AI導入とDX化に
こんなお悩み
ありませんか?
生産性を上げるにはAI・RAG導入が不可欠です。
しかし、いざ検討してみると
そこには様々な障壁が…。
-
SaaS型AIは
越境移転リスクで
非現実的 -
自社専用の
AIは開発コストが
高すぎる -
導入しても
自社で運用ができる
気がしない
でも、大手SIerに開発を頼むと
導入には
「数ヶ月かかる」
が業界の一般常識
導入までに要する期間(弊社調べ)
0ヶ月
0万円
しかも、
社内AI・RAG導入は、
時間をかけるほど
機会損失に…
-
見積の間に
状況が変わり
無駄になる -
何社も相見積
をして決め手がなく
時間を浪費 -
競合他社
に出遅れ
機会損失に
そんな社内AI・RAGの常識に
革命を起こします
導入期間は業界の1/4
0ヶ月
0ヶ月
導入費用は業界の1/8
0万円
0万円
業界屈指の速さと品質で
AI導入までの機会損失
を最小化します
- リスク診断
- 要件定義
- RAG精査
- 設計・開発
- デモ確認
- テスト導入
- 納品・運用
- 社内浸透
"AI導入"がゴールではなく
生産性向上がゴールだから
AIが社内浸透するまでサポート
90%
80%
1
AI基盤の導入
まずは越境規制対応をしたDifyベースの基盤を、低コスト・短期間で提供します。2
AI活用の伴走
導入後、単なる技術的な保守(マネージドサービス)だけでなく、 Difyの操作方法に関するトレーニングや、 効果的なプロンプト設計のコンサルティングといった付加価値を提供します。 お客様の社内浸透そのものを高めていきます。3
顧客の自立
最終的には、お客様が完全に自立し、貴社のサポートなしでもAIを運用・改善できる状態になることで運用コストを下げていきます。企業AIの活用事例
金融機関(銀行・カード)
大手金融機関では、RAGチャットボットをコンタクトセンターの一次受付に組み込み、月間50万件超の問い合わせを24時間自動応答。オペレーター負荷を最大60%削減しながら、根拠付き回答で品質も担保する仕組みづくりが進んでいる。
製造業
CAD図面・仕様書・現場ノートなどバラバラに散在する非構造データをRAG化。新人はチャットで「過去の不具合対策例」「最適トルク」などを即検索でき、ベテランの暗黙知を組織知として再利用。技能ギャップ解消と開発リードタイム短縮に寄与する。
建設業
過去の労災報告・是正指示書・施工写真をRAGで統合し、現場責任者がスマホ音声で「同種事故の再発防止策」を照会。 リアルタイムの安全教育とリスク予兆検知で災害件数を抑制し、CX(Construction Experience)向上を図る。
医療機関
病院内に散在する診療ガイドライン、電子カルテ要約、PubMed/医中誌の最新論文をベクトル化。 医師が症例を入力すると、RAGがエビデンスレベル順に推奨診療方針を提示し、カンファレンス準備時間を大幅短縮。
行政・自治体
自治体では、要綱・要領・議会答弁集をRAG化。職員は条文番号や様式の所在を即時取得でき、市民窓口対応も迅速化。 導入した某県では内部問い合わせが半減し、職員当たり月15時間の作業削減を達成。
法務・管理部門(コーポレート)
社内規程と専門法務データでリスクゼロ回答するLegal AIカウンセル
EC/小売
CVR20%アップするチャット接客AI
SaaSのChatGPT/Geminiは
越境リスクがあります
chatGPTやGeminiなどを組み込んだSaaS型チャットボットが
越境移転規制に準拠するには、12項目を満たす必要があります。
| 越境移転規制項目 | UM (自社) | 一般的なSaaS |
|---|---|---|
| データの置き場所を日本に固定しているか? 本番データ・バックアップ・ログの保存先を日本リージョン or 自社オンプレに限定すること(例:ap-northeast-1、オンプレRDS)。 | ● 東京リージョンに限定 | ▲ SaaSによる |
| "外へ出る"通信を物理的に塞いでいるか? 直接のインターネット送信を禁止し、VPCエンドポイント/プライベートリンクのみ許可。NAT越しの外向き通信は原則禁止にすること。 | ● 対応 | ● 対応 |
