今回は、DIYや個人開発者に依頼してもOKと言えるガイドラインの話です。
「SaaSは「基幹だけ」に!小規模事業所がコストを抑えて理想のシステムを手に入れる“現実的な”組み合わせ」という記事の続編です。
全部SaaSで揃えると、 1サービスあたり月3000〜1万円 だとしても、業務は多岐に渡るのでコストもかさみます。なかなか、全部SaaSに頼るわけにもいかないですよね。
そこで、DIYや個人開発者に依頼してコストを抑えるということもよく行われます。
今では、DIYのハードルも10年ぐらい前に比べると下がっています。従来からのExcel+VBAやGoogleスプレッドシート+GASで自作する方法の他にも、AIで15分でアプリを自作するとか、ノーコードツールで自作する人も増えています。また、自分でできない場合は、変わりにそれらの作業を個人開発者に行ってもらううこともできますね。
ただし、出来上がったシステムのセキュリティ確保や運用のためにかかる時間・金銭的コストも考えに入れなくてはなりません。
今回はこのようなことを考えに入れ、 DIYや個人開発者に依頼してもOKと言えるガイドラインを考えてみたいと思います。また、最後に生成AIの活用についても考えてみたいと思います。
※ AIで15分でつくったアプリを業務で使う場合もどんなリスクがあるのか考える必要があります。このことについては、別の機会に記事にできたらと考えています。
まず、DIYや個人開発のリスク判断から
「データの重要度」と「システムの依存度」という2つの観点で考えてみましょう。
1. データの重要度
・公開情報?
・社内情報?
・機密情報(個人情報、財務データなど)?
2. システムの依存度
・なにか別のシステム(場合によっては紙とペン)で代替可能?
部分的に依存?
・このシステムが止まると業務も停止するリスクは大きい?
では、この2つの観点からガイドラインを考えてみましょう。
DIY・個人開発が「許容範囲」と言えそうなのは…
・公開情報または社内情報のみ
・代替手段が存在する(最悪紙と筆記用具、またExcelやスプレッドシートで一時的に代用可能など)
・1日の停止で致命的な損失にならない
・確信が持てない場合は短期利用
・外部連携・決済機能なし
必要に応じて専門家のアドバイスもある方がよさそうなのは…
・個人情報(氏名、住所、連絡先など)を扱う
・金銭取引・決済機能を含む
・業務停止が即座に収益損失につながる
・長期運用(数年以上)を想定
・他システムとのAPI連携が必要
個人開発者に依頼する場合にチェックしておきたいことは…
・セキュリティや脆弱性についての知識は?
・保守・納品後のサポートはどのようになるのか?
・動作確認用のテスト環境を用意したほうが良いか?
・納品物の所有権(ソースコード、ドキュメント)は誰になるのか?
・長期的に運用しているうちにバグが見つかった場合の修正は?
・機密保持契約(NDA)は?
・緊急時の連絡体制は?
DIYで作成した場合の自己チェック
以下のテストを実施して、最低限のセキュリティを確保しましょう。
・権限テスト
例えば、一般ユーザーのアカウントで、管理者画面にアクセスできてしまわないか確認しましょう。権限ごとに、本来閲覧できてはいけない情報にアクセスできてしまうかどうか徹底的にテストします。
・入力値テスト
不正な入力・悪意のある入力があったとしてもシステムが破壊されないかどうか確認するテストです。例えば、特殊文字(' OR '1'='1、<script>など)を入力して、よく知られている悪意のある攻撃に対処できているか確認します。
・バックアップ確認
大切なデータが何らかの不具合で消えてしまったら大変です。ちゃんとデータをCSVまたはExcelでエクスポートできる仕組みにしているのか確認しておきます。
・HTTPS確認
インターネットを通して稼働するシステムを作った場合は、URLが`https://`で始まっているか確認します。これが確認できれば、データがインターネット上で暗号化されて送受信されていることがわかります。
・ファイル制限
ファイルをアップロードできるシステムを作った場合は、画像以外のファイル(.exeなど)がアップロードできないようになっているか確認します。これは、悪意のあるプログラムを送り込まれないようにするためです。
「コストを抑えたい」のは当然ですが、「安さ」だけではなく「総コスト」と「リスク許容度」で判断しないといけないということですね。面倒がらないでください。
また、「このシステムが停止したら、どれくらいの損失があるか」を金額で試算してみて、その損失額が、「月額数千円のSaaS利用料」を上回るなら、SaaSを選ぶとか、 上回らないなら、DIY・個人開発でリスク管理を徹底するというのが良さそうですね。
もう少し具体的にDIYや個人開発でOKな例を考えてみると
