生成AI活用ガイドラインのあるべき姿とは?
tokuharahikaruc5d1a19313
こんにちは、電通総研の徳原です。以前から社内外での生成AI活用推進に関するプロジェクトに従事してきましたが、2026年に入ってからは、生成AIをより安全かつ効果的に使う方法が議論されることが増えました。
性能や導入効果が未知数だった生成AIを、ひとまず使ってみる段階を経て、現在は現場で顕在化した課題への具体策を検討する段階に入っています。
そして、その中でもより関心が高まっているテーマとして、「生成AIの活用をどう規制するか」が挙げられます。規制というと、推進とは全く逆の事柄のように感じられるかもしれませんが、むしろ生成AIの活用推進において規制は切っても切れない重要な概念になります。
ただ、現場で運用されている規程、現場で運用されている規程やガイドラインの多くは、生成AIのビジネス活用が始まった2023年から2024年ごろに整備されたものです。そのため、現在の活用実態や今後予想される社会の動きに十分対応できていないのが実情です。
今回は生成AIのビジネス利用を安全かつ効果的に促進するための、利用組織内における規制について整理したいと思います。
なぜ生成AIの活用推進には利用規制が必要なのか
生成AIの活用は企業の情報システム部門や、DX部門、または現場部門の業務効率化を推進するメンバーによって推進されることが多いです。ただし、現状中央集権的に利活用を統制している組織は少なく、ユーザーがそれぞれ生成AIサービスを思い思いの方法で選定・利用していることが多いのではないでしょうか。
たしかに、個別の業務を推進しているメンバーが個人の意思決定において生成AIを活用していく構図は、「生成AIをとりあえず使ってみる」段階においては、利用用途に対する柔軟性を向上させ、導入・利用までの準備時間を短縮できるというメリットがあります。
組織で生成AI利用を管理する立場のメンバーにとっても、管理に必要な人的リソースの不足は大きな課題でした。生成AIの急速な進歩に対応し、活用推進のスピードを重視するため、利用判断を現場の社員に委ねてきたケースもあったかと思います。
しかし、生成AIの利用において、安全性、効率性が求められる(ビジネスメリットを最大化する)段階に入った今、そのような自律分散的な活用推進には、以下の問題が生じました。
- 生成AI活用の知見が組織に共有・蓄積しない
- 利用コスト管理ができず、費用対効果が上がらない(そもそも費用対効果を計測できない)
- 監査・セキュリティの観点から生成AIの利用において法的かつ倫理的にリスクが生じる
まず、「生成AI活用の知見が組織に共有・蓄積されない」という点についてです。個人が主体となって生成AIの業務適用を進めると、試行錯誤によって得られた知見が個人にひもづき、属人化しやすくなります。せっかく有用なユースケースやプロンプトがあっても、それを把握しているのが一部の担当者に限られ、活用時に陥りやすい問題やその解決策も共有されないまま、利用者が同じ失敗を繰り返す状況が生じがちです。
次に、「利用コスト管理ができず、費用対効果が上がらない(そもそも費用対効果を計測できない)」問題です。生成AIの利用はかなりコストがかかります。予算不足で生成AIが使いたいときに使えなかったり、従量課金のコストが確保していた予算を超えてしまうという話はよく聞きます。
さらに、個人に利用推進を委ねていると、全社的な生成AIの導入効果が見えづらいです。高い利用料を払って生成AIを運用していても、ユーザー個人が心理的に利便性を感じていただけで、実際に削減された業務時間等を計算してみると思ったほど少なかった事例もあります。
最後に、「監査・セキュリティの観点から、生成AIの利用に法的・倫理的なリスクが生じる」という点です。こちらも重大な問題です。生成AIの発展は非常に速く、ビジネスへの影響も大きいと見込まれていたため、法制度や企業内規程の整備が対応に追いつかず、まずは利用を進めながら課題を見極める状況が続いてきました。そもそも生成AIが実業務に与える影響自体が不透明だったこともあり、国家、企業、個人の各レベルで、明確な規制を設けないまま活用が進んできたのが実情です。
こうして生成AIが試験的に展開されていくなかで、現在では生成AIを利用することのメリットとデメリットが社会全体で明確化されました。これは生成AIが発表された当時、専門家が予測したものと一致している結果もあれば、かけ離れた結果もあります。
