本記事ではシャドーAIの概要や想定されるリスク、シャドーAIへの対応について解説します。
ビジネスにおいて生成AIを活用している事例が日々増えています。それに伴い、企業側が把握していないAIサービスを従業員が勝手に利用するといったような、リスクある行為も増えてしまっています。
企業において、情報システム部門が把握していないまま従業員が利用しているIT機器やサービスのことをシャドーITと呼びます。
2023年頃から画像や文章を生成する生成AIが登場し、ビジネス利用する例が増えてきました。しかし、中には情報システム部門が把握していない状態で、従業員が無断で業務での利用を認められていないAIサービスを利用している場合もあり、これらの事象はシャドーITにちなんで「シャドーAI」と呼ばれています。
生成AIは登場してから日が浅いため、従業員がAIサービスのリスクを認識できていない場合もあるでしょう。情報漏洩など企業に大きなダメージを与えるような問題に発展するケースもあり得るため、注意が必要です。
シャドーAIを利用すると、文章生成AIが入力された機密情報を漏洩させる、商用利用が認められていないAIサービスで作成した画像を業務で利用してしまう、などのリスクがあります。ツールについて情報システム部門が把握していないと、トラブル時の対応が遅れ、より大きな問題に発展するかもしれません。
ChatGPTのような文章生成AIに、文章の要約や英文の和訳、顧客データの分析などを依頼するケースは多いのではないでしょうか。利用したAIサービスの情報管理が不十分だと、入力した企業の機密情報や顧客の個人情報が、知らないうちに漏洩するリスクがあります。
ただし情報漏洩は生成AIに限った話ではなく、ほかのWebサービスやWeb検索などでも同様のリスクはあります。いかなる場合でも機密情報をWebサービスに入力すべきではありません。生成AI特有のリスクとしては、入力した情報をAIの学習データとして利用されてしまうケースがあり得ます。そうすると、同じサービスを利用する他者に向けて生成した回答に機密情報が含まれてしまう場合があります。
画像生成AIで生成した画像を製本して販売したり、商品のパッケージに利用したりした場合、著作権の侵害につながる恐れがあります。ただし、生成AIに関する著作権について法的な議論は十分に進んでいるとは言えず、明確な線引きが困難なケースも多くあります。
生成AIモデルの提供者によっては、利用規約等で商用利用を禁止していることもあります。情報システム部門の精査済みで、商用利用可能なサービスを利用していれば良いですが、従業員が知らずに商用利用禁止のツールを利用してしまうと、後々大きな問題に発展するかもしれません。
情報漏洩などのトラブルが発生した場合、金銭的な侵害が生じるだけでなく企業の信用失墜にもつながる恐れがあり、被害の拡大を防ぐには迅速な初動対応が求められます。しかし、シャドーAIとして利用されてしまったAIツールは情報システム部門が把握していないため、トラブル発生時の対応に時間がかかる可能性が高いです。
生成AIは業務効率化を目的として導入するケースも多く、利用禁止にすると隠れて利用される恐れがあります。生成AIを安全に活用するためにも、社内用のAIツールを導入する企業が増えています。
シャドーAIが発生するのは、生成AIを業務に活用したいというニーズがあるからだといえるでしょう。そういったニーズを無視して生成AIの利用を全面的に禁止としても、隠れて利用するケースが増える恐れがあり、余計に実態を把握できなくなるということにもなりかねません。
生成AIは新しい技術であるため、利用上のリスクを従業員が把握していない場合があります。さらに、一般ユーザーを対象としたウェブサービスとして生成AIを公開している例が増えており、従業員が知らずに利用していることもあります。生成AIを利用禁止とし、使い方を学ぶ機会を奪ってしまうと、AIを扱うリスクが余計に高まってしまいます。
ウェブサービスとして公開されているものと同等の機能を持つ、社内用の生成AIを活用している企業が増えています。例として、マイクロソフトが提供するAzure OpenAI Serviceを導入し、生成AIを利用している国内企業は2023年10月時点で560社に達しました。今後も活用する企業はさらに増えていくことでしょう。
セキュリティリスクに配慮した生成AIを利用すると、情報漏洩を気にすることなく、社内の機密情報などをそのままAIに入力できます。従業員が生成AIの活用方法を学ぶという点でも、社内用AIを導入できるなら積極的に活用するとよいでしょう。
シャドーAIの利用により、機密情報の漏洩や商用利用が禁止されている画像の利用といったリスクがあります。今の時点では生成AIを自ら利用するケースが大半ですが、今後さまざまなサービスにAIが組み込まれていくと、本人の知らないうちに利用しているケースも出てくるかもしれません。生成AIを利用禁止にしてしまうのではなく、情報漏洩などのリスクを考慮した上で、生成AIの活用方法を学べる場を作るとよいでしょう。