「AIは便利だけど、情報漏洩が心配で会社として利用できない…」
そんな不安を抱く企業担当者は少なくありません。入力データが意図せず外部に流出したり、AIサービスの脆弱性を突かれて情報が盗まれたりする事故が起こっているのも事実です。
この記事では、AIによる情報漏洩がなぜ起こるのかを整理し、実際の事例や有効な対策、ガイドライン作成のポイントまで、企業が押さえておくべき内容を分かりやすく解説します。
生成AIの普及に伴い、企業や個人が意図せず情報を外部に漏らしてしまうケースが増えています。AIによる情報漏洩は、仕組みの理解不足や誤った使い方が引き金となることが多く、対策の第一歩としても原因を知ることが欠かせません。
多くの生成AI(※)、特に無料版では、入力されたデータをAIの性能向上のために学習データとして利用する規約になっていることがあります。AIを賢くするための仕組みですが、利用者が入力した情報はAI提供元のサーバーに送信・蓄積されることを意味します。
これを知らずに社外秘の情報や個人情報を入力してしまうと、その内容がAIの知識として取り込まれてしまいます。
こうした事態を防ぐには、利用規約や設定を確認し、学習に使われないオプションを選びましょう。同時に、社外秘の情報は入力しないルールを社内で共有しておくことが欠かせません。
(※)ここで言う生成AIとは、大規模言語モデル(LLM)などを基盤としたAIを指します生成AIの種類やLLMと生成AIの違いについては、関連記事もご覧ください。
日常業務の延長でAIを使っていると、気付かないうちに機密情報や個人情報を入力してしまうことがあります。
例えば、未公開の新製品情報が含まれた議事録をそのまま要約させたり、顧客の氏名や住所といった個人情報を削除せずに返信文を作成させたりするケースです。機密情報や個人情報を安易にコピー&ペーストしてしまう操作が、これにあたります。
こうした操作は、本人に情報を漏洩させているという自覚がないまま行われがちで、非常に危険です。明確な社内ガイドラインがないままAI利用が広がると、このような意図せぬ情報入力が常態化し、重大なセキュリティインシデントにつながる恐れがあります。
利用者側が細心の注意を払っていても、AIサービスを提供している企業側の問題で情報が漏洩するリスクも存在します。これはAIに限らず、私たちが日常的に利用している多くのクラウドサービスに共通するセキュリティ上の懸念点です。
例えば、AIサービスのシステムに脆弱性があり、そこをサイバー攻撃されるケースです。もし不正アクセスが成功すれば、そのサービスに保存されているデータ、つまり利用者が過去に入力した会話履歴や個人情報が外部に盗み出されてしまうリスクがあります。
また、従業員のアカウントがフィッシング詐欺などで乗っ取られ、不正に利用されるリスクも考えられます。このように、自社の対策だけでなくサービス提供側のセキュリティ体制も情報漏洩に直結するため、信頼できるサービスを選定することが極めて重要です。
AIの業務活用が急速に広がる中、情報漏洩をはじめとするセキュリティインシデントも増加しています。ここでは、マクドナルドやサムスンなどグローバル企業を含む事例を3つ紹介します。
マクドナルドのAI採用プラットフォーム「McHire」において、脆弱なパスワード(「123456」)により約6400万件の求職者データが漏洩した可能性があります。氏名、メールアドレス、電話番号、住所などの個人情報が数年分露出し、フィッシング攻撃のリスクに晒されました。
参考:WIRED「マクドナルドのAI採用ボット、パスワード「123456」で応募者データ漏洩の危機に」
英エンジニアリング大手アラップの香港支社で、CFO(最高財務責任者)の顔と音声を使ったディープフェイクによるビデオ会議詐欺が発生しました。従業員は複数の「同僚」が参加するビデオ会議で送金指示を受け、2億香港ドル(約40億円)を詐取されました。
参考:日本経済新聞「会議相手はフェイク動画、40億円被害が示す詐欺AIの進化」
韓国サムスン電子で、エンジニアがChatGPTに社内の機密ソースコード、設備情報、会議内容を入力し、誤って流出させてしまったことが分かりました。この事件を受け、サムスンは社内でのChatGPT使用を全面禁止しました。実害が出たわけではありませんが、従業員による機密情報の意図しない流出の事例です。
AIによる情報漏洩のリスクは、基本的な対策を押さえるだけでもぐっと抑えられます。特別な知識や技術がなくても始められる取り組みは多く、社内ルールの整備や従業員への教育、利用環境の見直しといった工夫を積み重ねれば、より安全にAIを活用できる体制を整えられます。
安全なAI活用のファーストステップは、社内ガイドラインの策定です。明確なルールがなければ、従業員が手探りでAIを利用し、意図せず機密情報を入力してしまうリスクが高まります。何が許可され、何が禁止されているのかを明文化することが、組織的な対策の基盤となります。
ガイドラインには、利用目的や許可するAIツールに加え、最も重要な「入力してはいけない情報」の具体例(顧客情報、未公開の財務情報など)を明記しましょう。AIの回答を鵜呑みにしないといった、利用上の注意点を盛り込むことも重要です。
策定したルールは、全従業員がいつでも閲覧できる場所に保管し、周知徹底させます。このガイドラインが、従業員と会社の情報を守る土台となります。
