業務で使う生成AIに渡した情報は、どこの国のサーバーへ行くのか | GH Media
URLがコピーされました

業務で使う生成AIに渡した情報は、どこの国のサーバーへ行くのか

URLがコピーされました
業務で使う生成AIに渡した情報は、どこの国のサーバーへ行くのか

「業務で生成AIを使い始めたら便利で、いまや社員が思い思いに使っています。ただ先日、取引先から『御社は当社の情報をAIに入れていませんか。それはどこの国で処理されるんですか』と聞かれて、答えられませんでした」——ある中小企業の経営者の方から受けた相談です。生成AIの導入では、精度や料金は熱心に比較されるのに、「入れた情報がどこへ行き、どう扱われるか」はほとんど検討されないまま使い始めていることが多いのです。

これは「海外のAIだから危険」という単純な話ではありません。問題は、社内に線引きがないまま、誰が何をどのAIに渡してよいかが決まっていないことです。近ごろは、AIを自国内で動かすことを求める規制の議論も各国で進み、企業が「どこでAIを動かすか」を選べる仕組みも増えてきました。本記事では、どのAIに何を渡してよいかを、中小企業が現実的に決めるための考え方を、発注する側の目線で整理します。

なぜ「どこで処理されるか」が問題になるのか

生成AIにテキストやファイルを入力すると、その情報はたいてい社外——多くは海外——のサーバーに送られ、そこで処理されます。ここで押さえるべき論点は二つです。

一つは、入れた情報が保管され、場合によっては学習に使われうること。サービスや契約プランによって、入力データを保持しない・学習に使わないと定めているものもあれば、そうでないものもあります。無料の個人向けと法人向けとで扱いが違うことも珍しくありません。もう一つは、情報がどの国の法律の下に置かれるか。データが物理的にどの国のサーバーにあるかで、適用される法律や、いざというときの開示・保全の扱いが変わります。取引先との契約で「情報を国外に出さない」と約束している場合、これは実務上の問題に直結します。要するに、AIに情報を渡すことは、社外にデータを預けることであり、預け先の素性を知らずに機密を渡すのは、鍵を知らない金庫に書類を入れるのに近いのです。自社内でAIを完結させる選択肢は社内プライベートLLMの記事ローカルAI環境の記事にまとめています。

「危険か安全か」ではなく「情報を三つに分ける」

多くの会社がつまずくのは、「このAIは安全か、危険か」という問いの立て方です。この問いには答えが出ません。同じAIでも、渡す情報の中身によって、問題になったりならなかったりするからです。

現実的なのは、AIを選別するのではなく、自社の情報を三つに分けて、それぞれにどのAIまで使ってよいかを決めることです。

情報の区分渡してよいAI
公開してよい情報一般公開資料、公開済みの文章、社外向けの下書き制限なし。一般の生成AIでよい
社内限りの情報社内資料、議事録、未公開の企画学習に使わない契約の法人向けAIに限る
渡してはいけない情報顧客の個人情報、取引先の機密、契約で国外持出禁止のデータ原則AIに入れない。使うなら自社内で完結する仕組み

この分け方の良いところは、社員が迷わないことです。「これは社内限りだから、法人契約のAIまで」「これは顧客情報だから入れない」と、その場で判断できる。AIの善し悪しを一つずつ調べるのではなく、情報の側に基準を持たせることで、線引きが実務で回るようになります。AIが自動でメールを送るような高度な使い方まで含めた統制はGemini Sparkのガバナンス記事も参考になります。

契約プランと「学習に使わない」設定を確かめる

区分を決めたら、次に確かめるのが、使っているAIが実際にどういう扱いをするかです。ここは思い込みが危ないところで、「法人で使っているから安全なはず」と信じ込むと足をすくわれます。

見るべきは主に三点です。入力したデータを学習に使わない設定になっているか。データをどの国・地域で処理するかを選べるか(法人向けには保存先の地域を指定できるものもあります)。そして、会話履歴やアップロードしたファイルがどれくらい保持され、削除できるのか。これらはサービスの管理画面や契約条件で確認できますが、専門用語が多く、発注側だけで読み解くのは骨が折れます。判断に迷うところだけ外部の目を借りるのが早道です。AIの会話履歴を統制する具体は会話履歴のガバナンス記事で扱っています。

事例: 「全部禁止」から「区分して解禁」に転じた会社

具体例を挙げます。ある事業者(社名は伏せます)は、情報漏洩を恐れて「業務での生成AI利用を全面禁止」にしていました。ところが実際には、社員が個人のスマートフォンでこっそり使っており、かえって管理の外で機密が渡っている状態でした。禁止が、事態を悪化させていたのです。

そこでやったのは、先の三区分を作り、「公開情報と社内情報は、学習に使わない法人契約のAIで使ってよい。顧客情報は入れない」と明文化したことでした。あわせて、その法人AIのデータ保存地域と学習オフの設定を確認し、社員に一枚の判断表として配りました。結果、隠れて使う理由がなくなり、利用は管理下に戻りました。効いたのは高度な技術ではなく、「禁止」でも「野放し」でもない、情報ごとの線引きを一枚の紙にしたことでした。

まず「入れてはいけない情報」だけでも決める

生成AIの業務利用では、精度や料金の比較に目が行きがちですが、「入れた情報がどこで処理され、どう扱われるか」は、取引先との信頼や契約に直結する論点です。答えは「安全なAIを一つ選ぶ」ことではなく、自社の情報を区分し、それぞれにどのAIまで使ってよいかを決めることにあります。全部を一度に整えられなくても、まず「これだけは入れてはいけない情報」を決めるだけで、最悪の事故は避けられます。

「社員が思い思いにAIを使っていて把握できていない」「取引先に情報の扱いを問われて答えられなかった」「禁止にしているが、隠れて使われている気がする」——そうしたお悩みがあれば、グリームハブの開発・AI・自動化のご相談からお気軽にお問い合わせください。情報の区分づくりから、使っているAIの設定確認、社員が迷わない判断表の整備、必要なら自社内で完結する仕組みの検討まで、身の丈に合った形でご一緒します。

Sources

URLがコピーされました

グリームハブ株式会社は、変化の激しい時代において、アイデアを形にし、人がもっと自由に、もっと創造的に生きられる世界を目指しています。

記事を書いた人

鈴木 翔

鈴木 翔

技術の可能性に魅了され、学生時代からプログラミングとデジタルアートの分野に深い関心を持つ

関連記事