blog

企業が生成AI導入基準でセキュリティを最重視すべき理由と選定プロセス

# 企業が生成AI導入基準でセキュリティを最重視すべき理由と選定プロセス

米エネルギー省(DOE)のIT部門が、対話型AI「Grok」やAI検索エンジン「Perplexity」を自社のAIポートフォリオから除外し、採用を見送ったことが報じられました(出典:FedScoop)。この決定は、生成AIの急速な普及期を経て、企業や政府機関が実用性と安全性を厳格に評価する「選定と運用の成熟期」へ移行していることを象徴しています。

本記事では、この最新ニュースの背景を紐解きながら、日本の経営者や事業責任者が「企業 生成AI 導入基準 セキュリティ」という観点で、どのような選定基準とセキュリティ対策を講じるべきかを解説します。

## 米エネルギー省傘下IT部門の選択:汎用AIの不採用が示すもの

米IT専門メディアのFedScoopが報じた内容によると、米エネルギー省(DOE)の特定のIT部門において、AIポートフォリオを拡大する一方で、GrokやPerplexityといった特定のAIツールの採用には関心を示さなかったことが明らかになりました(出典:FedScoop)。

### ニュースが意味する背景と論点
この決定の背景には、エンタープライズ環境における「データの制御権」と「出力の信頼性」への厳しい要求があります。GrokやPerplexityは強力なコンシューマー向け機能を持つ一方、機密情報の取り扱い、学習データへの二次利用防止、ハルシネーション(事実とは異なる情報の生成)の抑制といった、エンタープライズ水準のセキュリティ要件を十分に満たしているかという懸念が残ります。

特にエネルギー分野のような重要インフラを扱う組織では、わずかな情報漏洩や誤情報が致命的なリスクとなるため、汎用的なツールよりも、制御が容易で用途が明確な特化型モデルや、強固なガバナンスが効くプラットフォームが選好される傾向にあります。

### 日本企業におけるメリットと活用場面
この動向を日本企業に置き換えると、自社の業務に最適化された「特化型AI」や「クローズド環境のAI」を選択することの重要性が浮き彫りになります。
例えば、金融、製造、医療といった機密性の高いデータを扱う業界において、外部の汎用AIに依存せず、自社専用にカスタマイズされたセキュアな環境でAIを運用することで、情報漏洩リスクを極限まで抑えながら業務効率化を推進できます。

### デメリット・注意点・リスク
一方で、セキュリティを重視して独自のクローズド環境や特化型モデルを構築・運用する場合、導入コストや保守運用の負担が増加するデメリットがあります。また、厳格すぎる制限は現場の利便性を損ない、従業員が個人契約のAIツールを業務で無断使用する「シャドーAI」を誘発するリスクもはらんでいます。

### 日本の現場における実務的な示唆
日本の意思決定者は、単に「流行しているから」という理由で特定のAIツールを全社導入するのではなく、業務プロセスごとに必要なセキュリティレベルを定義し、それに合致したツールを個別に選定する「適材適所」のアプローチをとるべきです。

## 企業が直面する生成AIのセキュリティリスク

企業が生成AIを導入する際、セキュリティ基準の策定は避けて通れません。独立行政法人情報処理推進機構(IPA)が公開している「AI利用者のためのセキュリティ豆知識」などの公的資料でも、AI特有のリスクへの警鐘が鳴らされています(出典:IPA)。

企業が特に警戒すべき主なリスクは以下の通りです。

1. **入力データの漏洩と二次利用**
プロンプトに入力した社外秘のデータや個人情報が、AIモデルの追加学習に利用され、他者の出力に混入するリスクです。
2. **ハルシネーションによる誤情報の拡散**
AIがもっともらしい嘘を出力し、それを信じた従業員が対外的な業務や意思決定に使用してしまうリスクです。
3. **シャドーAIの横行**
会社が認可していない生成AIサービスを、従業員が個人のスマートフォンやアカウントで業務利用し、ガバナンスの枠外で情報が流出するリスクです(出典:マネーフォワード Admina)。