| モデル推論も国内で完結(または"無個人データ"だけ送る)しているか? LLM呼び出しが国外になる恐れがある場合は、①国内エンドポイントのみ、②やむを得ないときは個人情報を送らない設計(後述)を徹底すること。 | ● Claude3/Amazon Titanに限定 | ▲ LLMモデルによる |
| "そもそも外に出さない"設計(データ最小化)になっているか? RAG中心で運用し、学習に取り込ませない。送るのは回答に必要な最小限のテキストのみ。機微情報はマスキング/トークン化すること。 | ● 対応 | ▲ SaaSによる |
| 通信も保存も暗号化にしているか? 送受信はTLS1.2/1.3、保存はKMS等で暗号化。鍵は日本で管理・保管(お客様主体)、鍵へのアクセスは厳格な権限管理をすること。 | ● TLS1.3で暗号化 | ▲ SaaSによる |
| 管理者のアクセスは"日本国内に限定にしているか? 管理者はMFA(多用途認証)必須、最小権限。海外IP/端末からの運用アクセスは禁止。緊急時の一時付与も監査ログ付きにすること。 | ● 国内IPのみアクセス | ▲ SaaSによる |
| 操作・アクセスログの完全な記録と監査しているか? 会話、API操作、権限変更などの証跡を完全取得・改ざん防止・日本で保管すること。 | ● AWS CloudTrailの7年保管、定期診断 | ▲ SaaSによる |
| ベンダー/再委託(サブプロセッサ)を見える化しているか? 使う外部業者の一覧・所在国・役割を開示。追加・変更時の事前通知/同意フローを決めること。 | ● 対応 | ▲ 不可 |
|
"国外に出すとき"の法的手当をしているか?
事前同意 or
契約で十分な保護措置を担保すること(データの所在地、目的外利用禁止、再委託条件、監査権、違反時の措置を明記)。 ※APPIでは、提供先の国名・制度・事業者の措置に関する情報提供が求められます。 |
● 対応 | ▲ SaaSによる |
| プロバイダの"学習に使わない"設定を必ずOFF・文書化しているか? 送信データをプロバイダがモデル改善に使わない旨の設定・条項・誓約を取得すること(ログ保持期間・消去タイミングも)。 | ● 対応 | ▲ SaaSによる |
| 継続的な監視と第三者チェックをしているか? 脆弱性スキャン(定期)、ペネトレーションテスト(年次等)、構成監査を実施。結果は経営・監査部門に共有すること。 | ● 対応 | ▲ SaaSによる |
| 事故が起きたときの"連絡・報告・是正"の約束しているか? インシデント対応計画(通知先、初動SLA、72時間以内目安の報告、再発防止)を社内規程とDPA(データ処理契約)に明文化すること。 | ● 対応 | ▲ SaaSによる |
当社調べ/2025年8月時点/母数:28社/対象:国内の"社内向けRAG型AIチャットボット"(SaaS/PaaS/OSS含む。SIer個別受託は除外)/一次情報のみ
当システムは
12項目すべてをクリア
設計から運用まで、越境移転規制に該当する12項目をすべて満たします。
用語にマウスを合わせる(スマホはタップ)と、簡単な解説が表示されます。
私たちの設計方針は「そもそも外へ出さない」ことが出発点です。東京リージョン(オンプレ/VPC内RDS)でデータを閉じ込め、Bedrockの国内モデル(Claude3 / Amazon Titan)だけを使うことで、個人情報保護法上の越境移転に触れない構成にしています。
通信はTLS1.3で暗号化し、保存はAWS KMSで鍵を日本管理にすることで、鍵の所在も国内に固定します。管理者アクセスは国内IP+MFAの最小権限とし、すべての操作はCloudTrailで7年間記録します。毎週のOWASP ZAP自動スキャンに加え、定期的なペンテストや構成監査で「見えるセキュリティ」を維持します。
再委託(サブプロセッサ)の一覧・所在国・役割を開示し、変更時は事前にお知らせ。データを外へ出す可能性がある場合は、契約と同意で保護措置を明文化し、プロバイダ側の学習OFF設定も文書化します。事故時は初動SLA・報告・是正の流れを決めており、72時間以内を目安に状況共有します。
このシステムのセキュリティをやさしく説明
私たちは「データを外に出さない」ことを最優先にしています。東京のデータセンター(自社サーバーやAWS内の専用ネットワークとデータベース)に情報を閉じ込め、日本で使えるAIモデル(Claude3 / Amazon Titan)だけを動かすことで、海外にデータが出ない仕組みにしています。
