AIセキュリティ

AI・生成AIが日常生活やビジネスにおいて広く普及されるようになり、業務の効率化や、新サービスの開発など多大なメリットがある一方で、セキュリティ面への課題も多く抱えています。

今回はAIセキュリティについてまとめています。

＜AIのセキュリティリスク＞

AIのセキュリティリスクは大きく２種類に分けられます。それぞれいくつかの具体例を以下に挙げています。

①AIモデルの脆弱性をつき、AIシステム自体が攻撃されることによって生じるリスク

・敵対的攻撃（人間には感知できないほどの微細なノイズを加えることでAIに誤認識をさせる）

・データポイズニング（AIの学習データを汚染し誤った判断や生成を誘発する）

②AIモデルの悪用、誤用により生じるリスク

・ディープフェイク技術によるなりすましや詐欺、捏造

（画像や音声の合成により、偽動画や偽音声を作成しなりすましや詐欺に使われる）

・情報漏洩

（不用意にAIに機密情報や個人情報を入力してしまったために、外部サーバーに保存され意図せず第三者に情報漏洩してしまう）

また、これらの他にAIの判断に至るプロセスや理由を理解、予測、説明することが難しく、AIの誤動作の存在や原因が突き止められないといったAIのブラックボックス化といった問題もあります。

＜AIガバナンス＞

リスク対策が適切にされない場合、システム障害や企業ブランドイメージ低下、損害賠償請求等を引き起こす可能性があります。AIを安全に利用するためにまず企業が取り組むべきとされるのがAIガバナンスの構築です。

・AIガバナンスとは

AIを倫理的かつ安全に活用するために、組織体制や方針、ガイドライン等を整備することです。一般的な企業経営におけるガバナンスとは異なり、AI特有のリスクに対応します。

・AIガバナンスの必要性

情報漏洩や著作権侵害、誤情報、偏った出力などのリスクがあり、それらは企業の社会的信頼を大きく損ねるものです。

そういったトラブルを未然に防いだり、適切なインシデント対応するためにAIガバナンスが必要不可欠です。

・AIガバナンスの原則

経済産業省の事業者ガイドラインでも確保されるべき項目として以下が挙げられています。これらは方針やガイドラインに取り入れるべき基本的な考えです。

・安全性

・公平性

・プライバシー保護

・透明性

・アカウンタビリティ（説明責任）

・AIガバナンスの策定・運用方法

①AIガバナンスの組織体制

意思決定の経営層だけでなく、セキュリティ部門や事業部門、法務部門等社内横断の組織体制が望ましいとされています。

それぞれの責任者と役割分担を明確にし、各部門を越えた連携を図れるようにします。

また社内だけでなく外部の専門家から知見を得るなど外部専門家の活用も有効です。

出典：生成AI時代のAIガバナンス｜安全な活用を支えるためのポイントとは - Key Technology｜CTC

②現状把握とリスクアセスメント

まず自社の現状を把握します。現在使用しているAIは何か、必要としているAI技術は何か、考えられる効果とリスクは何か等を調査・分析します。

③ガイドラインの策定と周知徹底

AIへの入力禁止情報（機密情報、個人情報など）、AIが生成した情報の取り扱い方、利用可能なAIツールや利用範囲、問題発生時の報告手順等をガイドラインに明記します。

またガイドラインの内容はもちろんその重要性を全従業員に周知徹底させることも非常に大切です。研修や勉強会等を定期的に行うなど社内教育し、従業員の意識向上も求められます。

④モニタリングと監査

ガイドラインで決められたルールに則って適切なAI利用がされているか定期的にチェックし、ガイドラインの形骸化を防ぎます。

具体的にはAI利用ログの監視などです。

⑤評価、改善

実際運用してみて出てきた課題や改善点を分析して、必要があればガイドラインを改定しアップデートしていく。

またAI技術は日々進歩しているので、現行のガイドラインが合っているのかどうかも定期的に検討しガイドラインを柔軟に変更する必要があります。

＜国内外の法規制＞

AI社会が広まる中、世界でも法規制が整備されてきているので、紹介します。

・日本

2025年9月１日に「人工知能関連技術の研究開発及び活用の推進に関する法律（AI法）」が全面施工されました。

これはAI分野のイノベーション促進とリスク対応の両立を図ったものです。技術促進を妨げないよう罰則規定はなく、努力義務に留まっています。ただし、政府による調査への協力要請や、AIの不適切利用に関する是正指導はあり得ます。

社会に与えるリスクに十分配慮し、安全性や透明性の確保に自主的に取り組むことが求められます。

出典：人工知能関連技術の研究開発及び活用の推進に関する法律（ＡＩ法） - 科学技術・イノベーション - 内閣府

・EU

日本の法とは異なり、2024年に施工されたEUのAI Act（AI法）は、AIによるリスクを「許容できないリスク」「ハイリスク」「限定リスク」「最小リスク」の４つに分類し、それぞれに応じた規制が適用されます。

AI Actに違反した場合は巨額の制裁金が課される、EUでビジネスできなくなる等厳しい罰則があります。またEU域内に所在のない日本企業でもEU域内にAIのサービスを提供する場合は、規制の対象となります。

出典：総務省「AI法（Artificial Intelligence Act）」

＜まとめ＞

AI利用は確かにたくさんのリスクが想定され、コストもかかります。しかし、大きな利益や成長も生み出します。さらに今後ますますAI技術の進化、普及も考えられます。

過度に恐れすぎてずっと敬遠していては、他社に後れをとったりビジネスチャンスを逃したりし兼ねません。

AIを安全に利用できるように、ガバナンスを整備しリスク対策を万全に行うことが重要です。

＜参考＞

AIを「どう使うか」から、「どう守るか」へ──専門家が語るAIセキュリティ対策とは｜SCSK IT Platform Navigator

【2025年最新版】AI導入前に知るべきセキュリティ対策｜サイバーセキュリティ.com

AIのセキュリティリスクとは？

AIセキュリティとは？業務活用に潜むリスクとその対策 | コラム | ブログ | ＪＢＣＣ株式会社

【徹底解説】今知っておくべきAIセキュリティのリスクと対策｜サイバーセキュリティ.com

生成AI時代のAIガバナンス｜安全な活用を支えるためのポイントとは - Key Technology｜CTC - 伊藤忠テクノソリューションズ

AI事業者ガイドライン （第1.1版） 概要

AIガバナンスとは？企業が今取り組むべきリスク管理のポイントを解説 | 記事一覧 | 法人のお客さま | PERSOL（パーソル）グループ

AIガバナンスとは？必要な背景と企業が実施できる方法などを解説 : 富士フイルムビジネスイノベーション

総務省「AI法（Artificial Intelligence Act）」