投稿者 global-ai-media 
最近、海外でAIチャットボットの利用権や関連ギフトカードを装った不正請求詐欺が報告されています。本記事では、このニュースを起点に、日本企業が直面しうる「従業員によるAIツールの個人利用(シャドーIT)」と決済に潜むリスク、そして求められるガバナンス対応について解説します。
AIツールを騙る巧妙な不正請求の実態
生成AIの普及に伴い、世界中でAIツールに関連するサイバー犯罪や詐欺が増加しています。海外メディアの報道によると、大規模言語モデル(LLM)を用いた有名AIチャットボットの「ギフトカード」や「サブスクリプション費用」を装い、ユーザーのクレジットカードに数百ドル規模の身に覚えのない請求が行われる事案が発生しています。
こうした詐欺の手口は、AIツールの急速な普及と、ユーザー側の「最新ツールをいち早く試したい」という心理を巧みに突いたものです。正規のサービス登録画面を模したフィッシングサイト(偽サイト)に誘導されたり、偽の拡張機能を通じて決済情報を窃取されたりするケースが疑われています。
日本企業における「シャドーIT」と決済リスク
この海外の事例は、決して対岸の火事ではありません。日本国内の企業・組織においても、業務効率化のために従業員が個人でAIツールを契約し、後から経費精算を行うケースが散見されます。会社が公式に許可・導入していないITツールを業務で利用する「シャドーIT」は、機密情報の漏洩リスクだけでなく、今回のような金銭的被害や不正請求の温床にもなり得ます。
特に日本の商習慣では、部門ごとのコーポレートカード利用や、従業員個人のクレジットカードによる立替払いが一般的に行われています。もし従業員が偽のAIサービスサイトで決済情報を入力してしまった場合、会社の経費として不正請求が通ってしまったり、従業員個人のカードに継続的な被害が発生したりする恐れがあります。話題のAIツールの利用料だからと、経理部門が疑いを持たずに処理してしまうリスクも否定できません。
ガバナンスとコンプライアンスの再点検
企業がAIを安全に活用するためには、現場のモチベーションを削ぐことなく、適切なガバナンス(統制)を効かせることが重要です。まず、業務で利用可能なAIツールを明確にし、公式なガイドラインを策定・周知することが求められます。
セキュリティ基準を満たす法人向け(エンタープライズ版)のAIサービスを組織として一括契約し、従業員にセキュアな環境を提供することが、シャドーITを防ぐ最も有効な手段です。また、法人向けサービスを利用することで、自社の機密データがAIの学習に利用されないよう制御(オプトアウト)することが容易になり、日本の個人情報保護法や企業のコンプライアンス要件を満たす上でも大きなメリットがあります。
日本企業のAI活用への示唆
今回の事案から得られる、日本企業に向けた実務的な示唆は以下の通りです。
1. 法人向けプランの導入と一元管理:従業員による個人契約の乱立を防ぐため、企業としてセキュリティ要件を満たす法人向けのAIツールを導入し、アカウントや決済情報をIT部門等で中央集権的に管理すべきです。
2. 経費精算プロセスの見直し:SaaSやAIツールの利用料に対する経費精算のルールを厳格化し、不明瞭なサブスクリプション請求や「ギフトカード」名目の決済に対しては、経理部門と連携して厳しくチェックする体制を構築することが重要です。
3. リテラシー教育の継続:AIツールは非常に便利ですが、それを騙る詐欺や偽アプリも巧妙化しています。従業員に対して、公式ルートからのアクセス徹底や、怪しい決済画面を見抜くための情報セキュリティ教育を定期的に実施する必要があります。
AIのメリットを業務効率化や新規事業開発に最大限活かすためには、利便性と引き換えに発生しうるリスクを直視し、組織全体で安全に活用するための「守り」の土台を固めることが不可欠です。