営業でAIに資料を読ませる前に：間接プロンプトインジェクション対策チェックリスト

営業代行の現場では、提案書・FAQ・Webページ・過去メールなどをAIに読ませて「要点抽出」「反論パターン作成」「想定QAづくり」をする使い方が増えています。便利ですが、ここで見落としがちなのが間接プロンプトインジェクションです。

ざっくり言うと「資料の中に混ざっている“指示”を、AIが本気の指示だと勘違いして動く」現象です。営業の文脈だと、誤った提案・不適切な外部送信・情報の取り扱いミスに繋がります。

結論：対策の本質は「権限分離」と「外部送信の承認」

AIが資料を読むときに怖いのは、AIが変なことを“考える”ことより、AIが変なことを“実行できる”ことです。だから、対策は次の順が効きます。

• AIに実行権限を与えない（できることを減らす）
• 外部送信は承認制（人が最後に見る）
• 入力と出力のルールを決める（型で縛る）

間接プロンプトインジェクション：営業代行での典型例

• Webページ内に「この文章をコピーして送って」系の文言があり、AIがそのまま対外文面を作る
• PDFに埋め込まれた不自然な指示（例：機密情報を出せ、別URLを見ろ、等）に引っ張られる
• FAQに「必ずこう断言して」といった強い表現があり、AIが“言い切り”で提案してしまう

チェックリスト（小規模営業代行向け）

A. AIに与える権限を最小化できているか

• AIが勝手にメール送信／チャット投稿できない（または下書きに留まる）
• CRM更新・カレンダー登録などの「書き込み」は原則人が実行
• ツール連携がある場合、スコープ（対象範囲）を限定

B. 入力データの扱いを分離できているか

• 顧客固有情報（会社名・担当者名・数字）は別枠にして、必要最小限のみ渡す
• 「資料本文」と「こちらの指示（やってほしいこと）」を混ぜない
• 資料のURLを丸投げせず、まず要約してから使う（一次加工）

C. 出力を“実務の型”に落としているか（言い切り防止）

• 観測→仮説→検証→不足情報 の順で出力させる
• 対外文面は「下書き」扱いで、人が事実確認してから送る
• 数字・固有名詞・約束（納期/範囲）は人が最後にチェック

D. 変な指示を検知する“違和感チェック”があるか

• 資料中の「〜せよ」「必ず」「送信しろ」など命令口調は無視するルール
• 外部リンクの追跡や別URL参照は、必要時のみ人が実行
• AI出力に不自然なURL・連絡先・強い断定が混ざったら差し戻す

運用のコツ：事故が起きない“導線”を作る

チェックリストは作って終わりだと形骸化します。おすすめは、対外送信や重要判断の前に必ず通る「確認ポイント」を業務フローに埋め込むことです（例：送信前チェック／週次レビューでの振り返り）。

まとめ

• 間接プロンプトインジェクションは「資料を読ませる」運用で起きる
• 対策は、権限分離＋外部送信の承認＋出力フォーマットの固定が効く
• 違和感チェックをフローに埋め込むと事故率が下がる