COLUMN
情報漏えいだけじゃない!生成AIのセキュリティ課題と社内ルール整備の進め方
生成AIの利活用により業務効率化などの効果が期待される一方で、情報漏えいや不適切利用といった「セキュリティリスク」への不安も強まっています。
本コラムでは、生成AIの導入にあたって注意すべき情報セキュリティ上の課題を整理し、事前に整備すべきルールや、運用・教育体制の整え方などを解説します。
目次:
- 1. 生成AIの情報セキュリティ対策の必要性
- 1-1. 情報漏えいやプライバシー侵害のリスク
- 1-2. 不適切利用と倫理的リスク
- 1-3. ハルシネーションの影響
- 2. 情報セキュリティの具体的な対策
- 2-1. 機密情報の漏えいを防ぐための入力ルールを設ける
- 2-2. クローズドでログ取得が可能なツールを選定する
- 2-3. 部門・用途ごとに権限と適用ルールを分けて管理する
- 3. 生成AIの運用時に意識すべきポイント
- 3-1. 「正しく使われているか」の可視化と定期的な確認
- 3-2. 業務に応じたリスク評価の実施
- 3-3. 生成AIガイドラインに沿った利用促進と文化醸成
- 4. 生成AIサービス選びにお悩みならNTT東日本の「生成AIサービス」
- 5. まとめ
1. 生成AIの情報セキュリティ対策の必要性
生成AIの利便性の裏には、従来のITツールとは異なる新たな情報セキュリティ上のリスクが潜んでいます。特に、自治体や企業の業務で扱う情報は機密性が高いため、リスクが顕在化した場合の影響も大きくなります。生成AI導入時に意識すべき主なリスクは以下の3点です。
1-1. 情報漏えいやプライバシー侵害のリスク
生成AIに入力された情報が、意図せず外部に送信・保存されることによって、機密情報や個人情報が漏えいするリスクがあります。例えば、クラウド上で提供されている生成AIサービスでは、入力内容がベンダー側のサーバーに送られ、生成AIの学習や品質改善に利用される場合があります。このような環境下で、従業員が誤って個人情報を入力してしまうと、第三者への情報漏えいやモデル学習による機密情報の再利用につながります。生成AIの導入にあたっては、ツールの仕様確認とあわせて、入力する情報の管理ルールを整備することが不可欠です。
1-2. 不適切利用と倫理的リスク
生成AIの普及が進むなか、組織がルールを整備する前に現場の個人が許可なくAIツールを使い始めたり、組織の管理外(承認外)のAIツールを使ったりする「シャドーAI」の問題も深刻化しています。特に無料で手軽に使えるAIサービスでは、情報システム部門の監視が届かない場所で業務データが扱われることがあり、統制の取れない情報拡散や不適切利用が生じかねません。
また、セキュリティ上の新たな脅威として、「プロンプトインジェクション攻撃」にも注意が必要です。これは、生成AIに誤作動を起こさせるプロンプトを与えて、生成AIの出力を操作する攻撃手法で、AIチャットボットを経由して機密情報を取得されたり、不正な応答を引き出されたりするリスクがあります。このような不適切利用や悪用のリスクに対しては、アクセス権限の制御や利用ログの記録、利用ポリシーの徹底といった、セキュリティ管理の基本を改めて生成AIにも適用することが必要です。
1-3. ハルシネーションの影響
生成AIには、実在しない情報や誤った内容を、あたかも正確であるかのように出力してしまう「ハルシネーション」という現象がしばしば起こります。この問題はセキュリティリスクそのものではありませんが、誤った情報をそのまま業務や社外発信に使用してしまった場合、間接的な信頼毀損や業務被害を引き起こす恐れがあります。特に公共性の高い組織においては、出力結果に対する十分な確認プロセスを経ることが求められます。ハルシネーションの影響を最小化するためには、生成AIの出力を「下書き」や「参考情報」として扱い、人による検証を必須とする運用フローの設計が必要です。
2. 情報セキュリティの具体的な対策
生成AIの導入における情報セキュリティ対策は、単に“気をつける”という意識の問題ではなく、仕組みとして“守らせる”ことができる環境づくりが重要です。業務で生成AIを安全に使うために取り組むべき3つの対策を紹介します。
2-1. 機密情報の漏えいを防ぐための入力ルールを設ける
ユーザーが意図せずに機密情報を入力した場合、外部サーバーに送信され、結果として情報漏えいにつながる恐れがあります。リスクを防ぐためには、「生成AIに入力してはいけない情報」を具体的に定義し、明文化したルールを周知徹底することが重要です。禁止すべき情報は、「個人を特定できる情報」「契約書の全文」「パスワードやID情報」などのように、例を交えて具体的に示すと効果的です。
2-2. クローズドでログ取得が可能なツールを選定する
オープンな無料ツールをそのまま使用すると、入力内容が第三者のサーバーで保持されたり、再学習に使われたりすることがあります。対策としては、閉域(クローズド)ネットワーク上で動作し、社外に情報が出ない環境を提供するツールや、入力内容を学習しない「オプトアウト」機能が提供されているツールを選びましょう。また、利用者の操作ログが取得できる機能があれば、「いつ」「誰が」「どのような内容を使ったか」の記録が残り、不正利用や事故発生時の対応も迅速に行えるため効果的です。
2-3. 部門・用途ごとに権限と適用ルールを分けて管理する
生成AIの活用範囲は、部門や業務内容によって大きく異なります。一律のルールを適用しようとすると、部門によっては制限で利活用が進まなかったり、逆に緩すぎてリスクを招いたりすることになりかねません。そのため、部門や職種ごとに利用権限や適用ルールを分ける運用設計が必要です。例えば、広報部門ではコンテンツ作成用途での利用を認める一方、法務や人事など機密性の高い情報を扱う部門では利用を制限するといった対応が考えられます。また、生成AIの利用申請制を導入し、「誰が」「何の目的で」「どのような業務に使うのか」を明確にしておくと、情報システム部門は統制を取りやすくなります。
3. 生成AIの運用時に意識すべきポイント
生成AIを業務に取り入れる際、ルールやシステム面の対策だけでは十分とはいえません。実際の運用がルールに即して行われているか、継続的に確認し改善を重ねていく体制が重要です。導入後も業務ごとの特性を踏まえたリスク評価や、社員の理解促進、文化づくりを意識することで、安全で倫理的な活用が長期的に定着します。
3-1. 「正しく使われているか」の可視化と定期的な確認