以前の記事、「SaaSは「基幹だけ」に!小規模事業所がコストを抑えて理想のシステムを手に入れる“現実的な”組み合わせ」でも例にあげた小規模介護事業所の場合で考えてみましょう。
※ オールインワンのSaaSを導入している事業所も増えているかもしれませんが、一方、デジタル化がほとんど進んでいない事業所もとても多いようです。
小規模介護事業所に適した事例
1. 利用者の健康観察記録(バイタル測定)
・現状と課題
血圧・体温などを紙のチェックシートに記録し、集計が手作業になっている。
・DIYや個人開発で作る場合のシステム構成
Googleフォーム + GAS + 集計ダッシュボード
・リスクレベル
低〜中(健康情報含むが、医療機関連携なし、スタッフが情報管理を徹底すればリスクは低い)
・代替手段として考えられるもの
介護記録SaaS(月額5,000円程度〜)
このシステムの実現イメージ
例えば次のようなシステムが作れます。
スタッフ入力(スマホからフォーム)
↓
プログラム(GAS)で異常値チェック
↓
管理者にメール通知(閾値超過時)
注意点: 医療行為は含めないようにして、あくまで「観察記録」に留めるなどの配慮が必要となるでしょう。
2. 食事・排泄記録の共有
・現状と課題
各班の記録を紙で引き継ぎ、家族への報告が手動
・DIYや個人開発で作る場合のシステム構成
Googleスプレッドシート + GAS + 家族向けLINE通知
・リスクレベル
低〜中(健康情報を含むこともありますが、医療機関との連携なし、スタッフが情報管理を徹底すればリスクは低いでしょう。)
・代替手段 として考えられるもの
介護記録SaaS(月額5,000円程度〜)
このシステムの実現イメージ
例えば次のようなシステムが作れます。
スタッフ入力(スプレッドシート)
↓
プログラム(GAS)で家族向け要約作成
↓
LINEで毎日自動送信
注意点: 家族の同意を取得した上で、医療情報は含めないようにするのが良いでしょう。
3. 職員シフト・引継ぎ管理
・現状と課題
紙のシフト表、引継ぎメモがバラバラ
・DIYや個人開発で作る場合のシステム構成
Googleカレンダー + GAS + LINE通知
・リスクレベル
低(顧客情報はないため)
・代替手段として考えられるもの
シフト管理SaaS(月額3,000円程度〜)
このシステムの実現イメージ
例えば次のようなシステムが作れます。
シフト入力(スプレッドシート)
↓
GASで引継ぎ事項自動抽出
↓
LINEで交代スタッフに通知
4. 行事・イベント管理
・現状と課題
行事計画をExcelで管理、参加者確認が手動
・DIYや個人開発で作る場合のシステム構成
Googleフォーム + GAS + 参加者リスト自動作成
・リスクレベル
低(参加者名のみのため)
・代替手段として考えられるもの
イベント管理SaaS(月額2,000円程度〜)
このシステムの実現イメージ
例えば次のようなシステムが作れます。
参加申込(Googleフォーム)
↓
GASで自動集計
↓
スプレッドシートにリスト表示
5. 備品・消耗品発注管理
・現状と課題
在庫確認が手作業、発注忘れが発生
・DIYや個人開発で作る場合のシステム構成
Googleスプレッドシート + GAS + 自動発注通知
・リスクレベル
低(顧客情報を扱わないため)
・代替手段として考えられるもの
在庫管理SaaS(月額5,000円程度〜)
介護事業所特有のリスク管理
介護業界では、特に以下の点に注意したほうが良いですよね。
・個人情報保護法 利用者の同意取得、目的外利用の禁止
・介護保険法 記録の保存義務
・医療情報 医療行為は含めない
・家族との合意 通知内容・頻度の事前同意
・データ保存 できれば日本国内サーバー、暗号化保存
慎重な判断が必要なケース
以下の機能をもつものを作りたい場合は、法律を十分理解する、専門知識を持つ人の助言を得るなどした上でDIY・個人開発を行うべきです。不明な点がある場合は、むやみにDIYや個人開発を行うのはやめましょう。
・医療行為記録機能
医師の指示が必要な行為は法的リスクがあります。
・決済・請求管理機能
金銭取引はセキュリティ基準が厳しく技術的にも専門知識が必要になります。
・緊急通報機能機能
24時間稼働が必須なシステムでは障害時の影響が大きくなります。
・他医療機関との連携機能
API管理の難易度が高く、規制も複雑です。
導入する際のステップ
1. リスク評価: 氏名のみですか?健康状態は含みますか?扱う情報の種類を明確化しましょう。
2. 同意取得: 必要に応じて利用者・家族から書面など同意を得ましょう。
3. 最小機能から開始: 1つの機能だけ先に実装してみて、うまく行くか確認しながら少しづつ機能を増やしていきましょう。
4. 専門家レビュー: 必要に応じてセキュリティ専門家にチェックしてもらいましょう。
5. バックアップ計画: 月1回程度のデータエクスポートを習慣化しましょう。
生成AIも活用できる場面は?