やり取りは最新の暗号化で守り、保管も日本で管理する鍵でロックしています。管理者の操作は国内から多要素認証で入る最小権限にし、すべてのログを7年分しっかり残します。毎週の自動診断に加えて、定期的に疑似攻撃テストや設定チェックを行い、「見えるセキュリティ」を続けています。
外部に任せる作業(再委託)がある場合は、業者の場所や役割を開示し、変更時は事前にお知らせします。もし外へ出す可能性があっても、契約と同意で守る約束を明確にし、AIが勝手に学習に使わない設定も文書化します。万一トラブルが起きても、初動と報告の流れを決めており、目安72時間以内に状況を共有します。
+αのセキュリティも標準装備
WAF(Webアプリケーションファイアウォール)の導入
SQLインジェクションなど、Webサイトへの一般的なサイバー攻撃からシステムを守る、追加の「盾」です。脅威検知サービスの活用(Amazon GuardDuty)
AIが24時間365日、不審な挙動や未知の脅威を自動で検知し、警告してくれる高度なセキュリティ監視システムです。大企業だけでなく
中小企業もリスク対象
企業のデータ活用が増え、AI時代になればなるほど、
「個人の情報をどう安全に、どう誠実に扱うか」が企業の信用に直結します。
改正個人情報保護法とは
中小・個人事業主を問わず個人データを扱う事業者はすべて遵守が必要です。 個人データを海外に出すときは、相手国の制度や守り方を本人に知らせ、同意や契約で「目的外利用なし・再委託の条件・監査権・違反時の措置」を決めておくことを義務づけています。 事故時の報告、利用停止・削除への対応、匿名加工や仮名加工の扱いなど、実務で守る手順がより細かく定められています。
- ChatGPTなどの海外のAIサービスを利用
- Googleアナリティクスなど、海外の分析ツールを利用
- Google、metaなど、海外の広告配信サービスを利用
- 海外に拠点を持つ会社
- 外国のクラウドサービスを利用
- 海外のサーバーを利用する
- 海外の顧客データ・会員管理、ログを分析する
GDPRとは
EU(ヨーロッパ)の個人データ保護ルールで、 EUに住む人のデータを扱う企業は、世界のどこにあってもGDPRを守らなければなりません。 目的を限定し、必要最小限のデータだけを集め、透明性を確保し、本人の権利(開示・訂正・削除・持ち運びなど)に応えることが求められます。 域外(EU外)へデータを出すときは、十分性認定や標準契約条項(SCC)などで同等の保護水準を担保する必要があります。
- EU向けにサイトを英語/フランス語などで運営している
- EU居住者向けの広告を出している
- ECサイトでEUに配送している
- EU在住者から問い合わせを受ける仕組みがある
- EU在住者のアクセスログ(Cookie、IPなど)を取得している
よくある誤解例
AIに入力しているデータは学習されない設定だから安心なのでは?
→ 要確認
学習されなくても“海外の第三者に提供”している事実は変わりません。適切な同意や契約が必要です。
ChatGPTに貼ったのは“相談内容”だけだからなのでは?
→ 要注意
相談内容に家庭状況・病気・住所を匂わせる記述があれば個人情報になります。
名前を入れなければ個人情報に当たらないのでは?
→ 要確認
メールアドレス、会員ID、購入履歴、相談内容などで個人が特定できるなら個人情報です。
顧客番号だけなら個人情報に当たらないのでは?
→ リスクあり
その番号が自社のDBで個人と紐づいていれば"個人データ扱い"に該当します。
当社は海外に顧客はいないから越境移転は関係ないのでは?
→ リスクあり
データの保存先が外国なら、海外顧客がいなくても越境移転です。
国内企業が提供しているSaaSのAIなら問題ない?
→ 要確認
サーバーの設置場所やAPIの委託先(OpenAI等)が海外にある場合、国内ベンダー経由でも越境移転の対象となり得ます。再委託先の監督が重要です。
アプリ解析ツールにはログが送られてるだけだから問題ない?
→ リスクあり
IPアドレス・端末ID・行動ログなども個人関連情報として、越境移転規制の対象になる場合があります。
サーバーは海外だけど専用サーバーだから問題ない?
