コビ・ニッサン氏は、プライバシー、リスク、AIガバナンスのための自律型プラットフォームMineの共同創業者兼CEOである。
AIを禁止しても、必ずしも使用が減るわけではないが、可視性は低下する可能性がある。真の解決策は、イノベーションのスピードに対応できるガバナンスである。
承認されたコーディングアシスタントにアクセスできない開発者は、個人のデバイスでAIを使用するかもしれない。認可されたツールで壁にぶつかったリクルーターは、簡単にアプリを見つけることができる。これらの従業員は無謀な行動をしているわけではなく、単により良い仕事をしようとしているだけであり、AI搭載の生産性ツールがそこにあって助けてくれるのだ。
しかし、最善の意図を持っていたとしても、これらはすべてシャドーAI、つまり企業の認可されたテクノロジーフレームワークの外で動作するAIツールの例である。そして、ほとんどのシャドーAIは労働力の規律の問題ではないが、ガバナンスの課題である。これは、ほとんどの企業が「LLM」という用語を誰も聞いたことがない時代に書かれたポリシーで解決しようとしている課題なのだ。
シャドーAIはすでに承認済みスタックの内部に存在する
問題は、ほとんどの組織が認識しているよりも広範囲に及んでいる。シャドーAIは、上記の例のように、個人アカウントや消費者向けアプリを通じてのみ表面化するわけではない。多くの場合、すでに承認リストに載っているツールを通じて具現化される。HubSpot(ハブスポット)は現在、AIを通じてデータを処理している。Zoom(ズーム)は、AIを使用して通話を自動的に文字起こしし、データをクラウドに保存できる。
従業員はこれらの機能にアクセスするために勝手な行動をとっているわけではなく、企業がすでに料金を支払っているソフトウェアを使用しているのだ。多くの場合、法務部門が最新のアップデートに埋め込まれた新しいAI固有の利用規約を精査していないままである。
実際、「シャドーAI」という枠組み全体が誤解を招く可能性がある。それは隠蔽、さらには悪意を示唆している。実際に起こっているのは、大規模な効率追求である。人々は、最も速く仕事を完了できるものに手を伸ばしているのだ。問題は、ガバナンスフレームワークが単にAIのスピードに対応するように設計されていなかったことである。
このため、反射的な対応は制限することが多い。アクセスをロックダウンし、未承認のツールを禁止するのだ。しかし、多くの場合、制限は使用を減らすのではなく、可視性を減らすだけである。行動は続くが、監視は消える。これにより、プライバシーチームは見ることさえできないリスクを管理することになる。
ほとんどのチームが見ることができないコンプライアンスギャップ
シャドーAIはまた、ほぼすべての主要な規制フレームワークの下でコンプライアンス上の頭痛の種を生み出す。
EU AI法は、組織が使用中のすべてのAIシステムの文書化されたインベントリを維持することを要求している。GDPRと英国ICOは、個人データが収集された目的のためにのみ使用されることを要求しており、データが精査されていないLLMに流れ込むにつれて、これを保証することがますます困難になっている。CCPAとHIPAAは、どの第三者が個人データにアクセスできるかを正確に開示することを組織に要求しているが、従業員が独自にツールを調達している場合、これは困難である。中国のPIPLは、中国国民の個人データが中国の国境内にとどまることを要求しているが、シャドーAIはそれを確実にすることを困難にしている。
ほぼすべてのAI規制フレームワークに共通するのはトレーサビリティであり、シャドーAIはトレーサビリティを制限する。規制当局が個人データがどこに行ったか、誰が処理したか、どのような法的根拠の下で処理したかを尋ねたとき、「従業員がオンラインでツールを見つけた」というのは弁護可能な答えではない。
シャドーAIを管理下に置くための5つのベストプラクティス
組織がシャドーAIに対処する最も効果的な方法は、テクノロジースタックに直接ガバナンスを組み込むことである。
1. 現実を監査する
単一のポリシーを作成する前に、実際にどのツールが使用されているか、どのデータがそれらを通じて流れているかを把握する。
2. 明確なガードレールを定義する
AIアプリケーションを「グリーン、イエロー、レッド」ゾーンに分類する。従業員に具体的な例を提供し、推測を排除する。
3. シャドーと競争する
未承認の代替手段よりもアクセスしやすい、認可されたツールの厳選されたスイートを提供する。
4. アプリではなくデータをガバナンスする
どのプラットフォームに到達するかに関係なく、データの機密性レベルに従う管理を実装する。
5. ""スマートフリクション""を適用する
低リスクのイノベーションを抑制することなく、高リスクのアクション(PII(個人識別情報)の貼り付けなど)を一時停止する軽量の技術的介入を使用する。
結論
シャドーAIはなくならない。ツールは優れすぎており、アクセスしやすく、従業員がすでに使用しているソフトウェアに深く組み込まれている。強硬な手段で対応する組織は、見ることができないリスクを管理していることに気づく。そのリスクは、誰かがより速く仕事を完了する方法を見つけるたびに増大する。スタック自体にガバナンスを組み込む組織は、多くの場合、迅速に動く労働力と、それに追いつくことができるプライバシーチームの両方を手に入れることになる。ガバナンスの目標は、AIを全速力で実行できるほど安全にすることである。
