なぜ私たちは「自動で決めない」のか

止めない。

ただし、理由は揃える。

判断は人に残す。

誤検知は、運用上の損失として扱う

誤検知による業務停止
確認時間の増加によるスループット低下
アラート疲れによる見逃しリスク
事故時の説明責任コスト

これらの損失は、最終的に現場責任者が引き受けることになります。

判断責任は人のまま、説明責任を軽くする

判断責任：人（不変）

説明責任：軽くなる

兆候が揃う
理由が記録される
後出し説明にならない
判断の孤独が減る

出すもの / 出さないもの

出すもの

危険の兆候（Signals）
理由（Why）
証跡（Evidence）
追加確認の観点（推奨ではなく観点）

出さないもの

自動遮断 / 自動隔離
白黒の断定
強制的指示

監査・説明のために、ログ要素を固定する

ログは雰囲気ではなく、項目で定義します。

timestamp
対象ID（例：mail_id / document_id）
検知された兆候（signal_id 群）
評価値（risk_score / severity）
根拠（rule_id / policy_version）
証跡参照（evidence_hash 等）
操作者アクション（viewed / acknowledged / escalated）
エンジン・ルールのバージョン

これにより、「なぜその判断に至ったか」を後から再構成できます。

改ざん防止：後から書き換え不可を前提に設計します。

個人情報・本文ログ：最小化を前提に扱います。

置き換えではなく、補強レイヤとして置く

既存の遮断系と競合しません。

判断を代替しないため、既存の遮断ポリシーや判定結果を上書きしません。

グレー領域の判断材料提供に特化します。

想定導入形態

既存対策＋判断支援（共存）
グレー判定の二次レビュー
事故後の説明・監査用途

FAQ

自動で止めないのは危なくない？▾

止めない代わりに、兆候と理由を揃えます。

判断は人が行いますが、危険を見落としにくい状態を作ります。

人が判断するなら責任は重くならない？▾

判断責任は元から人にあります。

兆候・理由・証跡が残るため、説明責任は軽くなります。

誤検知が多いと運用は破綻しない？▾

前提として、誤検知コストを損失として扱います。

そのうえで、兆候の粒度と記録設計で運用負荷を制御します。

忙しい時、誰がどこまで見る？▾

役割は「兆候と理由を揃える」までです。

確認の範囲は、組織の権限設計とエスカレーションで固定します。

監査・説明のために何がログに残る？▾

timestamp、対象ID、兆候、評価値、根拠、証跡参照、操作者アクション、バージョンが残ります。

実装例は/maildocにあります。

ログは改ざんされない？▾

後から書き換え不可を前提に設計します。

監査対象の根拠（policy_version 等）をログに固定します。

既存セキュリティと競合しない？▾

遮断系の置き換えではありません。

グレー領域の判断材料提供に限定します。

導入で業務は遅くならない？▾

自動で止めない設計のため、業務停止を前提にしません。

確認コストは、兆候と理由の提示で短縮します。

PoCでは何を確認する？▾

一定期間の運用ログをもとに、誤検知コストと確認時間を確認します。

ログ要素が監査・説明に十分かを確認します。

向く業務 / 向かない業務は？▾

向く：業務停止が許容できず、説明責任が必要な業務。

向かない：白黒を自動で確定しないと運用できない業務。

この前提で、導入可否を確認する