投稿者 global-ai-media 
OpenAIがChatGPT等にパスワード不要のログイン機能(パスキー認証)を導入しました。このセキュリティ強化は歓迎すべきものですが、一方でアカウント復旧に関する制限もあり、日本企業におけるAIツールの管理方針に新たな課題を投げかけています。
ChatGPTにおけるパスキー認証導入の背景
OpenAIは、ChatGPTなどのユーザー向けに「Advanced Account Security(高度なアカウントセキュリティ)」の一環として、パスキーやハードウェアセキュリティキーによるパスワードレスログインを導入しました。パスキーとは、スマートフォンやPCの生体認証(指紋や顔認証)を用いて安全にログインする仕組みであり、従来のパスワードに比べてフィッシング詐欺(偽サイトに誘導して認証情報を盗み出す手口)に対する耐性が非常に高いことが特徴です。
企業において生成AIの業務利用が急速に進む中、AIサービスのアカウント乗っ取りによる機密情報の漏洩リスクは無視できません。今回のOpenAIの対応は、グローバルで高まるAI利用時のセキュリティ要件に応えるものであり、ユーザーの利便性と安全性を両立させる重要なステップと言えます。
セキュリティ強化の裏にある「リカバリの制限」というリスク
一方で、本機能の導入に際して留意すべき点があります。それは、パスキーやセキュリティキーを紛失した場合のアカウント復旧(リカバリ)手段が限定的になるということです。セキュリティを強固にするほど、正規のユーザーであっても認証デバイスを失った際のアクセス回復が困難になるという、セキュリティと利便性のトレードオフが存在します。
万が一、従業員が認証に使用しているスマートフォンやPCを紛失し、かつ適切なバックアップ手段を講じていなかった場合、ChatGPT上の過去の対話履歴や保存されたデータにアクセスできなくなる恐れがあります。これは、日々の業務効率化やプロダクト開発の壁打ち相手としてAIを日常的に活用するユーザーにとって、業務継続における重大なリスクとなります。
日本企業の組織文化とAIアカウント管理の課題
日本の企業文化では、ITツールのパスワード忘れやアカウントロックアウトに対し、情報システム部門が手厚いサポートを提供する傾向にあります。しかし、個人単位でパスキーを設定するようなクラウドサービスの場合、企業側でアカウントの復旧をコントロールすることが極めて難しくなります。
特に、会社が公式に許可・提供していない個人のChatGPTアカウントを業務で利用する「シャドーAI」が横行している組織では、このリスクが顕在化しやすくなります。従業員の自己責任に依存したアカウント管理は、結果として業務継続性の低下や、退職時のデータ引き継ぎの困難さといったガバナンス上の問題を引き起こします。
日本企業のAI活用への示唆
今回のOpenAIのパスキー対応は、AIサービスのセキュリティが成熟していく過程の象徴的な出来事です。日本企業が安全かつ継続的にAIを活用していくためには、以下の点に留意して実務を進める必要があります。
第一に、業務での生成AI利用においては、個人アカウントの利用を原則禁止または制限し、企業向けプラン(ChatGPT EnterpriseやTeamなど)を導入することです。これにより、SSO(シングルサインオン:1度の認証で複数のシステムを利用できる仕組み)連携を通じた企業側での一元的な認証・アクセス制御が可能となり、デバイス紛失時のリスクや退職時のアカウント管理を情報システム部門の統制下に置くことができます。
第二に、最新のセキュリティ動向を踏まえた社内ガイドラインの定期的な見直しです。パスキーのような新しい認証技術のメリットを理解しつつ、利用時のデバイス管理方針や紛失時の報告フローを明確にすることが求められます。利便性の高いAIツールを安全な環境で提供し、従業員がコンプライアンスを担保しながら安心して新規事業開発や業務改善に取り組める土台作りこそが、AI時代における企業の競争力に直結します。