ZEROCK

企業のAIセキュリティよくある質問20選|情報漏洩・データ保護・監査対応

2026-02-12濱本竜太
AIセキュリティFAQZEROCK情報漏洩コンプライアンス

企業のAIセキュリティに関するFAQ20選。情報漏洩リスク、データ保護、社内ポリシー策定、監査対応、規制動向まで実務担当者の疑問に回答します。

企業のAIセキュリティよくある質問20選|情報漏洩・データ保護・監査対応
シェア

企業のAIセキュリティよくある質問20選

株式会社TIMEWELLの濱本です。

AIの業務利用が当たり前になった一方で、セキュリティへの不安は増しています。IPAの「情報セキュリティ10大脅威 2026」では、AIの利用をめぐるセキュリティリスクが初めて選出されました。「AIを使いたいけど、情報漏洩が心配」「うちの会社にAIセキュリティポリシーがない」「監査で聞かれたらどう答えればいいかわからない」。こうした声に応えるべく、AIセキュリティにまつわる20の質問をまとめました。

情報漏洩リスクに関する質問

Q1: AIに社内の機密情報を入力すると、漏洩する可能性はありますか?

あります。パブリックなAIサービス(無料版のChatGPTなど)では、入力データがモデルの学習に使用される可能性がある。つまり、入力した内容が将来、他のユーザーへの回答に反映されるリスクがあるということです。法人向けプランやAPI利用であれば学習に使用されない契約になっていますが、必ず利用規約を確認してください。「法人向けだから安全」と思い込むのが一番危ない。

Q2: 社員が勝手にAIツールを使う「シャドーIT」が心配です

正当な心配です。先日あるクライアント企業で調べたところ、従業員の3割以上が会社に無断で外部のAIツールを業務に使っていた、というケースがありました。対策は3つ。会社として承認したAIツールを明示する、未承認ツールの利用を禁止するポリシーを策定する、利用状況を定期的にモニタリングする。ただ、禁止だけでは効果が薄い。承認済みの便利なツールをセットで提供しないと、結局隠れて使います。

Q3: ChatGPTやCopilotに入力してはいけない情報は何ですか?

入力禁止とすべき情報をリストアップします。個人情報(氏名、住所、電話番号など)、顧客情報(取引先名、契約内容など)、社外秘情報(開発中の製品情報、経営戦略など)、認証情報(ID、パスワード、APIキーなど)。個人的には、「迷ったら入力しない」をルールにするのが一番シンプルで効果的だと思っています。

Q4: AIによる情報漏洩は実際に起きていますか?

起きています。2023年にSamsung社の社員がChatGPTに半導体の機密データを入力した事案は有名ですね。社内チャットボットの回答から機密情報が漏れた事例もある。たいていの場合、悪意ではなく「便利だから」という理由で機密情報を入力してしまうのが実態。だからこそ、仕組みで防ぐ必要があるんです。

Q5: クラウド型AIとオンプレミス型AI、セキュリティはどちらが高いですか?

これはよく聞かれる質問ですが、一概には言えません。クラウド型はベンダーが強固なセキュリティ基盤を提供する反面、データが外部に出るリスクがある。オンプレミス型はデータが社内にとどまりますが、セキュリティの管理責任は自社にある。IT部門長の判断としては、機密度の高いデータを扱う業務はオンプレミスまたは国内クラウド、一般的な業務はクラウドという使い分けが現実的です。ZEROCKはAWS東京リージョンで稼働するため、データが国外に出ない安心感があります。

データ保護に関する質問

Q6: AIに入力したデータはどこに保存されますか?

サービスにより異なります。クラウド型AIの場合、データはサービス提供者のサーバーに送信される。法人向けプランでは通常、入力データの保持期間や保存場所が契約で定められている。ここで必ず確認すべきは、国内のデータセンターで処理されるか、海外に転送されるか。この1点だけでもリスクの大きさが変わります。

Q7: 暗号化はどの範囲で行われていますか?

確認すべきは「転送中の暗号化」と「保存時の暗号化」の2つです。転送中はTLS/SSLで暗号化されるのが標準ですが、保存時(at rest)の暗号化はサービスによって対応状況が異なります。法人向けAIサービスを選ぶ際は、両方の暗号化が施されていることを確認しましょう。

Q8: 個人情報保護法とAI利用の関係は?

AIに個人情報を入力する場合、利用目的の範囲内であること、安全管理措置を講じていることが求められます。クラウド型AIサービスへの入力は「委託」に該当する場合があり、委託先の監督義務が発生します。2025年の個人情報保護法改正も踏まえ、法務部門と連携して整理しておくことが必要です。

Q9: GDPRやAPEC CBPRなど海外の規制にも対応する必要がありますか?

海外の顧客データを扱う場合や、EU圏に事業所がある場合はGDPR対応が必要です。越境データ移転の制限もあるため、AIサービスのデータ処理場所が規制に準拠しているかを確認してください。国内完結のデータ処理であれば国内法の遵守が基本ですが、グローバル展開を視野に入れるなら早めの対応をお勧めします。

社内ポリシーに関する質問

Q10: AI利用ポリシーには何を盛り込むべきですか?

最低限盛り込むべき項目は5つ。利用可能なAIツールの一覧、入力禁止情報の定義、出力結果の利用ルール(人間による確認義務など)、インシデント発生時の報告フロー、違反時の対応。それに加えて、3〜6か月ごとの見直しサイクルを組み込んでおく。AIの進化は速いので、半年前のポリシーはもう古いと考えたほうがいい。

Q11: ポリシーは全社一律にすべきですか?部門ごとに分けるべきですか?

