はじめに
AIは、専門知識のない人でも高度なアウトプットができているように見せてくれます。それは大きな利点である一方、企業にとっては新しいリスクでもあります。従来なら担当者やその分野の専門家しか触れられなかった領域に、門外漢の他部署の担当者がAIを介してアクセスしたり、その分野の情報を、今までは理解できていなければ届かないはずのレベルで入手できてしまうのです。
そのとき、それが社内のシステムやデータベースだったら…
社内のデータ構造や権限管理が整理されておらず、誰でも触れられるような状態になっていると、情報漏洩やデータ破損のリスクは一気に高まります。AIの「使いやすさ」は、裏返せば「管理のしにくさ」でもあります。この点を見落としたまま活用を進めることが、機密情報の漏洩などの現場での事故につながっています。
AIは「非専門家の操作範囲」を広げる
AIが普及する前、社内システムの管理や運用は、情報システム部門というITリテラシーを持つ担当者が行うものでした。組織にとっては素人が不用意に触ることがない環境、それ自体がひとつの防壁として機能していました。専門知識を持つ担当者がゲートキーパーとなることで、意図しない操作や誤ったデータ処理を防いでいたわけです。
ところが今は、AIを介することでITに詳しくない担当者でも複雑な操作ができるように見えます。少なくとも「こうできたらいいのに」と思っていたことができてしまったりします。これは業務効率化という意味では大きな進歩ですが、「理解しないまま操作できる」という状態を同時に生み出します。
これは、見えた範囲で言えば「今まで一人でできなかったことができた」という画期的な現象ですが、それと同時に「実行した内容が影響を与える範囲やその影響の内容」を知らないとどのような副作用があるか分かりませんし、「その内容を実行するために必要な環境などの条件の変更」を知らなければ、AIが裏でどんなことをやっているかを想像することは不可能です。
社内システム・ファイルサーバー・データベースにAIが接続されている環境であれば、その影響は軽微では済みません。「誰でも使える」ということは、「誰でも事故を起こせる」ということでもあります。利便性とリスクは常に表裏一体であることを、まず認識する必要があります。
AI事故の本質は「業務設計の不在」にある
AI使用上に引き起こされる事故の多くは、AIの性能の問題ではありません。何をしてよいのか、どこまでアクセスしてよいのか、どのデータを扱ってよいのか、出力結果をどのように核にすればいいのか、何も知らない人が知らないまま行ってしまうことが原因です。組織的に言うのであれば、「業務設計が決まっていない」ことが原因です。AIは指示されたことを処理するだけで、指示の範囲と品質を決めるのは人間であり組織の設計です。
品質保証の文脈でいえば、工程が見えていない状態で検査水準を甘くする話と似ています。工程を把握せずに全数検査を抜き取り検査に変えたり、検査水準を甘くして母数に対して抜き取り数を減らすようなことがあれば、不良が増え、問題の所在が見えなくなります。
AIも同様で、業務の流れが見えていない組織に導入しても、リスクを増幅させるだけです。さらに、AIの出力はそれらしく見えるという点も注意が必要です。人間が書いたような自然な文章や、正しそうな数字を出力するため、誤りに気づきにくく、そのまま使って大丈夫そうな雰囲気を感じた使い手は内容の検証もせずそのまま出力を受け入れてしまいます。確認する仕組みがなければ、誤った情報や不適切な処理がそのまま業務に乗り込んでしまいます。
活用より先に把握すべきもの
ではAI活用を本格化する前に、まず何をすべきなのでしょうか。
まず確認すべきなのは社内システムの構成、サーバーの構成、データの所在、権限管理の状態、そして誰がどの業務でどのデータを扱っているかという実態です。これらが把握できていない状態では、AIに何を接続してよいか、どのような情報ならAIに入れていいのかの判断そのものができません。把握できていないものは管理できません。管理できないものに強力なツールを繋げることは、リスクの増幅以外の何物でもありません。
AI導入を検討する前に、まず自社の情報資産の棚卸しを優先すること、そして業務システムと業務フローを明確にすること。この作業は地味で時間もかかりますが、AI活用の土台になるだけでなく、組織のセキュリティ全体を底上げする取り組みでもあります。土台なき活用は、砂上の楼閣です。
AI時代のセキュリティは「禁止」ではなく「設計」である
社内でのAI利用を全面禁止にしても、現場の担当者が個人のデバイスや個人契約のサービスで使い始めるリスクがあります。社内データの送付などを私用端末で許可している(黙認している)企業の場合は、社内データがLLMに読み込まれるリスクが依然として存在し、社内端末での禁止はむしろ、私用端末に移した上でのAI使用という、管理されない環境を生み出すことにもなりかねません。現場の担当者が(組織にとっての)シャドーITとしてAIを使い始めれば、組織はその実態すら把握できなくなります。
必要なのは「禁止」ではなく、「設計」です。何に使うか、何に使わないか、誰がどの範囲で使うかを明確にすること。これがAI時代のセキュリティ対策の本質です。「何に使うかを決める」こと自体が、リスクを下げる最も有効な手段になります。
AIが危険なのではなく、整理されていない業務にAIを接続することが危険なのです。その認識の転換から、AI活用の安全な第一歩が始まります。
著者プロフィール
- 株式会社コルプ代表 / QA+編集長 Founder & CEO, QUALP Inc. / Editor-in-Chief, QA+
-
2008年より精密機器メーカにて民生機器の製品開発における品質保証業務に従事。機械部品を中心としたハードウェアの保証業務5年、機器に搭載するファームウェアの品質保証を4.5年経験。設計部門と連携した開発プロセスからの品質向上、量産を見越した品質構築を実現する。ハードウェア経験も活かしつつソフトウェアの品質向上を実現し、開発会社と連携した担当機種で不具合の低減を達成。
2018年に株式会社コルプを設立、代表取締役就任。写真・映像などのPRコンテンツの製作と品質保証を中心とした業務改善で中小企業を支援。潜在的不良リスクの低減から不測のコスト増に対応できる組織構造の構築にノウハウを持つ。YouTubeチャンネル運用支援では顧客が自立してチャンネルを運用できるよう育成まで行う。業務改善支援では中小企業の30代中堅社員の業務管理方法の改善指導をした上、業務標準化を進めるなど管理面に関する支援を行う。
「判断と構造で、未来に舵を切る人のためのメディア」QA+を立上げ、編集長として各種コンテンツの製作・ディレクションを行う。
