AI開発RFPに入れるセキュリティ要件
AI開発RFPには、個人情報、機密情報、権限、ログ、プロンプトインジェクション、外部API、委託先管理を最初から入れるべきです。

結論
AI開発RFPには、セキュリティ要件を最初から入れるべきである。個人情報、機密情報、権限、ログ、プロンプトインジェクション、外部API、委託先管理を後回しにすると、PoC後に本番化できない、または追加費用が大きくなる。
「AI開発 セキュリティ要件」「生成AI RFP セキュリティ」「LLMアプリ セキュリティ」の検索意図では、開発会社に何を確認すべきかが求められている。
RFPに入れるセキュリティ項目
| 項目 | 書く内容 |
|---|---|
| 情報分類 | 個人情報、機密情報、公開情報の区別 |
| 入力制限 | AIに入れてよい情報、禁止情報 |
| 権限 | 誰が何を閲覧・実行できるか |
| ログ | 入力、出力、引用、操作、管理者変更 |
| 外部API | 利用するAI API、保存有無、契約条件 |
| 攻撃対策 | プロンプトインジェクション、出力検証 |
| 委託先 | 再委託、アクセス権、開発環境 |
| 事故対応 | 誤回答、漏えい、障害時の連絡と復旧 |
OWASPのLLM Top 10では、プロンプトインジェクション、機密情報漏えい、サプライチェーン、データ/モデル汚染などが主要リスクとして扱われている。RFPでは、これらのリスクに対する設計方針を確認する。
質問例
| 質問 | 見たい回答 |
|---|---|
| プロンプトインジェクション対策は何をしますか? | 入力検証、権限制御、出力検証、ログ監視 |
| AI APIに入力データは保存されますか? | 契約、設定、保存期間を説明できる |
| 権限ごとの回答制御はできますか? | 認証、権限同期、文書フィルタを説明できる |
| 事故時の対応は誰が行いますか? | 連絡、調査、停止、復旧、再発防止の流れ |
画像・図解で確認するポイント
この記事の画像は、AI開発におけるセキュリティとアクセス制御を象徴する南京錠とキーボードを示している。図解では「入力 → 権限 → AI処理 → 出力検証 → ログ → 事故対応」を描くと、RFPに入れるべき範囲が伝わる。
まとめ
AI開発RFPには、個人情報、機密情報、権限、ログ、プロンプトインジェクション、外部API、委託先管理を入れる。AllAIでは、AIセキュリティ学習ロードマップ、AI開発RFPの書き方、AI開発会社一覧へ進められる。
FAQ
Q. PoCでもセキュリティ要件は必要ですか? A. 必要である。PoCでも実データや社内文書を扱うなら、入力制限、権限、ログが必要になる。
Q. プロンプトインジェクションとは何ですか? A. ユーザー入力や外部文書に含まれる指示で、AIの本来の動作を変えようとする攻撃である。
Q. 開発会社に何を確認すべきですか? A. 外部AI APIの扱い、権限制御、ログ、出力検証、事故対応、再委託管理を確認する。
出典:
- OWASP Top 10 for LLM Applications: https://owasp.org/www-project-top-10-for-large-language-model-applications/ (確認日: 2026-07-07)
- NIST AI Risk Management Framework: https://www.nist.gov/itl/ai-risk-management-framework (確認日: 2026-07-07)
次に見る
関連する記事・ガイド
- AI開発会社ガイドAI開発は内製か外注か
AI開発を内製するか外注するかは、データ理解、開発速度、保守責任、セキュリティ、採用コスト、運用改善で判断します。
- AI開発会社ガイドAI開発の費用超過事例
AI開発の費用超過は、データ不足、評価未定義、連携追加、セキュリティ後付け、運用設計不足で起こりやすくなります。
- AI開発会社ガイドAI開発会社を変更する時の引き継ぎガイド
AI開発会社を変更する時は、コード、データ、プロンプト、評価データ、モデル設定、ログ、運用手順を受け取らないと再開が遅れます。
- AI開発会社ガイドAI開発の受入テストチェックリスト
AI開発の受入テストは、機能が動くかだけでなく、回答品質、失敗時挙動、権限、ログ、運用手順まで確認する必要があります。