整理すると、次のように考えればよいだろう。
まずNGの典型例からだ。
個人アカウントの生成AIに、お客様の名前・個人名・金額・契約条件・クレーム内容・未公開情報・人事情報・経営判断を含む情報を入力すること。会議の音声データをアップロードすることも同じようにNG。
とくに経営会議、営業会議、お客様案件会議、人事会議、M&A、価格交渉、クレーム対応はリスクが大きい。
機密情報を含まない情報ならOK?
いっぽう、どういうケースがOKなのか。会社が承認した法人アカウントの生成AI、または社内承認済みのAI環境において、機密情報を含まない業務に使うケースだ。
たとえば外部に公開されている情報の要約、一般的な文書のひな形作成、アイデア出しのブレインストーミングなどは比較的リスクが低い。
問題は、多くの企業でこの「境界線」が明確に定められていないことだ。
SHIFT AIの調査では、社内ガイドラインを「わからない」と答えた社員が39.8%にのぼる。明確なルールが周知されている企業はわずか11.8%。社員が「どこまでいいのかわからない」状態に置かれているから、自分の判断で使ってしまうのだ。
では、企業はどう対処すればいいのか。答えは「禁止」ではない。
AIツールの利用を一方的に禁止するだけでは、かえって「シャドーAI」を助長しかねない。全面禁止にしても、現場は隠れて使い続けるだろう。問題が表に出にくくなる。その分だけ、リスクはかえって高まるからだ。
それでは、4つの対策について簡単に解説しよう。
(1)現状を把握する
シャドーAI対策の第一歩は、社内でどのように生成AIが使われているのかを把握することだ。社員へのアンケートや、アクセスログの確認で実態を明らかにすること。「うちはまだ大丈夫」と思っている企業の多くは、気づいていないだけの可能性が高い。
次ページが続きます:
【一律「使わせない」はアリナシ?】
