AIデータセキュリティリスクへの対応:責任あるイノベーションのための戦略

AIはAECOや製造、メディア業界を変革しているが、AIデータのセキュリティが最重要の課題となっています。 倫理的なAI開発と機密データの保護を実現するために、企業が理解しておくべきリスクや規制、積極的な戦略を紹介します。


AIがAECOや製造、メディア&エンターテインメントの分野でビジネスを変革する一方で、ビジネスリーダーはAIで生み出された新たなデータ セキュリティの問題への対処が必要だ。

AIデータセキュリティリスクへの対応

Shawn Radcliffe

2025年2月19日

分: 読書時間
  • AIは多くの分野でビジネスを変革している一方で、データセキュリティやその他の潜在的リスクの懸念をもたらしている。

  • AIの変化は急速だ。政府と業界の規制もこうした問題への対処を目指しており、企業もAIに関連するリスク管理へ積極的に取り組む必要がある。

  • このプロセスの目的は、一貫した性能と信頼性、AIの開発方法と責任ある使用方法の透明性を確保することで、顧客や他の企業との信頼を構築することにある。

AIはAECO、製品設計・製造、メディア&エンターテインメント業界における多くのビジネスを変革している。だがAIがこうした分野の企業の業務向上を可能にしていても、この進歩し続けるテクノロジーには潜在的なリスクが伴っており、既にビジネスリーダーの多くがそれを認識している。

AIに関するデータセキュリティ問題は企業にとって重要な関心事だが、ビジネスリーダーはこの技術がフィッシングやビッシング、なりすまし、文書偽造などにネガティブに使われることにも目を光らせておくことが必要だろう。

こうしたAIの懸念は、特定の分野ではより強いものになる。AIの有害な利用に対する認識は、最近行われた世論調査「Yooz AI in the Workplace: 2024 Construction Industry Snapshot」により、製造、自動車、小売、外食、医療、金融、保険業界を含む回答者全体 (57%) に比べて、建設業界がより高い (62%) ことが分かっている。

こうした懸念にもかかわらず、建設業界の回答者の40%は、AI技術の倫理的な使用について非常に楽観的であると回答している。それと対照的に、業界外の回答者で同様の回答をしたのは25%に過ぎない。さらにオートデスクの2024年度版『デザインと創造の業界動向調査』では、設計・製造業界の回答者の78%が、AIが業界を強化すると考えている。

AI活用の懸念を緩和

一部の企業は、AIのネガティブな活用に対する懸念を和らげるため、この技術が責任を持って使用されるよう独自の対策を講じている。政府も企業をその方向へ後押ししている。2023年7月、米国バイデン政権はAIがもたらすリスクに対処するため、大手AI企業から自発的取り組みの確約を取り付けた

オートデスクの場合は、Trusted AIプログラム (強力な社内基準とポリシーの遵守によるAIの安全な導入に注力する法律の専門家、プライバシーとガバナンスの専門家、情報セキュリティの専門家、AIとデータの専門家から構成されるチーム) で取り組んでいる。これには、AISIC (米国AI安全研究所コンソーシアム)の一員としてNIST (米国国立標準技術研究所) と連携し、AIの測定と政策に関するガイドラインや基準を開発したり、AI関連の懸念について顧客にフィードバックを求めたりすることも含まれている。

法律事務所William Fryのテクノロジー部門パートナーを務めるAIの専門家バリー・スキャネル氏は、欧州連合が最近施行したAI法が、この規制の対象外の事象を含めて、企業がなすべきことの優れたテンプレートを提供していると述べる。

「AIを開発し、利用を検討する企業にとって、リスク管理のフレームワークを利用することが重要な第一歩になります」

― アーロン・クーパー氏 (BSA | The Software Alliance グローバル政策担当VP)

AIシステムが急速に変化し、さまざまな管轄区域で新たな規制が可決されているため、企業はこの技術の潜在的な弊害に対する懸念へ対処するべく、積極的に行動する必要がある。ソフトウェア業界の公共政策支持団体BSA | The Software Allianceのグローバル政策担当VP、アーロン・クーパー氏は「AIを開発し、利用を検討する企業にとって、リスク管理のフレームワークを利用することが重要な第一歩になります」と話す。

「BSAが行っていることのひとつが、AIを取り入れる際に責任を持って行うようにという、経営幹部への勧告です」と、クーパー氏。「こうした措置は、規制の有無にかかわらず重要です」。

この取り組みは企業による倫理的なAI活用の確保に必要であり、また何らかの理由でAI関連のネガティブな出来事が新聞の一面を飾った場合に、他の法律に違反したり社の信用を損なったりすることを避けるためでもあると、クーパー氏は話す。「最初にガードレールを設置しておくことが重要なのです」。

AIシステムの棚卸し

セキュリティ戦略には暗号化、匿名化、データのフィルタリングと制御が含まれる
セキュリティ戦略には暗号化、匿名化、データのフィルタリングと制御が含まれる

スキャネル氏は、企業が自社のAIシステムを棚卸することも勧めている。本来の目的は何か、影響を及ぼす対象となるのは誰か、潜在的なリスクや悪用は何かということだ。「これには基本的人権の影響評価とデータ保護の影響評価も含まれるべきです」と話すスキャネル氏は、企業のより大きな課題は、AIの影響の評価ではないとも述べている。「特に大企業の場合、実は課題は構造上のものです。非常に多くのステークホルダーの関与が必要となるためです」。

