投稿者 global-ai-media 
生成AIの業務利用が急速に広がる一方で、機密情報や個人情報の漏洩リスクに対する懸念は依然として根強くあります。本記事では、ChatGPTの基本的なセキュリティ設定を振り返りつつ、日本企業が安全にAIを活用するためのガバナンスやリスク対応のあり方について解説します。
生成AI利用における情報漏洩リスクと「シャドーIT」の課題
ChatGPTのような大規模言語モデル(LLM)は、業務効率化やアイデア創出において非常に強力なツールです。しかし、従業員が会社に無断で個人アカウントを作成し、そこに業務データを入力してしまう「シャドーIT」が、多くの日本企業で喫緊の課題となっています。
特に注意すべきは、ChatGPTの無料版やPlus(個人向け有料版)におけるデフォルトの設定です。初期状態では、ユーザーが入力したプロンプト(指示文)やデータが、開発元であるOpenAIのAIモデルの学習に利用される可能性があります。未発表の事業計画や顧客の個人情報、ソースコードなどを入力してしまった場合、意図せず第三者への情報漏洩につながるリスクが否定できません。
アカウントを保護する基本的なセキュリティ設定
海外のテックメディアでも、ChatGPTのアカウントとプライバシーを保護するための設定見直しが推奨されています。実務者がまず確認すべきは「データコントロール」の項目です。設定画面からチャット履歴とモデル学習への利用をオフにすることで、入力データがAIの学習に使われることを防ぐことができます(オプトアウト設定)。
また、アカウント自体の不正アクセスや乗っ取りを防ぐため、多要素認証(MFA)の有効化も不可欠です。パスワードだけでなく、スマートフォンなどの認証アプリを組み合わせることで、セキュリティレベルを大幅に引き上げることができます。個人アカウントで試験的に業務ツールを利用する場合であっても、こうした自己防衛は最低限のITリテラシーとして求められます。
日本の法規制と組織文化を踏まえたガバナンスのあり方
日本企業が生成AIを本格的に導入する際、個人情報保護法や不正競争防止法(営業秘密の保護)へのコンプライアンスが重要な論点となります。そのため、セキュリティへの懸念から「生成AIの業務利用を全面禁止」とする企業も少なくありません。しかし、一律での禁止はかえって前述のシャドーITを誘発し、リスクを潜在化・深刻化させる恐れがあります。
現実的なアプローチとしては、企業向けに設計された法人プラン(ChatGPT TeamやEnterpriseなど)の導入、あるいはAPIを活用した社内専用環境の構築が挙げられます。これらの法人向け環境では、入力データがモデルの学習に利用されないことが規約で明記されており、管理者がアカウントやアクセス権限を一元管理可能です。また、日本の組織文化においては、システム的な制限だけでなく「入力してよい情報・いけない情報」を明確に定義したAI利用ガイドラインを策定し、継続的な社内教育を実施することが非常に有効です。
日本企業のAI活用への示唆
ここまでの要点と、日本企業における実務への示唆を整理します。
1. デフォルト設定のリスクを正しく理解する:無料版や個人向け有料版のChatGPTでは、入力データが学習に利用される設定がデフォルトとなっている場合があります。業務利用の際は、必ず学習への利用をオプトアウトするか、学習利用されない法人向け環境を利用するルール作りが必要です。
2. ガバナンスと利便性を両立する環境整備:セキュリティリスクを理由に利用を遠ざけるのではなく、従業員が安心して使える安全な環境を提供することが、情報漏洩やシャドーITを防ぐ最大の防御策となります。
3. アカウント管理と基礎的なセキュリティの徹底:多要素認証(MFA)の導入など、基本的なアカウント保護対策を徹底することは、AIに限らずクラウドサービス全般のセキュリティの土台です。自社のポリシーをAI時代に合わせてアップデートし、適切なリスク管理のもとでAIのメリットを引き出せる組織づくりを進めましょう。