AI利用に伴うセキュリティリスク対策への取り組みは

今後、従業員が誤って企業の内部情報や消費者の機密データをAIに伝えてしまう新たな脅威が潜んでいます。これを放置すれば企業・組織の存続に関わる由々しきセキュリティリスクをもたらしかねない事態。将来的にAI活用が進むと言われているなか、セキュリティ面で取り組むべき課題を今回、考えてみたいと思います。

現状の問題点と対策のあり方

企業・組織においても生成AIを業務に活用する例が増えるなか、ChatGPT等AIを用いて業務情報を共有した従業員のうち約6％が機密データを共有した経験があるという調査・報告が出ています。従業員が個人を特定できる情報や企業の内部情報を生成AIツールに入力しないためにはどうすべきか？

個人データなど機微情報の共有は、コンプライアンス上のセキュリティリスクを組織にもたらします。機密情報のデータ漏えいを防ぐには厳重なセキュリティプロトコルを事前に構築しておくこと。次いでAIを業務に取り入れた場合、ビジネスを継続するため利用ガイドラインもまた設置する必要があります。特にプライバシー情報を含む機密情報を保護すべき領域では、AI活用におけるリスク軽減に向けた許容範囲とのバランスを保ちつつ、知財なども含めデータ保護に関するポリシーコントロールが重視されるのです。

具体的方針は

たとえばデータ漏えいを防止するツール導入であったり、AI活用における各種セキュリティ研修の実施と言った成熟したセキュリティプログラムの存在が企業には不可欠ですが、そうした体制の構築が難しいのであればChatGPTなどAIツールの業務への導入は当然見送るべきです。

CISO（最高情報セキュリティ責任者）とCIO（最高情報責任者）には機密データの利用の制限させる強制力と業務改善につなげ生産性を向上させる生成AIツールの必要性をバランスよく判断できることが求められます。

機密データのAIへの入力禁止と口頭で言うのは簡単ですが、実際それをユーザー側に実行させるのは至難の業。データが大規模言語モデル（LLM）に入り込こんでしまえばLLMの多くがプロンプトやフィードバックからAI自体のモデルチューニングや改善に使用すると明記しており、取り返しのつかないことになりかねません。

保護へ向けた取り組み

生成AIの利用に際してデータやプライバシーの確保を優先するには、コンプライアンスとデータ保護体制の整備がまず必要と言われます。たとえば米国では一般データ保護（GDPR）規則や医療情報の公開を制限する連邦法と消費者プライバシー保護を規定する州法との整合性確保に大規模言語モデル（LLM）がデータをどのように扱うか厳密に評価および管理すべきであり、実効性確保の観点からデータの暗号化や取得時の同意の仕組み構築、データの匿名化技術採用に積極的に取り組んでいます。

また機密データのセキュリティ確保に向けデータ保存と転送時における暗号化措置や厳格なアクセス制御、異常発生時の継続的監視体制構築など多層的セキュリティアプローチを施すことが決まっています。データ侵害が発生した場合においても迅速な対応と是正措置を講じ、法規制上の要件に従い影響を受ける利害関係者に対して明確なコミュニケーションが求められるのです。

今後の課題

生成AIツール活用はまだまだ初期段階、機密データ保護に向け設計された生成AI利用者用ポリシーが発表され、AI関連企業は暗号化と言ったセキュリティコントロールを拡充、サイバーセキュリティコンプライアンスフレームワーク「SOC2」に則りセキュリティ認証を取得するなど機密データをより適切に保護する取り組みを強化しています。

しかしながら、機密データが万が一大規模言語モデル（LLM）に混入した場合に何が起こるのか？混入されたデータを見つけどうやって削除するか？データコンプライアンス規制強化に向け個人を特定できる情報の取り扱い方の検討は始まったばかりです。