【代表コラム】生成AI時代に求められる情報セキュリティリテラシー

生成AIについてご相談を受けると、「便利そうだけれど、何を入力してよいのか分からない」「情報漏えいが怖い」「従業員が勝手に使っていたらどうしよう」という不安をよく耳にします。この感覚は、とても自然なものだと思います。

生成AIは、使ってみると驚くほど便利です。文章の下書き、要約、表現の整理、アイデア出しなど、これまで時間がかかっていた作業を短時間で進められる場面があります。私自身も、適切に使えば、ひとりで抱えていた業務の進め方が変わる可能性を感じています。

一方で、便利さに慣れたときほど注意が必要です。
入力してはいけない情報を深く考えずに入れてしまう、AIの回答をそのまま社外に出してしまう、会社として認めていないサービスを個人アカウントで使ってしまう。こうした使い方は、今後、より厳しく見られるようになると考えています。

不適切なAI利用への目線は厳しくなる

少し強い例えになりますが、飲酒運転に対する社会の見方は、時代とともに大きく変わりました。
以前は曖昧に済まされていたことでも、現在では会社の信用に関わる重大な問題として扱われます。

生成AIの利用についても、同じように社会の目線が変わっていく可能性があります。

たとえば、個人情報、顧客情報、取引先から秘密として預かった情報、営業上の機密情報を、利用条件を確認しないままAIサービスに入力する。
今は「よく分からずに使ってしまった」で済んでいる場面でも、AI利用が一般化するほど、会社としての管理責任が問われやすくなります。

特に、人事労務の分野では、従業員の氏名、住所、給与、健康情報、評価、トラブルに関する情報など、取り扱いに注意が必要な情報が多くあります。
業務効率化のためにAIを使うとしても、「便利だから入れる」ではなく、「どの情報を、どのAIに、どんな条件で入力してよいのか」を確認する姿勢が欠かせません。

「何も入れてはいけない」だけでは実務が止まる

では、生成AIには社内情報や顧客情報を一切入れてはいけないのでしょうか。

私は、今後の実務は必ずしもその方向には進まないと考えています。
むしろ、法人契約、学習利用の有無、ログ管理、アクセス制御、情報漏えい防止機能、監査機能などが整った環境では、必要な範囲で社内情報や顧客情報を扱うことも、通常業務の一部になっていく可能性があります。

例えになりますが、火災の危険があるからといって火を一切使わないわけではありません。火を使う場所、設備、管理方法、担当者の教育を整えたうえで、安全に使います。

生成AIも同じと考えています。
会社が考えるべきなのは、「使わせない」ためのルールだけではありません。むしろ、従業員が業務で使いたくなることを前提に、「安全に使う」ための環境とルールを整えることが必要になります。

禁止だけのルールは、現場で形だけになりやすいものです。
従業員が実際には個人アカウントで使っている、会社が把握できないところで情報を入力している、便利な使い方があるのに担当者ごとに判断がばらばらになっている。こうした状態のほうが、会社にとってはかえって危険です。

これから求められるAIリテラシー

今後、企業や人材に求められるのは、単に「AIを使えること」ではありません。
どのAIに、どの情報を、どの設定・契約・管理体制のもとで入力してよいのかを判断できることです。

具体的には、次のような力が求められます。

・公開情報、社内情報、個人情報、要配慮個人情報、営業秘密、取引先から預かった情報を分類する力
・AIサービスの規約、学習利用の有無、データ保持、国外移転、ログ管理を確認する力
・誤情報、情報漏えいなど、AI特有のリスクを理解する力
・AIの出力をそのまま信じず、人間が確認し、必要に応じて修正する力
・業務ごとに「利用可」「利用不可」「条件付きで利用可」を設計する力

たとえば、公開されている制度情報をもとに社内説明文のたたき台を作ることと、従業員の健康情報や給与情報を含む相談内容をそのまま入力することは、同じAI利用でもリスクがまったく異なります。

また、同じ情報であっても、無料アカウントで利用するのか、法人契約で利用するのか、入力内容が学習に使われる設定なのか、管理者がログを確認できるのかによって、判断は変わります。

ここを会社任せ、従業員任せにしないことが大切です。

社内ルールは「禁止」ではなく「判断できる形」にする

生成AIの社内ルールを作るときは、ただ「個人情報を入力してはいけません」と書くだけでは不十分です。もちろん、入力してはいけない情報を明確にすることは必要です。ただ、それだけでは現場で迷う場面が残ります。

会社側で決めておいたほうがよいのは、たとえば次のような内容です。

・会社として利用を認めるAIサービス
・個人アカウントでの業務利用の可否
・入力してよい情報、入力してはいけない情報
・匿名化、仮名化、要約などを行えば利用できる場面
・AIの出力を社外に出す前の確認方法
・採用、人事評価、懲戒、退職勧奨など判断への利用可否
・事故や誤送信が起きた場合の報告ルール
・従業員への教育、研修、誓約書の整備

特に人事労務の領域では、AIの回答をそのまま人事判断に使うことには慎重であるべきです。
AIは優秀な補助者になり得ますが、最終判断を代わりに背負ってくれるものではありません。会社が説明責任を果たすためにも、どこまでAIを使い、どこから人が確認するのかを明確にしておく必要があります。

安全に使える会社が、AIを活かせる会社になる

これからは、「AIを使うか、使わないか」だけで差がつくのではなく、「安全に使える環境とルールを整えているか」が問われる時代になっていくと感じています。

生成AIを怖がりすぎて一切使わない場合、業務効率化の機会を逃すかもしれません。
反対に、便利さだけを見て自由に使わせると、個人情報保護、秘密保持、取引先との契約、社内規程の面で問題が起きる可能性があります。

大切なのは、どちらかに振り切ることではなく、会社の業務内容、取り扱う情報、従業員の利用実態に合わせて、現実的なルールを作ることです。

社労士事務所ウェルブルでは、生成AIの業務利用に関する社内ルールの整備、就業規則や情報管理規程の見直し、従業員向けのAI利用ルール作成などをサポートしています。

「生成AIを活用したいが、社内ルールがまだない」
「従業員のAI利用をどこまで認めるべきか整理したい」
「就業規則や社内規程にAI利用ルールを反映させたい」

このようにお考えの企業様は、ぜひ当事務所へご相談ください。

安全に使えるルールを整えることで、生成AIは単なるリスクではなく、業務効率化と生産性向上の有効な手段になります。
会社としてどこまで使うのか、どこから慎重に扱うのか。その線引きを実務に合う形で一緒に整理していきましょう。

顧問・スポット業務、各種料金について
AI導入支援サービスについて

お問い合わせはこちらから
LINE登録はこちらから
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!