中小企業の生成AI導入、情シスが押さえるべきセキュリティルールとガイドライン
社員がChatGPTに顧客情報を入力している ― あなたの会社でも起きていませんか?
生成AIの業務活用が急速に広がる中、ルールのないまま利用が先行し、情報漏洩のリスクが高まっている企業は少なくありません。本記事では、中小企業の情シス担当者が生成AIの社内利用ルールを策定するための実践ガイドを提供します。
生成AI利用における主なリスク
機密情報の外部送信
生成AIに入力したデータは、サービス提供者のサーバーで処理されます。無料版のChatGPTではデフォルトで入力データがモデルの学習に利用される設定になっており、社内の機密情報や個人情報を入力すると、データが外部に流出するリスクがあります。
生成内容の正確性
生成AIは「もっともらしいが間違っている」回答を生成することがあります(ハルシネーション)。AIの出力をそのまま取引先への提案書や契約書に使用すると、重大なミスにつながります。
著作権・知的財産権の問題
生成AIが出力した文章やコードが、既存の著作物と類似する可能性があります。生成されたコンテンツをそのまま商用利用する場合、著作権侵害のリスクを認識しておく必要があります。
シャドーAI
会社が承認していない生成AIサービスを社員が勝手に利用する「シャドーAI」は、シャドーIT以上にリスクが高いです。どのサービスにどのようなデータが入力されているか把握できないためです。
社内利用ガイドラインに盛り込むべき項目
利用可能なサービスの指定
会社として利用を許可する生成AIサービスを明確にします。法人契約のMicrosoft Copilot、ChatGPT Enterprise/Team、Google Geminiなど、データがモデル学習に使われないプランに限定するのが原則です。
入力禁止情報の定義
以下の情報は生成AIへの入力を禁止します。顧客の個人情報(氏名、住所、メールアドレス等)、取引先の機密情報(価格、契約条件等)、自社の未公開の経営情報(売上、人事情報等)、ソースコードや設計図面。
出力の確認義務
生成AIの出力をそのまま社外に出す場合は、必ず人間が内容を確認・承認するプロセスを設けます。「AIが言っていたから正しい」は通用しません。
利用目的の範囲
業務効率化(文書のドラフト作成、議事録の要約、アイデアのブレインストーミング等)を目的とした利用に限定し、最終成果物はあくまで人間が責任を持って作成することを明記します。
Microsoft Copilotを選ぶ理由
Microsoft 365の法人プランでCopilotを利用する場合、入力データはMicrosoftの商用データ保護のもとで処理され、モデルの学習には使用されません。また、Entra IDと連携しているため、社内のアクセス権限がそのまま適用され、本来アクセスできないデータがCopilotを通じて漏洩するリスクも制御されます。
中小企業にとっては、既存のMicrosoft 365環境に統合されたCopilotが、セキュリティと利便性のバランスが最も良い選択肢です。ただし、Copilotの導入前にSharePointやOneDriveのアクセス権限が適切に設定されていることを確認する必要があります。権限設計が甘いままCopilotを導入すると、意図しない情報の横断検索が可能になるリスクがあります。
導入のステップ
- 現状把握: 社員がどの生成AIサービスをどのように利用しているかアンケート等で調査
- ガイドライン策定: 上記の項目を含む利用ガイドラインを策定
- ツールの選定・契約: 法人向けプラン(データ保護あり)を契約
- 社内教育: ガイドラインの周知と、効果的な活用方法の研修
- 運用・見直し: 利用状況のモニタリングとガイドラインの定期的な見直し
情シス365では、生成AI利用ガイドラインの策定からMicrosoft Copilotの導入支援まで対応しています。60分無料相談をご利用ください。