CROSS-CUTTING KNOWLEDGE

検査データをどう守るか——製品画像の流出を防ぐオンプレ/クラウド設計と運用

検査AIで扱う製品画像や図面は、競合に渡れば技術情報の流出につながりかねない機密です。オンプレとクラウドの判断軸、ネットワーク分離やアクセス制御の設計、学習利用やデータ帰属を握る契約の要点までを、現場目線で整理します。

2026-06-25 / 最終更新 2026-06-25 / 監修:嶋野(元キーエンス画像処理事業部 開発エンジニア)/ 読了時間:約14分
01
検査AIが扱う製品画像・図面・不良データは、製造ノウハウそのものを写した機密情報です。導入を検討する段階で「何を守るのか」をデータ単位で分類しておかないと、後からネットワークや契約で取り繕うのは難しいと考えます。まずは画像・アノテーション・モデル・ログのそれぞれについて、社外に出てよいか/学習に使ってよいかを線引きすることをおすすめします。
02
オンプレかクラウドかは思想で決めるものではなく、機密度・運用体制・更新頻度・コストのトレードオフで決まると考えます。推論は現場のエッジで閉じ、学習や管理だけを限定的に外に出すハイブリッドが、製造現場では現実的な落としどころになりやすい印象です。二者択一で考えないことが出発点だと考えます。
03
技術的な閉じ込め(ネットワーク分離・アクセス制御・暗号化)と、契約による縛り(データ帰属・学習利用の可否・再委託・廃棄)は両輪です。どちらか一方だけでは穴が残ります。特に「ベンダーが受け取った画像を自社モデルの改善に使ってよいか」は曖昧になりがちなので、契約段階で明文化することが重要だと考えます。
― 目次
  1. なぜ機密か
  2. 何を守るか
  3. オンプレ/クラウド
  4. 閉じ込めの設計
  5. 契約で縛る
  6. 落とし穴
  7. 進め方
  8. 関連記事・関連ソリューション
  9. よくある質問
― 01 / 背景と課題

なぜ検査データは「守るべき機密」なのか

検査AIの導入を検討するとき、精度やタクト(処理速度)の話題が先に立ちがちです。しかし現場で実際に運用フェーズに入ると、別の論点が遅れて浮上することが少なくありません。「この製品画像は社外に出してよいのか」「クラウドに上げたデータは誰のものになるのか」「ベンダーが学習に使ったら、競合に技術が渡らないか」——いわゆる機密保持とデータガバナンスの問題です。

これらは導入の初期段階では見えにくく、稟議や情報システム部門のレビュー、あるいは取引先からの監査の場面で初めて表面化することが多いように感じます。後から設計をやり直すコストは大きいため、検討の最初期に整理しておく価値が高いテーマだと考えます。

製品画像は「ノウハウの写し」である

検査AIが日々取り込む画像には、製品の形状・寸法・表面処理・加工痕・組み立て構造などが、そのまま写り込んでいます。これは見方を変えれば、自社が長年かけて作り込んできた製造ノウハウの一部を画像として外部化したもの、とも言えます。図面ほど直接的でないにせよ、大量の良品・不良品画像が一括で流出すれば、製品の作り方や弱点が推測可能になる可能性は否定できません。

さらに不良画像は、どの工程で・どんな欠陥が・どの程度の頻度で発生しているかという、外部には通常出さない情報を含みます。歩留まりや工程の弱点は、取引交渉や競合分析の文脈では極めてセンシティブな情報です。検査データを「ただの画像」と捉えるか「機密情報」と捉えるかで、必要な設計の重さは大きく変わると考えます。

守秘義務は自社だけの問題ではない

受託加工や OEM・EMS の現場では、検査対象そのものが顧客から預かった図面・仕様に基づく製品であるケースが多くあります。この場合、製品画像の取り扱いは自社の判断だけで決められず、発注元との秘密保持契約(NDA)の射程に入ります。「検査AIを導入したら、預かり品の画像が知らないうちにクラウド事業者やAIベンダーのサーバに保存されていた」という状態は、契約違反と評価されかねません。