生成AIの利用が広がるほど、利用目的が見えにくくなる傾向があります。「正しく使われているか」を確認するためには、導入後の継続的なモニタリングと可視化の仕組みが不可欠です。また、情報システム部門が中心となって、利用部門と対話しながらルールの実効性を保つ運用も求められます。現場における簡易的な自己点検や、ヒアリングなどの作業は、情報セキュリティ対策としてだけでなく、生成AIの活用がどの業務で成果を上げているかを把握するための手段にもなります。
3-2. 業務に応じたリスク評価の実施
生成AIは万能ではなく、その利用可否やリスクの許容度は業務の性質によって大きく異なります。広報や営業支援のように「表現の柔軟さ」が求められる業務では、生成AIを比較的自由に使えるかもしれませんが、法務や人事評価など「正確性」や「個人情報の厳格管理」が求められる領域では、AI利用に慎重さが必要です。生成AIの活用を進める際には、業務ごとのリスクプロファイルを明確にし、用途に応じたガイドラインや承認フローを設計することが大切です。
3-3. 生成AIガイドラインに沿った利用促進と文化醸成
生成AIの安全な運用を組織に根づかせるには、従業員一人ひとりの理解と納得が得られるよう「生成AIガイドライン」に基づいた適切な利用を促進し、それが当たり前になる文化を醸成することが重要です。導入段階での研修を通じて生成AIの基本的な仕組みやリスク、社内ルールの背景を丁寧に説明し、部門ごとに具体的な活用事例や禁止事項を伝えることで、「何がOKで、何がNGか」の判断基準を現場に浸透させることができます。また、生成AIガイドラインは一度策定して終わりではなく、定期的に見直しを行い、更新内容を全社に周知・再教育することが求められます。このような教育とガイドライン運用のサイクルを通じて、生成AIの安全な活用が「ルールに従うため」ではなく、組織の信頼性を守り、価値を創出する手段であると認識されるようになります。
4. 生成AIサービス選びにお悩みならNTT東日本の「生成AIサービス」
SaaS型で提供するNTT東日本の「生成AIサービス」では、社内の営業データを活用できるチャット型のAIアシスタントとして日々の業務を強力に支援します。外部のデータベースから情報を検索し、信頼性の高い回答を出力する「RAG」の構築も可能です。また、情報セキュリティに配慮し、生成AIを安全に利用するためのサポートや知識・技術習得のための研修などをオプションにて実施できます。適切な生成AI環境のカスタマイズをトータルでサポートいたしますので、生成AIサービス選びやAIアシスタントの導入などをご検討中の方は、NTT東日本にご相談ください。
5. まとめ
生成AIは、情報漏えいや誤情報、不適切利用といったセキュリティ上のリスクもありますが、業務効率化をはじめとするメリットをもたらす革新的なツールです。「リスクがあるから使わない」のではなく、リスクを理解した上で「どう安全に使うか」を設計する姿勢を持ち、情報システム部門だけでなく、利用部門や経営層も巻き込んだ全社的な取り組みを推進していきましょう。情報セキュリティ対策や運用設計に不安がある場合は、専門的な支援を提供するパートナーを活用することも一つの選択肢です。生成AIの導入をお考えの方は、ぜひNTT東日本にお任せください!
無料ダウンロード
自社のクラウド導入に必要な知識、ポイントを
この1冊に総まとめ!
あなたはクラウド化の
何の情報を知りたいですか?
- そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
- 【AWS・Azure・Google Cloud】
どれが自社に最もマッチするの? - 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
- 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?
初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。
NTT東日本では
そんなあなたにクラウド導入に必要な情報を
1冊の冊子にまとめました!
クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・
- システムインフラの維持にかかるトータルコストがあまり変わらない。。
- 情シス担当者の負担が減らない。。
- セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
-
そもそも”クラウド化”とは?
その本質的なメリット・デメリット - 自社にとって
最適なクラウド環境構築のポイント - コストを抑えるための
具体的なコツ - 既存環境からスムーズにクラウド化を
実現するためのロードマップ
など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。
面倒でお困りのあなたへ
クラウドのご相談できます!
無料オンライン相談窓口
NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!
NTT東日本が選ばれる5つの理由
- クラウド導入を
0からワンストップでサポート可能! - 全体最適におけるコスト効率・業務効率の改善を
中立的にご提案 - クラウド環境に問題がないか、
第3者目線でチェック
してもらいたい - 安心の24時間・365日の対応・保守
- NTT東日本が保有する豊富なサービスの組み合わせで
”課題解決”と”コスト軽減”を両立
特に以下に当てはまる方はお気軽に
ご相談ください。
- さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
- オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
- オンプレミスとクラウド移行した際のコスト比較を行いたい
- AWSとAzure、どちらのクラウドが自社に適切かわからない
- クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
- クラウド利用中、ネットワークの速度が遅くて業務に支障がでている
クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。
RECOMMEND
その他のコラム
相談無料!プロが中立的にアドバイスいたします
クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。