生成AI導入におけるリスクとは？失敗しないための対策も併せて解説！

1. 生成AI導入の主なリスク

生成AIを導入するにあたり、さまざまな観点のリスクを検討しなければなりません。ここでは生成AI導入における主なリスクを解説します。

1-1. データ漏えいとプライバシーのリスク

生成AIを業務に導入する際、まず懸念されるのがデータ漏えいのリスクです。AIに社内情報や個人データを入力すると、それがAIの学習データとして活用され、外部に流出する可能性があります。実際に、韓国の大手企業では、技術者がChatGPTに機密情報を入力した結果、その情報が外部の利用者から閲覧できる状態になった事例があります。

出典：Samsung Software Engineers Busted for Pasting Proprietary Code Into ChatGPT | PCMag

この問題を受け、同社は生成AIの利用を厳しく制限する措置をとりました。日本国内でも、多くの企業が社内情報の流出を防ぐために、ChatGPTなどの利用を禁止する動きが広がっています。また、プライバシー保護の観点からも慎重な対応が求められます。日本の個人情報保護委員会は、OpenAIに対して、ユーザーの個人情報を本人の同意なく収集しないよう要請しています。企業の従業員が無意識のうちに個人情報をAIに入力し、それが外部に漏えいするリスクは十分に考えられます。そのため、社内での生成AIの使用ルールを明確にし、機密情報を入力しないよう周知することが重要です。

1-2. 偽情報生成のリスク

生成AIは非常に精度の高い文章を生成できますが、それが必ずしも正しいとは限りません。生成AIは過去のデータをもとに回答を作成しますが、時に誤った情報や架空の事実を「もっともらしく」作り上げることがあります。これを「ハルシネーション」と呼び、業務上の意思決定に誤った情報を使ってしまうリスクがあります。海外では、生成AIが政治家の経歴について虚偽の情報を生成し、それが拡散されたことで名誉毀損の問題が発生しました。

出典：ChatGPTが虚偽の出力をしたとして名誉毀損で訴えられる - GIGAZINE

日本でも、生成AIの回答をそのまま顧客対応や報告書に活用したところ、事実誤認が含まれていたケースが報告されています。生成AIが出力する情報はあくまでも参考程度にとどめ、人間が必ず検証する仕組みを整えることが求められます。

1-3. モデルバイアスのリスク

生成AIは膨大なデータを学習して動作しますが、そのデータに偏りがあると、生成AIの出力も偏ったものになってしまいます。例えば、採用選考にAIを活用したところ、過去のデータを学習したAIが特定の性別や人種を不利に評価する傾向を示したという事例があります。

出典：焦点：アマゾンがＡＩ採用打ち切り、「女性差別」の欠陥露呈で | ロイター

また、生成AIに「弁護士の画像を作成して」と指示したところ、出力された画像のほとんどが白人男性だったというケースも報告されています。

出典：AIが助長する差別・偏見　Appleにも襲いかかったリスクの本質：日経ビジネス電子版

このようなバイアスは、企業の意思決定やマーケティング施策に影響を及ぼし、不公平な結果を招く可能性があります。そのため、生成AIがどのような出力を行うか定期的に評価を行う必要があります。

1-4. サイバー攻撃のリスク

生成AIはサイバー攻撃の手段としても悪用される可能性があります。例えば、生成AIを使ってより精巧なフィッシングメールが作成され、従来よりも見破るのが難しくなっています。また、ChatGPTを活用してプログラムコードを生成し、そのコードを悪用することで、マルウェアやランサムウェアが作成されるリスクも指摘されています。

さらに、プロンプトインジェクションと呼ばれる攻撃手法も問題視されています。これは、AIに対して特定の指示を入力し、通常は見えない内部情報を引き出すものです。海外では、AIの開発コードネームや内部仕様が外部のユーザーによって暴露された事例も報告されています。例えばChatGPTには悪質なプロンプトには応じない対策（ガードレール）が施されていますが、この対策を回避する新しい手口が次々と登場しており、いたちごっこになっている現状です。企業がAIを導入する際には、これらの攻撃に備えた情報セキュリティ対策が不可欠です。

NTT東日本の自治体向け生成AIソリューションの詳細はこちら！

2. 生成AI導入時の対策

前章で述べた通り、生成AIの導入にはさまざまなリスクが生じます。ここでは、リスクに対応するために導入時の対策について解説します。

2-1. データ保護の強化

生成AIを安全に活用するためには、データ保護の強化が不可欠です。企業は、社内ネットワークと生成AIサービス間のデータのやり取りを監視し、機密情報が外部に漏れないようにする必要があります。例えば、許可されたAIサービス以外へのアクセスを制限したり、入力データを匿名化して送信するなどの対策が考えられます。

また、企業向けのエンタープライズ版生成AIを活用することで、データが外部に保存されない環境を構築することも可能です。一部企業は、ユーザーデータを社内サーバー内で処理できる生成AIサービスを提供しており、情報漏えいのリスクを低減しています。

2-2. モデルの透明性と説明可能性の確保

生成AIの出力に対する透明性を確保することも重要です。企業は、生成AIがどのような根拠で特定の回答を生成したのかを追跡できる仕組みを整える必要があります。企業では生成AIの回答元となる文献を参照できるRAGと呼ばれる仕組みを導入することで、信頼性を担保する方式をとることが一般的です。金融業界では、生成AIによる信用審査を人間が最終チェックする仕組みが導入されており、誤った判断を防ぐ取り組みが進んでいます。

また、自治体の住民向けチャットボットでは、生成AIが作成した回答には「この回答はAIが生成しました」と明記することで、利用者が過信しすぎないよう配慮しています。こうした対策を取ることで、AIの判断プロセスが透明になり、信頼性が向上することが期待されます。

2-3. バイアスの検出と修正

生成AIのバイアスを防ぐためには、事前にテストを行い、不公平な出力がないかを検証することが大切です。企業の採用やマーケティングに生成AIを活用する際には、性別や年齢による偏りが生じていないかをチェックし、必要に応じて使用の可否を判断することが重要です。

2-4. 情報セキュリティ強化のための対策

最後に、生成AIを活用する際には、従来の情報セキュリティ対策に加えて、新たな脅威への備えが必要です。社内では権限によるアクセス制御を強化し、生成AIにアクセスできるユーザーを管理することが重要です。また、アクセスログやプロンプトのログを記録することで、不審なプロンプトがないか確認することが重要です。これは生成AIサービス導入直後には特に重要になるポイントです。

NTT東日本の自治体向け生成AIソリューションの詳細はこちら！

3. 生成AI導入のリスク対策ならNTT東日本にお任せください

NTT東日本では、自治体向けに生成AIの環境提供や活用促進に関するコンサルティング、生成AIのユースケース創出に向けた技術支援を行っております。

また、生成AI導入にあたってのガイドライン制定や情報セキュリティを遵守した生成AIシステム環境の構築などの支援を行っています。

NTT東日本の提供する生成AIソリューションの詳細はこちらの資料をご覧ください！

4. まとめ

生成AIの導入には多くの可能性がある一方で、データ漏えいやプライバシーのリスク、偽情報生成のリスク、モデルバイアスのリスク、サイバー攻撃のリスクといったさまざまなリスクが存在します。これらのリスクを適切に管理し、生成AIを安全に活用するためには、データ保護の強化、モデルの透明性と説明可能性の確保、バイアスの検出と修正、セキュリティ強化のための対策が必要です。