インフォぷりんVol.176『今さら聞けない？生成AIの業務利用リスクと対策』

ChatGPTなどの生成AIは、もはや日常生活の必須インフラ化しており、仕事でも、資料作成、企画立案、デザイン補助など、毎日利用しているという人も多いです。しかし一方で、「生成AIの利用は個人に任せる」という状態では、企業にとって重大なリスクにもなります。

免責事項：本記事はあくまでも一般的な情報の提供を目的としております。内容の正確性には注意しておりますが、専門家監修のもとで書かれたものではないため、必ずしも解釈が適切であることを保証するものではありません。ご了承ください。

生成AIの選定基準

まず重要なのは、どのサービスを使うかです。基本的には自社での利用目的に適したサービスを選定することになりますが、その際には、「便利だから」「使いやすい」「安価（または無料）」以外にも、次のような項目も確認して選定しましょう。

• 法人向けプランがあるか
• 入力データや参照ファイルがAI学習に利用されない仕組みにできるか
• 管理機能があるか（自社内のアカウントを一元管理できるか）

法人向けサービスでは、入力データや参照データがAI学習に利用されない設計、アカウント管理機能が付いているものが多く、情報漏えい対策（企業の信用性担保）としても有効です。ただし、相応のコストはかかってしまいます。

想定される主なリスク

生成AIの業務利用、特に無料プランでの業務利用には、次のようなリスクがあります。

• 情報漏えい
• 誤情報の流布
• 著作権侵害
• セキュリティ上の脆弱性を含むコードの生成

AIが誤った内容を出力しても、責任は利用者（企業）が負います。個人利用では自己責任で済むこともありますが、企業で利用している場合、「損害賠償」「信用失墜」「取引停止」など、経営上の重大な影響が生じる可能性もあります。

運用の大原則 ― 機密情報を入力しない

生成AIは一部を除き、外部（場合によっては海外にある）サーバーを利用したサービスです。入力した情報は、社外に送信されるという前提で運用しなければなりません。

企業での利用であれば、取引先との契約順守や法令順守のために、入力する情報を制限または禁止し、利用者全員に周知・徹底することが必須となります。

「少しだけなら大丈夫」という考えが、最も危険です。「AI学習への利用をオフ」「一時チャットを有効にする」という対策をしていれば大丈夫、と思われるかもしれませんが、それらはリスクを下げる設定ではあっても、「機密情報を入力・提供してよい根拠」にはなりません。

実務で起きやすい危険な利用例

共通して注意しなければならないのは、「実際にそのまま顧客に提供できる完成版の作成を目指さない」ことです。生成AIには実際の（具体的な）情報は入力せず、ダミーの情報を使って「たたき台（素案、ベース）」を作成してもらい、その「たたき台」を自ら修正・成形して（必要な情報をローカルで入力して）、資料などを完成させるようにしましょう。

整備すべき運用ルール

業務への生成AI利用について、運用ルールを個人任せにすることは絶対に避けましょう。企業側で運用ルールを定め、全利用者に周知・徹底しましょう（必要であれば違反した場合の罰則も定めておきましょう）。運用ルールとして、例えば次のようなことを定めておきましょう。

• 業務利用を許可するサービス・アカウント・端末の特定・制限（私物端末禁止、私物アカウント禁止、会社が許可したサービス以外の利用禁止など）
• 指示や参照に利用可能な情報の特定・制限（個人情報・機密情報の入力禁止など）
• AI側の学習禁止設定実施（または学習されないプランの選定）
• 企業側のAI利用管理体制の整備（管理者の設置、利用状況監視体制構築など）
• 退職者・不要になった者のアカウント管理
• AI生成物を顧客などに提出する場合の確認体制の整備
• AI利用についての定期的な社員教育実施

まとめ

生成AIは、正しく使えば強力なツールになります。しかし、生成AIは魔法の道具ではなく、利用に責任を伴うツールであることを忘れてはいけません。ルールなき活用は企業にとって大きなリスクです。基本的には「使う前にルールを決める」「決めたルールは全員で徹底する」この2つが重要です。