お祭り騒ぎのようなAIブームが過ぎ、AIを利用して業務効率化を行うことが当たり前で、実務に落とし込む段階になってきています。

「AIで仕事がなくなる」「AIで全部自動化!」というような極端な文言は少なくなってきていますが、「AIを活用できない企業は淘汰される」というような強い言葉は根強く残っている状況です。

意思決定される方やセキュリティ担当者の方は「じゃあどうしたらいいんだ」と考えておられるのではないでしょうか。

AI関連予算はどの業界でも過去最高ペースで増え続けています。そんな中で「どのようにAIと付き合っていくべきか」に焦点を当ててみたいと思います。

AIは完全にコントロールできる存在なのか

AI導入にあたって心配の種としてあげられるひとつが「AIの嘘(ハルシネーション)」です。

「ハルシネーションはコントロールできる」というようなタイトルの記事をちらほら見かけますが、しっかりと読んでみると、必ずと言っていいほど「完全にゼロにはできない」「人間のチェックは必ずすべき」という結論になっています。

タイトルだけみて「コントロールできるんだ!」と過信してしまうことこそが、一番のリスクであると考えられます。

ハルシネーションに限らず、専門用語や略語など学習が及ばない範囲は苦手としていますので、一度チェックをするというのは押さえておくべきポイントであると思います。

AIとの付き合い方は「人間関係」と同じ?

AIは全知全能の神様ではなく、「ちょっと物知りだけど、たまに間違える部下」のような存在。そう捉えると、人間側のやるべきことは普段の人間関係と変わらないものであると考えられます。

  1. 依存しすぎない(丸呑みにしない)
    最後の確認と責任は自分自身で持つようにしてください。先にも述べた通りAIは間違えますし、苦手分野もゼロではありません。
  2. 適切に頼る(得意なことだけ任せる)
    アイデア出しや文章の整理に使うようにしてください。AIの得意分野は大量のデータに裏打ちされた分析やアイデアの整理が得意です。
  3. 問題を細分化して相談する(丸投げしない)
    データを細かく区切って相談するようにしてください。人間の思考も同様ですが、問題を細分化することで適切な回答にたどり着きやすくなります。

どれを使えばいい?

シャドーAIと呼ばれる「勝手AI」は、ルール化されていない状況で多く発生します。スマホからでも容易に無料のAIが利用できますので、そういったところに機密情報を入力されないように誘導する必要があります。

ただ「ダメ」というのではなく、AIがすでに普及しているものと想定をして「会社公認AI」の利用を推奨することが肝要です。会社公認のAIとすることで、有償プランが利用できることになりますので、そういった点からも勝手AIの利用を抑制することが可能です。

では、どのようなAIが「会社公認」に向いているのでしょうか。実際のビジネス利用における契約や導入のパターンは、セキュリティレベルや予算に応じて大きく5つのパターンに分類されます。

1. 商用AIサービスの法人向けプラン(Enterprise / Business契約)

最も手軽で一般的なパターンです。提供元のクラウド上で動作しますが、一般向けの無料版とは異なり、明確な特約が結ばれます。

  • データの扱い:入力データ(プロンプト)や出力結果は、AIの学習に一切利用されません。
  • データの削除:一定期間(例: 30日間)は、不正利用の監視やシステム運用のためにログが一時保存されますが、その後自動的に削除されます。

もちろん契約内容はしっかりと精査してから契約するようにしてください。

2. API経由でのシステム利用契約

自社の社内システムや専用のチャット画面(UI)を開発し、バックエンドとしてAIを呼び出すパターンです。

  • データの扱い:原則としてすべての主要なAI提供元で、API経由で送信されたデータはAIの学習に利用されません。
  • データの削除:不正監視用のログは一定期間で削除されます。ベンダーによっては、申請することでこの一時ログの保存も除外できる場合があります。

当然ですが開発コストは発生します。どちからといえばシステム開発会社様向けのパターンで、それ以外の企業様はそういったシステムの利用契約ということになりそうです。

3. クラウドベンダー提供のエンタープライズAIプラットフォーム

MicrosoftやGoogle、AWSといった大手クラウドサービスをすでに導入している企業に最適なパターンです。

  • データの扱い:完全に自社が契約しているクラウドのテナント(隔離された専用領域)内でAIが動作します。データがクラウドベンダーの学習に使われないのはもちろん、他の企業に見られることも絶対にありません。
  • データの削除:自社のストレージに蓄積されるデータ(ログ含む)の暗号化や削除タイミング(データ保持ポリシー)を、自社のIT管理者が自由にコントロール・一括削除できます。

アカウント管理が必要になりそうな端末台数になってきている場合に、アカウント管理と合わせてDXにも着手していきたいというような状況で選択肢に挙がるかもしれません。

4. プライベートクラウド / 完全閉域網での運用

金融機関や官公庁、製造業のR&D部門など、極めて高いセキュリティが求められる場合のパターンです。

  • データの扱い:クラウドベンダーと特別な契約を結び、外部のインターネットから完全に遮断された専用回線(VPNや専用線)の中にAI環境を構築します。
  • データの削除:すべてのデータ通信とログが自社の管理下にある閉域網内で完結するため、第三者にデータが渡るリスクは構造上ゼロになります。不要になったデータは自社のシステム運用ルールに従って即座に物理的・論理的に消去できます。

CS Worksにご相談いただく規模では想定されない利用方法ですが、ご参考まで。

5. オンプレミス(社内サーバー)でのローカルAI運用

データを1バイトたりとも外部(クラウド)に出したくない場合の最終手段です。利用者数によって費用が大きく変わってきます。

  • データの扱い:自社で用意したGPUサーバー(または自社が管理するデータセンター)に、オープンソースのAIを直接ダウンロードして動かします。
  • データの削除:契約ではなく自社の物理的なインフラで完結するため、学習に使われる心配は皆無です。データの削除やログの管理も100%自社でコントロール可能です。

部外秘の情報が多い場合には選択肢に挙がることもあるかと思います。もちろん、AI以外からの情報漏洩にも引き続き注意が必要です。

ちょうどいい距離感と安全な環境の組み合わせ

ここまでで述べた通り、いわゆるリテラシーの部分として、AIとの付き合い方については一定の教育(学習)が必要です。すでに会社公認AIを契約されている場合には、学習会などもセットで開催するとAIとの付き合い方がより良くなるでしょう。

Google AI EssentialsやG検定(ジェネラリスト検定)、生成AIパスポートといったAI関連資格の取得に対して手当などを拡充するのも良い方法だと思います。ITパスポートもシラバスの改定によりAI関連の問題が出題範囲となっていますので、IT全般の知識習得とあわせてITパスポートの受験を推奨するのも良いかもしれません。

商用プランの契約もぜひ検討してみてください。安全に無料プランよりも優秀なAIが使えることで、シャドーAIの対策という点以上のメリットが見込めるはずです。