シャドーAIはすでに職場に広がっている
AIは今までにないスピードで発展しており、それに伴うリスクも拡大しています。従業員は、機密データをCopilotに貼り付けたり、AIアシスタントに重要なコードを生成させたり、大規模言語モデル(LLM)に頼って戦略的な推奨事項を作成したりしています。
これは単に「チャットボットを試している」レベルの話ではなく、何十億円規模のビジネスを扱う企業の意思決定の根幹に関わる問題です。
総務省の調査によると、日本企業における業務での生成AI利用率は55.2%に達しています。一方で、AI活用に関する方針を明確に定めていない企業も多く、特に中小企業では約半数が「明確な方針がない」と回答しています。
つまり、多くの取締役会は、社内でどのAIツールが使用されているのか、誰がどのような目的で利用しているのかといった基本的な情報さえ把握できていないのが現状です。
-
未承認のAIを従業員が無断で使用する「シャドーAI」が企業で広がっている Photo:PIXTA
任意規制では不十分、日本企業のAIガバナンスの課題
日本政府はAIの研究開発と活用を促進するAI推進法を成立させ、「AI事業者ガイドライン」などの指針を策定しています。しかし、これらの多くは任意規制であり、企業に対する義務や罰則は限定的です。
その一方で、上司の承認を得ずにAIを利用する「シャドーAI」は急速に拡大しています。経営層が法律や規制の整備を待っているだけでは、対応が後手に回る可能性があります。
AIは新たなアタックサーフェス(攻撃対象領域)
AIはすでに企業リスクの新たなカテゴリになりつつあります。Copilotの設定ミスによって機密データが漏えいする可能性があるほか、AIエージェントはプロンプトインジェクションやジェイルブレイク、悪意のある学習データなどによって不正に操作される可能性もあります。
効率化のために導入されたAIが、結果として内部脅威となるケースも考えられます。
しかし、経営層が「知らなかった」と言い訳することは難しくなっています。クラウド導入時と同様に、導入が先行し、その後にリスクや規制が追いつくという構図がすでに見え始めています。
国内のAI政策の司令塔であるAI戦略会議の意識調査では、「現在の規則や法律でAIを安全に利用できる」と回答した人は13%にとどまりました。一方で、77%が「AIには規制が必要」と回答しています。
また、企業に求めたい取り組みとして最も多かったのは「顧客データの安全性とプライバシー保護の強化」で66%でした。
取締役会が負うべき「AIガバナンス」の責任
経営層にとってサイバーセキュリティは、もはやCIO(最高情報責任者)の予算項目だけの問題ではありません。規制当局や投資家、顧客のすべてが企業のガバナンスを問うようになっています。
シャドーAIも例外ではありません。企業はAI利用の実態を可視化し、AIポリシーを技術的に管理できる体制を整える必要があります。
サイバーセキュリティの不備によって役員が個人的責任を問われるケースも増えています。AIのリスク管理を怠れば、企業の損失だけでなく、風評被害や訴訟リスクにもつながる可能性があります。
AIセキュリティ対策は、将来の問題でも他人の問題でもありません。これは企業リスクの新たなフロンティアです。
AIガバナンスへの対応を怠れば、過去にクラウドセキュリティの重要性を過小評価した企業と同じ過ちを繰り返すことになりかねません。
シャドーAIは、この10年における企業経営の盲点の一つであり、決して見過ごしてはならない問題です。
Microsoft、2月の月例更新プログラム「KB5077181」に複数の不具合の可能性
