投稿者 global-ai-media 
各部門が独自のAIアシスタントを構築できる機能が普及する中、利便性と引き換えにセキュリティリスクも高まっています。本記事では、SaaSセキュリティ企業によるGoogle Gemini Gems向け監視機能のニュースを起点に、日本企業がカスタムAIを安全に運用するためのガバナンスについて解説します。
カスタムAIアシスタントの台頭とシャドーAIのリスク
近年、生成AIの業務利用が進む中で、特定の業務やプロジェクトに合わせてカスタマイズされたAIアシスタントのニーズが高まっています。Googleが提供する「Gemini Gems」もその一つであり、ユーザーが独自の指示(プロンプト)や専門知識を付与することで、特定のタスクに特化したAIを簡単に作成できる機能です。同様の機能はOpenAIのGPTsなどでも提供されており、現場の業務効率化を推進する強力な武器として注目されています。
しかし、こうしたカスタムAIの作成が現場のユーザー主導で容易に行えるようになることで、情報システム部門の目が届かない「シャドーAI」化が進行する懸念があります。例えば、従業員が良かれと思って社内の機密データや顧客情報を読み込ませてAIアシスタントを作成し、意図せず不適切な権限設定で組織内外に共有してしまうリスクが考えられます。特に、情報管理に厳格な日本企業においては、こうしたリスクがAI導入の大きな障壁となりがちです。
SaaSセキュリティソリューションによる可視化と制御
このような課題に対し、SaaS環境のセキュリティを専門とするDoControl社が、Google Gemini Gems向けのセキュリティカバレッジ(可視化、監視、自動制御)の提供を開始したことが報じられました。これは、誰がどのようなカスタムAIを作成し、社内のどのデータにアクセスさせているかを一元的に把握し、ポリシーに違反する挙動を自動的に制限するための機能です。
このニュースが示唆しているのは、生成AIのセキュリティ対策が「プロンプト入力時のデータ保護」という初期段階から、「作成されたカスタムAIそのもののライフサイクル管理とアクセス制御」という次のフェーズへ移行しているという事実です。AIガバナンスを維持するためには、従業員のITリテラシーや性善説に頼るだけでなく、システム的な可視化と自動制御の仕組みが不可欠になっています。
日本の法規制・組織文化とガバナンスのあり方
日本企業におけるAI活用では、個人情報保護法や不正競争防止法(営業秘密の保護)への対応が強く求められます。万が一、カスタムAIを経由して個人データや機密情報が漏洩した場合、企業の信頼失墜や法的なペナルティに直結します。そのため、日本の組織文化では「リスクが完全に払拭されるまで新しいツールの利用を禁止する」という保守的な判断が下されることも少なくありません。
しかし、一律に禁止するアプローチは、現場の業務効率化の機会を奪うだけでなく、個人のスマートフォン等を使って隠れてAIを利用するより危険な状態を招く恐れがあります。企業に求められるのは、Gemini GemsのようなカスタムAIの利便性を享受しつつ、情報システム部門が利用状況を監視し、不適切なデータ連携を未然に防ぐ「ガードレール」を設けることです。テクノロジーによる監視・制御の仕組みを導入することで、経営陣やコンプライアンス部門の不安を払拭し、組織全体での安全なAI活用を推進することが可能になります。
日本企業のAI活用への示唆
第1に、現場主導のAIカスタマイズを把握する仕組みの構築です。従業員がどのような業務課題を解決するためにカスタムAIを作成しているかを可視化することは、セキュリティリスクの低減だけでなく、全社的な業務改善のヒントを発見することにもつながります。
第2に、ルールの形骸化を防ぐシステム的制御の導入です。ガイドラインの策定や従業員教育は重要ですが、それだけではヒューマンエラーを防ぎきれません。今回ニュースとなったようなSaaSセキュリティツールやCASB(クラウドアクセスセキュリティブローカー)などを活用し、機密データの読み込みや外部共有を自動的にブロックする仕組みを検討すべきです。
第3に、「禁止」から「安全な活用」へのマインドシフトです。生成AIの機能は日々進化しており、現場のユーザーが自らAIをカスタマイズする時代はすでに到来しています。日本特有の厳格なコンプライアンス要件を満たしつつ、グローバルな競争力を維持するためには、最新のセキュリティソリューションを適切に評価・導入し、従業員が安心してAIを活用できる環境を整備することが、今後の意思決定者やIT部門に課せられた重要なミッションと言えます。