特に企業の情報セキュリティを担保する情報システム部門では、生成AI活用により表面化した具体的なセキュリティリスクに対する対応を現在進めていますし、国家レベルでは中国や欧州をはじめとした一部国家において、生成AIがもたらす社会的、経済的な不利益に対する具体的な規制が検討されています。
また、個人レベルでも生成AIの利用やAI生成物に対して疑問を持ち、生成AIが普及することのデメリットを指摘するユーザーが増え始めました。前回AITCコラムでご紹介した「AIシェイム」という言葉も、そんなユーザー心理の中で生まれた言葉かと思います。
現状のこれらの問題、特に「監査・セキュリティの観点から生成AIの利用において法的かつ倫理的にリスクが生じる」に対する最も効果的な解決策が、生成AIを利用するそれぞれの組織で自主的な規制を制定し、自律分散的な運用を是正することで中央集権的な運用を実現することです。
したがって、生成AIの利用を規制することは、組織内の生成AIの活用を推進し、導入効果を高めるということにつながるのです。
企業活用における生成AI活用の3つのリスク
具体的な規制を考えるには、まず自身のビジネスにおける生成AI活用に伴うリスクを正しく評価する必要があります。リスクをもれなくリストアップしたうえで、それぞれのリスクに対応する規制を必要十分な範囲で設定することが、生成AIの活用推進を進める上では重要です。
- 機密情報が流出してしまう
- 意図せず法律を犯してしまう
- 業務上の損害を被ってしまう
生成AIが活用されはじめた当初は、生成AIに入力した情報を生成AIモデルが学習し、他のユーザーに伝えてしまうという事象が起き、1つ目の「機密情報が流出してしまう」が主に注目されてきましたが、今後生成AIの利用がより日ごろの業務の中で一般化されていくにあたって、2つ目の「意図せず法律を犯してしまう」、3つ目の「業務上の損害を被ってしまう」リスクもより大きくなりました。
しかし、現状現場で運用されている生成AI活用に関する規程やガイドラインは生成AIのビジネス活用が始まった2023年や2024年に整備されたものが多く、2つ目と3つ目のリスクに対する規制が十分に検討されていないことが多いです。
現在は生成AIの出力が様々な場面で業務に適用されることになり、生成AIの出力が起因の問題も増えてきました。したがって、今後は生成AIの出力をユーザーがどう扱うかに関する規制も整備する必要があります。
これは1企業単位の問題ではなく、国家レベルで半ば試験的に緩和された生成AI活用に関する法的規制を、これまでに発生した様々な問題に対応するために強めるという流れが予測されます。
特に著作権に関しては、生成AIが発表された当初から様々な議論が盛んに行われており、生成AIが発表される前からAIモデルの学習データと著作権に関して検討・調査を行っていた弊社からも以下のコラムを公開しました。
その後も継続的に議論は続いていましたが、今後生成AIの出力に関して法的な規制が強まった場合、過去に生成AIを使用して作成した業務上の成果物が違法になってしまう可能性があります。
そもそも著作物を生成AIの学習に使用していいのか?という議論も継続していますが、学習だけではなく、生成AIが出力した生成物が既存の著作物の権利を侵害してしまう可能性もあります。日本では合法であった生成物も、海外では違法になる可能性もありますので、この問題は国際的にビジネス展開しているユーザーによってはより重大になります。
この場合、過去に合法的に生成された成果物が遡って違法とされるリスクは少ないかもしれませんが、違法となった生成物を提供し続けるのは消費者心理からすると倫理的なリスクがあります。
さらに、大規模自然言語モデルから始まった生成AIも現在は画像や動画、スライドなど様々なファイルを生成可能になりましたが、こういった発展的な生成物は文字列よりも著作権を侵害しやすく、倫理的な問題が起きたときに消費者が反応しやすい傾向があります。
また、生成AIの業務利用が活発化することによって、生成AIの出力をユーザー自身で確認せずそのまま業務に使用して重大なトラブルを発生させてしまう事例も増えてきました。AIエージェント化された生成AIシステムが、データの更新やメールの配信など機能を間違って使用してしまい損害が出るということも考えられます。AIエージェントが普及するにつれてこの問題は一層深刻化すると予測されます。
