AI活用の情報セキュリティ対策
IT活用が不可欠となる現代において、情報セキュリティへの配慮は、企業の成長を支える重要な要素です。特に、AI技術の導入は業務効率化や新たな価値創造に貢献する一方で、新たなセキュリティリスクも孕んでいます。本コラムでは、中小企業がAI活用を進める上で注意すべき情報セキュリティについて議論します。
1.なぜITでは情報セキュリティが重視されるのか
紙ベースの時代であれば、書類の紛失・盗難程度で済みましたが、IT環境では、一度のインシデントで大量の情報が一気に流出する危険性があります。顧客情報、取引データ、設計図面などが、世界中に拡散する可能性も否定できません。
現代は多くの企業がインターネットに常時接続されており、サイバー攻撃は「いつか来るもの」ではなく、「常に受けているもの」と考えるべきです。さらに、技術革新のスピードは目覚ましく、新たな脅威や攻撃手法が次々と登場しています。情報漏洩のリスクは日々高まっており、油断は禁物です。
2.AI利用と情報セキュリティ
ChatGPTをはじめとする生成AIの業務活用が注目されています。業務効率化やアイデア創出に有効なツールですが、同時に新たな情報セキュリティ上の懸念も生じています。
(1)生成AI利用可否の判断
多くの生成AIサービスでは、ユーザーが入力した情報を学習に利用する場合があります。業務上の機密情報や個人情報を誤って入力してしまうと、設定によっては第三者の目に触れる可能性があります。
また、多くのAIサービスは海外で運営されるサイトであるため、個人情報保護法などの国内法との整合性や、情報の送信先に関する社内規定の整理も必要です。企業として、利用可否を明確にし、「どのような情報を扱ってよいか」「非公開設定があるか」などのルール整備が求められます。
業務でAIを正式に活用する場合には、より高いセキュリティを要求する機密保持や情報管理の観点で安心できる契約形態としての法人向け契約を行うことも重要です。無料版や個人アカウントの利用は、社内での統制が効かなくなる恐れがあるため、避けるべきです。
(2)ハルシネーションと人の確認の重要性
AIは便利な一方で、「もっともらしい嘘(ハルシネーション)」を生成することがあります。これは、情報の完全性(Integrity)に関わる重大な問題です。AIが生成した情報を鵜呑みにせず、必ず人による確認や判断が欠かせません。特に、顧客向け資料や契約文書、プレスリリースなどの正確性が求められる場面では、AIの生成結果を批判的に検証する姿勢が重要です。
ChatGPTなどの一般サービスでは、毎回異なる回答をします。これは、AIが「確率的」に言語を生成しているためで、前後の文脈やランダム性の要素により内容や表現が変化してしまいます。AIのパラメータを調整すればバラツキを抑えることはできますが、一般向けのサービスでは設定できないのが通常です。
(3)安全な運用
生成AIを自然言語による記述を用いるのであれば、活用できる情報を限定し厳密に運用するのは難しいところです。大企業であれば、システムでチェックする仕組みを設けたり、社内で専用LLMを準備したりして問題を回避するケースはありますが、ChatGPTなどのサービスをそのまま利用するだけでは完全にはできません。
ローカルにLLMを動作させ、パラメータを調整し、扱う情報の範囲を定めて正しく利用する仕組みを設けるのが現実解かもしれませんが、その判断・運用が自社で出来ないことが、AIの活用が今一つ進まない要因の1つと考えています。
3.まとめ
日本の企業は、欧米に比べてAIの利用に慎重な傾向があります。その背景には、個人情報保護や法令遵守への意識の高さがありますが、同時に「なぜ慎重なのか」「どうすればリスクに対応できるのか」といった整理や対策が不十分な企業も少なくありません。
だからこそ、情報セキュリティの観点からAI利用の妥当性を確認し、自社なりの運用ルールを整備することが重要です。リスクを正しく理解し、適切に対応することで、安全で前向きなAI活用が可能になります。
当事務所では、ローカルに生成AIやDifyなどの環境を構築し、様々なビジネスへの活用を検証しています。
ご興味がございましたら、こちらからお願いします。