🚀 新しいCSOonline.comハイブリッド検索: 🔍 CSOのコンテンツをよりスマートに、より速く、AIパワーで探索しましょう。✨
ニュース分析
2025年9月3日6分
企業戦略は、データの所有者を保護し、AIがセキュリティ侵害の原因とならないようにすることで、これらの潜在的な問題を考慮する必要があります。
7月初旬、WeTransferという企業や一般ユーザーに広く利用されている人気のファイル共有サービスが利用規約を変更したことが、バイラルなテックニュースの一つとなりました。
通常であればあまり深く考えずに受け入れてしまうような内容ですが、今回は人工知能に関連する要素が追加されていました。8月初旬時点で、WeTransferは利用規約に「サービスや新しい技術、サービスの運用、開発、マーケティング、改善、機械学習モデルの性能向上を含む」ために管理しているドキュメントを利用する権利を留保すると追加しました。ユーザー情報は、どのようなものであれ、AIの学習に利用される可能性があると理解されました。
この件は大きな騒動となり、WeTransferは結局方針を撤回し、実際にはAIを使ってコンテンツをモデレートする可能性をカバーしたかっただけで、ユーザーが理解した内容とは異なるとメディアに説明しました。
しかし、WeTransferの騒動は、サイバーセキュリティやプライバシー、さらには機密情報の保護における新たなリスクの兆候として非常に目立つものとなりました。AIを動かすには大量のデータが必要であり、そのために多くのデータが利用されることで、人気の高いオンラインサービスのプライバシーポリシーがこの新しい環境に適応するために変更されています。
さらに、人工知能の導入がリアルタイムで行われており、試行錯誤が繰り返されています。これにより、例えば従業員が個人利用で知っているサービス(ChatGPTなど)を業務利用してしまうといった潜在的な問題が生じます。企業のプライバシーポリシーがどれほど厳格でも、従業員が機密情報をChatGPTにアップロードして翻訳や文書作成を依頼してしまえば意味がありません。
このように、新しい状況は、個人レベルのエンドユーザーにも、IT戦略やセキュリティを担う企業のCIOやCISOにも新たな課題を投げかけています。
データの所有者
この問題の一つは、情報、つまりデータの所有者が誰で、それが誰に帰属するかという点です。これにより、AIの学習にユーザーが生成したデータを利用できるよう、さまざまなサービスの利用規約が更新されています。例えばMetaのようなSNSでも起きていますが、企業環境で広く使われているサービスでも同様です。Pandaは、Slackがデフォルトで顧客データを機械学習モデルに利用していることを指摘しています。
この状況自体はまったく新しいものではありません。AI開発のための公的データが組織に届かなくなり、新たなデータソースが必要になっています。「アプリケーションで収集されたデータセットは非常に価値が高い」とPanda Securityのグローバル消費者オペレーションマネージャー、エルベ・ランベール氏は分析で説明しています。「そのため、多くの企業がプライバシーポリシーを急いで変更し、収集・保存する情報の利用についてより透明性を求める新たなデータ保護規制に適応しようとしているのです」とも述べています。
もちろん、これはまず第一に、利用規則を変更しなければならない当該企業のITおよびサイバーセキュリティ担当者にとっての問題です。しかし、その後、何らかの形でサービスを利用する企業や、従業員が独自に利用することが予想される企業にとっても頭痛の種となり得ます。
「AIや高度なマーケティング、製品開発などの分野でデータを活用する新たな道を開きたいと考えている」とランベール氏は指摘しますが、「同時に法令遵守も求められています」。そのため、利用規約やプライバシー条件には幅広い記載がなされるか、利用目的の線引きが「非常に曖昧」になっています。
プライバシーとサイバーセキュリティのリスク
もう一つの大きな問題は、エンドユーザーと企業の両方にとって、プライバシーやサイバーセキュリティ侵害の可能性があることです。
Pandaは、大量の個人データで学習したAIが、不正行為の入り口や、より高度で防ぎにくい攻撃を生み出す手段になり得ると警告しています。「適切な管理なしに個人データをAIツールに投入すると、その情報がコピーされたり、共有されたり、同意なく利用されたりするリスクにさらされます」と同社のセキュリティオペレーション責任者は述べています。
時には悪意ある第三者の手に渡らなくても、エンドユーザーの知識不足によって機密情報がウェブ上に流出することもあります。GoogleにインデックスされたChatGPTの会話がその一例です。「『このチャットを検索可能にする』オプションを有効にすると、ChatGPTなどの一部AIソリューションのユーザーは、その内容をGoogleや他の検索エンジンから誰でもアクセスできるように公開することに同意したことになります。これには、機密データやビジネスアイデア、商業戦略、個人的な体験が含まれる場合があり、物議を醸しています」とランベール氏は説明します。
実際、AIはすでにCISO(最高情報セキュリティ責任者)にとって最も懸念される問題の一つとなっており、ますます複雑化する業務環境に疲弊の兆しも見られます。セキュリティ責任者の64%は、今後2年以内に生成AIツールの利用を可能にすることが戦略的目標だと考えていますが、そのリスクについても懸念しています。これはProofpointの第5回「Voice of the CISO」レポートのデータで裏付けられています。
「AIはコンセプトから基本要素へと進化し、防御側も攻撃側もその運用方法を変革しています」とProofpointのチーフストラテジーオフィサー、ライアン・カレンバー氏は説明します。「CISOは今、AIを活用してセキュリティ体制を強化する一方で、その倫理的かつ責任ある利用を確保するという二重の責任を負っています」とも述べています。そのためには「戦略的な意思決定」が必要ですが、CISOだけがこのリソース導入の意思決定者ではないという複雑さも加わっています。
生成AIの安全な利用は、すでにCISOの48%にとって優先事項となっています。
ニュースレターに登録する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して始めましょう。
Raquel C. Picoは、テクノロジー、企業向け情報、文化などを専門とするフリーランスのジャーナリストです。現在、スペインのCOMPUTERWORLDやCIOの編集部と協力し、YorokobuやEthicなど他のメディアにも執筆しています。過去には、IT専門メディアのSilicon Newsや、現在は存在しないTICbeatの編集チームの一員でもありました。Raquel C. Picoは、ガリシア語で執筆したエッセイ『Millennials. Unha xeración entre dúas crises』やフィクション作品などの著者でもあります。
もっと見る