知らぬ間にあなたが漏らしている企業の情報
ビジネスの現場で「新しい企画のアイデアが欲しい」「自社の販売データをもっと上手に分析して売り上げにつなげたい」などの課題を感じたとき、ChatGPTをはじめとする「生成AI」を個人的に契約し、仕事に活用するビジネスパーソンが増えています。自己投資としてスキルアップに繋がる一方、その利用方法が企業の重大な情報漏洩リスクに繋がる可能性があることは、まだあまり知られていません。
この記事では、従業員の個人的な生成AI利用がなぜ危険なのか、そして企業が従業員を守り、競争力を高めるために「生成AI利用ルール」をどう策定すべきかを、具体的なガイドラインの例文とあわせて分かりやすく解説します。
なぜ、個人の生成AI利用が企業のリスクになるのか?
従業員が会社の許可なく個人的に利用するITサービスは「シャドーIT」と呼ばれ、以前からセキュリティ上の課題とされてきました。特に、生成AIには特有のリスクが存在します。
リスク1:入力した情報がAIの学習データになる可能性
多くの生成AIサービスでは、利用規約で「ユーザーが入力した情報をAIの学習データとして利用することがある」と定められています。もし従業員が善意で業務効率化のために、顧客情報や未公開の財務情報、新製品の企画書などを生成AIに入力してしまったらどうなるでしょうか。
それらの機密情報がAIの学習データとして取り込まれ、他のユーザーへの回答として出力されてしまう可能性はゼロではありません。一度インターネット上に流出した情報を完全に削除することは極めて困難です。
リスク2:生成された内容の正確性と著作権の問題
生成AIが生み出す回答は、必ずしも正確であるとは限りません。誤った情報を元に重要な経営判断を下してしまうリスクがあります。
また、生成された文章や画像が、気づかないうちに他者の著作物を盗用している可能性もあります。それを自社のコンテンツとして公開すれば、著作権侵害で訴えられるケースも考えられます。
リスク3:サイバー攻撃の標的になる
従業員が利用する個人のAIアカウントが不正アクセスやマルウェアの被害に遭った場合、そこでのやり取りの履歴から企業の機密情報が盗まれる危険性があります。またAIの壁打ちなどを簡単にできるツールなど、更に他の企業が介在して情報を吸い取るケースや、そもそも有名生成AIに模した詐欺AIサイトなども沢山登場しています。
待ったなし!企業が「生成AI利用ルール」を策定すべき理由
これらのリスクを放置することは、企業の信頼を揺るがす重大なインシデントに繋がりかねません。ルール策定は、単なる「禁止」が目的ではありません。
従業員を守るため:ルールがない状態では、従業員は「何が良くて、何が悪いのか」を自己判断するしかありません。明確なルールを定めることで、従業員が意図せず情報漏洩の加害者になることを防ぎます。
企業の資産を守るため:顧客情報や技術情報といった企業の競争力の源泉である「情報資産」を漏洩から守ります。
攻めのAI活用を推進するため:明確なガイドラインがあれば、従業員は「この範囲なら安全に使える」と安心してAIを活用できます。結果として、組織全体の生産性向上やイノベーション創出に繋がります。
【3ステップで解説】失敗しない!生成AI利用ルールの作り方
では、具体的にどのようにルールを策定すれば良いのでしょうか。以下の3つのステップで進めることをお勧めします。
ステップ1:現状把握と目的の明確化
まずは、自社でどれくらいの従業員が、どのような目的で、どの生成AIサービスを利用している(または、したいと思っている)のかをアンケートなどで把握します。その上で、「全面禁止」「一部業務でのみ許可」「積極的な活用推進」など、会社としての方針(目的)を明確にします。
ステップ2:関係部署を巻き込んだルール策定
ルール作りは、情報システム部門だけで進めるべきではありません。法務部門(法的リスク)、人事部門(懲戒規定との連携)、そして実際にAIを利用する事業部門の担当者など、関係者を広く巻き込むことが重要です。現場の意見を取り入れることで、実用的で形骸化しないルールになります。
ステップ3:周知徹底と継続的な見直し
ルールは作って終わりではありません。全従業員を対象とした研修会を実施したり、社内ポータルにQ&Aを掲載したりして、内容を正しく理解してもらう努力が不可欠です。 また、AI技術は日進月歩で進化します。策定したルールが現状にそぐわなくなっていないか、半年に一度など定期的に見直す運用体制を整えましょう。
生成AI社内利用ガイドラインの例
ここでは、多くの企業で応用できるガイドラインの基本的な例をご紹介します。自社の状況に合わせてカスタマイズしてご活用ください。
生成AI社内利用ガイドライン
1. 基本方針 当社は、生成AIを業務効率化と新たな価値創造に繋がる有用なツールと認識し、以下のルールを遵守した上で、その安全な利用を推進します。
2. 利用の原則
(1) 入力禁止情報 以下の情報を生成AIに入力することを固く禁止します。
個人情報:顧客、取引先、従業員の氏名、住所、電話番号、マイナンバーなど
機密情報:顧客情報、技術情報、開発情報、財務情報、人事情報、その他社外秘とされる全ての情報
他社の非公開情報:取引を通じて知り得た他社の秘密情報
(2) 利用が許可される業務例
- 公開されている情報を元にした一般的な調査、情報収集
- 文章の誤字脱字チェック、表現の言い換え提案
- プログラミングコードのデバッグ、生成(※公開済みのコードに限る)
- アイデア出し、ブレインストーミングの補助
(3) 利用時の遵守事項
ファクトチェック義務:生成AIによる出力情報は、必ずその正確性を複数の信頼できる情報源で確認(ファクトチェック)し、内容に責任を持ってください。
著作権の確認:生成物を社外向けコンテンツ(ウェブサイト、SNS、出版物など)で利用する場合は、他者の著作権を侵害していないか必ず確認してください。
会社の管理:会社の業務で生成AIを利用して作成した成果物は、会社の業務情報として適切に管理してください。
3. 利用申請とツール
業務での利用が許可される生成AIサービスは、会社が指定したツール(例:〇〇 AI for Business)に限ります。
上記以外のサービスの利用を希望する場合は、情報システム部に申請し、許可を得てください。
4. 相談窓口 本ガイドラインに関する質問や、利用可否の判断に迷う場合は、情報システム部まで相談してください。
他にも、会社全体で契約をしている生成AIしか利用できないようにしたり、罰則規定を設けている例などもあります。
企業内での利用ルール作りは急務!
生成AIは、正しく使えばビジネスを加速させる強力な武器となります。しかし、その裏にあるリスクを理解し、適切な管理体制を構築しなければ、企業の存続を脅かす「諸刃の剣」にもなり得ます。
「うちの会社は大丈夫」と思わずに、まずは自社の従業員の利用実態を把握することから始めてみてはいかがでしょうか。明確なルールを定めることが、未来のAI時代を勝ち抜くための第一歩となるはずです。