弊社としては、生成AIの出力に対する責任はユーザーにあり、ユーザーは自身の責任において生成AIの出力を必ず確認して使用することをユーザーのお客様に案内してきましたが、利用者が増えることで無責任に生成AIを使用してしまう方も増えていきます。
生成AIにデータを入力すると生成AIサービスを提供するサーバーやモデルを運用するサーバーなど、国を跨いだネットワークでデータがやり取りされます。ただし、個人情報や取引情報などの情報は各国の法律において、国外移転が禁止されている場合が多く、たとえユーザーがそれらの機密情報を入力していなくても、システムから出力されたデータにそれらに該当する情報が含まれていた場合、情報流出、国外移転となる可能性もあります。
これらの理由により、生成AIの出力の取り扱いには生成AIの利用が増えるほどより重要になっていきます。したがってまずは、以下の観点から既存のガイドラインにコンプライアンス的な問題がないか見直しましょう。
- 入力禁止情報は明確か
- 出力物のファイル形式は定義されているか
- 出力物のレビュー責任者は定義されているか
- AIエージェントの実行権限は制限されているか
- ログ保存と監査手順はあるか
- 海外移転・個人情報対応が明文化されているか
特に、MCPサーバー利用やコードインタープリター機能によるコード実行に関しては生成AIの出力の影響範囲が予測以上に大きくなるので、入念な確認が必要になります。
すべてを規制するのではなく、パターン別の利用範囲の定義とシステム的な抑制で動的な規制を実現する
行政レベルの法的な規制と生成AIによって生成したコンテンツに対する倫理的な潮流は、正直なところ、誰も予測することができません。
また、国家によって対応が変わってくる可能性は大いにあります。
このような不確かな状況では、「すべてを禁止する」あるいは「すべてを許可する」といった判断に傾きがちです。しかし実際には、入力と出力のそれぞれのパターンに応じて、きめ細かなルールを設けることが重要になります。
また、せっかく入念に検討されたガイドラインがあっても、ユーザーがそれに従わなければ意味がありません。基本的にユーザーは、できるだけ制限なく使いたいと考えるものです。したがって、利用に対してルールを適用する仕組みと、適切な利用がなされているかを継続的に確認する運用を整えることが重要です。
一度、生成AIの利用はガイドラインに従って1人1人が適切に行うという文化を醸成すれば、もし外部環境が変わったとして、ガイドラインを更新するだけで適切な生成AIの利用を推進することができます。
一方で、中央集権的な統制が強まれば強まるほど、生成AI活用によって生じるリスクは減少していきますが、運用保守にかかる手間が増加してしまいます。運用保守が滞ることは、結果的にユーザビリティの低下につながるので、生成AI活用に悪影響を及ぼしてしまいます。したがってバランスのとれた統制を敷きつつ、できるだけ自動的に運用できるフローを構築し、利用する側も管理する側も負担がかからない計画を立てることも重要になります。
最後に弊社ソリューションの紹介になりますが、電通総研で開発・提供しているKnow Narratorは、企業向けに特化した生成AIプラットフォームとして、こうした組織的な生成AI活用を支えるための機能を備えています。
Microsoftアカウントと連携した認証機能や、柔軟な権限管理、ログ管理、利用状況を分析するためのダッシュボードに加え、社内文書を参照して回答精度を高める機能など、実際に企業で生成AIの運用・活用を担っているお客様の声をもとに開発されたさまざまな機能を提供しています。
生成AIをまず試してみる段階から、組織として安全かつ効率的に活用する段階へ進むうえで、Know Narratorはその基盤の一つになると考えています。まずは生成AIを試してみる段階から一歩進み、Know Narratorを活用して、安全かつ効率的な生成AI活用の実現を目指してみませんか。
ご興味がある方は以下のフォームよりお問い合わせいただければと思います。運用やガイドラインの制定に関するご支援も可能です。
執筆
AIコンサルティンググループ
徳原 光
