生成AIがもたらすリスクとその対策。情報セキュリティ対策の重要性。

人工知能（AI）技術の急速な発展は、私たちの社会に革命的な変化をもたらしています。業務効率の向上から医療診断の精度向上、自動運転技術の実現まで、AIは多岐にわたる分野で人類の可能性を拡張しています。
一方、生成AIによる様々なリスクにも注目が集まってきました。そうした中、2023年11月27日（米国時間）に日本を含む18カ国がAI開発に関するガイドライン「セキュアなAIシステム開発のためのガイドライン」を共同発表しました。
本ガイドラインは、主にAIやAIを活用したシステムを「開発する側」のガイドラインです。では、生成AIを業務で「利用する側」はどのような点に気を付ければよいのでしょうか。本ページではAIを利用するにあたり生じるリスクとその対処方法について説明します。

生成AIの業務利用

ChatGPTが話題になるとともに、生成AIの業務利用について注目が集まっています。 まだ生成AIの業務利用については大きな波はないものの、製造業、金融・保険業などでは利用が広まっています。 具体的には、挨拶文や記事の生成、ドキュメントの要約、プログラミングなどで利用されています。 生成AIの業務での利用は効率化や創造活動に革新をもたらしますが、同時に利用には大きな責任が求められます。

AIの利用で生じるリスク

個人情報・機密情報を漏えいするリスク

AIサービスに個人情報や企業の機密情報を入力することで、情報漏洩のリスクが発生します。多くのAIサービスは入力されたデータを学習に利用したり、サーバーに保存したりする可能性があります。特に、氏名、住所、電話番号、クレジットカード情報などの個人情報や、企業の営業秘密、顧客データ、技術仕様書などの機密情報が第三者に漏洩すると、プライバシー侵害、経済的損失、競争力の低下、法的責任の発生などの深刻な影響をもたらします。また、サイバー攻撃によってAIサービスのデータベースが侵害された場合、大規模な情報漏洩事件に発展する可能性もあります。

誤った情報を正しいと信じてしまうリスク

AIが生成する情報には誤りが含まれる可能性があるにも関わらず、その回答が流暢で説得力があるため、ユーザーが誤った情報を事実として受け入れてしまうリスクがあります。これは「ハルシネーション」と呼ばれる現象で、AIが存在しない情報を創作したり、古い情報を最新のものとして提示したりすることがあります。医療、法律、金融などの専門分野では、誤った情報に基づく判断が健康被害や法的トラブル、経済的損失を引き起こす可能性があります。また、学術研究や報告書作成において誤った情報を引用すると、信頼性の失墜や専門性への疑問視につながります。

知的財産権、著作権侵害のリスク

AIが生成するコンテンツが既存の著作物に類似している場合、意図せず著作権侵害を犯すリスクがあります。AIは学習データに含まれる大量の著作物から情報を学習しているため、生成される文章、画像、コード、音楽などが既存の作品と酷似する可能性があります。特に、特定の作家の文体を模倣した文章や、既存のイラストに類似した画像を商用利用した場合、著作権者から法的措置を取られる可能性があります。また、AIが生成したコンテンツの著作権の帰属も不明確な場合が多く、第三者との権利関係でトラブルが発生する恐れもあります。

生成AIで生じるリスクの対処方法

では、生成AIを利用することで発生するリスクに対して、どのような対処方法があるかご説明します。

社員教育

DXサービスを展開する株式会社ギブリーの調査では、生成AIの台頭を受けてデジタル研修のカリキュラム内容について聞いたところ6割以上の企業が変更済みや変更の予定があるとしています。
また、IPA 独立行政法人 情報処理推進機構の情報処理技術者試験スキルレベル1（最も簡単）の「ITパスポート試験」においても2024年度からAIに関する問題が出題されます。
AIに関する社員教育では、生成AIの仕組み、利用方法のほか
・機密情報、個人情報を入力しないこと
・著作権侵害に関すること
・出力内容の正確性、出力内容に対して判断力を養うこと
などを盛り込むことが大切です。

（出典：株式会社ギブリー「新入社員研修のデジタル（IT/DX）領域への対応に関する意識・実施調査」）

社内向け生成AIサービスの利用

生成AIの学習データが必ずしも正確ではないという点、著作権に関するリスク、機密情報の漏えいに関するリスクから「生成AIを利用しない」という選択肢もあります。しかし、電話やインターネットを利用しないと業務がまわらない現代と同様に、AIを利用しないと業務が回らない時代になることも想定されます、そうなった場合には「生成AIを利用しないリスク」が出てくることになります。
そうした時代を見越して、社内向けに閉じた環境で利用する「社内用生成AI」の導入が進んでいます。 パナソニック コネクト株式会社では、「自社特化AI」をさらに進化させ、個人の役職・役割に応じた回答をさせる「個人特化AI」の検討開始を予定しています。

（出典：パナソニック ホールディングス株式会社　「パナソニック コネクトのAIアシスタントサービス「ConnectAI」を自社特化AIへと深化」）

URLフィルタリングによる利用制限

社内向け生成AIの導入は情報漏えい対策には有効ですが、費用がかかります。無料で使用できるパブリックな生成AIを利用することにより生じる様々なリスクが排除できない場合は、生成AIのWebシステムにアクセスできないようにするWebフィルタリングが有効です。
全社員一律に生成AIへのアクセスをブロックするほか、許可された人物のみアクセスを許可する設定ができると便利です。

ALSOKがおすすめする製品

ALSOKではURLフィルタリング機能を持った製品を２製品取り扱っています。

ALSOK UTM運用サービス

UTMは外部からの攻撃に対処する製品のイメージですが、Webフィルタリング機能も備えております。 各PCのIPアドレスやMacアドレスを指定して個別にフィルタを設定することも可能です。

ALSOK IT資産管理

当社の提供するIT資産管理ツールのWebフィルタリング機能では、全社的なフィルタの他、グループごとのフィルタが可能です。 特定の部署のみ生成AIへのアクセスを許可するなどの制御が可能です。また、本サービスでは、運用をALSOKがサポートいたします。
電話で問合せを24時間365日受け付けており、設定変更をALSOKがお客様に代わって行うことも可能です。

まとめ