生成AIを社内導入するとき、情報漏洩を防ぐには何を最低限整備すべきですか?ルールと技術対策の両面で知りたいです。
この質問の回答者
生成AIを社内導入するときに情報漏洩を防ぐには、「何を入力してよいかを定める利用ルール」 と 「入力した内容を統制できる技術基盤」 の両方が必要です。特に、入力データがAIの学習に利用されないサービスを選ぶことは重要ですが、それだけでは不十分です。
ログ管理、アクセス権限、利用状況の可視化、監査対応など、セキュリティ・ガバナンス・管理機能が充実しているかまで含めて見る必要があります。
■「何を禁止するか」より「誰がどう使うか」を明確にする
重要なのは、「どの情報を」「誰が」「どの用途で使えるか」を明確にすることです。顧客情報、契約情報、ソースコード、社外秘資料などは、原則禁止にするのか、特定環境でのみ許容するのかを分けて定める必要があります。加えて、学習に利用されない設定でも、入力したデータ自体は一度サービス提供事業者に送信されます。 そのため、特許関連情報や個人情報のように機密性の高い情報は、学習利用の有無だけでなく、外部送信してよいか という観点で別途判断しなければなりません。
また、個人情報の保護に関する法律(個人情報保護法)や外国為替及び外国貿易法(外為法)などの規制により、データの国外移転自体が制限対象になるケース もあるため、技術要件だけでなく法的観点での整理も不可欠です。一方で、国内サーバーでのデータ処理完結やゼロデータリテンション(データ即時破棄)のように、一定条件を満たす仕組みを備えたサービスを選べば、データ利用を安全に許容する設計も可能です。重要なのは、一律禁止か全面解禁かではなく、利便性とリスクのバランスを取って運用すること です。
■技術対策として「学習に使われない」「監査できる」は必須
最低限必要なのは、入力データがモデル学習に使われないこと、SSOやIPアドレス制御などでアクセス権限を制御できることです。さらに、禁止ワード登録や機密情報ブロック機能などを備えたツールであれば、より安全な運用が可能です。加えて、送信先、保存先、国外移転の有無、監査証跡の残り方まで確認する必要があります。
ただし、統制を重視するあまり、利便性の低いツールを導入すると、現場がこっそり別のAIを使うシャドーAIを招き、かえってリスクが高まることがあります。したがって、最も有効な対策は、現場が業務で使える法人向けAI環境を正式に整備することです。
また、ITやAIツール導入のたびに発生するセキュリティチェックや更新対応は、情報システム部門の大きな負担となりやすく、これがボトルネックとなって導入や活用が進まないケースも少なくありません。
そのため、こうした管理業務を効率化し、現場が必要なツールを迅速に利用できる環境を整えることも重要です。 なお、こうした課題に対応するサービスとして、エクサウィザーズが提供する「exaBase コーポITエージェント」は、IT/AIサービス導入時のセキュリティチェックを支援するソリューションとして提供されています。
法人向け生成AI「exaBase 生成AI」は、国内データ処理、学習へのデータ不使用、ログ管理、アクセス制御、利用状況可視化といった統制機能を備えており、部門展開や定着支援まで進めやすいサービスです。情報漏洩を防ぎながら社内活用を広げるための整備項目を整理したい企業は、資料ダウンロードから活用イメージをご確認いただけます。