画像:Timon Schneider(Alamy経由)
論説
会議に「出席者」としてAIノートテイキングアプリを見かけたことがないなら、注意が足りません。これらのツールは素晴らしく、手書きのメモを不要にし、アクションアイテムを自動的に記録します。しかし、多くのツールと同様に、AIノートテイカーも適切に扱わなければ鋭い刃となります。
AIノートテイカーは、仮想の会議出席者として登場し、現在では多くの人気ビデオ会議プラットフォームが標準機能として提供しています。ユーザーはGranola(デスクトップアプリ)やLimitless(ウェアラブルペンダント)などのツールもノートテイキング用途で導入しています。
しかし注意が必要です。AIノートテイカーは、公式な企業アプリであろうとなかろうと、企業にリスクをもたらします。これらのツールはビジネスの中核となる会話を記録するため、リスクはセキュリティから運用、評判、さらには戦略にまで及びます。
企業システム外で動作するノートテイカーは特にリスクが高いです。多くのノートテイカーベンダーは低レベルのセキュリティ機能しか持たず、これらの企業自体が買収やサービス終了の対象となりやすい状況です(Novacyの事例のように)。これらのアプリが顧客向けに作成したトランスクリプトは、誤って扱われたり、漏洩したり、訴訟で開示対象となる可能性があります。機密性の高いトランスクリプトが、法務部門による審査も、セキュリティによる保護も、調達部門による契約もない第三者システムに保存されることになります。
サイバーセキュリティおよびガバナンスリスク
クラウドへの情報漏洩は主要なリスク領域の一つです。多くのノートテイカーベンダーは基本的なサイバーセキュリティ成熟度を持たず、SOC 2認証もGDPR準拠も強力な暗号化もありません。ノートテイキングアプリは組織内で急速に広がります。ある企業では、ユーザー同士がアプリを共有することで、90日間で約800のノートテイカーアカウントが出現しました。
また、AIによる要約が「公式」記録となると、人々は記録されることを意識して発言を調整し始めます。このような誘導的な発言—意図的に記録に残るように発言を工夫すること—は、明確化や自己防衛のための場合もありますが、時には操作や歪曲に発展することもあります。善意であれ悪意であれ、これはガバナンスリスクとなります。トランスクリプトが合意よりも影響力を反映する結果となるのです。
一部のノートテイカープロバイダーは、小規模なスタートアップであり、存続期間が不透明です。サービスが終了したり、所有権が買収先に移った場合、企業はトランスクリプトデータやサポートのギャップに対応せざるを得なくなります。
法的・コンプライアンスリスク
多くのノートテイカーツールは、稼働中であることを明確に示さないため、無断録音が発生します。これは、全参加者の明示的な録音同意や、少なくとも録音中であることの開示が必要な法域では特に問題となります。
ノートテイカーによるトランスクリプトは、すでに訴訟で証拠として使われ始めています。戦略会議や人事会議での何気ない発言も記録され、一度記録されると、口頭の発言とは異なり、長く残り続けます。
一部のノートテイカーベンダーは、同意取得の責任を顧客に転嫁しています。免責条項を設け、法的手続きが発生した場合は顧客が費用を負担するようにし、利便性を求めた企業に直接リスクを押し付けています。
2025年の集団訴訟(Brewer v. Otter.ai)では、同社のボットが全員の同意なく会議に参加し録音したこと、さらにその録音がモデルの学習に使われたことが、電子通信プライバシー法、コンピュータ詐欺・不正利用防止法、カリフォルニア州プライバシー侵害法違反として訴えられました。Otter側は「ユーザーが許可を得る必要がある」と主張し、原告側は「法的義務を不当に顧客に転嫁している」と主張しました。
ノートテイカーリスクから組織を守る方法
-
AIノートテイキングの承認プロセスを確立し、従業員の録音を希望するパートナーや顧客には記録のコピーを要求する。
-
誰がノートテイカーを起動できるか、どこで許可されるか、トランスクリプトの保存・保持方法、アクセスの記録方法を明確に定める。
-
法務戦略、人事調査、パフォーマンスレビュー、特権的なクライアント通話ではAIノートテイカーを禁止する。内容の誤認識、抜け漏れ、誘導的な表現をチェックするために人間による確認が必要であることを忘れない。
-
ベンダー契約を厳しく精査し、学習目的でのデータ再利用に反対し、免責や同意条項を確認・交渉する。