→ リスクあり
専用サーバーであっても海外にサーバーがあれば越境移転にあたります。
プライバシーポリシーに書けばリスク回避できる?
→ 不十分な可能性
書くだけでは不十分です。提供先の国の法制度や安全管理体制を確認し、適切に通知・公表する義務があります。
加工データだからAIに送っても問題ない?
→ 要確認
加工が不十分で再識別される可能性があれば個人情報です。統計データ化や適切な匿名加工が必要です。
社内でしか使わないから越境リスクはないのでは?
→ 誤解です
“社内利用”かどうかではなく、“データがどこに渡るか”が基準です。
海外子会社とのやり取りだから越境移転にはあたらないのでは?
→ リスクあり
海外子会社も“外国にある第三者”として扱われます。
アクセス解析ツールに送られてるのは匿名のCookieだから個人情報には当たらない?
→ 要注意
Cookie・IP・行動ログも個人関連情報であり、提供先で個人データと紐づく場合などは越境移転の規制対象になります。
外注先の海外フリーランサーにデータを送るだけだから問題ない?
→ リスクあり
典型的な“外国にある第三者への提供”です。
Excelでまとめた資料を海外メンバーに共有しただけだけだから問題ない?
→ リスクあり
資料に個人データが含まれていれば越境移転に該当します。
Slackで共有しただけだから問題ない?
→ 要確認
Slackのデータセンター(多くが海外)に送信・保管されます。同意取得等の対応が推奨されます。
CSの会話ログをChatGPTに要約させただけなので問題ない?
→ リスクあり
ログに個人が含まれていれば越境移転に該当します。
画像データだから問題ない?
→ リスクあり
顔写真や特徴情報は個人情報です。AI分析のために海外サーバーへ送る場合は越境移転になります。
なぜ私たちがつくるのか
株式会社ユニバーサルマーケティング
×
株式会社SEWA SOLUTION
株式会社ユニバーサルマーケティング
市場調査からAIチャットボットの未充足ニーズを発掘し、「まだ世にない/足りない」仕組みを設計します。TCO・投資対効果を試算し、利益に貢献する企業向けチャットボットを提供します。
株式会社SEWA SOLUTION
革新性の高い AI / RAG
を"動くプロダクト"に落とし込み、実運用まで伴走します。フォーマットが異なる資料やアナログ資料でも、実用精度のAI・RAGになるまで責任を持ちます。
よくある質問
本当に越境リスクは0.00%なのですか?
システム的に「国外へ送られる経路が存在しない」
契約・運用面でも「日本国内での取り扱いのみ」
という二重の保証により、理論上の越境移転リスクは0%です。
添付資料で示されているとおり、当社の社内RAGのAIチャットボットは技術面・運用面ともに「データを日本国外へ一切送らない」構成を採っています。具体的な根拠は次の三点です。
システムの計算・保存・バックアップ先をすべて東京リージョンに固定。第三者(海外リージョン)のサーバーには技術的にアクセスできません。
クラウド不可ポリシーの企業向けには、自社ラックまたは国内IaaS上に完全閉域で構築するため、物理的にも越境しません。
法律上"外国にある第三者への提供"に当たらないため、本人同意や追加契約手続きも不要になります。
Difyを使っても越境移転規制に準拠できるのですか?
はい。準拠しています。
準拠できる技術的な理由は、弊社の提案する「マネージド・セルフホスト」モデルでは、以下の構成を取ることで、データの国外流出を完全に防いでいるからです。
Difyの設置場所日本国内に限定
Difyというソフトウェアを、お客様専用のAWSアカウント内の「東京リージョン」にインストールして動かします。 クラウド型のDifyと違いリスクがありません。
データの保管場所を日本国内に限定
会話ログやナレッジの元となるPDFなどのデータは、すべてAWS東京リージョン内のデータベース(RDS)やストレージ(S3)に保管されます。
頭脳(LLM)の場所を日本国内に限定
思考の中心であるLLM(Amazon Bedrock)も、東京リージョンで稼働しているモデルを指定して呼び出します。
これにより、ユーザーが入力した質問文や、AIが参照する社内データが、処理の過程で海外のサーバーに送られることは一切ありません。
運用・保守者のアクセス日本国内に限定
貴社(または顧客自身)がメンテナンスを行う際も、日本国内から、あるいは定められた手順でアクセスします。
海外の事業者がシステムにアクセスする構成にはしません。
このように、データの発生から保管、処理、廃棄までの全てのライフサイクルが、物理的に日本国内で完結するため、個人情報保護法の越境移転規制に完全に準拠できるのです。クラウド型のDifyやSaaS型のAIチャットボットと違いリスクがありません。
PoCの期間はどれくらいですか?
