経営層は未承認AIの利用をどう抑えるべきか
最終的に、正規の手続きに沿ってAIを使える環境を整える責任は、経営層にある。
最初に浮かぶ対応は、取り締まりを強めることかもしれない。厳しい全社通達を出したり、未承認ツールをブロックしたりする方法だ。しかし、こうした対応は逆効果になりやすい。一律の禁止は需要をなくさない。行動をさらに水面下へ押し込み、ただ効率よく働こうとしていた従業員の反発を招くだけである。
むしろ重要なのは、協調とチームワークの意識を育む包括的なAIポリシーを策定することだ。筆者は、フォーブス・カウンシル・メンバーのクリスティアン・コロンドラが提唱するアプローチを評価している。同氏はチームにAI活用を奨励する一方で、AI利用ガイドラインの策定にも従業員の意見を求めるべきだと主張している。こうすることで、従業員は「ルールの回避者」から「解決策の担い手」へと変わるのだという。未承認AI利用がもたらす現実的なリスクを具体的に示すことも効果的だ。ルールの背後にある論理を理解していれば、人はそのルールに従いやすくなるからだ。
加えて、AI利用に関する正式なポリシーがまだないなら、今こそ作るべき時だ。OpenAIのような企業は、利用者を守るためのプライバシーやセキュリティ上の保護策を導入している。しかし実際には、それだけでは十分ではない。大規模言語モデル(LLM)は、利用者情報を保存しようとしているわけではないかもしれない。だが、保存しないとは限らない。IBMのジェリー・クオモが指摘するように、サーバーがクラッシュした場合、利用者データがエラーログに残ることがあり、それがセキュリティ侵害の際に表面化する可能性がある。一般向けAI企業は、データが流出する可能性はゼロだと主張しているわけではない、と同氏は説明する。
「何が懸かっているかによって、それが問題にならない場合もあれば……非常に大きな問題になる場合もあるのです」。
少なくとも、しっかりしたAIポリシーでは、どのツールの利用が承認されているのか、従業員が入力してよいデータと入力してはならないデータの種類は何か、判断に迷った場合に誰が決定権を持つのかを明確に示す必要がある。具体的であればあるほど、善意によるミスが入り込む余地は小さくなる。
最後に、フィードバックの仕組みを組み込むことも重要だ。従業員が、必要としているツールや、うまく機能していない業務フローを報告できるようにする。これは経営層が不足している点を把握する助けになるだけでなく、協力的な企業文化を強めることにもつながる。
シャドーAIを効果的に管理することは、必ずしも最も厳しい防御策を設けることを意味しない。従業員が正しい行動をできるだけ取りやすくすることを意味するのだ。
