セキュリティとリスク — 知らないと怖い話
AIは便利や。でも「便利」と「安全」は別の話。この章は楽しくない。けど、AIを仕事で使うなら避けて通れへん。
AIに何を入力していいのか
2023年、サムスン電子の社員が社内の機密ソースコードをChatGPTに貼り付けて最適化を依頼した。その情報はOpenAIの学習データに取り込まれる可能性があった。サムスンは即座にChatGPTの社内利用を全面禁止した。
これは他人事じゃない。あなたが昨日AIに入力したテキスト、その行き先を考えたことあるやろか。
入力してはいけないもの
| 入力NG | 具体例 | リスク |
|---|---|---|
| 社員の個人情報 | 氏名・住所・給与・評価 | 個人情報保護法違反 |
| 顧客データ | 顧客リスト・購買履歴 | 信頼喪失、法的責任 |
| 財務情報 | 未公開の売上・予算計画 | インサイダー取引の可能性 |
| 未公開情報 | 新商品の企画書 | 競合への情報漏洩 |
| 認証情報 | パスワード・APIキー | 不正アクセスのリスク |
判断基準
「その情報がインターネットに公開されても問題ないか?」 — この問いにYesと答えられるものだけをAIに渡す。
もう一つの対策は企業向けプランを使うこと。Claude Team / Enterprise、ChatGPT Enterpriseでは、入力データがモデルの学習に使われへん設定がある。
プロンプトインジェクション — AIが騙される
取引先から届いたWebページをAIに要約してもらった。回答は丁寧で的確に見えた。でも最後に、見覚えのないサービスが「おすすめ」として紹介されてた。
あなたは騙されたわけじゃない。AIが騙された。
プロンプトインジェクションとは、AIの指示を外部から書き換える攻撃。攻撃者がWebページの中に、白い背景に白い文字で指示を埋め込む。人間の目には見えへん。でもAIはテキストとして読み取る。
結果、攻撃者の意図通りの回答が返ってくる。
対策:
- AIの回答に不自然な推薦や誘導がないか確認する
- 特にWebページの要約やメール分析では立ち止まって確認する癖をつける
著作権・法的リスク
AIが書いた文章、描いたイラスト。これは誰のものか。
正直に言おう。2026年時点で、明確な答えはまだない。
| 項目 | 日本 | 米国 |
|---|---|---|
| AI単独の生成物 | 著作権なし | 著作権なし |
| 人間が関与した生成物 | 「創作的関与」があれば著作権の余地あり | 人間の創造的コントロールがあれば余地あり |
注意すべきは、AIが既存の著作物に似た出力をするリスク。生成物を商用利用する前に、類似するものがないかチェックするのは最低限の自衛策や。
安全に使うための3つのルール
- 個人情報はAIに入力する前に必ず匿名化する — 名前は「Aさん」に置き換え
- 新しいサービスに自分のAIアカウントを接続する前に利用規約を読む — 便利さの裏にリスクあり
- AIの回答を無条件に信じない — ハルシネーションもプロンプトインジェクションも「AIが言ったから正しい」を否定する現象
この章のまとめ
- AIに入力していい情報と、絶対に入力してはいけない情報がある
- プロンプトインジェクション(AIへの外部攻撃)の存在を知っておく
- 著作権はまだグレーゾーン。商用利用は慎重に
- 「面倒くさい」は「怖い」の裏返し。一手間かけることが自分を守る