(イメージ/Adobe Stock )

社内でのAI利用は、もはや常識となりました。これまでの手間を各所で大幅にはぶき、様々な場面で効率化に貢献しています。しかし、セキュリティは確保できているでしょうか? 今回はAI利用を発端とする、サイバーセキュリティ問題を取り上げます。

■【事例】:仕事でのAI利用トラブル

金曜日の夕方、DX推進担当であるAさんは、パソコンの画面を前にして冷や汗が止まらなくなっていました。画面に表示されているのは、社内のセキュリティ監視システムが検知した、不審なデータ通信に関する大量なアラートです。海外のサーバーを経由して、見慣れない外部のクラウドサービスへ向けて、会社の顧客データが管理システムから断続的に送信されていました。

「まさか、不正アクセスによる情報漏洩か?」

最悪のシナリオが頭をよぎり、Aさんは血の気が引く思いで通信元を特定しました。

すると、その発信源は外部のハッカーではなく、営業部のエース格である課長のBさんのパソコンだったのです。驚きを抱えつつ、AさんはすぐにBさんに事実を確かめに行きました。

Bさんの反応は、予想だにしないものでした。「漏洩? 何を言っているんだ。あれは業務を効率化するために、私が自分で導入した『自立型AIアシスタント』が動いているだけだよ」と、悪びれる様子もなく言ったのでした。

Bさんの話はこうでした。会社が2年前に大々的に導入した統合型ITシステムは、セキュリティが厳重な反面、画面の遷移が遅く、データのダウンロードやレポート作成に膨大な手作業を要していました。現場からは「使いにくい」「これでは残業が減らない」と不満が噴出していましたが、情報システム部からは「セキュリティ基準を満たすための仕様だ。ルールに従って運用してほしい」と突っぱねられるばかりだというのです。

そのような状況で、毎月の営業レポート作成と顧客分析に追われ、限界を迎えていたBさんが出会ったのが、ネットで話題になっていた最新の「自立型AI」でした。これは従来のAIのように一問一答で指示を出す必要はありません。

「今月の売上データを分析して、各顧客向けの提案書を自動で作って、社内チャットに下書きしておいて」と大まかなゴールを一度指示するだけで、AIが自ら考えて、システムにログインし、データを集め、ドキュメントを作成して、チャットツールまで自律的に操作してくれる、Bさんにとっては、まさに「仕事のできるデジタル部下」でした。

Bさんは、会社の許可を得ていない個人でこの自立型AIを契約し、社内のシステムにアクセスするためのIDとパスワードをAIに教えて動かしていました。

Bさんに悪気は一切ありません。むしろ、「会社が使いにくいシステムを押し付けるから、自分で勉強して業務を劇的に効率化し、チームの残業を減らしたんだ。なぜ責められなければならないのか」と、不満を隠せない様子です。

ルールを厳格に守らせようとすれば現場の業務がストップしてしまいますが、Bさんのような勝手な行動を黙認すれば、いつ組織を揺るがすリスクにつながるか分かりません。

Aさんは、Bさんに対してどのように説得しなければならないのか悩んでいます。