生成AI利用による情報漏えいのリスク
安全なAI活用のため企業が取るべき対策
PC管理
IT基礎知識
セキュリティー対策
- 公開:
- 2025/03/13
企業においても、ChatGPT をはじめとした生成AIの活用が急速に広がっています。
業務効率を大幅に向上させる可能性を秘めている生成AIですが、一方で活用にあたっては新たなセキュリティーリスクも考慮しなくてはいけません。
特に注意すべきは、入力した情報が学習データとして保存され、意図せず外部に流出する可能性です。
生成AIを安全に活用するために、その裏に潜むリスクと、企業として取るべき対策について解説します。
生成AIがもたらす、新たなセキュリティーリスク
生成AIのセキュリティーリスクを理解する上では、生成AIの仕組みをある程度知っておく必要があります。
そもそも生成AIには、「パブリックな環境で利用するもの」と「プライベートな環境で利用するもの」の大きく2種類が存在します。
パブリックなAIサービスとは、代表的な「ChatGPT」のように、オンライン環境下かつユーザー登録をしていれば誰でも利用できるサービスのことです。
一方のプライベートなAIサービスとは、企業や個人が業務利用のために導入した、管理された環境下での利用を前提としているものです。
生成AIのいわゆる「脳みそ」の機能だけを利用するもので、オフライン環境下やプライベートなデータベース内で完結して利用できるのが特徴になります。
この2種類の内、特に注意が必要なのは前者の「パブリックな」生成AIサービスを業務で利用する場合です。
生成AIの中には「AIに対して入力した情報は、その学習データとして保存される」「保存されたデータの管理は、サービスの管理元に委ねられる」ことが規約として定められているサービスが存在します。
これはつまり、AIへの指示文として個人情報や会社の機密情報を入力してしまうと、それがAIの管理会社に保管される、ということです。
AIに入力した情報は、自社で管理できなくなってしまう
実際に2023年には、ChatGPT を経由して大手企業の機密情報が流出するトラブルがありました。
その企業では、社内で ChatGPT の利用を許可したところ、従業員が社内機密となっているソースコードや会議の情報を、AIに入力していたことが明らかになったのです。
ここで大きな問題となるのが、一度AIに入力した情報は、AIの学習のため (今回のケースでは、ChatGPT を運営する) OpenAI 社のサーバーに保管されることになる、ということ。
つまり、自社の情報が自社の手を離れ、その管理や削除ができなくなってしまうのです。
例えば生成AIを用いて社内会議の議事録を作成する場合は、利用者は、機密情報を含む会社の情報を生成AIに入力します。
そこには、自社が管理している個人情報や、相手企業の非公開情報が含まれている場合があるかもしれません。
データ分析のため、社内で管理する顧客情報や売り上げ情報を生成AIに入力することもあるでしょう。
生成AIに自社の情報を入力することによって、「情報を自社で管理できない」状態になるだけでなく、「生成AIサービス自体のバグや不具合によって、自社の情報漏えいが起きる」こと、その両方のリスクを抱えることになるのです。
情報漏えいトラブルを起こした前述の企業では、後に全社的に生成AIを利用不可としています。
導入するのは「情報がトレーニングに利用されない」生成AI
生成AIを業務で導入するにあたって、情報漏えいリスクを回避できる最も確実な方法は、生成AIのなかでも「入力情報が、AIの学習データとして利用されないサービス」を使うことです。
例えばビジネス用途の生成AIサービスである「Microsoft Copilot」は、入力した情報が「モデルのトレーニングに利用されない」ことが明示されています。
こういったプライベート環境下でも利用できる生成AIを会社として導入し、社員が業務で活用できるように整備することが有効です。
またパブリックな生成AIでも、有料オプションで「オプトアウト」という「入力データを学習に利用させない」設定を利用することができます。
使用するサービスやプランによって要件が異なるので、利用の際は、生成AIによる情報の取り扱いを念入りに確認するようにしましょう。
情報のラベリングで、重要情報を入力させない仕組みを作る
一方で、予算や規模の面からすぐにビジネス向けの生成AIサービス導入が難しい場合もあるでしょう。
その場合は、パブリックな生成AIの利用を前提とし、それを安全に使うためのガイドラインを整備することが重要です。
まずは、会社の情報をあらかじめ、重要度に応じて分類しておくようにしましょう。
例えば、業務ノウハウや社内マニュアル、製品開発や経営戦略といった機密情報、従業員や顧客の個人情報や取引先から預かった情報は、特に重要度が高いもの、つまり「AIに入力してはいけない情報」になります。
一方で、外部に公開されているものや秘匿性の決して高くない情報は、重要度が低く、「AIに入力しても大きな問題がない」情報になります。
このように「生成AIに入力してはいけない情報」の基準を設け、それを社内周知することで、秘匿性の高い情報が漏えいするリスクを低減できます。
さらに、こうしたルールを従業員へ徹底させることも欠かせません。
多くの場合、情報漏えいは悪意ではなく、リスクに対する認識不足から発生します。
「この程度の情報なら大丈夫だろう」「便利だから」という安易な判断が、重大なリスクに。従業員に対して、生成AIサービスを十分に理解するための場を用意することも大切です。
利便性とリスクのバランスを保ったAI活用を
生成AIの活用において最も重要なのは、利便性とセキュリティーのバランスです。
生成AIは、今後ますます普及し、ビジネスでの活用も一般的となるでしょう。
リスクのあまりに活用を禁止すると、かえって会社としての競争力が低下しかねません。
逆に、管理が緩すぎれば情報漏えいのリスクが高まります。
生成AIは、使い方次第で強力な業務効率化ツールとなる一方、重大なセキュリティーリスクともなり得ます。
生成AIを効果的に活用するためにも、会社が一体となって、適切な活用の在り方を模索していくことが求められているのです。
関連サービス
記事監修
-
大手情報機器メーカーにてインフラ系SE、大手経営コンサルティングファームにて中堅・中小企業を対象とした経営・セキュリティーコンサルティングを経て起業。
「難しいセキュリティー問題を誰にでもわかりやすく伝える」ことをモットーに、セキュリティー対策の啓蒙活動を行う。
ミッションは「日本にセキュリティーのバリアを張り巡らせる」こと。
文=水口 幹之/編集=伊藤 駿 (ノオト)
こんな記事も読まれています
お気軽にお問い合わせください
横河レンタ・リースのレンタルアップ中古PCを法人向け、個人向けに販売するサイト。
毎日約1000台返却される法人向けレンタルPCを当社独自の品質基準でリフレッシュし、
中古PC・中古パソコンを特価で提供しています。
