企業でのAI活用が本格化してきた。AWS BedrockやAzure OpenAI Serviceを導入して、社員にLLMを使わせる会社も増えている。
そこで必ず出てくるのが、「プロンプトのログ、全部取っておこう」という話だ。
情報漏洩の防止、不正利用の抑止——理由はわかる。でも、この「とりあえず全部取る」という判断、本当に正しいだろうか。私はこれが、AI投資の価値を根っこから壊しかねないと思っている。
企業がメールやチャットのログを保存して監査対象にすること自体は、もう広く受け入れられている。「対外的に発信した情報」を管理するのは、まあ当然だろう。
ではプロンプトはどうか。
AIへのプロンプトというのは、今までなら頭の中で完結していた「思考の途中経過」を言葉にしたものだ。
たとえば、上長から「この方針で進めて」と言われた社員が、AIにこう聞く。「この方針のリスクって何だろう?」「別のやり方のほうがよくないか?」——これは反抗でも背信でもない。責任感のある検証行為だ。
でも、プロンプトログだけを見た上長はどう思うだろう。「こいつ、方針に納得してないのか」「反抗的だな」——そう受け取られても不思議はない。
つまりプロンプトの全文監視は、思考の草稿を検閲されるのと同じことだ。メールの監視とは、質的にまったく違う。
法律の世界に「萎縮効果(chilling effect)」という言葉がある。実際に罰せられなくても、「監視されているかもしれない」と思うだけで、人は自由な行動をやめてしまう——あの現象だ。
プロンプト監視でも、まさにこれが起きる。
「上長に見られるかも」と意識した社員はどうなるか。批判的な検証をやめる。「この方針、間違ってない?」という仮説をAIにぶつけなくなる。上長が喜びそうな、無難なプロンプトだけ打つようになる。あるいは、そもそもAIを使わなくなる。
これは、AIを「忖度の増幅装置」に変えてしまうということだ。
LLMの大きな価値のひとつは、「人間が聞きにくいことを、気兼ねなく聞ける」ことにある。愚かに見える質問、政治的に微妙な仮説、自分の理解不足をさらけ出すような確認——こういう「安全に愚かでいられる空間」こそが、AIの真価だ。
プロンプト監視は、この空間を潰してしまう。
企業がAIに年間数千万円を投じておきながら、社員が萎縮して当たり障りのない使い方しかしないとしたら。その投資、何のためにやったのだろう。
もうひとつ、見落とされがちな話がある。
建前と本音の使い分けは、組織が回るための潤滑油だ。全員が常に本音だけで動いたら、組織は持たない。
上長の方針に表向き従いつつ、内心ではリスクを洗い出し、必要なら別案を用意しておく。これは「二枚舌」ではなく、組織人としての知恵だし、むしろ健全だ。
プロンプトの全文監視は、この「必要な曖昧さ」を壊す装置になりうる。全社員の思考の裏側が丸見えになった組織を想像してみてほしい。そこにあるのは「透明性」ではなく、相互不信だ。
法律の世界には「弁護士・依頼者間秘匿特権(attorney-client privilege)」がある。弁護士に率直に話せなければ、まともな助言は得られない。だから相談内容は保護される。
AIは弁護士ではない。でも、構造は同じだ。率直に相談できなければ、ツールとしての価値が壊れる。
AIに対しても、ある種の秘匿特権が必要ではないか。少なくとも「通常業務で上長が気軽にプロンプトを読める」という状態は、おかしい。
誤解しないでほしいのだが、「ログを一切取るな」と言いたいわけではない。企業にはコンプライアンス上の責任がある。
問題は、「何を」「誰が」「どんな条件で」見られるのか、その設計をサボっていることだ。
現実的な落としどころとして、4つの指針を提案したい。
管理者が日常的に見られるのは、トークン使用量・利用頻度・コスト・利用モデルといった数値データだけ。プロンプトの中身は、普段は見えない。これが出発点だ。
情報漏洩の疑い、セキュリティインシデント、内部調査——正当な理由がある場合だけ、プロンプト本文を閲覧可能にする。しかも複数の承認者を通す。そして「誰がいつ閲覧したか」自体もログに残す。見る側にも緊張感を持たせる設計だ。
個人情報や機密キーワード、特定のデータパターンをDLP(Data Loss Prevention)で自動検知すれば、「怪しいものだけ」が浮き上がってくる。全文を人間が目で読む必要性そのものを減らすアプローチだ。AWS BedrockならGuardrailsを使って、入力段階でポリシーベースのフィルタリングもかけられる。
何が記録されていて、誰がどんな条件で見られるのか。これを明文化して周知する。「知らないうちに見られている」と「ルールは明確で、通常は見られない」では、萎縮効果がまるで違う。
最後に、ひとつだけ聞きたい。
社員が会議室でブレインストーミングをしている。発言は未整理で、的外れなものもあり、既存の方針と矛盾することも言う。でもそれでいい。それがブレストだ。
その会議室に、盗聴器を仕掛けるだろうか?
プロンプトの全文監視は、それと同じことだ。AIは多くの社員にとって「壁打ち相手」であり、思考を整理するためのブレストパートナーだ。その対話をまるごと監視するのは、「自由に考えるな」と言っているのと変わらない。
コンプライアンスは大切だ。でも、そのためにプライバシーを全部犠牲にする必要はない。監視の粒度と目的をちゃんと設計すれば、セキュリティと心理的安全性は両立できる。
「全部取る」は思考停止だ。何を取り、何を取らないか——それを設計するのが、本当のガバナンスではないだろうか。
