ChatGPT EnterpriseやMicrosoft Copilot、Google Gemini for Google Workspace(以下、AIツール)の業務展開が加速する中、情シス・法務・CISOが最初に直面するのは「この契約で自社データは守られるのか」という問いです。本記事では、AIツール導入時に必ず議論すべき「データ」「権限」「監査」の3観点を、判断基準とともに解説します。
なぜ今、3観点の整理が急務なのか
生成AIツールは従来のSaaSと異なり、入力した情報がモデルの追加学習に使われる可能性や、処理がどの国のサーバーで行われるかが不明瞭なケースがあります。経済産業省が2024年4月に公開した『AI事業者ガイドライン』では、AIサービスを利用する「AI利用者」にも、提供者との契約内容の確認とリスク管理の実施が求められています。また、NIST AI RMF1は、リスクをガバナンス・マップ・測定・管理の4機能で継続的に見直す体制を推奨しています。
この3観点は独立して存在するのではなく、「データがどこに行くか」「そのデータに誰がアクセスできるか」「アクセスや利用の痕跡を検証できるか」という一連の流れを構成します。導入後に問題が表面化してから対処しようとすると、契約上の手段が限られているケースも多く、導入前の整理が欠かせません。
データ観点 ― 学習・保管・越境の3つの問い
AIツール導入でまず確認すべきなのは、入力データの扱いに関する3点です。
- 学習利用の有無: 利用者が入力した情報がモデルの再学習に使われると、社外秘情報や個人情報が間接的に流出するリスクがあります。ChatGPT EnterpriseやMicrosoft Copilot for Microsoft 365は、原則としてユーザー入力をモデル学習に使用しない設計ですが、契約プランによって異なります。「学習に使わない」旨がDPA2に明記されているかを確認します。
- 保管場所と越境移転: EUのGDPR3や日本の改正個人情報保護法では、個人データを国外に移転する際の制限があります。処理が米国やアイルランドのデータセンターで行われる場合、標準契約条項(SCC)の締結や、国内リージョン利用オプションの有無を確認します。
- データ保持期間と削除: 入力内容がサービス側に何日間保持されるのか、削除リクエストに応じてもらえるのかを事前に把握します。OWASP Top 10 for LLM Applications4でも「センシティブな情報漏えい」が上位リスクに挙げられており、入力段階からの情報管理が要点となります。
権限観点 ― 誰が・何に・どの範囲でアクセスするか
AIツールを組織全体に展開すると、ユーザーが業務文書・メール・会議録を横断的に参照できる環境が生まれます。ここで問題になるのが最小権限の原則の崩れです。
Microsoft Copilotを例に挙げると、SharePointやTeamsに蓄積されたコンテンツを、アクセス権限を持つユーザーの代理として参照します。つまり、既存のACL(アクセス制御リスト)の設計ミスがAI導入によって可視化・増幅される点が要注意です。導入前に確認すべき点を整理すると以下のとおりです。
- 人事・財務・法務などセンシティブな部署のファイルが「全社共有」になっていないか
- ゲストアカウントやサービスアカウントに過剰な権限が付与されていないか
- RBAC5が整備されているか
また、AIツール自体の管理者権限(テナント管理者、APIキー保有者等)は特権IDとして扱い、多要素認証と定期的なレビューの対象とすることを推奨します。権限棚卸しはAI導入のトリガーとして実施するのが最も効率的な進め方です。
監査観点 ― ログは「残す」ではなく「使える」状態に
AIツールに関する監査ログは「取得できる」だけでは不十分で、「インシデント発生時に検索・分析できる」状態を目指す必要があります。具体的に監査体制として考えたいのは以下の3点です。
- 何を記録するか: ユーザーIDと入力内容の組み合わせ、タイムスタンプ、APIコール先、出力の利用有無
- どこに保管するか: クラウドプロバイダの監査ログをSIEM6へ転送し、一元管理する
- 誰がいつレビューするか: 月次の利用統計レビューと、異常検知アラートに基づく随時確認を組み合わせる
NIST AI RMFでは、AIシステムの「測定(Measure)」機能として継続的なモニタリングと文書化を求めています。また、経産省『AI事業者ガイドライン』でも利用実態の把握と記録の保存が推奨されており、これを怠ると情報漏えい発生時の原因究明が難しくなります。
