生成AIの業務利用が広がるにつれ、情報漏洩リスクも現実の問題になってきた。「AIに機密情報を入力した」「学習データに社内情報が使われた」というインシデントの報告が、事業会社でも増えている。
あわせて読みたい: 関連する判断軸は、AIコンサルに2,000万円を払う前に、確認すべき3つのことでも整理しています。
コアネストが支援する企業でも、生成AI導入前後のガバナンス整備を徹底的に問う経営者が増えた。情報漏洩を起こす企業には、驚くほど共通したパターンがある。それを事前に把握することが、最も低コストなリスク管理だ。
共通パターン①:「個人利用」が野良ツールとして広がっている
最も多い漏洩経路は、情シスが把握していない生成AIツールの野良利用だ。
あわせて読みたい: 実装面のつまずきは、事業会社がAI戦略で、最初に失敗する1つの判断をあわせて読むと把握しやすくなります。
会社が正式に導入しているツールは情シスが管理できる。しかし社員が個人のChatGPTアカウントで業務内容を入力し始めると、そのデータの扱いは完全に個人の責任に移る。デフォルト設定のまま使用していた場合、入力内容がモデルのトレーニングデータとして利用される可能性があるサービスも存在する(各サービスの利用規約による)。
従業員120名の専門商社A社では、営業部門の担当者5〜6名が個人ChatGPTアカウントで顧客情報を含む提案書の初稿生成を行っていたことが、内部調査で発覚した。情シス担当者がこの事実を把握したのは、使い始めから8ヶ月後だった。事後対応として全社へのポリシー通知と再教育を実施したが、すでに入力されたデータのリカバリーは不可能だった。
共通パターン②:「使ってはいけないデータ」の定義がない
第二のパターンは、生成AIに入力してよい情報・してはいけない情報の線引きがないことだ。
あわせて読みたい: 費用対効果を検討する際は、DXに2,000万円使って何も残らない事業会社の共通点も参考になります。
ポリシーがない状態では、社員は「業務に必要だから入力した」という判断しかできない。顧客名・取引条件・財務数字・個人情報・未公開の経営情報などは、いずれも生成AIへの入力を制限すべきデータだ。しかしこれを明示的に禁止・分類していなければ、悪意のない通常業務の中でリスクが発生する。
コアネストが複数の事業会社でAI利用ポリシーを策定した経験から言えば、社員が「これは入れていいのか?」と迷うデータの90%は、3〜4のカテゴリに分類できる。①個人識別情報(氏名・住所・マイナンバー等)、②顧客固有情報(契約内容・単価・交渉経緯等)、③社内未公開情報(経営計画・M&A関連等)、④競合情報(競合調査の生データ等)だ。この分類を明文化するだけで、現場の判断精度が大幅に上がる。
共通パターン③:経営層が「ITの問題」と切り離している
三つめのパターンは、情報漏洩リスクを「情シスの問題」として経営層が関与しない構造だ。
事業会社の情シス担当は多くの場合1〜3名であり、全社の生成AI利用を完全に把握・管理するリソースを持っていない。さらに、ガバナンスポリシーの策定や違反時の処分には、経営判断と就業規則の改定が必要になるが、これは情シスの権限外だ。
つまり、生成AIのガバナンスは情シスだけでは完結せず、必ず経営の意思決定が必要な経営課題だ。経営層がここを「技術部門の話」と距離を置くと、現場は野良利用が広がり、情シスは対応できず、インシデントが起きてから初めて経営が動くという最悪のシナリオになる。
経営層が最初に取るべき3つのアクション
情報漏洩を防ぐために、経営層が最初に取るべきアクションは3つに絞られる。
第一は、「生成AI利用ポリシー」を正式な社内規定として制定し、全社員に周知すること。内容は完璧でなくていい。まず「個人アカウントの業務利用禁止」「入力禁止データのカテゴリ」「違反時の対応」の3点を明文化することが最優先だ。
第二は、会社として管理できる生成AIツールを正式採用し、個人利用の代替を提供すること。禁止だけして代替がなければ、野良利用は減らない。ClaudeのTeamプランやCopilot M365など、企業向けプランはデータがトレーニングに使われない設計になっているものが多い。
第三は、情シスに「AI利用の監視・報告ラインを経営直結にする」権限を与えること。問題を情シス内で処理させると、経営への報告が遅れ、対応が後手になる。月1回でも経営会議でAI利用状況を確認する仕組みを作るだけで、現場の緊張感が大きく変わる。
生成AIのリスクは、正しいガバナンス設計さえあれば十分に管理できる。ポリシー不在のまま利用が拡大することが最大のリスクであり、「まずポリシーを作る」という経営判断を先延ばしにするほど、リスクは積み上がる。自社のAIガバナンスがどの段階にあるか、一度診断してみることを勧める。
関連記事
- AIコンサルに2,000万円を払う前に、確認すべき3つのこと — AI導入コンサルの相場は年間1,000〜3,000万円。しかし高額なコンサル費を払ったにもかかわらず、成果が出ない事業会社が後を絶たない。契約前に確認すべき3つの判断軸を解説。
- 事業会社がAI戦略で、最初に失敗する1つの判断 — 事業会社のAI戦略は、最初の判断で方向が決まる。多くの企業が犯す「ツール選定を先に固める」という1つの誤りが、その後の全てを詰まらせる理由と、正しい起点を解説。
- DXに2,000万円使って何も残らない事業会社の共通点 — 事業会社がDXに投じる年間予算は平均2,000万円。3年で6,000万円。にもかかわらず7割が成果を実感していない。失敗企業に共通する3つの構造的問題を解説。
- 生成AIで情報漏洩を起こさないための、ガバナンス設計テンプレート — 生成AIの業務利用拡大に伴い、情報漏洩リスクも増大している。事業会社の情シス・DX推進担当者が今すぐ実装できるAIガバナンス設計テンプレートを、具体的な項目・文例付きで解説。