データ保護の面では、AIでのプロセスは他のテクノロジーを導入する場合と同様だ。データの暗号化や匿名化、保護されるデータのフィルタリング、厳格なアクセス制御の確保が強く求められている。

またAIもソフトウェアコードの一種であるため、脅威アクターに悪用される可能性のある脆弱性を評価する必要がある。同じ考え方は企業のAI製品の開発や活用に関わるベンダーにも適用されるべきで、これら第三者に対しても同様のリスクベースの質問がなされるべきだ。

こうしたプロセス全体が、顧客や他の企業との信頼を構築することを目的としており、それは一貫した性能と信頼性、そしてAIの責任ある活用方法の透明性確保を通じてのみ達成できる。

クーパー氏は「AIが、あらゆる分野の企業にとって使いやすく、利用しやすいものである」ことを保証する上で、この信頼が重要な要素だと考えている。

「責任を持たずにAIを開発している企業があれば、バリューチェーンの次のプレーヤー (システムのエンドユーザーでも、その間の存在でも) を本当に不利な立場に追い込んでしまうからです」。

これはEUのAI法や米国で進められている同様の取り組みの目標であり、「AIを普及させイノベーションを促進する環境作りを支援すると同時に、AIの開発が責任ある方法で行われることを確保するためのものです」と、クーパー氏は話す。

AIの倫理的利用を規制

2024年9月下旬、オートデスクを含む100社以上の企業がEU AI協定に署名し、EU AI協定の原則の適用を誓約した最初の企業となった。だがAuthorityHackerの調査で、企業が責任を持ったAIの開発・導入を示す取り組みを自主的に行っていても、多くの人々がこの技術を政府が規制することを望んでいることが明らかになった。

米国在住者を対象としたこの調査によると、たとえ技術革新のペースが落ちるとしても、政府は厳格なAI規制を実施すべきだと79.8%の人が考えているという。回答者の主な懸念はプライバシーで、AIシステムの訓練へ個人データの使用することに82.45%が不安を感じている。

同社の分析によると、世界のほぼ2/3の国がAIの規制に取り組んでいるが、その進捗状況はさまざまだ。この分野におけるリーダーに、AI協定を持つ欧州連合が挙げられる。AI協定は欧州理事会が2024年5月21日に正式に採択しており、今後3年間で段階的に発効する。

AI協定は、AIシステムをリスクレベルで分け、その分類毎に具体的な要件を設定してAIを規制することを目指している。スパムフィルターやAI対応のビデオゲームなどリスクが限定的なAIシステムは、その透明性の要件は非常に軽いものになるだろう。リスクの高いAIシステムはEU市場参入の要件が厳しくなり、これにはAIベースの医療システムや雇用に使われるAIシステムが含まれる。政府や企業による「ソーシャルスコアリング」を可能にするものなど、容認できないリスクがあると判断された特定のAIシステムは禁止される。

スキャネル氏は、このアプローチは極めて賢明だと話す。「AIの禁止事項には、理由があります。AIに疑わしい点があるからです」と、スキャネル氏。「AI協定を見ると、その規定の多くはステークホルダー、顧客、ユーザー、投資家が、大企業に対して、AIを使用する際に望むことが示されています」。

全体として、AI協定のリスクベースのアプローチは「適切だと思います。杓子定規になればなるほど時代遅れになりますから」と、スキャネル氏。リスクの高いAIの使用に焦点を当てることで、法律は技術が変化しても適切であり続けることができる。「欧州連合がAIの規制を検討し始めた時点では、[生成AI]の技術は存在していませんでした」とスキャネル氏は話す。

データ保護に関して言えば、AI協定と欧州連合の一般データ保護規則 (GDPR) は法整備の補完的な構成要素である、とスキャネル氏は話す。例えば企業がAIで使うために大量の個人データを処理する場合、GDPRはデータ保護影響評価を実施するよう求めている。そのため、EUのAI協定には「GDPRへの言及が多い」とスキャネル氏は説明する。

クーパー氏も、EUのAI協定は、AIのリスクの高い使用事例に焦点を当てることで、全般的には適切なアプローチを採っていることに同意する。ただし「 [この法律]がどう履行されるのかには、多くの疑問が残るでしょう」と話す。そして、特に開発者と導入者が責任を負うべき事柄については、もっと明確にしてほしかったとクーパー氏は指摘している。

米国におけるAIの規制

カリフォルニアはAIシステムの規制に率先して取り組んでいる州のひとつだ
カリフォルニアはAIシステムの規制に率先して取り組んでいる州のひとつだ

現在のところ、米国にはEUのAI協定のような国全体の規制はない。だがバイデン政権は2023年10月に「安全・安心・信頼できるAIの開発と利用に関する大統領令 (Executive Order on the Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence)」を発表。これはAIシステムの安全性と責任ある活用の保証を目的としている。この大統領令は「政府全体がAI問題に対処する準備が整っていることを確認するためのもの」だと、クーパー氏は話す。

