企業が生成AIを使う時に気をつけたい3つのこと 万全な管理のコツは､ユーザーとIT部門の連携

【ユーザー側の対策】ユーザーは生成AIに入力する情報をあらかじめ精査し、機密情報があればそれを匿名化するなどの処理が求められる。万が一、生成AIプラットフォームに学習されてしまっても、個別の内容を特定できないようにしておく必要がある。

【IT部門の対策】今回の事案でサムスン電子は緊急措置としてChatGPTへの1質問あたりのアップロード容量を1024バイトに制限した。一度に大量のデータが漏洩するのを防ぐために、これは一定の効果があると考えられる。改善が見られなければChatGPTへの接続を遮断する考えだという。一般的な対策として、ChatGPTなど生成AIのプロンプト入力履歴を高度な「DLP （Data Loss Prevention、データ損失防止）」ツールを通じて管理することが推奨される。ユーザーが生成AIに入力している情報を入力と同時に徹底的にチェックすることで、情報漏洩が発生した場合にそれを察知し、事前にブロックすることができる。また、高度なDLPツールは、データの流れを監視し不正なデータの移動を防止するだけでなく、機密情報のアップロードを検出し、自動的にブロックする機能も備えている。

ユーザーの警戒心は技術的な管理手段と並んで非常に効果的であるため、ユーザー教育の実施も重要だ。加えて、ユーザーが生成AIアプリケーションを利用する際に、適切な判断を下す手助けをしたり、特定の活動がブロックされた理由を説明したりする、リアルタイムの「ユーザーコーチング」システムの導入も有効とされている。

ポイント②承認されたAIツールのみを使用

生成AIを導入する準備段階で留意したいのが、社員が個人で契約して、IT部門が承認していないようなAIツールは使わせないようにすることだ。企業は通常、ビジネスを円滑かつ安全に進めるためにセキュリティポリシーを設定し、それに合わせてIT機器やツールを運用している。

具体的には、利用するクラウドサービスに潜むマルウェアの検知やダウンロードを禁止する機能、危険なファイルの隔離、ユーザー活動の監視などを実践する仕組みを構築しているわけだが、むやみに未承認のツールを利用させれば、こうした管理ができなくなる。結果、想定していないネットワークを通じて機密情報が流出するといったリスクが生じる。この課題にどう対応するべきか。

【ユーザー側の対策】ユーザーは、IT部門が承認したAIツールのみを使用するように意識を徹底しなくてはならない。また、無料版と有料版が存在する場合は、一般的により優れたデータ保護とプライバシー条項を含む有料版を使用するべきである。ひとたび自分が情報漏洩事故を起こせば、自社はもちろん、顧客、株主、消費者など広い範囲に影響が及ぶ。リスクの存在を改めて認識しておきたい。