お客様の環境や要件により異なりますが、標準的な構成であれば最短30~60日ほどで完了します。 専任の担当者が導入から運用まで一貫してサポートいたします。
入力したデータはAIの再学習に使用されますか?
いいえ、一切利用されません。お客様データは AWS VPC 内またはオンプレミスの閉域環境 で暗号化(AWS KMS)された状態で処理され、外部の学習モデルや共有基盤へ送信・学習フィードバックされることはありません。
既存のナレッジベースや社内文書と連携できますか?
はい, 可能です。独自のRAG(Retrieval-Augmented Generation)技術により、PDF、Word、HTMLなど様々な形式のドキュメントを取り込み、自動でAIが回答可能な知識ベースを構築します。再学習は不要です。
PoC 版と製品版の違いは?
PoC(最大 30
日)は同一機能でユーザ数を100名に制限し、GPUを共有クラスタで利用します。
テスト後は設定をそのまま本番環境(専有GPU/VPC)へ移行できるため、再設定やデータ移行は不要です。
他社ボットではなく UM を選ぶ理由は?
UMは、VPC完結、ソースコード譲渡、自動監査という3つの重要な要件を標準で満たす当社標準構成の特長です。
これにより、SaaSのブラックボックス性を排除し、OSS開発の負担なく、高いレベルのセキュリティと所有権を両立できる構成となっています。
どんな会社がこのチャットボットを導入するのに最適ですか?
金融、医療、インフラなど、機密情報を扱うため外部SaaSの利用が禁止されている企業様や、
自社での厳格なセキュリティ監査・管理が必須となる企業様に最適です。
また、将来的な内製化を見据え、ソースコードの所有権を確保したい企業様にも選ばれています。
社内AD/IdPとSSO連携できますか?
できます。SAML2.0/OIDCに標準対応。Active Directory・Azure AD・Oktaで動作実績あり。IdPはVPC内に設置し、認証情報が外部に出ない構成を推奨します。
年保守費25%には何が含まれますか?
①LLMバージョンアップとRAGコーパスの再学習
②セキュリティパッチ適用
③24/365 監視・障害一次切り分け
④毎月の利用レポート提供が含まれます。
追加課金なしでSLA99.9 %の可用性を維持するための包括契約です(想定月額15万円)。
SLAを下回った場合の補償は?
月間稼働率が99.9%を下回った場合、差分0.1%ごとに当月保守費の10%を返金します。 重大インシデント(P1)は4時間以内の恒久対策を義務付け、未達時は追加でPoC期間延長または保守費1か月分を無償化します。
GPU在庫が不足した場合の納期は?
AWS
Japanとの年間リザーブ契約により、需要急増時でも原則14営業日以内に追加GPU(g5.2xlarge相当)を確保することを目指します。
リザーブ枠を超える場合は国内パートナーDCのオンプレA100ノードを一時貸与し、サービス停止を回避する対応を行います。
保存データはどの地域に置かれますか?
すべて東京リージョン(ap‑northeast‑1)またはお客様指定のオンプレVPC内RDSに保存され、国外転送は発生しません。 生成AI(Bedrock/GPT‑4)への呼び出しも東京リージョン経由で完結するため、当社標準構成では国外送信経路が生じない設計(個別要件により異なるため要確認)となっています。
概念実証(PoC)
から補助金が使えます
業務改善補助金
事業場内最低賃金を一定額引き上げつつ、生産性向上に資する設備投資等をした中小企業を支援。※「補助金」ではなく厚労省の助成金です。ものづくり補助金
革新的な新製品・新サービス開発や海外需要開拓のための設備・システム投資を支援。審査・採択あり。越境規制セルフチェック
APIやSaaS利用時に、個人情報や越境移転の有無を簡単に確認するための簡易診断です。
結果に応じて必要な対応のヒントを表示します。
以下の設問に答えてください。個人情報を扱わない場合や国内完結の場合はすぐに結果が表示されます。
※容易照合性を含む、広義の個人情報が含まれるかを選択してください。