4月1日提供開始：QommonsAIで自治体の個人情報を自動検知

自治体で進む生成AI導入と「使わせたいが、漏らさせない」課題

行政機関における生成AIの導入は全国的に加速しているが、一方で「利活用促進」と「情報漏洩防止」の両立が大きな課題になっている。多くの自治体では利用ガイドラインにより職員向けの注意事項を定めているものの、その運用は個々の職員の注意力に依存しがちであり、実効性に限界がある。

Polimill株式会社（所在地：東京都港区、代表取締役：伊藤あやめ／谷口野乃花）は、行政向け生成AI「QommonsAI（コモンズAI）」のアップデートにおいて、システム側でルールを実装することで職員の運用負担を軽減し、自治体の情報ガバナンスを強化する仕組みを提供する。プレスリリースはポリミルより2026年3月28日12時41分に配信され、機能の提供開始は2026年4月1日予定とされている。

• 発表元：Polimill株式会社（ポリミル）
• プレスリリース日時：2026年3月28日 12時41分
• 機能提供開始予定：2026年4月1日

「検知→遮断→記録」という三層防御の全体像

QommonsAIの今回のアップデートは、個人情報自動検知、禁止ワードブロック、検知・ブロックログという3つの機能を組み合わせた多層的な防御を標準搭載する点が特徴である。これにより、職員個人の判断だけでなくシステムレベルでの制御により入力時の機密情報流出リスクを管理する。

三層防御はそれぞれ役割が明確に分かれており、互いに補完する構造になっている。以下に各層の詳細と運用設定の要点を示す。

第1層：個人情報自動検知 ― リアルタイム監視と選択的対応

職員がプロンプトを入力した時点で、QommonsAIが入力内容をリアルタイムに解析し、氏名・マイナンバー等の個人情報パターンを自動検知する。検知後のシステム動作は機密情報の種類ごとに管理者が設定でき、「警告のみ」または「送信ブロック」を選択可能である。

例えば、運用例としては「マイナンバーは即時ブロック」「氏名は警告表示のうえ職員判断」といった段階的なルールを管理者が設定画面から柔軟に構成できる。こうした設定により業務実態に応じた現実的なガバナンスを実現する。

第2層：禁止ワードブロック ― 組織固有の機密保護

管理者が任意の禁止ワードを設定できる機能は、組織固有の情報を保護するうえで有効である。管理者は100個以上の語句を登録可能で、登録された語句を含む入力はAIへの送信そのものがシステムレベルでブロックされる。

禁止ワードは、個人情報パターン検知だけでは捕捉できない内部プロジェクト名、未公表の施設名称、人事関連の固有名詞などを対象に設定できる。ガイドラインに「入力禁止」と明記するだけでなく、システム上で強制適用することでルールの実効性を高める。

1. 管理者が禁止ワードを登録（100語以上可）
2. 職員の入力に該当語が含まれると自動で送信を遮断
3. 遮断ログが第3層で記録され管理者が確認可能

第3層：検知・ブロックログ ― 監査対応と可視化

個人情報検知および禁止ワードによるブロックの全履歴をログとして記録し、管理者が時系列で閲覧できる仕組みを用意している。ログには「いつ、誰が、どのような情報を入力しようとし、システムがどのように対応したか」が含まれる。

ログは既存のQommonsAIログ管理機能と連携し、入出力ログをCSV形式で出力可能であるため、情報セキュリティ監査や内部統制の報告資料としてそのまま活用できる。定期的なレビューや委員会への提出資料としても利用できる点が想定運用のポイントだ。

業務別の想定活用シーンと運用上の留意点

QommonsAIの三層防御は、自治体の複数部門での実務に即した利用を支援する。ここでは想定される部門別シーンと、それぞれでの運用上のポイントを整理する。

各部門での具体的な例を挙げることで、どのように設定を行えば職員の利便性と情報保護を両立できるかが明確になる。

住民対応課

窓口で取得した氏名や住所が誤ってプロンプトに混入することを自動検知し、警告表示で職員の注意を喚起する。警告のみとする運用により、必要に応じて職員の判断で送信を続行できる。

運用上は氏名について警告表示、マイナンバー等の番号情報はブロックと段階的に設定することが推奨される。

税務課・福祉課

マイナンバーを含む文書の要約や整理を行う際、マイナンバー部分を検知して即時ブロックし、番号を除外したうえでの再入力を促すフローが適用できる。

番号の扱いについては送信ブロックをデフォルトにし、運用マニュアルで再入力の手順や除外方法を整理する必要がある。

人事課

人事異動情報や内部評価に関連する固有名詞を禁止ワードに登録することで、非公開情報の流出を防止する。組織ごとに固有の語句が多いため、禁止ワード登録の運用ルールを明確にすることが重要である。

新たな語句やプロジェクトが発生した場合の登録手順と役割分担もあらかじめ定めておくとよい。

情報政策課

検知・ブロックログを定期的にレビューし、庁内のAI利用状況を把握することができる。CSV出力機能を用いれば、情報セキュリティ委員会への報告資料としてそのまま利用可能である。

ログの保持期間や閲覧権限の設定をポリシーとして定めることで、監査対応や内部統制の要件を満たす運用が行える。

全庁共通の運用観点

従来の「生成AI利用ガイドラインで個人情報入力を禁止する」規定を、システム制御に移行することでルールの実効性を担保できる。紙の規定に加え、技術的制御により一貫した運用を図ることが可能となる。

運用開始にあたっては管理者向けの設定指針、職員向けの操作説明、定期レビューの体制を整備することが推奨される。

QommonsAIの提供体制と製品スペック、企業情報

QommonsAIはPolimill株式会社が開発・提供・運用する行政向け生成AIで、国内外の法律・政策・論文・自治体事例など数千万件以上のデータを基にエビデンスベースで自治体課題の解決を支援することを目指している。2026年3月時点で全国700以上の自治体、約25万人の利用者があるとされる。

搭載モデルはOpenAI・Anthropic・Google・Preferred Networksの主要4社から厳選した12モデルを利用者の用途に応じて選択できる。販売は代理店を介さない直販体制で行われており、導入自治体には現地での導入研修および初級・中級研修を無償で実施している点が明記されている。また、自治体からの要望を最短数日でサービスに反映するアジャイル開発体制を採用している。

会社概要としては、事業内容に行政向け生成AI「QommonsAI」のほか、デジタル民主主義プラットフォーム「Surfvote」の企画・開発・運営があげられている。コーポレートサイトは https://polimill.jp/ で確認できる。

まとめ（機能と運用ポイントの整理）

以下の表は、本記事で紹介したQommonsAIの新機能と運用上の主要ポイントを整理したものである。この表をもとに、各自治体は管理者設定や運用ルールの具体化を行うことが想定される。

今回のアップデートは、自治体が生成AIを安全かつ実務に即して活用するために、運用ルールの技術的な実装を進めるものである。管理者側での設定により、職員の注意力に過度に依存することなく、利活用の促進と情報保護の両立を図ることが可能になる点が整理できる。