監査のもう一つの論点がAI出力の検証プロセスです。業務利用された生成AI出力が後から問題になった場合に「誰がどのプロンプトを使ったか」「結果をどう利用したか」を追跡できる体制を、ポリシーとして定めておく必要があります。
一枚要約
- 何が起きているか: 生成AIツールの業務展開が加速する中、データ学習・越境移転・権限設計・監査ログの各領域で新たなリスクが顕在化しています。
- 自社への影響: 既存のACL設計ミスがAIで増幅される、入力情報が学習に利用されるなどのリスクが現実化しつつあります。
- 打つべき手: 導入前にDPAを精査し、権限棚卸しを実施、監査ログのSIEM連携を計画することを優先します。
今日着手できる3アクション
- DPAの確認: 利用中のAIツールの管理コンソールまたは契約書から「Data Processing Agreement」を入手し、「学習利用の有無」と「データ保持期間」を確認します。ChatGPT EnterpriseはOpenAIのTrust Portal(trust.openai.com)、Microsoft CopilotはMicrosoft Service Trust Portal(servicetrust.microsoft.com)で取得できます。
- SharePoint/Teamsの全社共有サイトの棚卸し: Microsoft Purview管理センター(purview.microsoft.com)の「コンテンツエクスプローラー」または「アクセス権限レポート」から、センシティブなラベルが付いたファイルが広範囲に共有されていないかを確認します。
- 監査ログの保持期間と転送設定の確認: Microsoft 365 Purview Audit、Google Admin Console(admin.google.com)、またはOpenAIの組織ダッシュボードで、監査ログの保持期間設定を確認し、90日以上の保持と外部SIEMへの転送が設定されているかをチェックします。
AI×セキュリティの観点
生成AIの普及は、攻撃者にも防御者にも影響を与えています。攻撃面では、社内AIツールを経由したインサイダーによる情報収集や、プロンプトインジェクション7を使った情報抽出が現実の脅威となりつつあります。防御面では、AIを活用したUEBA(ユーザー・エンティティ行動分析)により、AIツールの異常利用パターンの早期検知が可能になってきました。また、EU AI Act8やGDPR、日本の改正個人情報保護法が並走する規制環境では、AIシステム自体のリスク分類とドキュメント要件が今後さらに厳格化される見通しです。データ・権限・監査の3観点はこうした規制対応の基盤ともなるため、早期の整備が重要となります。
用語ミニ解説
- NIST AI RMF — 米国立標準技術研究所(NIST)が策定したAIリスク管理フレームワーク。ガバナンス・マップ・測定・管理の4機能でAIシステムのリスクを継続管理するための指針。 ↩
- DPA(データ処理契約) — Data Processing Agreementの略。クラウドサービス提供者が顧客データをどのように処理・保管・削除するかを取り決めた契約。GDPRなどの規制では締結が義務付けられている場合がある。 ↩
- GDPR(一般データ保護規則) — General Data Protection Regulationの略。EUが2018年に施行した個人データ保護の法令。日本企業もEU域内ユーザーのデータを扱う場合は域外適用の対象となる。 ↩
- OWASP Top 10 for LLM Applications — 大規模言語モデル(LLM)固有のセキュリティリスク上位10項目をまとめた業界標準ガイド。プロンプトインジェクションや機密情報漏えいなどが含まれる。 ↩
- RBAC(ロールベースアクセス制御) — Role-Based Access Controlの略。ユーザーの職務ロールに基づいてアクセス権限を割り当てる方式。AI導入前に整備すると情報の過剰アクセスリスクを低減できる。 ↩
- SIEM — Security Information and Event Managementの略。複数システムのログを一元収集・分析するプラットフォーム。AI監査ログをここに集約することで異常検知が容易になる。 ↩
- プロンプトインジェクション — 外部入力にLLMへの命令を埋め込み、本来の指示を上書きしてエージェントの動作を乗っ取る攻撃手法。間接型(Indirect Prompt Injection)は人間を介さず自動で実行される点が特に危険。 ↩
- EU AI Act — EUが2024年に成立させた世界初の包括的AI規制法。リスクベースで4段階に分類し、高リスクAIには適合性評価・透明性・人間による監督などを義務付ける。 ↩
コメント