生成AI活用､｢ルールを設けていても｣情報漏洩が起きる3つの落とし穴…社内でただ注意喚起をしても｢効果がない｣理由

一部の拡張機能が、裏でユーザーと生成AIとのやり取りやブラウザの活動履歴を盗み出し、外部のサーバーに送信するものが存在することが、セキュリティ企業の調査で明らかになっているのです^※。

この手の拡張機能は「AIとの会話サポートツール」として正規サービスを装い、収集した会話データや閲覧履歴を攻撃者が管理するリモートサーバーへ送信していたとされています。

表示しているWebページの内容や入力フォームへのアクセスなどの権限も事前に許可されているため、生成AIに入力した機密情報のみならず、表示したさまざまなページの情報も含め、利用者が気づかないうちにデータが横取りされる可能性があります。

この実例が示しているのは、生成AIサービスの仕様や契約条件、安全性だけを確認していても、組織として十分と言えない点があるということです。

※900K Users Compromised: Chrome Extensions Steal ChatGPT and DeepSeek Conversations

ルート③「ルールの曖昧な運用」というリスク

3つ目のルートは、技術そのものではなく運用に起因する問題です。生成AIについて「使ってよいのか、ダメなのか」「どこまで入力してよいのか」といった基本的な線引きが明確でない場合、判断は現場や個人に委ねられ、組織として統一した運用が成立しなくなります。

その結果、生成AIの使われ方は部門や担当者ごとにばらつきが生じ、どの利用方法が適切で、どこからが問題なのかを組織として説明できない状態に陥ります。

明確な線引きを設けないまま利用を続ければ、問題が発生した際に誰がどの判断に基づいて許容していたのかがわからず、責任の所在も曖昧になります。