人材育成生成AIで情報漏洩を防ぐには？社員に教えるべき「入力してはいけない情報」とセキュリティの基本ルール

なぜ生成AIで情報漏洩が起きるのか

生成AIによる情報漏洩は、主に3つの経路で発生します。

無料版や個人向けの生成AIサービスの多くは、入力されたデータをAIの学習に利用することがあります。一度入力した機密情報がAIの「知識」の一部として取り込まれ、将来的に他のユーザーへの回答として意図せず出力される可能性があります。

業務効率を優先するあまり、社外秘の資料や顧客リスト、開発中のデータを、リスクを認識しないまま生成AIに入力してしまうケースです。情報漏洩の原因として最も多く指摘されるのが、この人的ミスです。

マルウェア感染によってブラウザに保存されたIDやパスワードが盗まれ、生成AIのアカウントが乗っ取られるケースもあります。サービス提供側の不具合やサイバー攻撃によって、入力データが流出するリスクもゼロではありません。

特に注意すべきは経路1と経路2です。どちらも「社員が知らずに機密情報を入力してしまう」ことが引き金になっており、教育とルール整備で防げるリスクだからです。

多くの企業でルールがないままAIが使われている

生成AIのセキュリティ問題で最も多いのが、「社内にルールがないまま、社員が個人の判断で使い始めている」という状態です。実際に企業から寄せられる相談を見ると、その深刻さがわかります。

インターネット・アカデミーにご相談いただいたある金型製造業（従業員約100名）では、社員が個人の判断でChatGPTやCopilotを使い始めていましたが、会社としての規定やルールが未整備でした。「適切な使用方法や注意点を理解しないまま使っているメンバーが多く、情報漏洩のリスクがある」というのが担当者の切実な悩みでした。図面データなど機密性の高い情報を扱う現場では、一度の漏洩が経営を揺るがしかねません。

Google Workspaceを全社導入し、全社員がGeminiを使える環境を整えたある教育系企業（従業員約128名）でも、「社員のAIリテラシーにばらつきがあり、情報漏洩などのセキュリティリスクへの懸念から、活用推進に不安が残る」というお悩みがありました。ツールを配ったものの、安全に使うための知識が追いついていなかったのです。

従業員約440名のあるエネルギー関連企業では、より具体的な懸念が挙げられていました。「無料版AIツールに機密情報や売上データを入力することによるデータ学習・外部漏洩のリスク」です。一部の社員は有料版を使う一方、多くの社員が無料版を使っており、社内のリテラシー格差がそのままセキュリティリスクになっていました。

これらに共通するのは、ツールの普及にルール整備と教育が追いついていないという点です。

「AI禁止」は解決策にならない

情報漏洩のリスク対策として「生成AIの利用を全面禁止」を考える企業もありますが、完全な禁止は現実的な対策とは言えません。

まず、生成AIは業務効率化に大きく貢献するため、禁止すれば競合にビジネス上の後れを取ることになります。また、禁止しても社員は個人の端末でこっそり使う「シャドーAI」が発生し、かえって管理できないリスクが生まれます。

重要なのは、リスクを正しく理解して管理することです。そのために必要なのが、入力してはいけない情報の明確化と、社員のリテラシー教育です。

社員に教えるべき「入力してはいけない情報」

生成AIを安全に使うために、最低限、社員全員が理解しておくべき「入力してはいけない情報」があります。以下を社内ルールとして明文化することが第一歩です。

ポイントは、誰が読んでも判断に迷わない具体的なリストにすることです。曖昧なルールは現場の判断ミスや都合の良い解釈を招きます。たとえば「個人名はイニシャルに置き換えてから入力する」など、実務に即した運用ルールまで落とし込むと効果的です。

組織として整備すべき3つの対策

入力してはいけない情報の周知に加え、組織としては次の3つを整備することで、情報漏洩リスクを大きく下げられます。

利用してよいAIサービスとNGのサービス、入力してはいけない情報、出力物のファクトチェック義務、著作権への配慮、問題発生時の報告フローなどを明文化します。経済産業省の「AI事業者ガイドライン」などが策定の参考になります。

多くの生成AIサービスには、入力データを学習に使わせない「オプトアウト」設定があります。さらに、法人向けプランを導入すれば、データ保護やアクセス管理の機能が整っており、リスクを大幅に下げられます。個人アカウント任せにせず、情報システム部門が一括で管理することが重要です。

どれほど優れたルールやシステムがあっても、最終的にツールを扱うのは「人」です。「なぜ入力データが漏洩するのか」という仕組みや、実際に起きた漏洩事例を共有し、リスクを自分ごととして理解してもらうことが欠かせません。

特に対策3は、対策1・2の土台になります。ルールを作っても、その背景にあるリスクを社員が理解していなければ、そのルールは形骸化するためです。

リテラシー教育とルール整備を同時に進めるには

ここまで触れてきたとおり、生成AIのセキュリティ対策は「ルールを作る」「ツールを制限する」では不十分で、社員一人ひとりがリスクを理解し、安全に使えるようになることが要諦になります。

ただ、多くの企業が「どんな教育をすればいいかわからない」「社内にルールを作れる知識がない」という壁に直面します。先ほどの金型製造業の担当者も「どのような教育が必要かが明確になっていない」と課題を語っていました。

こうした課題に対しては、AIのセキュリティリテラシーとガイドライン整備を体系的に学べる研修の活用が有効です。インターネット・アカデミーの「AIガバナンス研修」では、国内外のAIリスク事例やAI事業者ガイドライン、著作権法・個人情報保護法を実務的に理解し、自社のAI利用ガイドラインを作成できる力を養います。法律の概論にとどまらず、リスク判断ワークやガイドライン作成演習を通じて、研修後すぐに職場でAIガバナンスを実践できる状態を目指します。

DX推進・法務・情報システム・経営企画部門の方はもちろん、全社員のセキュリティリテラシーを底上げしたい企業にとって、有効な選択肢となります。

まとめ

生成AIの情報漏洩対策について、要点を整理します。

• 生成AIの情報漏洩は「入力データの学習利用」「人的ミス」「アカウント乗っ取り」が主な経路
• 多くの企業は「ルールがないまま社員が使い始めている」状態にあり、教育とルール整備が追いついていない
• 「全面禁止」は解決策にならず、かえってシャドーAIを生む
• まず「入力してはいけない情報」を誰でも判断できる形で明文化する
• 「ガイドライン策定」「学習オフ・法人プラン」「リテラシー教育」の3つを整備することが有効
• なかでもリテラシー教育は、ルールを形骸化させないための土台になる

インターネット・アカデミーでは、AIのセキュリティリテラシーから社内ガイドラインの作成までを実践的に学べる「AIガバナンス研修」を提供しています。「社員が勝手にAIを使っていて不安」「ルールを作りたいが知識がない」といったお悩みがあれば、1,200社以上のAI・DX人材育成実績をもとに、貴社に合った形をご提案します。お気軽にご相談ください。