つまり検査データの機密保持は、自社の競争力を守る話であると同時に、取引先に対する契約上の義務でもあります。両方の観点を満たす設計が求められると考えます。検査AIのPoCがつまずく理由を整理した記事でも触れていますが、技術検証は通っても、この情報管理の論点で本番展開が止まる例は珍しくないという印象です。

「クラウド前提」のサービスが増えていることの裏返し

近年は汎用の画像認識API やクラウド学習基盤が手軽に使えるようになり、検査AIもクラウド前提で構築する選択肢が増えました。手軽さと引き換えに、データが社外のサーバを経由・滞留することが前提になっている点には注意が必要だと考えます。便利さの裏で、どこにデータが行き、どれだけ残り、誰が触れるのかが見えにくくなりやすいためです。

本記事では、検査データの何を機密として守るのかという分類から始め、オンプレ/クラウド/ハイブリッドの判断軸、技術的な閉じ込めの設計、そして契約・運用での機密管理までを順に整理します。なお具体的な数値や社数は、現場ごとに事情が異なるため本記事では断定的に示しません。あくまで設計の考え方として参照いただければと考えます。

― 02 / アプローチ

何を守るのか——データを分類してから設計する

「検査データを守る」と一口に言っても、守る対象は一様ではありません。種類ごとに機密度も、流出時の影響も、適切な置き場所も異なります。まずはデータを分類し、それぞれに方針を与えることが、過不足のない設計の出発点になると考えます。

検査AIが扱う主なデータの種類

実務上、検査AIをめぐって発生するデータは、おおむね次のように分けて考えると整理しやすいと感じています。

「保管」と「処理(学習)」を分けて考える

機密管理を曖昧にしがちな最大の原因は、「データがどこに置かれるか(保管)」と「データが何に使われるか(処理)」を区別せずに議論してしまう点にあると考えます。たとえば画像が自社のサーバ内に留まっていても、その画像がベンダーの汎用モデル改善に使われるなら、ノウハウは間接的に外へ流れています。逆に、一時的に外部のクラウドを経由しても、即時に削除され学習にも使われないなら、滞留リスクは限定的かもしれません。

したがって各データについて、最低限「社外に出してよいか(保管・送信の可否)」「学習・二次利用してよいか(処理の可否)」の二軸で線引きすることをおすすめします。この二軸を埋めるだけで、オンプレが必須なのか、契約で縛れば足りるのかが見えやすくなると考えます。

機密度のグラデーションを認める

すべてのデータを最高機密として扱えば安全側に倒せますが、運用コストと利便性を大きく損ないます。現実的には、機密度のグラデーションを認めて、強く守るものと相対的に緩く扱ってよいものを分けるのが妥当だと考えます。たとえば、生画像と不良ログは厳格に社内に閉じ込め、匿名化・統計化された KPI 集計のみ管理用にクラウドへ上げる、といった切り分けです。

この分類は情報システム部門や法務だけで決めるものではなく、製造現場・品質保証部門を交えて握る必要があると考えます。どの画像が本当にセンシティブなのかは、現場が一番よく知っているためです。PoC・導入コンサルティングの初期工程でも、このデータ分類を要件定義と並行して進めることを推奨しています。

― 03 / アプローチ

オンプレかクラウドか——思想ではなくトレードオフで決める

「機密だからオンプレ」「手軽だからクラウド」と単純化したくなりますが、検査AIの構成はそれほど一刀両断にはなりません。推論・学習・管理という機能ごとに置き場所を変えられるため、二者択一ではなく組み合わせで考えるのが実態に合うと考えます。

判断軸を分解する

オンプレかクラウドかを決めるとき、私たちは次のような軸で整理することをおすすめしています。どれか一つで決まるわけではなく、重みづけは現場ごとに異なります。

推論はエッジで閉じるのが基本線

製造ラインの検査では、判定はミリ秒〜タクト内で返す必要があり、ネットワーク遅延や回線断の影響を受けるクラウド推論はそもそも適さない場面が多いと考えます。この観点だけでも、推論処理は現場のエッジ端末で閉じる構成が基本線になりやすいです。エッジで推論を完結させれば、生画像が現場の外に出ない構造を自然に作れるため、機密保持とも相性が良いと考えます。

