これまでの記事では、生成AIを利用するにあたって“学習”、“正確性”、“権利”という観点から注意喚起を行ってきました。
今回は、「その上でどのように利用するか」という点について考えてみます。
始めに結論から申し上げますと、生成AIを活用する際の対策は技術面の対策だけでは不十分です。組織として誰が、いつ、どのようにAIを使うかを明確に定め、運用ルールと責任体制を整備することが不可欠です。
1 方針と責任の明文化
まずは「利用ポリシー(方針)」を作成します。業務で許可する用途、禁止事項(機密情報の入力禁止など)、違反時の対応を明記してください。ポリシーには承認フローと責 任者を必ず定め、判断に迷う際の日常的な問い合わせ部署を明記します。情報システム部門がない場合でも、問い合わせ先は、「なし」ではなく、例えば、ポリシーを作成する部署を中心に、責任のある対応を行うことのできる組織などを、必ず設置しましょう。
2 データ分類と入力ルールの整備
社内で扱う情報を、公開/社内共有可/機密などに分類し、各カテゴリごとにAIへの入力可否を定めます。この際、文書の管理について、既にカテゴリ分けが行われている場合も多いと思いますので、それを流用することで作業を緩和することができます。そして、機密情報は原則としてAIに入力しないルールを徹底することとします。
さらには、業務テンプレートやプロンプトの標準化することで誤入力を防ぐという対策を取ることもできます。
3 利用の可視化と承認フロー
生成物は「下書き」として扱い、公開前に必ず人が事実確認(ファクトチェック)と権利確認を行うワークフローとします。
対外文書や法務・財務に関わる出力は承認者のチェックを必須にし、最終責任者を明確にします。
4 シャドーAI対策と例外管理
使用可能な生成AIシステムを会社で契約するものに限定し、従業員が個人アカウントで業務にAIを使う「シャドーAI」を禁止するか、例外申請制度を設けます。例外を認める場合は、使用目的、期間、代替手段、リスク評価を記載した申請書を必須とし、承認後に限定的に利用させます。
5 教育と運用の定着化
全従業員向けに具体例を交えた研修を実施し、禁止例・許容例を周知します。運用開始後は現場のフィードバックを定期的に収集し、ポリシーを改善していく仕組みを作ります。
6 インシデント対応
万が一の問題発生時に備え、初動対応手順(影響範囲の特定、関係者通知、外部専門家への相談)を整備します。これも他の情報システムでの手順が流用できる可能性があります。
7 継続的改善
非常に進化の速い生成AIの世界であるため、自社の運用状況やモデルの変更に応じて機動的にポリシーを見直すことのできるよう、見直しのための条項を設ける。また改善の放置を防ぐために、最低の改善頻度について定めると良いです。
(番外) 契約とベンダー対応のルール化
正確には運用ルールと異なるものですが、利用するAIサービスの利用規約や契約条項をチェックリスト化します。特に「学習に利用されるか」「生成物の利用権」「サブプロセッサーの開示」などは必須項目です。
新たな契約を行う際の指針とするほかにも、利用途中の変更があった際にもチェックを行い、そぐわない場合は利用を停止する、別のサービスの検討を行うなどのアクションを取ります。また、チェックリストの条件を満たさなくなった場合には、そのような見直しの取り扱いとなることを明記し、責任者に了承を得ておくと良いでしょう。
まとめ
一度に注意点全般にわたっての運用ルールを作ることは難しい場合でも、まずは簡潔な利用ポリシー、データ分類、承認フローの三点を整備することが生成AIの危険性を抑えながら利用する第一歩です。
生成AIを含む情報システムの導入のご相談は
↓
みよし市で行政書士開業準備中-ITセカンドオピニオン