## 企業が策定すべき「企業 生成AI 導入基準 セキュリティ」の3大要件

企業が安全に生成AIを活用するためには、明確な導入基準とガイドラインの策定が必要です。経済産業省・総務省が整備を進める「AI事業者ガイドライン」や、IPAの「テキスト生成 AI の 導入・運用ガイドライン」をベースに、以下の3つの要件を基準に組み込むことが推奨されます(出典:経済産業省、IPA)。

### 1. データ入力および学習可否の基準
導入候補となるAIサービスが、入力されたデータをモデルの学習に利用しないことを明記しているか(Opt-out設定やAPI接続の有無)を確認します。

### 2. 提供形態の選定(API・クローズド環境)
Webブラウザから直接利用するコンシューマー向けサービスではなく、データの機密性が保持されるAPI経由の利用や、自社専用のクラウド環境(VPC)内に構築されたシステムを選択します。

### 3. ガバナンスと監査体制
誰が、どのような目的で、どのツールを使用しているかを可視化し、定期的にログを監査できる仕組み(CASBの導入やAIガバナンスツールの活用)を整備します(出典:Vectra AI)。

以下の図は、企業が生成AIを導入する際、セキュリティリスクを低減しながら安全に運用するための意思決定プロセスを示したものです。

1. 業務・データの分類機密情報の有無を特定2. セキュリティ評価学習非利用・API接続確認3. 導入・継続監査利用ログ監視・ルール策定
図1:企業における安全な生成AI導入・運用の3ステッププロセス(データの分類からセキュリティ評価、継続的な監査体制の構築までを体系化)

## 生成AIの提供形態別セキュリティ比較

企業が導入を検討する際、どのような提供形態を選ぶべきかを整理した比較表です。自社のセキュリティポリシーに照らし合わせて選択してください。

| 提供形態 | セキュリティレベル | 導入・運用コスト | 特徴と主な用途 |
| :— | :— | :— | :— |
| **パブリックAI(Web版)** | 低 〜 中 | 極めて低い | 一般的な情報下調べや、機密情報を含まない文章の下書き。設定変更による学習除外(Opt-out)が必須。 |
| **API経由の利用** | 中 〜 高 | 中(従量課金) | 開発が必要だが、入力データは原則として学習に利用されない。社内システムとの連携に適している。 |
| **専用クローズド環境(VPC等)** | 極めて高い | 高 | 自社専用のクラウド領域にモデルをデプロイ。機密性の高い社内文書の検索や、高度な業務自動化に最適。 |

## 意思決定者が取るべき「次の一手」

米エネルギー省の事例が示すように、これからの企業向けAI選定においては、「広く浅く何でもできる汎用ツール」を無条件に受け入れるのではなく、自社のセキュリティ要件と業務目的に合致した「信頼できるシステム」を構築することが求められます。

まずは、社内でどのようなAIツールが使われているかの実態把握(シャドーAIの検知)を行い、A4用紙数枚程度のシンプルな「入力禁止情報リスト」と「許可ツールリスト」を策定することから始めるのが現実的かつ効果的なアプローチです(出典:Uravation)。

### 関連記事(内部リンク)
* [ディープラーニングの基本とビジネス応用](https://crystal-method.com/blog/deep-learning2/)
* [機械学習の基礎知識と企業導入のポイント](https://crystal-method.com/blog/machine-learing/)
* [テキストマイニングを活用したデータ分析手法](https://crystal-method.com/blog/textmining/)
* [マルチモーダルAIがもたらす次世代の業務変革](https://crystal-method.com/blog/multimodal/)
* [BERTの仕組みと自然言語処理における役割](https://crystal-method.com/blog/what-is-bert-nlp-guide/)
* [GAN(敵対的生成ネットワーク)の仕組みと応用](https://crystal-method.com/blog/gan/)
* [強化学習の仕組みとビジネスにおける活用可能性](https://crystal-method.com/blog/reinforcement-learning/)
* [スパースモデリングの特徴とデータ解析への応用](https://crystal-method.com/blog/sparse-modeling/)