エッジ推論の具体的な考え方はエッジとクラウドの検査AI比較でも整理しています。NVIDIA Jetsonのような産業用エッジデバイスを使えば、カメラ直下で推論を完結させつつ、結果だけを上位システムへ渡す構成が取りやすくなります。

ハイブリッドという現実解

一方で、学習やモデル管理、複数拠点の統合監視までエッジ単体で完結させるのは負荷が大きい場合があります。そこで現場でよく取られるのが、推論は現場のエッジで閉じ、学習・管理は限定的に社内サーバや管理された環境で行うハイブリッド構成です。生画像は現場に留め、学習に使う分だけ匿名化や選別を経て管理環境へ移す、といった設計が考えられます。

クラウドを使う場合でも、用途を「集計・監視・モデル配信管理」に絞り、生画像そのものは上げないという線引きが現実的だと考えます。遠隔モニタリングを行う際も、送信するのは判定結果や統計値に留め、画像の送信は明示的な同意と暗号化を前提にする、という設計を推奨しています。どこまでをエッジに残し、どこからを外に出すかは、前章のデータ分類と一対一で対応させると判断がぶれにくくなると考えます。

― 04 / 設計

技術で閉じ込める——ネットワーク・アクセス・暗号化の設計

置き場所を決めたら、次は技術的にデータを閉じ込める設計です。ここでの目的は、「出すべきでないデータが、意図せず出ていく経路を塞ぐ」こと、そして「触れる人を必要最小限に絞る」ことだと考えます。完璧な閉じ込めは難しくとも、経路を可視化し、既定で閉じる設計にしておくことが重要です。

ネットワーク分離——既定で「出さない」

検査端末や撮像系は、可能な限り業務LANやインターネットから分離した検査専用のセグメントに置くことをおすすめします。インターネット接続が不要なら、そもそも物理的・論理的に外へ出られない構成(クローズドネットワーク)が最も堅牢です。更新やリモート保守のために通信が必要な場合は、通信先・ポート・方向を限定したうえで、既定は遮断・例外のみ許可という方針で設計すると安全側に倒せると考えます。

外部保守を入れる場合も、常時接続ではなく、必要時のみ管理者が開く運用や、踏み台経由でログを残す運用にすることで、見えない経路を減らせます。「便利だから常時VPNで開けておく」は、機密保持の観点では穴になりやすい設計だと考えます。

アクセス制御と最小権限

誰が画像やモデルにアクセスできるかは、役割ベースで最小権限に絞ることが基本だと考えます。現場オペレーターは判定結果の確認だけ、品質管理者はアノテーションと再学習の承認まで、保守ベンダーは限定領域のみ、といった具合に権限を分けます。共有アカウントの使い回しは、誰が何をしたか追えなくなるため避けるべきだと考えます。

あわせて、画像の閲覧・エクスポート・モデルの取り出しといった機密性の高い操作には、操作ログ(監査証跡)を残すことを推奨します。万一の流出時に経路を特定でき、また「ログが残る」こと自体が抑止力にもなります。USBなどの外部媒体への書き出しを制限することも、現場では効果的な対策だと考えます。

保存と通信の暗号化

保存データ(ストレージ)と通信経路の双方を暗号化しておくことは、端末の盗難・紛失や経路上の盗聴に対する基本的な備えになります。特に持ち運べるエッジ端末やハンディ端末は物理的な持ち出しリスクがあるため、ディスク暗号化を前提にすることをおすすめします。ハンディ端末を検査に使う場合も、端末内に生画像を長く滞留させない設計と暗号化の両立を考えると良いと考えます。

データのライフサイクルと保持期間

守るデータは少ないほど守りやすい、という原則も忘れたくありません。生画像を無期限に貯め込むほど、流出時の被害は大きくなります。学習に必要な分を選別したら、不要な生画像は保持期間を定めて自動削除する、ログは集計後に粒度を落とす、といったライフサイクル設計を併せて検討することをおすすめします。どこに・いつまで・どの粒度で残すかを決めておくことは、機密保持とストレージコストの両面で効いてくると考えます。