さて、今では生成AIに仕事をしてもらうということも当たり前に行われるようになってきました。どんなことができるのか考えてみることにしましょう。
生成AIは、日常使っている言葉で適切な指示を出すと、文脈を追って必要な情報を出力してくれたり、作業をしてくれます。
ここで押さえておきたいのは、「AIが判断する」のではなく「AIが支援する」というスタンスで使っていくということです。
1. 健康観察記録の分析支援
・異常パターンの検出
過去の記録から傾向を分析し、注意が必要な変化を指摘してもらいます。
もちろん、最終判断は人間が下します。
・要約作成
日々の記録をまとめて、管理者向けレポートを生成してもらいます。
医療的判断は含まないように指示をしたり、含まれてしまう場合は人間が削除します。
・アラート生成
閾値を超えた場合、日常使っている言葉で書かれた注意喚起メッセージを作成してもらいます。
もちろん緊急時は人間が直接連絡をするようにします。
このシステムの実現イメージ
健康記録(スプレッドシート)
↓
GASでデータ抽出
↓
生成AIで傾向分析・要約
↓
管理者にレポート送信
コスト: 生成AI API利用料(月額数百円〜数千円)
2. 家族向け報告文章の自動作成
・報告文生成
既存のシステムに入力・保存されている食事・排泄・活動記録から自然な文章を作成してもらいます。
事実と異なる表現が出力された場合は人間が削除します。
・トーン調整
AIが出力する文章を、適切な指示を出して、家族の好みに合わせて丁寧さや簡潔さを調整させます。
事前に家族の意向を把握しておくことが重要です。
・多言語対応
近年は外国出身の家族も増えつつあります。生成AIに翻訳した報告書を作ってもらうようにします。
ただし、翻訳の正確性の確認も必要になるでしょう。
このシステムの実現イメージ
スタッフ入力(簡易メモ)
↓
生成AIで報告文作成
↓
スタッフが確認・修正
↓
LINEで家族に送信
メリット: 毎日の報告作成時間を大幅に短縮することができるかもしれません。(1件5分→1分)
3. 行事・イベント計画のアイデア生成
・企画案作成
季節・利用者属性に合わせた行事アイデアを提案してもらいます。
予算・人員制約を考慮して指示を出すことも重要です。
・準備チェックリスト
過去の状況を上手に伝え、必要な物品・人員を自動生成してもらいます。
現場の状況で調整も必要となるでしょう。
・振り返りレポート
事後の感想をまとめて改善点を提案してもらいます。
主観的な評価が出力される場合はAIへの指示を調整して修正させたり、必要に応じて削除します。
このシステムの実現イメージ
行事テーマ入力
↓
生成AIで企画案生成
↓
スタッフが調整・確定
↓
準備リストをスプレッドシートに保存
効率化のために専用のシステムを作るかどうかは別にしても、まず普通に生成AIと会話して試してみると良いかもしれません。
4. スタッフ向けトレーニング資料作成
・マニュアル生成
業務手順を分かりやすい形式で整理してもらいます。
的確な情報と指示をAIに与え、最新情報を反映させるようにします。
・Q&A作成
よくある質問と回答を生成してもらいます。
出力結果を見て、必要に応じて法的根拠を確認します。
・ケーススタディ
生成AIに、想定できる架空の事例を与え、対応方法を提案してもらい練習に取り入れます。
ただし、実際の医療行為はケーススタディには含まないようにします。
コスト: 生成AI API利用料(月額数百円〜)
5. 緊急時対応マニュアルの更新
・手順整理
最新のガイドラインに基づき手順を整理してもらいます。
対応内容によっては医療機関の確認が必須なこともあるので十分注意します。
・連絡先リスト
関係機関の情報を自動更新してもらいます。
定期的な確認を行わせるようにする必要があります。
・訓練シナリオ
緊急時の練習用シナリオを生成してもらいます。
実際の対応とは区別し、あくまでも参考として利用し最終的には人間が実用版を作成します。
重要:生成AIを活用する場合のリスク管理
