fbpx

情報セキュリティにまつわる
お役立ち情報を発信

AI活用について、会社が行うべき第一歩

生成AIの業務利用は、もはや「使うか使わないか」を議論する段階ではなく、「どう安全に使わせるか」を設計する段階へと移り変わっています。
ChatGPT、Claude、Google Geminiといったツールは非常に便利であるため、会社としての方針が定まる前から、社員が自主的に使い始めているケースも少なくありません。
しかし、その利用実態を会社が把握し、管理できていない場合には、便利さの裏側に重大なリスクが潜んでいることを見落としがちです。
そこで今回は、AI活用に取り組むうえで、企業がまず着手すべき第一歩について整理していきます。

社員が個人のアカウントでAIチャットを業務に使ってしまうケースは、思っている以上に多く発生しており、会社の機密情報や顧客の個人情報をそのまま入力してしまう危険性はもちろんのこと、それ以上に見落とされがちなのが「離職後」のリスクです。
個人アカウントで業務利用を続けていた場合、そのアカウントと利用履歴は、退職後も本人の手元にそのまま残り続けてしまいます。
これは例えるならば、社員に個人のチャットツールを業務用として使わせ、退職後もそのアカウントを使い続けさせているのと、実質的に同じ状態だといえるでしょう。
会社側にアカウントを削除する権限がなければ、何が入力されたのかを確認する手段すらありません。
さらに本質的な問題として、AIチャットに入力した内容が、AI側の学習データとして扱われうるという点が挙げられます。
検索エンジンで調べ物をする感覚で、つい社内資料の内容や顧客情報を入力してしまう社員は少なくなく、その一回一回の入力こそが、実質的な情報漏洩になり得るということを、利用者自身が自覚していないケースがほとんどなのです。

この問題に対する最初の解決策は、いたって明確です。
Claudeであれ、ChatGPTであれ、Google Geminiであれ、会社が管理できる法人向けプランのアカウントを付与し、それを業務利用の唯一の窓口とすることに尽きます。
法人アカウントであれば、退職時にアカウントを無効化・削除できるだけでなく、利用状況を組織として把握でき、さらに学習データとしての扱いについても、個人向けプランとは異なる契約条件が適用される場合が多いため、管理上のコントロールを会社の手に取り戻すことができます。
これは情報セキュリティの観点から見て、もはや任意の対応ではなく、必須の対応であると言えるでしょう。

とはいえ、法人アカウントを用意しただけでは、まだ不十分です。
次に必要になるのは、社員がどのような情報をAIに入力してよいのか、どのような業務での利用を想定しているのか、そして禁止事項は何かを明文化した、利用ガイドラインの策定です。
そして、ガイドラインは策定するだけでなく、それを社内に周知し、徹底させるところまでのプロセスを含めて初めて、本来の意味を持ちます。
ガイドラインが形骸化してしまっては、せっかく法人アカウントを用意した効果も、半減してしまうのです。

AI活用における失敗は、大きく分けると二つのパターンに集約されます。
一つは、リスクを恐れるあまり利用を全面禁止してしまい、結果として生産性向上の機会を逃してしまうこと、そしてもう一つは、逆に無管理のまま利用を野放しにし、情報漏洩などの重大インシデントを招いてしまうことです。
本来目指すべきは、その中間、つまり「ルールと環境を整備したうえで、積極的に使いこなす」という姿勢にほかなりません。
法人アカウントの契約費用や、ガイドライン策定にかかる手間は、一見するとコストのように感じられるかもしれませんが、情報漏洩やそれに伴う信用失墜、そして対応にかかるコストと比較すれば、決して高い投資ではないはずです。
むしろ、ここを疎かにしてしまった場合の方が、はるかに高くつくことになるでしょう。

こうしたAI活用ルールの整備は、社内対応だけで終わらせるのではなく、ISMS(情報セキュリティマネジメントシステム)AIMS(AIマネジメントシステム)プライバシーマーク(Pマーク)といった第三者認証と組み合わせることで、対外的にも「情報管理体制が整った企業」であることを証明できるようになります。
私たちは、ISMSやAIMS、プライバシーマークの取得・更新支援を専門とするコンサルティング会社として、AI活用時代における情報セキュリティ体制の構築を、数多くの企業でサポートしてまいりました。
AI利用ガイドラインの策定から各種認証の取得まで、一貫してご相談いただけます。

AI活用における会社が行うべき第一歩は、個人アカウントでの利用を放置せず法人が管理できるアカウントへ一本化すること、そしてその利用に関する明確なガイドラインを策定し社内に徹底させること、この二点に尽きます。
この土台を整えて初めて、AIは会社にとって安全かつ強力な武器となるのです。
逆に言えば、この第一歩を踏まずに利用を広げてしまうことこそが、最もリスクの高い選択だといえるでしょう。

社内だけでAI利用ガイドラインの策定や、法人アカウントの選定を進めることに、不安を感じるご担当者様も少なくありません。
私たちは、ISMS・AIMS・プライバシーマークの取得支援で培った知見を活かし、企業ごとの実情に合わせたAI利用ガイドラインの作成についてもご相談を受け付けております
AI活用の第一歩を踏み出す際は、お気軽にご相談ください。

この記事を書いた人

株式会社UPF

株式会社UPF

東京都中央区に本社を構える株式会社UPFです。 日本全国を対象にPマーク(プライバシーマーク)とISMS(ISO27001)の新規取得コンサルティング、取得後の運用支援事業を展開しております。 プライバシーマークについてのお問い合わせ・ご相談は→03-6661-0846セキュリティーコンサルティング事業部まで

同じテーマの記事はこちら

すべて見る