生成AI導入、スタートアップが先に潰れる理由

投資家との面談で「AIガバナンスどうしてますか？」と聞かれた。
正直、一瞬止まった。

Claude を業務の中心に据えて、セールスのメール文案からピッチデックの構成まで全部回している。費用対効果は文句なし。でも「ガバナンス」と言われると、ルールらしいルールは何もない。

そのタイミングで読んだのが、生成AI導入の10大リスクをまとめた記事だった。読んでいて背筋が伸びた。

スタートアップが大企業より先にやられる構造

記事で挙げられていた事例の中で、特に刺さったのが2つ。

2023年のサムスン電子のソースコード流出と、2025年のマクドナルドの採用ボットによる個人情報漏洩だ。どちらも「AIを使いこなそうとした結果、情報が外に出た」という話。サムスンは従業員が社内コードをChatGPTに貼り付けて起きた。マクドナルドは採用フローをAIに任せたら応募者の個人情報が別のユーザーに見えていた。

大企業はこういう事故が起きても、法務・情シスが即動く。でも8人のスタートアップはどうか。私が推進担当者であり、法務であり、情シスでもある。一つの事故が会社の信用ごと吹っ飛ぶ。

ウチで言えば、採用候補者とのやりとりやVCへの提案書を Claude に食わせている。その中身がどう扱われているか、利用規約を本当に読み込んで理解しているかと問われたら、正直怪しい。

リスクは3層で考えると整理しやすい

記事では10大リスクを「利用者側」「サービス提供側」「社会・倫理面」の3層に分類していた。

この整理、投資家に説明するときにも使えると思った。「うちはAIリスクをこう管理しています」と言えるフレームが欲しかった。

スタートアップ目線で特に気にすべきは、

• 機密情報・個人情報の漏洩（採用・セールス情報が一番危ない）
• ハルシネーションによる誤情報（競合分析や市場調査をAI任せにすると数字が嘘になる）
• シャドーAIの蔓延（各メンバーが個人アカウントで使い始めたら管理できない）

8人規模だと「みんな好きに使ってる」が一番まずい状態だ。

シャドーAIという概念、記事で初めてちゃんと理解した。公式に導入していないAIツールを従業員が勝手に使い始めることを指す。ウチ、普通にそれが起きている。

まずルールを1枚にまとめることにした

「全社でガバナンス体制を構築しましょう」みたいな話は大企業向けだと思っていた。でも今は違う見方をしている。

小さいからこそ、シンプルなルールで全員を統制できる。「この情報はAIに入れない」「採用候補者の個人情報は絶対NG」「使ったツールはSlackで報告」、それだけでもかなり変わる。

投資家から見ると、AIを使いこなしているスタートアップより、AIリスクを理解して管理しているスタートアップの方が信頼できる。そういう話だと思う。

来週、メンバーと30分だけ時間を取って「AIに入れていい情報・ダメな情報」を一枚の紙に書き出すところから始めてみるつもりだ。