⽣成AIを使⽤する際、ユーザーは多くのデータを⼊⼒します。AIはそれらの情報を⽤いて⾏動パターンを学習し、将来予測や、迅速かつ効率的な作品・⾳声・画像の作成・模倣を⾏います。企業にとって有益に活⽤できる可能性がある⼀⽅、専⾨家はデータの漏洩、知的財産の喪失、その他のデータセキュリティリスクが指数関数的に増加するであろうと警告しています。

これらの問題点は、⼊⼒された情報がプラットフォームの⼤規模⾔語モデル（LLM：Large Language Models）のための訓練データになる点にあります。
チャットGPTは処理精度を向上させるため、ユーザーが⼊⼒したデータを保持するからです。ユーザーがチャットGPTに企業秘密と知的財産を⼊⼒することは、運営会社であるオープンAI社に情報を渡してしまうことになるのです。

最善の⽅法は、企業が従業員に、職場におけるAIの使⽤の許容可能な範囲あるいは許容できない範囲を明確に伝えることです。個⼈データでも、企業にとって商業的価値のあるものでも、システムコードでも、そのツールに⼊⼒できるものと⼊⼒できないものを明確にするルールを確⽴する必要があります。

AI技術に関連する潜在的なリスクを評価するには、使⽤中のAIシステム、それらが処理するデータ、潜在的に脅威となるプログラム⾔語配列を明確にする必要があるでしょう。その上で既存のセキュリティ対策を評価すると、対処すべきギャップを明確にできます。

データの安全な収集、保管、処理を確実にするための包括的な⽅針と⼿順を開発することによって、強固なデータガバナンスを実施することも重要なステップとなります。具体的には、機密データを暗号化してアクセス・コントロールを実施し、データの取扱⼿続を定期的に監査するなどです。

また、潜在的な脆弱性を報告してセキュリティ意識の⽂化を醸成したり、データ最⼩化戦略を実施したりすることも、潜在的リスクの低減に役⽴ちます。企業が保有するデータが多いほど、盗まれる可能性のあるデータが多くなり、世界中のデータ規制当局からのランサムウェアに対する要求や罰⾦が増える可能性があるからです。

AIの主要なリスクの中には、既知のサイバーセキュリティリスクと⾮常に似通ったものもあります。そのため技術的・組織的な対策を調整することで、AIデータガバナンスの枠組みを確⽴できる可能性もあります。しかし、リスクマネージャーはAI特有のリスクを認識しておく必要があります。代表的なものを紹介します。

たとえ必要な対策が既存のガバナンス措置と類似しているように⾒えるとしても、これらのリスクには専⾨的な軽減アプローチが必要となります。

世界中のさまざまな地域で、AIに特化した法律制定に向けた動きがあり、EU（欧州連合）のAI法は、発効の最終段階にきています。

国際的総合法律事務所でパートナーを務める法律家は、次のように指摘します。「EUで提案された法律の特定の側⾯は、間違いなく、そのうち明確になるでしょう。AI⾃体の定義や解釈、そして最終的には、どの技術が法律の要件の対象となるかは、特定の問題を引き起こす可能性があります」。

⼀部の専⾨家は、サイバーリスクの増加はAIの責任ではなく、リスクマネジメントが不⼗分なためであると考えています。⼤⼿AIセキュリティ企業の幹部は、企業のワークフローのすべてにAIを統合するのは早いと⾔います。その理由を次のように説明しています。

「AIの利活⽤を最適化するために、どのように組織や機能、業務を変えていけばいいか、時間をかけて解明した⼈はいない。我々のワークフローは、何世紀にもわたって⼈間の相互作⽤を管理するように調整されてきた。AIを実装するための単純なリプレース（置き換え）は、意図しない結果の⼤暴⾛を招くかもしれない。⼤中規模の企業は、企業内政治、予算の制約、株主への責任の問題が加わり、変⾰に関しては硬直的で柔軟性に⽋ける機関である。AIをこうした組み合わせの中に単純に取り⼊れるのでは、回避可能な痛みと失敗を⽣み出すことになるだろう」。

AI技術は急速に進歩しています。先週まで有効だった対策が、今週も有効だとは限りません。リスクマネージャーはAIのリスクを理解し、適切な対策を整備することに加え、新たな脅威に適応できる柔軟性のあるガバナンスや枠組みを確保できるように⾏動する必要があります。

そのためには、AIに関連するリスクと適切な予防対策について全社的な共通の理解が不可⽋です。サイバーセキュリティの専⾨家、AIの専⾨家、法務・コンプライアンスチームを巻き込み、組織全体の連携を促進していきましょう。