大統領令は企業の自発的コミットメントよりも強い力を持つが、その実効性は商務省や国土安全保障省、その他の省庁がAI監督の基準や規制を設けるかどうかにかかっている。

米国の上院下院の特別対策委員会も、超党派の取り組みを含め、立法的な観点からAI問題への対処を模索し始めているが、「新AI法制定に向けて最も動きが見られるのは州政府です」とクーパー氏は話す。カリフォルニア州コロラド州は、どちらも特定のAIシステムの開発と導入の規制において先導的な役割を担っている。

「EUの取り組み、コロラド州を含む米国でのこれまでの動きに類似することとして、AI規制の主眼がリスクの高い使用事例に置かれてきたことがあります」と、クーパー氏。

「これは理に適っています。そうした状況であれば、AIを使用することで世の中にどのような危害が起こりうるかを容易に特定でき、企業にその危害を緩和するための措置を講じるよう促す、あるいは義務付けることができるからです」。

リスクの高いケースについて、クーパー氏はこう話す。「そうした状況においてAIの使用が適切でないというわけではありません。しかし公共政策の観点から、そのような状況にAIを訓練・活用する企業が、AIが差別的な結果をもたらすように訓練・活用されないよう特別な予防措置を講じることを確保したいと考えます」。

国を超えた相互運用性の確保

AIソフトウェアを導入、提供するオートデスクなどの企業にとって大きな懸念事項は、実施されるAI利用の規制法が国ごと、さらには米国の州ごとに大きく異なってしまう可能性があることだ。こうなると、事業をグローバルに展開する企業には複数の規制に対応する必要が生じ、それがイノベーションの妨げになったり、ビジネスリーダーがさまざまな要件を満たすことを優先せざるを得なくなったりする可能性がある。データ保護法でも、ある程度同じことが生じている。米国はEUのGDPRとは異なるアプローチを採用しているためだ。

理想的には「志を同じくする国同士で相互運用できるルールが望まれます」と、クーパー氏は話す。クーパー氏は、相互運用性の見通しは比較的良好だと考えている。これらの問題に関する、G7諸国 (フランス、ドイツ、イタリア、日本、米国、イギリス、カナダ) での「同一ではないにしても、AI規制のための一貫したアプローチがあることを確認するための」話し合いが持たれているためだ。

もちろん、米国やEUで新政権が誕生したり、米国の各州がAIへの取り組みに新たなアプローチを取ったりするようになれば、この状況は変わる可能性があると、クーパー氏。ただし、「政府は概してリスクの高い使用事例に重点を置き、規制やガードレールを作成してきました。同様のアプローチが続くものと考えます。少なくともしばらくの間は」。

生成AIによるブラウザー拡張機能を提供するMerlin AIのプラテュシュ・ライCEOは、EUのAI協定は綿密だが、その複雑さに小規模のスタートアップが困惑することもあると考えている。「明確で一貫性があり、過度な負担をもたらさない規制は、弊社のような企業がAIの倫理的かつ安全な利用を確保しながらイノベーションに集中可能とします」と、ライ氏。「企業側においては、透明性、自主規制、規制当局との連携に取り組み、現実的かつ効果的なルールを策定できます。また、業界標準や認証を制定することで、企業が複雑さにより行き詰まることなくより簡単に規制に適合できるようになります」。

「AIを開発し、利用を検討する企業にとって、リスク管理のフレームワークを利用することが重要な第一歩になります」

ー アーロン・クーパー氏 (The Software Alliance グローバル政策担当VP)

各国でのGDPRデータ保護法の導入は、企業が異なる管轄区域でAI規制を満たさなければならない場合の対処を示すものだと、スキャネル氏は指摘する。

「GDPRで分かったのは、企業が最小公倍数を採用するのではなく、逆を行ったということです」。さまざまなデータ保護法に準拠しなければならない国際的な組織は、最も高い基準値を満たすことを選択したのだ。「つまり、その範囲内のあらゆる規制を受け入れることになるということです」と、スキャネル氏。「もちろん、最高基準はGDPRです」。

これらの問題は、すべて生成AIの文脈の中で取り組まれているものだ。生成AIは、自らが考えることのできるシステムには至っていない。だがスキャネル氏は、より自律的なシステムが利用できるようになるのは時間の問題であり、新たな可能性がもたらされる一方で、弊害が生じる可能性もあると予想する。

「このテクノロジーには規制が必要でした。規制がなければ、本当に悪意のある使用や悪影響を及ぼす可能性があったからです」と、スキャネル氏。「そして今、私たちはこの驚くべき新技術を、賢明かつ安全に導入できる枠組みを手にしたのです」。

Shawn Radcliffe

Shawn Radcliffe について

ショーン・ラドクリフはカナダ、オンタリオ州を拠点とするフリーランスのジャーナリスト兼ヨガ講師で健康や医療、科学、建築、エンジニアリング、建設、またヨガや瞑想に関する記事を専門としている。コンタクトはShawnRadcliffe.comにて。

おすすめ記事