シャドーAIのリスクと対策とは？会社に”無許可”で生成AIを業務に利用している実態が明らかに

シャドーAIとは？ 半数が会社に”無許可”で生成AIを業務に利用！

「会社の機密情報、ChatGPTに教えてない…？ 知らないうちにリスクを抱えるシャドーAIの実態」

近年、ChatGPTなどの生成AIを業務に活用する企業が増えていますが、その一方で、企業が許可していない生成AIを従業員が勝手に利用する「シャドーAI」が問題視されています。

例えば、以下のようなケースは、決して他人事とは言えないのではないでしょうか？

• 営業担当者が顧客とのメールのやり取りを効率化するために、ChatGPTに顧客情報を入力して返信文を作成
• マーケティング担当者が新しい広告コピーを考案するために、ChatGPTに過去のキャンペーンデータを入力

会社からは生成AIが禁止と言われているが、好奇心で試してみたかった。他の従業員も密かに使っていると聞いたから。など、たとえ会社が利用を禁止したとしても好奇心を抑えられない人は一定数いると考えられます。

実際に、ある調査によると「会社が許可していない生成AIを業務で利用したことがある方は半数以上」という結果が分かりました。さらに、「入力した情報は会社の機密情報でしたか？」という質問に、「多分機密情報出なかった」「機密情報かどうかわからない」「機密情報だった」という回答をしている方も多く見受けられたようです。

出展：2024年9月にコーレ株式会社が実施した「会社での生成AIの利用」に関する調査
調査人数：1,001人
調査対象：調査回答時に業務で生成AIを利用している20～50代の会社員であると回答したモニター
https://prtimes.jp/main/html/rd/p/000000036.000037237.html

生成AIは、今後ビジネスマンの業務に欠かせないツールとなってくるでしょう。しかし、管理者の知らないところで従業員が生成AIを勝手に使うことは、企業にとって大きなリスクが潜んでいます。

シャドーAIがもたらすリスク

シャドーAIは、従業員がどのように生成AIを使っているかを会社が把握・制御できないため、不適切な生成AIの利用が発生する可能性があります。その結果生じるリスクについては、以下のようなものがあります。

• 情報漏洩のリスク：機密情報や個人情報が生成AIに学習され、外部に漏洩する可能性
• 信頼性・正確性リスク：生成AIが生成した情報が不正確または偏っている可能性を考慮せず、そのまま利用し、誤った情報を利用してしまう可能性
• コンプライアンス違反のリスク：著作権侵害や不正競争防止法違反、その他、社内ルール違反のリスク
• セキュリティリスク：悪意のある生成AIツールを利用することで、ウイルス感染やサイバー攻撃のリスクが高まる可能性

情報漏洩のリスクについて

Cyberhaven Labs の調査によると、従業員がAIツールに入力するデータのうち、機密情報が占める割合は2023年3月の10.7%から2024年3月には27.4%に増加しました。これは、AIの利用が社内の様々な部門やユースケースに拡大し、機密データを含むデータの入力が増加していることを示しています。

AIツールに入力される機密データの種類としては、顧客情報を含むカスタマーサポートデータが16.3%と最も多く、次いでソースコードが12.7%を占めています。後者は、開発者が承認されていないサードパーティ製のAIツールにソースコードをコピー＆ペーストしているケースであり、企業が認可したツールは含まれていません。

この調査結果は、AIの利用拡大に伴い、企業が機密データの保護にこれまで以上に注意を払う必要があることを示唆しています。

引用：https://www.cyberhaven.com/blog/shadow-ai-how-employees-are-leading-the-charge-in-ai-adoption-and-putting-company-data-at-risk

情報流出の経路

Cyberhaven Labs の調査によると、AIツールへの情報流出のほとんどは、ファイルアップロードではなく、コピー＆ペーストによるものです。

従来のセキュリティ対策では、ファイルのアップロードやダウンロードを監視することで情報漏洩を防ぐのが一般的でしたが、コピー＆ペーストによる情報流出を防ぐことは難しく、多くの企業で見落としがちです。

さらに、ChatGPT 利用の73.8%は、企業のセキュリティポリシーが適用されない個人アカウントで行われているという現状も、リスクを高める要因となっています。

引用：https://www.cyberhaven.com/blog/shadow-ai-how-employees-are-leading-the-charge-in-ai-adoption-and-putting-company-data-at-risk

このデータは、従業員がAIツールに機密データを入力する際、会社のアカウントを使用しているか、個人のアカウントを使用しているか の割合を示しています。

青色の部分が個人のアカウント、赤色の部分が会社のアカウント を使用して入力されたデータ量を表しています。

例えば、法務部門では、82.8%の機密データが個人のアカウントを使用してAIツールに入力されているのに対し、会社のアカウントを使用して入力されているのは17.2%に過ぎません。

