投稿者 global-ai-media 
ChatGPTにパスキーやセキュリティキーを利用した「高度なアカウントセキュリティ」機能が追加されました。このアップデートを契機に、日本企業がクラウド型AIを活用する際の認証強化と、情報漏洩リスクを防ぐためのデータガバナンスのあり方について実務的な視点で解説します。
AIツールにおけるアカウント保護の重要性
OpenAIが提供するChatGPTにおいて、パスキーやハードウェアセキュリティキーを利用した「高度なアカウントセキュリティ」機能が提供されるようになりました。この機能はユーザーが明示的に有効化(オプトイン)することで利用可能となり、従来よりも強固な認証プロセスを実現します。
これまで、生成AIツールのアカウント保護は一般的なSaaSと同等に考えられがちでしたが、AIのアカウントには特有のリスクが存在します。チャット履歴には、未発表の事業計画、システム開発のソースコード、あるいは社内外の機密情報が含まれる可能性が高く、アカウントの乗っ取りは深刻な情報漏洩に直結します。今回のアップデートは、AIサービスプロバイダー側もこのリスクを重く受け止め、多要素認証(MFA)の高度化へと舵を切ったことを示しています。
日本の組織文化とAIアカウント管理の課題
日本企業におけるAI導入の現場では、「とりあえず使ってみよう」というボトムアップの動きが先行しがちです。その結果、一部の部署で共有のメールアドレスと単純なパスワードを用いてAIツールのアカウントを使い回すといった、セキュリティ上危うい運用が見受けられるケースがあります。
こうした運用は、不正アクセスに対して脆弱であるだけでなく、内部統制の観点でも大きな問題です。「誰が、いつ、どのようなデータを入力したか」という監査ログが追えなくなるため、万が一インシデントが発生した際の原因究明が極めて困難になります。特に、個人情報保護法や各種業界のガイドラインを遵守する必要がある日本企業において、アカウントの個別付与と認証の強化は、AIガバナンスの第一歩と言えます。
データ保護とAI学習設定の徹底
アカウントへの不正アクセス対策と同時に、企業が留意すべきなのが「入力データのAI学習(トレーニング)への利用」に関する設定です。ChatGPTなどの多くのAIサービスでは、個人向けの標準プランを利用している場合、入力したデータがモデルの学習に利用される可能性があります。
企業向けのプラン(EnterpriseやTeamなど)では、原則として入力データは学習に利用されませんが、個人アカウントを業務で利用する(いわゆるBYOAI:Bring Your Own AI)環境を許容している企業では注意が必要です。従業員一人ひとりにパスキー設定などの認証強化を促すとともに、データ学習のオプトアウト(除外)設定が確実に行われているかを確認する仕組みが求められます。
利便性とセキュリティを両立させるアプローチ
セキュリティを厳格化するあまり、パスワード変更を頻繁に求めたり、複雑なログイン手順を強要したりすると、現場の生産性向上というAI本来の目的が損なわれます。最悪の場合、従業員が会社の管理を逃れて個人のスマートフォンからシャドーITとしてAIを利用する事態を招きかねません。
今回導入されたパスキーのような生体認証(指紋や顔認証)ベースの仕組みは、ユーザーにとっては「覚える必要がないため手軽」でありながら、フィッシング耐性が高くセキュリティ面でも非常に強固です。企業側はこうしたモダンな認証技術を積極的に取り入れ、従業員に負担をかけずに安全なAI利用環境を整備することが重要です。
日本企業のAI活用への示唆
ここまでの要点と、日本企業の実務に向けた示唆を整理します。
第1に、アカウントの個別管理と認証の高度化です。AIツールを組織内で利用する際は、部門ごとの共有アカウント利用を直ちに廃止し、シングルサインオン(SSO)やパスキーなどを活用した強固な認証プロセスを標準化する必要があります。
第2に、明確なデータ取り扱いルールの策定と徹底です。「AIに入力してよい情報・いけない情報」のガイドラインを定めるだけでなく、利用するAIツールの学習オプトアウト設定が確実に行われているかを定期的に監査するプロセスを構築してください。
第3に、公式なAI環境の提供によるシャドーIT対策です。セキュリティリスクを恐れてAIの利用を全面禁止にするのではなく、企業向けプランを契約し、従業員が安全かつスムーズに最新のAIにアクセスできる環境を会社側が用意することが、結果として最も確実なガバナンスとコンプライアンスの強化につながります。