基本方針は全社一律、運用細則は部門ごとが推奨です。たとえば「機密情報をAIに入力しない」は全社共通ルールですが、「どのツールを何の業務に使うか」は部門の業務内容によって変わります。法務・人事など機密性の高い部門は追加の制約を設けることもあります。

Q12: ポリシー策定の参考にできる公的ガイドラインはありますか?

経済産業省・総務省が策定した「AI事業者ガイドライン(第1.1版)」が最も参考になります。2025年3月に公開されたもので、AIの開発者・提供者・利用者それぞれに求められる事項が整理されています。自社のポリシー策定にあたっての土台として活用できます。

監査対応に関する質問

Q13: 監査でAI利用について聞かれた場合、何を準備すべきですか?

準備すべきは4点。AI利用ポリシーの文書、利用しているAIツールの一覧とセキュリティ要件の確認記録、アクセスログ・利用ログ、インシデント対応の履歴。要は「どのツールを、誰が、何のために使い、どう管理しているか」を説明できる状態を作っておくこと。正直なところ、ここが整備されていない企業がまだ多いです。

Q14: AIの判断プロセスの「説明可能性」はどう確保しますか?

RAGを使っている場合は、AIが参照した情報源を回答に添付することで判断根拠を示せる。これが説明可能性の第一歩です。もうひとつ、AIの回答がどの文書のどの部分に基づいているかを追跡できるログを残しておく。この2つが揃えば、監査時にも「AIの判断プロセスはこうです」と説明できます。

Q15: AIを使った業務の内部統制はどう整備すべきですか?

AIを業務プロセスに組み込む場合、「AIの出力→人間の確認→承認」というワークフローを設計することが基本です。AIの出力をそのまま最終判断にしない仕組みを作り、その仕組みが機能していることを定期的に検証する。これが内部統制におけるAIの位置づけです。

規制動向に関する質問

Q16: 日本にAIに関する法規制はありますか?

2026年2月時点で、AI単体を対象とした法律はまだありません。ただし、個人情報保護法、不正競争防止法、著作権法など、既存の法律がAI利用にも適用されます。政府は法制化に向けた議論を進めており、将来的にはAI事業者ガイドラインを基にした法規制が導入される可能性があります。

Q17: EU AI規制法は日本企業にも影響しますか?

EU域内でAI製品・サービスを提供する場合は影響します。2024年に成立したEU AI Act(AI規制法)は、AIをリスクレベルに応じて分類し、高リスクAIには厳格な義務を課しています。EU向けのビジネスがある企業は、自社のAIがどのリスクカテゴリに該当するかを確認しておく必要があります。

Q18: AIが生成したコンテンツの著作権はどうなりますか?

日本の著作権法では、AIが自律的に生成したコンテンツには著作権が発生しないとされています。ただし、AIを「道具」として使い、人間の創作的寄与がある場合は著作物として認められる可能性があります。AIの出力をそのまま公開・販売する場合は、法務部門に確認することをお勧めします。

Q19: サイバー攻撃にAIが悪用されるリスクは?

高まっています。AIを使ったフィッシングメールの精巧化、ディープフェイクによるなりすまし、脆弱性の自動探索など、攻撃側もAIを活用している。防御側もAIによる脅威検知やログ分析を取り入れないと、人手だけでは対応しきれない時代になっています。「AIにはAIで対抗する」という考え方が現実的です。

Q20: 今すぐ取り組むべきことは何ですか?

3つです。AI利用ポリシーの策定(なければ今すぐ着手)、利用中のAIツールのセキュリティ確認(契約条件、データの取り扱い)、社員へのAIリテラシー教育(セキュリティ意識を含む)。完璧でなくていいので、まず「最低限のルール」を作り、そこから改善していく。ここを後回しにすると、インシデントが起きてから慌てることになります。

まとめ

企業のAIセキュリティで押さえるべきポイントです。

  • 機密情報のAI入力は漏洩リスクがある。法人向けプランでも利用規約は必ず確認
  • シャドーIT対策は「禁止」だけでなく「承認済みツールの提供」とセットで
  • AI利用ポリシーは全社共通の基本方針+部門別の運用細則の2層構造
  • 監査対応はログの整備と説明可能性の確保がカギ
  • 規制は流動的。3〜6か月ごとにポリシーを見直す仕組みを

AIセキュリティは「完璧にしてから使う」のではなく「使いながら整える」ものです。まずはAI利用ポリシーのたたき台を作ること。そこが最初の一歩になります。セキュアなAI環境として、ZEROCKはAWS東京リージョンで稼働し、入力データがモデル学習に使われない設計。アクセスログ・利用ログも完備しているので、監査対応もカバーできます。

参考文献

  • IPA「情報セキュリティ10大脅威 2026」2026年1月
  • 経済産業省・総務省「AI事業者ガイドライン(第1.1版)」2025年3月
  • NRIセキュア「生成AI時代のデータセキュリティ」2025年

AIで業務を効率化しませんか?

3分の無料診断で、貴社のAI導入準備状況を可視化。戦略・データ・人材の観点から改善ポイントをお伝えします。

AI準備度を診断する

この記事が参考になったらシェア

シェア

メルマガ登録

AI活用やDXの最新情報を毎週お届けします

ご登録いただいたメールアドレスは、メルマガ配信のみに使用します。

無料診断ツール

あなたのAIリテラシー、診断してみませんか?

5分で分かるAIリテラシー診断。活用レベルからセキュリティ意識まで、7つの観点で評価します。

無料で診断する

関連する基礎知識

エンタープライズAI入門

課題解決ソリューション

ナレッジ管理の課題を解決社内の情報を一元管理し、必要な知識にすぐアクセス

ZEROCKについてもっと詳しく

ZEROCKの機能や導入事例について、詳しくご紹介しています。

ZEROCKの詳細を見るお問い合わせ

関連記事