2025年7月25日The Hacker News人工知能 / データプライバシー
企業データの最近の分析によると、中国で開発された生成AIツールが米国や英国の従業員によって広く利用されており、多くの場合セキュリティチームの監督や承認なしに使用されています。Harmonic Securityによるこの調査では、機密データが中国でホストされているプラットフォームにアップロードされた数百件の事例も特定されており、コンプライアンス、データの所在、商業機密性に関する懸念が高まっています。
30日間にわたり、Harmonicはさまざまな企業の従業員14,000人の活動を調査しました。そのうち約8%がDeepSeek、Kimi Moonshot、Baidu Chat、Qwen(アリババ製)、Manusなど、中国拠点のGenAIツールを利用していることが判明しました。これらのアプリケーションは強力でアクセスしやすい一方、アップロードされたデータがどのように取り扱われ、保存され、再利用されるかについての情報はほとんど提供されていません。
この調査結果は、特に開発者が多い組織において、AIの導入とガバナンスの間に広がるギャップを浮き彫りにしています。こうした組織では、成果までのスピードがポリシー遵守よりも優先されがちです。
AI利用ポリシーを細かく制御して強制したい場合は、Harmonic Securityまでご連絡ください。
大規模なデータ漏洩#
合計で1,059人のユーザーがこれらのプラットフォームに17メガバイト以上のコンテンツをアップロードしました。Harmonicは、機密情報が関与する535件の個別インシデントを特定しました。そのうち約3分の1はソースコードやエンジニアリング文書で構成されていました。残りは、合併・買収関連文書、財務報告書、個人を特定できる情報、法的契約書、顧客記録などが含まれていました。
Harmonicの調査では、DeepSeekが最も多く利用されており、記録されたインシデントの85%に関与していました。Kimi MoonshotやQwenの利用も増加しています。これらのサービスは、企業ネットワーク内でGenAIがどのように現れるかを再定義しつつあります。それは公認プラットフォームを通じてではなく、静かにユーザー主導で導入されているのです。
中国のGenAIサービスは、しばしば寛容または不透明なデータポリシーの下で運用されています。場合によっては、アップロードされたコンテンツがさらなるモデル学習に利用されることをプラットフォームの規約が認めています。これは、規制業種で事業を行う企業や、独自ソフトウェアや社内事業計画を扱う企業にとって重大な意味を持ちます。
技術的コントロールによるポリシー強制#
Harmonic Securityは、企業が職場でのGenAI利用を再びコントロールできるよう支援するツールを開発しました。同社のプラットフォームはAIの活動をリアルタイムで監視し、利用時にポリシーを強制します。
企業は、本社所在地に基づいて特定のアプリケーションへのアクセスをブロックしたり、特定の種類のデータアップロードを制限したり、状況に応じたプロンプトでユーザーに教育を行ったりするなど、きめ細かな制御が可能です。
戦略的必須事項としてのガバナンス#
企業内での非公認GenAI利用の増加は、もはや仮定の話ではありません。Harmonicのデータによれば、従業員の12人に1人近くがすでに中国製GenAIプラットフォームとやり取りしており、多くの場合データ保持リスクや法域上の問題を認識していません。
この調査結果は、認識だけでは不十分であることを示唆しています。企業がコンプライアンスやセキュリティを損なうことなくGenAI導入を進めるには、積極的かつ強制的なコントロールが必要です。技術が成熟するにつれ、その利用をガバナンスする能力は、モデル自体の性能と同じくらい重要になる可能性があります。
Harmonicを活用すれば、ビジネスを不必要なリスクにさらすことなくGenAIの利点を享受できます。
HarmonicがどのようにAIポリシーの強制と機密データの保護を支援するかについては、harmonic.securityをご覧ください。
翻訳元: https://thehackernews.com/2025/07/overcoming-risks-from-chinese-genai.html