真のエンタープライズ対応を実現するには、ポリシー策定、プログラム構築、会議の全ライフサイクルをカバーするプロセスが必要です。これにより、企業はノートテイカーの導入を管理・保護できます。
主なステップは以下の通りです:
-
AI時代の会議開催に関するポリシーと意識向上トレーニングを作成する。
-
AI要約・ノートテイカー向けに調達・第三者リスク管理ポリシーを更新する。
-
ノートテイカーの設定・ポリシー(データ保持、暗号化等)や利用状況(同意、外部ノートテイカーの会議参加等)を監視・強制する。
-
法務部門と連携し、同意要件、プライバシー法、契約義務にポリシーを合わせ、セキュリティ管理とコンプライアンスが連動するようにする。
-
ノートテイカーの監督をエンタープライズリスク管理フレームワークに統合し、運用・評判・戦略リスクもセキュリティ・法的リスクと並行して考慮する。
-
会議でノートテイキングが適切かどうか確認する(法務、人事、特権的なセッションは除外)。
-
承認済みツールのみを使用することを確認する。
-
参加者に事前に同意要件を伝える。
-
ノートテイカーの存在を明示する。
-
標準化された開示文言を使用する。
-
「記録誘導」行動に注意し、トランスクリプトが操作されている場合は修正する。
-
会議後は厳格な保持・アクセス制御を適用する。
-
正確性、抜け漏れ、文脈のために人間によるレビューを義務付ける。
-
トランスクリプトは企業承認済みシステムに保存する。
-
記録を最終化する責任者を明確に定める。
歴史から学ぶ
ノートテイカーは、BYOD(私物端末持ち込み)やシャドーSaaSの再来です。今度の違いは、Otterの事例が示すように法的な強制力と、リスクを顧客に転嫁する契約上の落とし穴です。もう一つの違いは脆弱性です。ベンダーが消滅したり買収されたりすると、Novacyのサービス終了のように、機密データや企業が宙に浮くことになります。
あなたのトランスクリプトが訴訟の証拠Aとして提出されたり、800ものシャドーアカウントがカレンダーをボット農場に変えてしまう前に、ノートテイカーポリシーを今すぐ策定しましょう。さもなければ、あなたのトランスクリプトがあなたの物語を書いてしまいます。
著者について
CEO & 創業者, Knostic
Gadi EvronはAIセキュリティ企業Knosticの創業者兼CEOであり、ACoDサイバーセキュリティカンファレンスの議長も務めています。以前はCymmetria(買収済み)の創業者兼CEO、イスラエル国家デジタル庁のCISO、イスラエルCERTの創設者、PwCのサイバーセキュリティ・センター・オブ・エクセレンスの責任者を歴任しました。彼は「最初のインターネット戦争」(エストニア2007年)の事後分析を執筆し、初期の情報共有グループ(TH-Research, 1997年、DA/MWP, 2004年)を設立、APTレポート(Rocket Kitten – 2014年、Patchwork – 2016年など)やDNS DDoS増幅攻撃に関する最初の論文(2006年)も執筆しています。Gadiはサイバーセキュリティに関する2冊の著書があり、業界誌への寄稿やBlack Hat(2008年、2015年)、ダボス(2019年)、CISO360(2022年)などの業界イベントでの講演も多数行っています。
CEO, Ukraine Friends、およびCEO, Joe Sullivan Security LLC
Joe Sullivanは様々な業界の経営者に対し、セキュリティ、AI安全性、リーダーシップに関するアドバイスを提供し、戦争地帯のウクライナの子どもたちに人道支援を行う非営利団体Ukraine FriendsのCEOも務めています。Joeは米国司法省で8年間勤務し、テクノロジー関連犯罪の起訴に専念した初の連邦検察官でした。その後、eBayとPayPalで7年間上級職を務め、2008年にFacebookのチーフセキュリティオフィサーとして入社し、数人規模だった安全・セキュリティチームを数百人規模に成長させました。2015年にはUberの初代CSO、2018年にはCloudflareの初代CSOとして、同社を上場前から成長著しい公開企業へと導きました。JoeはAirBnB、DoorDash、Whoopなど多くの企業に助言し、現在は9社の上場前企業のアドバイザーも務めています。世界各国の政府機関で証言し、オバマ大統領の「国家サイバーセキュリティ強化委員会」のメンバーも務めました。
翻訳元: https://www.darkreading.com/cyber-risk/take-note-cyber-risks-with-ai-notetakers
