1. コラム
  2. コラム
  3. 生成AIの情報漏えいを防ぐには?原因と対策、体制づくりのポイント

生成AIの情報漏えいを防ぐには?原因と対策、体制づくりのポイント

オフィス環境

生成AIのビジネス活用を進めたいと考えていても、情報漏えいリスクが障壁となり、導入が後手に回ってしまう企業は少なくありません。生成AIに関する多くのリスクは「入力した情報がどのように扱われるか」という点に起因し、自社独自のルールを設けただけでは防ぎきれない場合があります。

そこでこの記事では、生成AI活用に伴う情報漏えいの原因を整理し、ガイドライン策定をはじめとした具体的な対策を解説します。法人向け生成AIサービスの組織的活用に加え、DLPやCASBといった技術的に情報漏えいを監視・制御する方法にも触れ、安全に生成AI活用を推進できる環境作りの参考にしてください。

生成AI活用で情報漏えいが起こる主な原因

生成AI活用における代表的な情報漏えいリスクとして、入力した機密情報がモデル学習に使われる点が挙げられます。シャドーAIも注意すべき要因の1つです。さらに、サービス側のバグや設計不備による意図しない情報開示や、不正アクセスなどサイバー攻撃による情報窃取が発生する可能性もあります。

入力した機密情報がモデル学習に使われる

生成AIサービスでは、ユーザーが入力したデータをAIモデルの学習に利用する場合があります。例えばChatGPTを提供するOpenAI社やGeminiを提供するGoogle社は、入力データをモデル改善に活用している旨を公表しています。

そのため、プロンプトやアップロードしたファイルに社外秘データや個人情報が含まれていると、自動的にモデル学習に利用され、他のユーザーの出力結果に反映される形で漏えいが起こる可能性があります。つまり、リスクの認識不足や不注意によって入力した秘密情報の一部が、他者から参照可能な状態になる恐れがあります。

シャドーAIで想定外の経路から情報流出

シャドーAIも情報漏えいの原因となります。生成AIは業務効率化に役立つ一方で、組織として厳しい利用制限を設けていたり、利便性の高い利用環境が整備されていなかったりする場合、従業員が承認されていない生成AIサービスを無断で業務利用することがあります。この状況をシャドーAIと呼びます。

シャドーAIには複数のリスクがありますが、特に問題となるのは管理外で行われる生成AI利用によって情報漏えいリスクが増大する点です。利用の実態を把握できないため、知らぬ間に組織を危険にさらしている可能性があります。

サービス側のバグや設計不備による情報開示

生成AIサービスのバグや設計不備によって、ユーザーが予測できない情報漏えいが発生する場合もあります。例えば、生成AIとのやりとりやアカウント情報が、別のユーザーに表示されてしまう不具合などです。

実際にChatGPTでは、過去に一部ユーザーのチャット履歴などが他人に公開されかねない状態になった事例があります。この不具合は短時間で解消されたものの、システムを過信せず、何らかの不具合が起こり得ることを前提に利用方法を検討する姿勢が重要です。

不正アクセスなどサイバー攻撃による情報窃取

サイバー攻撃によって生成AIで利用する情報が漏えいする可能性もあります。

  • ダークウェブに流出したアカウント情報などを悪用した不正アクセスによる、ユーザーアカウントの乗っ取りと履歴情報などの窃取
  • ベンダー側のサーバの脆弱性を悪用した不正アクセスによる、各種データの窃取や改ざん、破壊
  • RAGなどでシステム間通信を行う環境での、プロンプトインジェクションなどによる企業の秘密情報の窃取
お問い合わせはこちら

生成AI活用による情報漏えいの具体的対策6選

生成AI活用における情報漏えいリスクの対策としては、生成AIガイドラインの策定と運用が基本となり、特に機密情報の入力やオプトアウト設定に関するルール順守が重要です。法人向けの有料AIサービスの利用も有効であり、さらにDLPやCASBなどを用いて技術的に情報流出やシャドーAIを監視・制御する方法も効果的です。

1.生成AIガイドラインの策定と活用文化の醸成

情報漏えいを防ぐための基本施策として、生成AIガイドラインを策定し、組織としての生成AI活用の目的や行動指針を明確にすることが挙げられます。

従業員のリスク管理意識が低いと情報漏えいが起こりやすく、反対にルールを厳しくし過ぎるとシャドーAIが発生しやすくなります。許可対象の生成AIサービスの利用を促しながら、「避けるべき利用方法」を併せて示し、組織としてのリスク管理の文化を育てることが重要です。

そのためには、推奨ルールの明文化と社内教育が欠かせません。経済的・法的リスクや効果的な活用方法を具体的に提示して理解を促しましょう。

2.機密情報を入力しない意識付けを図る

生成AI活用における基本ルールとして、「機密情報を入力しない」ことを徹底する必要があります。
生成AIサービスはプラットフォームやプランによってモデル学習へのデータ利用の有無やセキュリティレベルが異なります。セキュアな環境に慣れてしまうと、別のサービス利用時に油断が生じ、意図しない情報漏えいにつながる恐れがあります。

開発中のソースコードや顧客データなど秘匿すべき情報は原則入力しないというルールを設け、従業員の意識を高めておきましょう。

3.データ共有のオプトアウト設定を忘れない

モデル学習に入力データが利用される問題は、オプトアウト設定を行うことで一定の対策が可能です。

ChatGPTの無料プランやPlusプランでは、初期設定でモデル学習へのデータ利用が許可されています。サインイン後、設定メニューの[データコントロール]で[すべてのユーザー向けにモデルを改善する]をオフにすると、情報漏えいリスクを抑えられます。ただし設定後も入力データは一定期間保存され、ベンダー側の従業員が閲覧できる可能性があるため注意が必要です。

