皆さんの会社では、情報システム部門の業務効率化を高めるためにAIの活用を検討されたことはありますか?
企業のITインフラや情報資産を管理する情シス部門では、AIツールを活用することで「ノンコア業務の自動化・省人化」や「業務の効率や品質を高める」ことに期待できます。
しかし、その反面で情報漏えいなどの繋がってしまうリスクも存在ます。
この記事では、情シス業務における生成AIの具体的な活用法とセキュリティ面の注意点について解説します。
目次
生成AI(Generative AI)は人工知能(AI)の一種であり、特に「生成」に特化した能力をもつ技術です。テキストや画像、音声、動画などの多用な形式のコンテンツを自動生成可能です。
情シス部門では、「PCやネットワークのトラブル」「プリンタ設定」などの単純なトラブルや問い合わせについて費やす時間を、生成AIを活用することで削減することが可能です。
問い合わせ対応の自動化
「PCが動かない」「ネットワークが繋がらない」といったユーザーからの定型的な問い合わせなどのヘルプデスク業務は、生成AIやチャットボットの活用で自動化することが可能です。
特に注目を集めているのは、社内データベースとの連携によるRAG(検索拡張生成)です。
社内のナレッジに基づいた高度な回答を実現できるのが特徴です。
マニュアル作成と管理
生成AIを活用することで、社内FAQやマニュアル作成などの煩雑な情シス業務の効率を高めます。既存資料や過去事例を学習し、多言語対応や図表、画像生成も用いて資料作成に用いることも可能です。
情シス業務の負担となっていた単純な問い合わせを軽減できるだけでなく、社員の自己解決能力を高める効果も期待でき、会社全体にとって有益な効果を生み出すことができます。
システム運用・保守
多くの人的リソースを必要とし、緊急対応などに比べると後回しにされがちなシステム運用・保守。生成AIの活用で、システムの常時監視・報告、メンテナンススケジュールの管理、そして運用レポートの自動作成などが期待できます。
プログラミング支援・コンテンツ制作
定型的なコードは自動生成できるため、工数を削減することができます。定型的なコードの自動生成、コードの補完機能、バグや記述ミスのチェック・修正などが可能になり、技術者によるコーディング作業の工数・期間短縮に繋がります。
ただし、完全にプログラミングをAI任せにしてしまうのは危険なため、コーディング知識のある担当者の補助ツールとして導入・運用をおすすめします。
①セキュリティ上のリスク
AIは脆弱性を含むコードや外部から悪用されうる実装を出力することがある。
②著作権やライセンス問題
AIが出力するコードには、訓練データに含まれていたオープンソースコードが断片的に含まれる場合があり、ライセンス違反や著作権侵害になるリスクがある。
③法的・倫理的責任は人間にある
たとえAIが作成したコードでも、バグや情報漏えいが起きた時の最終的な責任は人間にある。
生成AIは入力されたデータを将来の学習やモデル改善に使用することがあります。つまり、自分たちが入力した機密情報や個人情報がAIの学習データとして使用され、外部に漏えいするリスクがあるのです。
そのため、利用規約やプライバシーポリシーを確認し、入力情報がAIの学習に利用されないよう設定できるツールを選定することが重要です。
不正アクセスやマルウェア感染による、データの改ざんや漏えいが行ってしまう可能性、またクラウド型のAIサービスの場合はデータの保管場所や処理方法が不明確な場合もネックとなります。
生成AIには「ハルシネーション」と呼ばれる、事実とは異なる情報や存在しない情報をあたかも事実であるかのように生成する現象を起こすことがあります。
その際、従業員がAIの生成結果を鵜吞みにしてしまうと誤った判断に基づいて業務を進めてしまう可能性があります。そのため、社内のITリテラシーを高めておくことが大切です。
生成AIが出力するコンテンツには、既存の著作物に似た表現が含まれることがあります。「情報漏えいのリスク」で前述のように、利用規約を確認し、著作権に扱いや入力データの学習可否をチェックすることが大切です。商用利用時には特に注意をしましょう。
以下のような対策が挙げられます。
・利用規約やプライバシーポリシーを確認する
・履歴/学習をオフにできるツールを利用する
(ChatGPT、Notion AIなど、社内で使用予定のツールをリストアップ)
・重要な条項を、社内Wikiやガイドラインに要約して社内で共有する
(例:入力データの学習利用の有無や保存期間など)
・社内Wikiなどに、社員が確認しやすいよう一覧化する
「このツールは入力内容が学習に使われる/使われない」と一覧化する
以下のような対策が挙げられます。
・企業向けに設計されたセキュアなAIサービスっを選定し、利用
・ウイルス対策ソフトやEDRなど基本的なセキュリティ対策を行う
(例:OpenAI(米国)、Microsoft Copilot(データ処理はMicrosoftクラウド、日本リージョン選択可)など)
・Microsoft Entra IDやGoogle Workspaceと連携し、SSO+MFA(多要素認証)を導入する
(ログイン時にワンタイムパスワードや生体認証を必須にする)
・EDRの導入
(社内PC・モバイル端末にウイルス対策ソフトをインストールし、利用状況は管理コンソールで情シスが一括監視)
・社内ネットワーク経由でのAI利用を推奨
(プロキシ経由でのアクセスを必須化し、AIとの通信ログを記録・分析できるようにする、Wi-Fiスポットなど、オープンネットワークではAI利用を禁止など)
以下のような対策が挙げられます。
・AIの回答は”たたき台”として扱い、必ず人間の目でファクトチェックを行う
・簡単な研修やルールを社内で共有しておく
(法令名、統計データ、引用文が含まれる場合は、必ず元情報を確認するなどのチェック項目をガイドラインに記載する)
・AIは”たたき台ツール”として使うと明文化し、業務マニュアルに組み込む
(メールや提案書の下書き用途にはOK、顧客への提出物には必ず人の確認が入るなど、具体的な線引きを目右記する)
・「ハルシネーションとは何か?」を社内研修や資料で教育する
(説明動画やスライドを用意し、社内Wikiなどに掲載する)
商用で使用するコンテンツの場合は、「このまま出して大丈夫?」を慎重に判断する必要があります。
以下のような対策が挙げられます。
(CanvaやAdobe Fireflyは「商用利用OKかつ著作権保障あり」と明記されている)
・出力された画像・文章をそのまま広告や記事に使わないルールを設ける
(AIで出力した画像や原稿を、自分の言葉に書き換える/画像をアレンジするなど)
今回は、情シス業務における生成AIの活用法とセキュリティ面の注意点について解説しました。
生成AIを活用することで、特にヘルプデスクにおける問い合わせ対応の自動化やマニュアル作成などの単純な業務の効率化に大きな効果が期待できます。
しかし、情報漏えいなどセキュリティ面のリスクや従業員のITリテラシーを高める必要性などの課題もあるため、適切な対策と社内ルールの整備が不可欠となります。
株式会社Runway labo.では、あらゆるITのお悩み・認証資格取得のサポートを行っております。
セキュリティツールなどの導入支援なども行っておりますので、セキュリティ面について不安を抱えている企業様や担当者様がいらっしゃいましたら、ぜひお気軽にご相談ください。
この記事を書いたのは、株式会社Runway-labo.で情シスのアシスタントをしているAnya。趣味はピラティスで身体を動かした後に餃子とハイボール片手に昼飲み。そしてコナン君をこよなく愛する。