、原因は分かりますか?+

処理・承認・修正の記録がすべて残るので、何を見てなぜそうしたかをたどり、次の基準に反映します。

AIが確信を持てないときはどうなりますか?+

確信が低い、またはリスクが大きいときは自動で実行せず、人に引き渡します。あいまいなら止めるのが既定です。

この業務を自社のやり方で設計してみてください。

いま使っているチャネルとファイルをもとに、どの業務から先に繰り返し処理すべきか、どこで人の承認が要るのか、どの指標で効果を見るのかを一緒に整理します。

運用診断