GeminiやCopilotなどサービスごとにデータの扱いは異なります。利用規約や仕様をよく確認し、情報漏えいリスクを十分に把握しておきましょう。

4.法人向けの有料AIサービスを利用する

より安全に生成AIを活用するには、法人向けの有料サービスを選択する方法が有効です。例えばChatGPTのBusinessプランやEnterpriseプラン、またOpenAI APIでは、標準でデータ共有がオプトアウト設定となっています。

Azure OpenAI Serviceを利用すれば、Microsoft Azureのセキュアなクラウド環境でGPT-5などのOpenAIモデルを実行できます。入出力データはモデル学習に利用されず、組織要件に応じて環境構築やセキュリティ設定を柔軟に調整することが可能です。

5.DLPなどで機密情報の入力(送信)を技術的にブロック

機密情報を含むファイルのアップロードやプロンプトへの入力を、DLPなどで技術的に禁止する方法もあります。個人情報や財務情報などをフィルタリング対象として設定しておくと、入力時に検出された際にアラート通知や操作のブロックが可能になります。

ソリューションによって機能は異なりますが、組織内通信を対象としたリアルタイム検知ができるため、生成AIサービス側の設定ミスがあっても機密情報の漏えいを防止できます。

6.CASBなどで総合的なアクセス制御とシャドーAIの抑制

より確実な対策としては、プロキシやファイアウォール、CASBなどを導入し、組織内の生成AIサービス利用を総合的に監視・制御する方法があります。

特定の有料サービスだけを許可し、無料サービスを禁止するなどのポリシーも設定でき、シャドーAIの抑制に大きく寄与します。利用状況の可視化や、不正アクセス・マルウェア感染などの脅威検知にも対応できるため、情報漏えいリスクを多面的に軽減できます。

お問い合わせはこちら

生成AIガイドラインに含むべき内容一覧

安全に生成AIを活用するためには、ガイドラインに次の内容を盛り込んでおくことが重要です。

  • 目的・適用範囲:生成AIを利用する組織としての目的や、承認済みサービス・プランを明確にする
  • 承認フロー:未承認サービスを利用する際の申請、承認、記録までの手順を定義する
  • 禁止事項:顧客情報や社外秘資料など、入力を禁止する具体的なデータを明記する
  • データ取り扱い:オプトアウト設定の実施や、入力データをマスキング(匿名化・抽象化)する際の手順を定める
  • アクセス管理:SSOや多要素認証の利用方針と、個人アカウントの利用禁止を明示する
  • 出力レビュー:著作権、商標権、肖像権など第三者の権利侵害の可能性を示し、生成物を社外公開する際の確認体制を定める
  • ベンダー選定基準:データ利用方針やセキュリティ認証、契約条件などを評価項目として示す
  • 教育・監査体制:定期的な従業員教育や、利用状況のモニタリング体制の概要を記載する
  • インシデント対応:問題発生時の報告手順と再発防止策の流れを整理する

情報漏えい対策を重視すると禁止項目が増えがちですが、「安全に活用するための指針」であることを踏まえ、前向きな内容として整えることが望ましいでしょう。

お問い合わせはこちら

安全な生成AI活用に役立つイッツコム記事を紹介

生成AIを安全に活用するには、ガイドライン策定などに携わる担当者に広範な知識が必要です。例えば、生成AIの仕組みや有料AIサービスの活用方法、「ありがちな失敗」を避けるための対策などです。こういった必須知識が得られるイッツコムのコラム記事3件を紹介します。

生成AIの基本概要と実務で役立つ活用法が分かる

生成AIの仕組みや従来型AIとの違い、画像・テキスト・音声といった多様な生成技術の特徴を分かりやすく解説した記事です。生成AI特有のリスクに加え、企業がどのような業務に生かせるのか、実務面での活用方法も紹介しています。AI活用の第一歩として理解しておきたい基本概念を整理でき、情報漏えい対策を検討する際の前提知識としても最適です。

【関連記事:生成AIとは?簡単に理解できる基本概要と実務で役立つ活用方法】

生成AIの活用事例からビジネスの課題を解決しよう

国内の企業や教育機関がどのように生成AIを導入し、生産性向上や顧客対応の改善などにつなげているかを紹介した記事です。Azure OpenAI ServiceやChatGPT Enterpriseなど、どのサービスをどのような業務に活用できるかのイメージもつかみやすく、情報管理の観点でも参考になります。安全性と利便性を両立させながらAIを活用するためのヒントが得られる内容です。

【関連記事:生成AIの活用事例7選!生産性向上などビジネス課題解決のヒント】

AI導入のパターンや流れ、失敗を避けるためのポイントを知っておく

AIを企業で導入する際のステップや検討プロセスを丁寧に解説し、プロジェクトの進め方や運用体制作りに役立つ記事です。導入時の課題やリスクマネジメントのポイントにも触れており、「ありがちな失敗」を避けるための必須知識が学べます。情報漏えいに限定せず視野を広げ、より安全な生成AI活用を目指したいニーズに適した内容です。

【関連記事:AI導入のパターンや流れを徹底解説!失敗を避けるためのポイントも】

お問い合わせはこちら

まとめ

生成AIは多くの業界で業務効率化や意思決定の支援に役立ちますが、活用を進める上では情報漏えいリスクへの備えが欠かせません。特に、入力したデータの取り扱いを正しく理解し、機密情報の入力禁止やオプトアウト設定、法人向けサービスの活用といった基本対策を徹底することが重要です。
AIを利用することでの情報漏洩のリスクやトラブルについて十分に理解したうえで、より安全かつ効果的にAIを活用していきましょう。

お問い合わせはこちら

おすすめ記事