〈参考文献〉
* FedScoop: Energy IT shop not interested in Grok, Perplexity as its AI portfolio expands (https://fedscoop.com/energy-department-grok-perplexity-ai-portfolio/)
* 独立行政法人情報処理推進機構(IPA): テキスト生成AIの導入・運用ガイドライン (https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/generative-ai-guideline.html)
* 独立行政法人情報処理推進機構(IPA): テキスト生成 AI の 導入・運用ガイドライン(PDF) (https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2024/f55m8k0000003spo-att/f55m8k0000003svn.pdf)
* 独立行政法人情報処理推進機構(IPA): AI利用者のためのセキュリティ豆知識 (https://www.ipa.go.jp/digital/ai/security/ai_security_tips.html)
* 経済産業省: AI 事業者ガイドライン (https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20260331_1.pdf)
* HP TechDevice 360: 中小企業での生成AI導入ガイド (https://jp.ext.hp.com/techdevice/ai/ai_explained_41/)
* 株式会社Eques: 2026年版AIセキュリティ完全ガイド|経営者が知るべき対策法 (https://eques.co.jp/column/ai-security/)
* Uravation: AI利用ガイドライン策定7ステップ|社内ルール (https://uravation.com/media/ai-usage-guideline-creation-7steps-2026/)
* マネーフォワード Admina: 情シスが実践する生成AIセキュリティ ベストプラクティス (https://admina.moneyforward.com/jp/blog/generative-ai-security)
* Vectra AI: AIガバナンスツール:2026年版選定とセキュリティガイド (https://ja.vectra.ai/topics/ai-governance-tools)
* 株式会社アクト: 生成AI時代のサイバーセキュリティ|利便性とセキュリティの両立 (https://act1.co.jp/column/strategic-genai-security/)
* Start-Link: 企業のAI利用ガイドライン策定ガイド (https://start-link.jp/hubspot-ai/ai/ai-governance/ai-usage-guideline-creation)

監修

河合 継(クリスタルメソッド株式会社 代表取締役)

AI・ディープラーニングに関する特許16件の発明者。過去、国立がん研究センターとの共同研究や、テレビ番組でのAI解説実績を持つAI研究者として、AIの研究開発を主導している。
運営会社について編集方針

AIブログ購読

 
クリスタルメソッドがお届けする
AIブログの更新通知を受け取る

Study about AI

AIについて学ぶ

  • AI人材採用時の情報漏洩対策とは。競業避止と技術流出を防ぐ5つの防衛策

    AI人材採用時の情報漏洩対策とは。競業避止と技術流出を防ぐ5つの防衛策

    AI技術の急速な進展に伴い、高度なスキルを持つAI人材の獲得競争が世界規模で激化しています。しかし、優秀な人材の採用や外部パートナーとの連携には、技術流出や機密...

  • AI 開発 営業秘密 侵害 リスクを回避する知財ガバナンスと経営判断の要諦

    AI 開発 営業秘密 侵害 リスクを回避する知財ガバナンスと経営判断の要諦

    生成AIの急速な普及と高度化に伴い、企業の競争力の源泉である「営業秘密」の取り扱いが極めて重大な局面を迎えています。2026年に入り、米国では大手テック企業間で...

  • 自律型AIが企業に与える影響とは?GPT-5.6登場に伴う投資シフトと日本企業の勝機

    自律型AIが企業に与える影響とは?GPT-5.6登場に伴う投資シフトと日本企業の勝機

    人工知能(AI)の進化は、従来の「人間の指示に対して回答を出力するツール」から、自ら思考してタスクを完結する「自律型AI(エージェンティックAI)」の段階へと移...

View more