さらに近年では、話題の生成AIに対するリテラシーの欠如がトラブルを起こしています。
資料作成の時間を惜しむあまり、社外秘の企画書や未発表のソースコードを未承認の生成AIに丸投げして要約やチェックをさせてしまう行為が日常の風景となっています。
こうした部署が行き着くのは、取り返しのつかない「情報漏洩」です。個人のクラウドストレージは、ほんの少しの共有設定ミスで、社外秘の顧客リストや財務データを全世界に向けて公開してしまうリスクがあります。
また、未承認の生成AIに安易に入力した機密情報は、サービス提供元のサーバーに保存されたり、モデルの学習データに取り込まれたりするリスクがあります。入力内容が第三者への回答に反映される可能性も理論上は否定できず、これも情報漏洩インシデントの一種なのです。
ひとたび大規模な情報漏洩が起きれば、顧客や取引先からの損害賠償請求は免れません。取引停止処分が下されたり、コンプライアンス違反による経営陣の法的責任が問われる可能性もあります。
長年かけて築き上げた企業ブランドは、たった一人の「手っ取り早いから」という判断で地に落ちるのです。
数千万円のセキュリティ投資<管理職自身が変わるべき
巨額の資金を騙し取られるCEO詐欺や、システムを機能不全に陥らせるランサムウェア、企業の信用を失墜させる情報漏洩などサイバーセキュリティ上のリスクはあちこちに潜んでいます。
これらすべての起点は、高度で防ぎようのないサイバー攻撃を受けたからではありません。現場のローカルルールによって公式のセキュリティポリシーが形骸化するという、内なる弱点を突かれた結果なのです。
しっかりとした新人研修を行っているのに、未来ある新入社員を「情報漏洩の加害者」や「ネット詐欺の被害者」に仕立て上げているのは、他でもない現場の先輩や上司の日常的な振る舞いです。
新人は、上司の背中を見て育ちます。最強のセキュリティ対策は「上司の背中」と言ってもよいでしょう。
数千万円の予算を投じて最新のセキュリティツールを導入する前に、まずは40〜50代の管理職自身がサイバー犯罪の最新事例を知り、己の振る舞いを正さなければなりません。
