「データ主権」とIPA「10大脅威」が示すAIリスクの脅威
セキュリティ領域の最前線に立つセコムトラストシステムズ株式会社ソリューション営業本部・今村崇志部長は、企業の現状をこう分析する。
「世の中の多くの企業様にとって『AIと言えばクラウドにあってクラウドを使うもの』というイメージが一般的かと思います。しかし一方で、機微情報を扱う大手企業様を中心に、クラウドにあるAIをそのまま使うことへのリスクを危惧されるケースが非常に多くなってきていると感じています」。
最大の懸念は、企業が保有する重要データがAIの「学習データ」として吸収されてしまうリスクだ。クラウドベンダーは規約上、「顧客のデータは学習に利用しない」と明記している。しかし、万全を期すべき企業においては、それを文字通り鵜呑みにすることへの強い抵抗感が生まれている。また、プラットフォーム側が規約を改訂する可能性は、決してゼロではない。
「クラウドベンダーの規約上は『お客様のデータは一切覗き見しません』と守られているとおっしゃるのですが、それを本当に鵜呑みにしていいのか、と考える企業様が日本でも増えているのは事実です。企業側が重要なデータをクラウドに投げ込んでしまうと、学習されてしまうリスクがある。そこはもう、完全に線を引くという考え方が広がっています」(今村氏)
重要なキーワードが「データ主権」だ。情報漏洩や機密情報漏洩といった観点からすれば、企業の生命線とも言える重要データが、海外のクラウドベンダーが管理するサーバー上に置かれることへの警戒感も高まっている。
「データを盗み見られてしまう、あるいは海外を中心としたサーバーにデータを押さえられてしまうリスクを考慮すると、ただクラウドにあるAIを使えばいいというわけではありません」(今村氏)
企業が抱く懸念は、決して杞憂ではない。独立行政法人情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威 2026」の組織向け脅威において「AIの利用をめぐるサイバーリスク」が初選出にして第3位にランクインした。
今村氏もこの点に警鐘を鳴らす。「従業員が意図せず機密情報をAIに学習させてしまう漏洩リスクや、AIのハルシネーション(もっともらしいウソ)による業務レベルの低下、さらには安全性の低いAIを使用することによる攻撃リスクなど、企業は今、AIに関する多様なリスクに直面しています」。
こうしたリスクに対し、多くの企業は「AI利用ガイドライン」などの社内ルールの策定を急いでいる。しかし、従業員のモラルやリテラシーに依存したルール運用だけでは、限界があり、セキュリティリスク低減の有効打とはなりえない。