ガイドラインは、策定するだけでは形骸化してしまいます。従業員一人ひとりがAIのリスクを深く理解し、ルールを守る意識を持つためには、セキュリティ教育が不可欠です。
研修では、単にルールを読み上げるのではなく、入力情報がAIに学習される仕組みや、実際の情報漏洩事例を具体的に共有し、当事者意識を高めます。技術的な詳細よりも、なぜ危険なのかという本質的な理由を伝えることが効果的です。
AI技術は日々進化するため、教育は一度きりで終わらせず、新入社員研修への導入や定期的な見直しを行うべきでしょう。
無料のAIサービスは、入力データがAIの学習に利用される規約も多く、セキュリティ面の懸念が残ります。このリスクを解決するには、法人向けのプラン・サービスを導入するのが有効です。
法人向けプランの多くは、入力データがAIモデルの学習に再利用されないことを規約で保証しています。また、通信の暗号化や厳格なアクセスコントロールなど、企業の高いセキュリティ基準を満たすよう設計されている点も大きなメリットです。
とはいえ、たとえ「学習に使用しない」と明記されていても、機密情報や個人情報は極力入力しないという基本姿勢を持つことが必須です。安全対策と利用者側の意識の両方が揃ってこそ、リスクを最小限に抑えたAI活用が実現します。
ガイドラインや教育を実施しても、人間の操作である以上、うっかりミスを100%防ぐことは困難です。そこで、技術的な対策としてAIの利用状況を監視する仕組みを導入することが考えられます。
代表的なソリューションとして、DLP (Data Loss Prevention) と CASB (Cloud Access Security Broker) などが挙げられます。
CASBは、従業員がどのようなクラウドサービス(生成AIを含む)を利用しているかを可視化し、アクセスを制御する仕組みです。CASBの導入により、許可していないAIサービス利用を防げます。
また、DLPは、ネットワークの出口対策として、組織内部から外部へ送信されるデータの内容をチェックし、機密情報が含まれていると、その送信をブロックできます。
このように、ルール遵守を個人の意識だけに頼らない、技術的な抑止力が有効です。
セキュリティレベルが不明なAIツールを、従業員が会社の許可なく業務利用してしまう「シャドーIT」は、情報漏洩の大きな温床となります。管理が行き届かないツールの利用は、組織にとって重大なリスクです。
こうしたリスクを避けるには、企業として業務使用して良いAIサービスを限定しておきましょう。会社が安全性や契約内容を確認し、正式に許可したツール(法人向けサービスなど)のみを利用するよう、明確な方針を示す必要があります。
利用するサービスを限定することで、管理コストが削減できるだけでなく、従業員もどのツールを使えば安全かと迷う必要がなくなります。
生成AIの利用ガイドラインは、従業員が情報漏洩や著作権侵害などのリスクを回避し、安全にAIの恩恵を享受するために欠かせません。
目的はAIの利用を禁止することではなく、安心して活用するための明確な道しるべを示すことにあります。作成にあたっては、以下の項目を網羅し、誰が読んでも理解できるように具体的な記述を心がけましょう。
|
項目 |
目的 |
含めるべき内容 |
|
ガイドラインの目的 |
方針の共有 |
・ルールの目的(例:リスク管理と業務効率化の両立) ・禁止が目的ではなく、安全な活用を促進するものである旨の宣言 |
|
対象者 |
責任範囲の明確化 |
適用の対象となる従業員の範囲(例:全役員、正社員、契約社員、業務委託パートナーなど) |
|
利用可能なAIサービス |
シャドーITの防止・利用ツールの統制 |
・会社が利用を許可するAIサービスの一覧(例:会社契約のChatGPT Enterprise版、Microsoft Copilotなど) ・許可されていないサービスの業務利用を原則禁止する旨 |
|
入力禁止情報(最重要) |
重大な情報漏洩の未然防止 |
・個人情報(例:顧客や従業員の氏名、住所、電話番号、マイナンバー) ・機密情報(例:顧客の非公開情報、取引先情報、契約内容) ・社内秘情報(例:未公開の業績・財務情報、新製品の開発情報、経営戦略) ・技術情報(例:プログラムのソースコード、システムのID・パスワード) |
|
セキュリティ上の注意点 |
操作・環境リスクの防止 |
・(無料版などを許可する場合)「オプトアウト設定」(学習させない設定)の義務化 ・公共Wi-Fiなど、安全でないネットワーク環境での利用禁止 |
|
違反時の措置 |
ルール遵守 |
ガイドライン違反が就業規則に基づく懲戒処分の対象となる可能性がある旨の明記 |
|
相談窓口 |
ルールの形骸化防止 |
困ったときに相談できる窓口(例:情報システム部、法務部など)の連絡先 |
本記事では、AIによる情報漏洩の原因から、企業が取るべき具体的な対策までを解説しました。
生成AIは業務効率化を大きく後押ししてくれる一方で、入力情報が学習に使われてしまう、意図せず機密情報を入力してしまう、といったリスクも無視できません。ただし、基本的な対策を押さえれば、こうしたリスクは大きく抑えられます。
中でも重要なのは、AI利用に関する明確な社内ルールを定めることと、従業員へのセキュリティ教育をしっかり行うことです。必要に応じて法人向けAIサービスを導入すれば、より安全な利用環境が整います。
まずは自社のルールを見直し、リスクを管理しながらAIの力を安心して活用していきましょう。