このデータから、多くの従業員が、会社のセキュリティポリシーが適用されない個人のアカウントを使用してAIツールに機密データを入力していることが分かります。これは、企業にとって大きなセキュリティリスクとなります。

【事例でわかる】不適切な生成AIの利用が引き起こした具体的な被害

事例1:情報漏洩

韓国サムスン電子では、従業員が ChatGPT などの生成AIツールにセンシティブなデータ（社内ソースコードなど）をアップロードし、情報漏洩が発生しました。

このため、サムスン電子は社内ネットワークでの生成AIツールの使用を禁止する新ポリシーを策定しました。

従業員は、個人所有の端末で生成AIツールを利用する場合でも、サムスンの知的財産や会社関連の情報、個人データを入力することが禁止されています。

引用：https://forbesjapan.com/articles/detail/62905

事例2: 信頼性・正確性リスク

アメリカの法律事務所で、弁護士が「ChatGPT」が出力した架空の判例を引用し、大問題となりました。この問題は、原告の弁護士がChatGPTを使用して存在しない判例を引用した書類を提出したことが発端です。被告側が判例が存在しないことを指摘し、裁判所が調査を命じた後も、弁護士たちは虚偽の申告を繰り返しました。

審問では、弁護士たちはChatGPTを使用した経緯や、虚偽の申告をした理由について説明しました。しかし、裁判官は彼らの説明を受け入れず、制裁を科すことを決定しました。

この事件は、生成AI技術の利用に伴う倫理的な問題や、法的責任について重要な教訓を与えています。

引用：https://www.nikkei.com/article/DGXZQOGN30E450Q3A530C2000000/

事例3: コンプライアンス違反のリスク

あるコンサル会社は、不動産会社から半導体市場の分析と人物相関図作成を依頼されました。しかし、担当役員は多忙のため、部下に仕事を任せました。納期が迫る中、部長は社内規定で禁止されている ChatGPT Plus を使用して作業を行い、不正確な情報を含む資料を作成してしまいました。その結果、不動産会社から抗議を受けました。

引用：https://www.mof.go.jp/public_relations/finance/202404/202404l.html

なぜ情報漏洩が起こる？ 生成AIの仕組みとリスク

生成AIの中には、ユーザーとの会話の中で入力された情報を利用して、生成AI自身の学習を行うものがあります。

つまり、従業員が顧客情報や社内文書をChatGPTに入力すると、それらの情報が生成AIに学習され、別のユーザーがChatGPTに類似の質問をした際に、回答の一部として出力されてしまう可能性があるということです。

このように、シャドーAIによって情報漏洩が発生すると、その影響範囲は全世界に及び、企業の信用失墜、顧客離れ、訴訟リスクなど、計り知れない損害を被る可能性があります。

情報漏洩・訴訟リスクから会社を守るには？

生成AIはもちろん便利なツールですが、リスクを未然に防ぐため適切な対策を講じる必要があります。

• 社内ルールの策定：生成AIの利用に関する明確なルールを策定し、従業員に周知徹底する
• 従業員教育：シャドーAIのリスクやハルシネーションに関する知識など、適切な生成AIの利用方法に関する教育を実施する
• 適切なデータマネジメント：データの質の担保や、参照するデータ範囲を設定する
• 最適な生成AIツールの選定・導入：企業が承認した生成AIツールを導入し、利用状況を適切に管理する

上記の中でも、最適な生成AIツールの選定におけるセキュリティの確保は最も重要です。

個人向けの生成AIには、入力した内容が生成AIの学習に利用されるというものが多くありますが、例えば、Google の生成AIツール「Gemini for Google Workspace」のような企業向けの生成AIツールにおいては、入力した内容は生成AIの学習には利用されません。その他、さまざまなリスクを未然に防ぐように開発されているため、このようなツールを選定・導入することで安心して生成AIを利用できるでしょう。

詳細：Gemini の無料版と有料版、どっちを選ぶ？個人利用からビジネス活用まで徹底ガイド

まとめ：シャドーAI対策は会社の責務！

シャドーAIのリスクと対策について解説してきました。情報漏洩、コンプライアンス違反、セキュリティリスク… どれも見逃せない深刻な問題ではないでしょうか。従業員が生成AIをどのように利用しているか把握し、適切な対策を講じることは、企業の存続にも関わる重要な課題と言えるでしょう。ぜひ、今すぐ対策をはじめ、安全な生成AI活用を実現していただければと思います。

「最適な生成AIツールの選定・導入」については、ぜひ弊社、吉積情報へご相談ください。また吉積情報では、 Google Workspace プレミアパートナーとして、Gemini for Google Workspace に関するサポートや教材、伴走支援もご用意しております。Gemini for Google Workspace を会社に導入したけれどもうまく定着しない、などのご相談も承っております。

まずは、「生成AIについて何から手を付けたらよいのか分からない」「とりあえず情報収集したい」などのご相談も大歓迎です！生成AIに関するセミナーも随時開催中です！お気軽にご参加ください。