― 05 / 運用

契約で縛る——データ帰属・学習利用・廃棄を明文化する

技術的な閉じ込めだけでは、ベンダーや保守事業者が正当にデータへ触れる場面の穴は塞げません。ここを補うのが契約です。技術と契約は両輪であり、どちらか一方では守り切れないと考えます。検査AIをベンダーと進める場合、少なくとも次の論点は契約書・仕様書のレベルで明文化しておくことを強くおすすめします。

データの帰属を明確にする

提供した画像・アノテーション、そしてそれらから作られた学習済みモデルが、最終的に誰のものになるのかは、必ず確認したい論点です。「画像は自社のものだが、モデルはベンダー帰属」といった構成だと、契約終了時にモデルを引き継げず、結果的にロックインや再学習のやり直しが発生しかねません。データとモデルの帰属、契約終了後の取り扱いを事前に握っておくことが重要だと考えます。

学習・二次利用の可否

最も曖昧になりやすく、かつ影響が大きいのが「受け取った画像を、ベンダーが他社向けや汎用モデルの改善に使ってよいか」という点です。ここが無制限だと、自社のノウハウが間接的に競合の精度向上に貢献してしまう可能性があります。二次利用・他社流用を禁止する、あるいは利用範囲を当該プロジェクト内に限定する条項を明記することをおすすめします。汎用クラウドAPIを使う場合も、入力データを提供事業者が学習に使わない設定・契約になっているかの確認が重要だと考えます。

再委託・アクセス者の範囲

ベンダーがさらに外部へ作業を再委託する場合、データの触れ手が知らないうちに広がります。再委託の可否と、再委託先にも同等の秘密保持義務を課すこと、アクセスできる担当者の範囲を限定することを取り決めておくと安心だと考えます。受託加工の現場では、発注元との NDA の射程と矛盾しないかも併せて確認が必要です。

契約終了時の返還・廃棄

プロジェクトや契約が終わったとき、ベンダー側に残ったデータをどうするか——返還するのか、削除するのか、削除を証明する手段はあるか——も決めておきたい論点です。「終わったら消える」を前提にせず、廃棄の方法とエビデンスを契約に書き込むことで、滞留リスクの後始末を明確にできると考えます。これらの契約論点は、ベンダー選定の評価軸とも密接に関わります。技術力だけでなく、こうした情報管理の取り決めに誠実に応じられるかは、長く付き合う相手を見極めるうえで重要な観点だと考えます。

― 06 / 落とし穴

つまずきやすいポイント——現場で起きがちな穴

これまでの設計を踏まえても、運用の中で穴が空くポイントは決まったところに集まる印象があります。検討段階で潰しておきたい、つまずきやすいポイントを挙げます。

いずれも、後から気づいて取り繕うよりは、データ分類と構成設計の段階で織り込んでおく方が、結果的に安く確実だと考えます。穴の多くは「便利さのために開けておいた経路」から生まれる、という点は共通している印象です。

― 07 / ロードマップ

どう進めるか——分類から検証までのロードマップ

最後に、検査データの機密保持とオンプレ設計を、実際にどの順序で進めるかを整理します。一度に完璧を目指すより、分類と方針の合意を先に固め、構成と契約を並走させる進め方が現実的だと考えます。

ステップ1:データを分類し、二軸で線引きする

まず前述の通り、生画像・アノテーション・モデル・ログを洗い出し、「社外に出してよいか」「学習に使ってよいか」を埋めます。この作業を情報システム・法務・品質保証・製造現場の合議で行うことで、過剰防衛と防衛漏れの両方を避けやすくなると考えます。預かり品がある場合は、発注元 NDA の射程もこの段階で確認します。

ステップ2:機能ごとに置き場所を決める

推論・学習・管理それぞれをエッジ/社内サーバ/管理されたクラウドのどこに置くかを、機密度・運用体制・更新頻度・コストのトレードオフで決めます。多くの製造現場では、推論をエッジで閉じ、学習・管理を限定的に内側で行うハイブリッドが落としどころになりやすい、という前提で検討を始めると議論が早いと感じています。

ステップ3:閉じ込めと契約を並走させる

ネットワーク分離・最小権限・暗号化・ライフサイクルといった技術設計と、データ帰属・学習利用・再委託・廃棄といった契約論点は、同時に詰めることをおすすめします。技術が先行して契約が後追いになると、本番展開の直前で止まりやすいためです。

