生成AI導入リスク、稟議前に押さえておくべきこと

経営陣から「生成AIで全社DXを加速させろ」と言われた日から、自分の頭の中はずっとその一点だった。
ベンダーのデモを見るたびに「使えそうだ」と感じるのに、いざ稟議書を書こうとすると手が止まる。
何かが引っかかっていた。

先日、生成AI導入の10大リスクをまとめた記事を読んで、その「引っかかり」の正体がはっきりした。
リスクが曖昧なまま展開すると、情報漏洩・著作権侵害・誤情報拡散はほぼ確実に起きる、という一文だ。
「ほぼ確実」という表現に、正直ぞっとした。

他社の事例が、他人事に思えなかった

記事に載っていた事例がいくつか刺さった。
2023年にサムスン電子の社員がソースコードをChatGPTに貼り付けて流出させた件は有名だが、2025年にはマクドナルドの採用ボットが応募者の個人情報を漏洩させたという話も載っていた。
うちの部門でも、営業資料の下書きにAIを使い始めている部下が何人かいる。
「社外秘の数字を入力していないか」、確認したことがなかった。

もう一つ気になったのが「EchoLeak」という話だ。
Microsoft 365 Copilotに発見された脆弱性で、プロンプト経由で社内メールや文書の内容が外部に引き出せる状態だったという。
自分たちが「信頼できるMicrosoft製品だから安全」と思い込んでいたとしたら、それ自体がリスクだった。
ベンダーの名前が大きいほど、逆に疑わなくなる。

稟議書に「リスク欄」を作る必要があると気づいた

今まで自分が書いてきた稟議書を振り返ると、効果・コスト・スケジュールの三点セットで構成されていた。
リスクの項目を「懸念事項」として1行で済ませていたことが多い。
でも経営陣が本当に気にしているのは、「何か起きたとき誰が責任を取るのか」という一点だと思う。

記事ではリスクを3つのカテゴリに分けていた。
利用者起因・サービス提供側起因・社会倫理面、という整理だ。
この枠組みを使えば、稟議書の「リスク欄」がぐっと具体的になる。
「情報漏洩の可能性があります」で終わらせず、「利用者が機密情報を入力するリスクに対し、入力禁止ルールと月次監査を設ける」と書ける。
経営陣への説明が変わると、承認のスピードも変わるはずだ。

部下25人に使わせていく立場として、ルール整備を後回しにする余裕はない。
まず来週、現場でAIを使っている部下と30分話して「今どんな情報を入力しているか」を洗い出してみるつもりだ。
リスクの全体像を把握するより先に、足元の実態確認から始めたほうがいい。
その結果を見てから、稟議書の構成を組み直す。