ワークフローサンプル
AI ISMSインシデント報告
インシデントの過少報告や遅延を防ぎ、監査証跡の保存を確実にする。
AIがトリアージとサマリ生成を支援するISMSインシデント報告ワークフロー。
全社員からのインシデント報告を起点に、AIが深刻度を自動判定し、対応経緯を要約することで、プロセス全体を支援します。
担当者の裁量によるエスカレーションの省略や放置をシステム的に排除することで、内部統制の要件を満たすリスクマネジメントを実現します。

AIと人間による二重確認構造のISMSインシデント管理プロセス
AIの自動判定によるトリアージ品質の均質化と、システム制御による職務分離(SoD)を組み合わせることで、属人性を排した迅速な対応と確実な記録の自動生成を実現します。

ISMSインシデント報告の流れ(業務記述書)
| No | 工程 | 担当 | 説明 |
|---|---|---|---|
| 1 | インシデント報告 | 全社員 | インシデント発生日時・種別・概要・状況説明などが必須入力項目となっており、未入力による記録漏れを防ぐシステムチェックが機能します。 |
| x1 | AI自動判定 | システム | AIが報告内容を参照し、インシデント種別や深刻度(LOW/MID/HIGH)の候補、初動対応上の留意事項を生成します。 |
| 2 | トリアージ | セキュリティ担当 | AIの判定結果を参照したうえで、人間(セキュリティ担当者)が最終的なインシデント種別と深刻度、対応方針を確定させます。 |
| x2 | 深刻度による分岐 | システム | 確定した深刻度がHIGHの場合にのみ、対応工程と並行して経営層通知工程へ自動的にルートを分岐させる統制機能です。 |
| 3 | 経営層通知 | 処理担当者 | 深刻度の高いインシデントについて、経営層への情報の共有と記録・認知を行います。 |
| 4 | 対応 | 情報システム部門 | 実際の対応を実施し、必須項目である対応内容のほか、根本原因や再発防止策を記録します。 |
| x3 | AIサマリ生成 | システム | 対応完了後、AIがこれまでの経緯や根本原因を読み取り、クローズ承認用の要約文(サマリ)を自動生成します。 |
| 5 | クローズ承認 | セキュリティ担当 | トリアージを行った同一のセキュリティ担当者がAIサマリを確認し、クローズコメントを入力してプロセスを完結させます。 |

AIが担当する主な工程
トリアージの初期判断支援
入力内容をもとに、インシデント種別・深刻度の候補やセキュリティ担当者へのメモ(留意事項)を自動生成します。
経路の自動制御とエスカレーション
トリアージ後の深刻度に応じて後続フローへの遷移を制御し、必要に応じた経営層通知を確実に実行します。
記録品質の均質化
報告内容や対応経緯からAIがサマリを自動生成し、監査証跡としての記述の抜け漏れを補完します。
など

標準搭載
AIエージェント工程

OpenAI、Gemini、Claude などの生成AIサービスとも連携可能です。

人が判断・承認する工程
深刻度の最終確定
セキュリティ担当者がAIの出力をそのまま鵜呑みにせず、内容を確認・承認したうえで深刻度および対応方針を最終確定します。
インシデントの実務対応
情報システム部門が実際のインシデント対応や物理的な処置、原因究明を実施します。
クローズ承認による事後確認
セキュリティ担当者が一連の対応結果(AIサマリ)を事後確認し、責任を持ってプロセスを完結させます。
など

ヒューマンタスク

\導入前後の業務整理もお任せください/
Questetra導入・活用支援で培ったノウハウを持つコンサルタントが、業務課題に応じた最適な改善策をご提案
Questetra コンサルティングサービス
現状業務の整理

AI運用ポイントの選定

ワークフロー設計支援

定着・改善サイクル支援

Questetra BPM Suite をご利用中のお客様向けに、導入立ち上げ・ワークフローアプリ構築・運用改善・内製化支援まで、フェーズに応じた各種コンサルティングサービスをご提供しています。
このフローで実現できること

1. エスカレーション省略のシステム的排除
ORゲートウェイの自動分岐により、深刻度HIGHの案件は必ず経営層へ通知され、担当者の裁量によるエスカレーションの省略や隠蔽を防ぎます。
2. 厳格な「職務分離(SoD)」による内部統制
各スイムレーンが分離されており、同一人物が「報告」から「対応・クローズ承認」までを単独で完結させることをシステム上制限しています。


3. AIのハルシネーションリスクを抑える「二重確認構造」
AI判定結果やAIサマリは「表示のみ(編集不可)」として扱い、承認者による事後確認と確定作業を必須化することで、安全性を担保しています。
4. AIプロンプトの変更管理(ITAC対応)
AI自動判定などの指示文(プロンプト)はワークフロー定義に埋め込まれており、変更履歴はアプリの改版として記録管理されるため、監査法人が求めるIT業務処理統制(ITAC)に対応可能です。