ステップ4:現物・現場で検証する

そして何より、これらは机上の設計だけで完結しません。実際の工場のネットワーク事情、現場オペレーターの運用、撮像環境、扱う製品の機密度は、現場ごとに大きく異なります。一般論としての設計指針は本記事で示しましたが、自社にとっての最適解は、現物・現場で確かめながら詰めていくことが前提だと考えます。

Nsight には、元キーエンス画像処理事業部出身の監修者が在籍しており、検査の現場で何が機密になり、どこに運用上の穴が生まれやすいかを、実機と現場の制約を踏まえて一緒に検討します。「うちの製品画像は本当に外に出してよいのか」「オンプレとハイブリッドのどちらが妥当か」といった問いは、サンプルと現場条件を前に検証することで初めて精度の高い答えが出ると考えています。AI外観検査の導入を検討される際は、精度やタクトと同じ重さで、このデータの守り方を最初から一緒に設計することをおすすめします。エッジとクラウドの比較PoC・導入コンサルティングも、検討の入口として参照いただければと考えます。

― 08 / 関連

関連記事・関連ソリューション

― 09 / FAQ

よくある質問

製品画像はオンプレに置けば絶対に流出しませんか?

オンプレ(社内設置)は流出リスクを大きく下げますが、それだけで万全とは言い切れないと考えます。常時接続の保守経路、無制限のエクスポート権限、共有アカウント、USBへの書き出しなど、社内に置いていても外へ出る経路は残り得ます。置き場所に加えて、ネットワークの出口を絞り、アクセスを最小権限にし、操作ログを残す設計まで併せて行うことをおすすめします。

クラウドの画像認識APIを使うと、画像が学習に使われてしまいますか?

サービスや契約・設定によって異なります。汎用APIの中には、既定で入力データが提供事業者の学習に使われ得るものもあるため、利用規約と設定を必ず確認することが重要だと考えます。製品画像のような機密データを扱う場合は、学習に使わない設定・契約になっているか、データの保存期間や所在はどうかを事前に握ったうえで使うか、そもそも生画像はエッジに閉じてクラウドへ上げない設計を検討することをおすすめします。

学習済みモデルは誰のものになりますか?契約で何を確認すべきですか?

提供した画像やアノテーションから作られたモデルの帰属は、契約で明確にしておきたい論点です。少なくとも、データとモデルの帰属、契約終了後の引き継ぎ・返還・廃棄、受け取った画像の二次利用や他社流用の可否、再委託先への秘密保持義務の継承を確認することをおすすめします。ここが曖昧だと、契約終了時にモデルを引き継げずロックインになる可能性があります。

オンプレとクラウド、結局どちらを選べばよいですか?

二者択一ではなく、推論・学習・管理という機能ごとに置き場所を分けて考えることをおすすめします。製造ラインの検査では、タクトと機密保持の両面から推論をエッジで閉じる構成が基本線になりやすく、学習や管理を限定的に内側で行うハイブリッドが現実的な落としどころになりやすい印象です。最適解は機密度・運用体制・更新頻度・ネットワーク事情・コストで変わるため、現場条件を前提に検証することが前提だと考えます。

PoCの段階でも機密対策は必要ですか?

必要だと考えます。むしろPoC段階こそ、本物の機密画像をメール添付やクラウド共有で安易に渡してしまい、それが残り続けるという穴が生まれやすい局面です。検証段階から、データの渡し方・保存場所・検証後の廃棄方法を取り決めておくことをおすすめします。早い段階でデータの扱いを握っておくことが、本番展開での手戻りを減らすことにつながると考えます。

― REVIEWED BY
嶋野(元キーエンス画像処理事業部 開発エンジニア)
キーエンス画像処理事業部での実務経験をもとに、産業用カメラ・照明・光学系・検査装置の開発に従事し、現在はNsightの技術コンテンツ監修を担当。プロフィール詳細 →

検査データの守り方も、現物で一緒に確かめませんか

オンプレかハイブリッドか、どの画像を外に出さないか——最適解は現場ごとに異なります。元キーエンス画像処理事業部出身の監修者が、サンプルと現場条件を前に、精度と機密保持の両面から設計をご一緒します。

検査データの設計を相談する