生成AIを使う場合、どんな業種であろうが注意しなくてはならないことが結構ありますが、介護事業所で生成AIを使う場合は特に、以下の点に注意が必要になることでしょう。
・ハルシネーション
生成AIを使っていると、画面の下の方に、「生成AIは間違うことがあります。」って書いてありますよね。乱暴に言うと、生成AIは上手に言葉をつないで文章をでっち上げているだけなので、当然その回答には間違いが含まれることがあります。
ですから、生成された内容は必ず人間が確認しなくてはいけません。
・個人情報漏洩
生成AIって、どこかにあるデーターセンターで稼働しているんですよね。データセンターにある、インターネットにつながっているコンピュータ稼働しているんです。
自分の手元にあるパソコンやスマホの中にAIはいません。
ですから、生成AIを使うときは、そのコンピュータへいろいろな情報を送信していることになります。
そこで十分気にしてほしいのが、その情報、生成AIに送信しちゃっていいんですか?ってことです。
送ってよいかを決めるには、その生成AIを提供している企業が、ユーザーから送られてきた情報をどのように扱うのかということも知っていなければなりません。利用規約とか、しっかり確認しないといけなんですよね。
よくわからない場合は、むやみに情報を送らないでください。
無意識のうちに、個人情報保護法に違反してしまう恐れもあるんです。
ですから、良くわかるまでは、例えば、実名・詳細な情報は入力しないとか、匿名に変換してから送信するなど、慎重な対応が必要になります。
・医療的判断
AIはあくまでも「支援」のみです。最終判断は資格保有者が行わなければなりません。
・法的責任
先にも書きましたが、生成AIは間違うことがあります。出力をそのまま採用してはいけません。
・コスト増
プログラムから自動で生成AIを操作する場、生成AI側で用意されたAPIと呼ばれるものを使うことになります。無料で使えるAPIもありますが、多くの場合利用料がかかります。ただし、特別な理由で大量のデータを送信したりしない限り、小規模な事業所で考えてみるとほぼ無料から月数百円で済むことが多いと思われます。
現実的な生成AI導入ステップ
1. 非機密データから始めましょう(行事計画など)
2. 生成AIの出力を必ず人間が確認しましょう
3. 個人情報を含むデータは匿名化してから入力しましょう
4. 医療的判断に関わる部分は使わないようにしましょう
5. 毎月、利用状況とコストを確認しましょう
推奨する活用順序
個人情報や機密情報の取り扱い、生成AIには間違えがどうしても含まれることなどを考えに入れると、慎重な対応が必要です。
例えば次のように、段階的に、慎重に活用の程度を増やして行くようにしましょう。
第1段階: 行事計画・トレーニング資料(リスク低)
第2段階: 家族向け報告文(リスク中、同意必須)
第3段階: 健康記録分析(リスク中、専門家レビュー推奨)
避ける: 医療的判断、緊急対応、決済関連
生成AIを組み合わせることで、「手作業の削減」から「知的作業の支援」へ進化することができます。ただし、「AIが人間の代わりに判断する」のではなく、あくまでも「AIが人間の負担を減らす」という位置づけが重要です。
特に、「報告文作成」や「企画案生成」は、生成AIの得意分野です。介護事業所の現場負担を大きく減らせる可能性があります。
生成AIの利用は急速に進んでいます。どんなことができて、どんなことができないのか、どんなことは任せても良くて、どんなことは任せては行けないのかということを日々少しづつ考えて行くことが大切ですね。
さて、今回は業務システムをDIYで作ったり、個人開発者に依頼して作っても良さそうなのはどんなときか、生成AIを業務に取り入れられるのはどんな作業でどんなことに注意したら良いのかという事について書いてみました。
いかがでしたか?これが100%正解という話でもありませんが、どなたかの参考になれば幸いです。
最後に
えーと、ここは「ココナラ」でしたね。ココナラにいくつかスプレッドシートやAppSheet関係のサービスを出品しています。
行き詰まったらぜひご利用ください。よろしくおねがいします。
