因为"方便",员工用个人账号把客户信息或公司机密输入外部AI——这被称为"影子AI"(Shadow AI),是信息泄露的典型途径。另一方面,若因惧怕风险而全面禁止,又会落后于竞争对手。本文由取得ISMS认证的千叶AI导入支援公司,讲解影子AI的风险,以及用公司专用AI环境"安全地・全员"活用AI的对策与上手方法。
什么是影子AI?为何会发生
影子AI是指员工各自判断、把公司未管理・未许可的AI服务用于工作的状态。在ChatGPT等可轻松使用的今天,因"没有规则""方便又能提效",会在不知不觉中在公司内蔓延。
即使没有恶意,输入的信息也可能流向外部・被用于训练,有可能导致客户信息或机密信息泄露。
放任不管会怎样? 3个风险
| ① 信息泄露 | 把客户个人信息・报价・图纸・源代码等输入外部AI,存在外泄风险。 |
|---|---|
| ② 合规违规 | 抵触个人信息・保密协议(NDA)・各类规程,可能损害客户信任。 |
| ③ 使用零散・属人化 | 无法掌握谁在用什么、怎么用,质量与安全都无法管理。 |
⚠ 仅靠"禁止"无法解决:即使全面禁止,也会因便利而"偷偷使用",反而更难管理。比起禁止,准备"能安全使用的环境与规则"更现实、更有效。
安全地全员活用的4项对策
| ① 制定使用规则 | 明确禁止输入的信息(个人信息・机密),规定可用范围・确认流程。 |
|---|---|
| ② 公司专用AI环境 | 采用输入数据不被用于外部训练的企业版方案,或对内封闭的AI使用环境。 |
| ③ 访问控制・日志 | 管理使用者・权限,保留使用日志。包含离职者的权限清理在内进行管控。 |
| ④ 教育・固化 | 通过培训共享"为何危险・如何使用",把安全用法在公司内扎根。 |
要点:"①规则"与"②环境"是成套的。仅有规则难以遵守,仅有环境则用法不定。两轮并进,才能放心地推进全员活用。
以ISMS认证的经验"边守边用"
株式会社MRI取得了信息安全的国际标准ISMS认证(ISO/IEC 27001)。我们运用经第三方机构认定的信息管理体制经验,支援构建在保护机密数据的同时安全活用AI的公司内环境。服务详情请参阅安全AI环境构建・被选择的理由。
不失败的上手方法
| STEP 1 | 掌握现状──确认公司内谁在使用什么样的AI |
|---|---|
| STEP 2 | 制定规则──从最小限度起,规定禁止输入信息・使用范围・确认流程 |
| STEP 3 | 准备安全环境──导入企业版/公司专用的AI使用环境 |
| STEP 4 | 教育・运营──通过培训固化,看着日志持续改善 |
导入整体的推进方式请参阅中小企业导入AI从何开始?不失败的5个步骤。
担心费用也有补助金
安全AI环境的构建,可能成为国家"数字化・AI导入补助金"(最高450万日元)的"安全对策推进类别"等的对象。详情请参阅千叶中小企业可用于AI导入的补助金汇总。
从"禁止"转向"安全活用"。
公司内的AI使用,该如何规整?
公司内的AI使用,该如何规整?
从规则制定・公司专用环境到补助金活用,在线30〜60分钟为您单独提案(免费・无强行推销)
相关文章:
・中小企业导入AI从何开始?不失败的5个步骤
・【2026年版】千叶中小企业可用于AI导入的补助金汇总
※ 本文内容为2026年6月时点的一般信息。各AI服务的数据处理方式请以提供方的最新条款为准。补助金的要件・截止日期请以各制度官方网站为准。