個人情報を保護しAIセキュリティを構築する

　GCJ主催、環境保護・情報セキュリティ事業委員会主管のウェビナーが、3月17日（火）午後4時から開催された。講師に、株式会社エスケイワード（GC中部）で、情報セキュリティプロジェクト営業活動のプロジェクトリーダー 土本淳氏を招き、「個人情報保護とAIセキュリティ～ 組合員が押さえるべき情報管理の基本」をテーマに、「業界における個人情報保護の最新動向」「AI時代の情報管理とリスク」「今日からできる! 現場でのセキュリティ強化策」について講演を行った。経産省が示したサプライチェーン強化に向けたセキュリティ対策評価制度は、印刷業界に大いに関係してくる制度である。情報セキュリティ対策・強化は避けて通れないと言えよう。

レクチャーズ・ルーム 76

株式会社エスケイワード
セールス
土本 淳 氏（講師）

　土本氏は、個人情報保護法によるセキュリティルールを確立することが重要だと述べて、次の5項目を守ることを強調した。①取得時のルール「個人情報を取得する際は、利用目的を本人に明示する」。②利用時のルール「取得した個人情報は、事前に通知した目的以外で使用しない」。③保管時のルール「個人情報の漏えいや不正アクセスを防ぐため、適切な安全管理措置を講じる」。④第三者提供時のルール「個人情報を第三者に提供する場合は、原則として本人の同意を得る」。⑤開示請求時のルール「本人から開示請求があった場合、適切に対応する」。
　Webサイトやアプリを運営する場合に、個人情報保護方針を制定する際のポイントについて言及し、「プライバシーポリシーについては、プライバシー認証業者以外は確定した書き方はありません。事業者がそれぞれに応じた順番で書いてもらって問題ありません。ただし、ユーザー側では、利用目的の欄だけはしっかりと見て、何が記載されているかを確認することが重要です」と説く。
　2015年に個人識別符号、特定個人情報（マイナンバー）、要配慮個人情報の定義が新たに制定された。これらの情報は、個人が特定されるということで個人情報として扱われるとのことだ。「個人情報はその種別に応じてランクがあり、また件数が多く、かつ要配慮な個人情報はリスクが高く、情報を漏えいしたら損害賠償額は高くなります。事業者は個人情報の漏えいが発生したら、個人の権利利益を害するおそれがある場合には、発覚日から3日～5日以内（速報）に個人情報保護委員会と本人への通知が義務づけられています」とのことだ。
　ただし、個人情報の漏えいについては一定の類型と一定数の定義があり、一般の個人情報は1,000人以上、マイナンバーは100人以上、要配慮個人情報は1人以上となっている。
　続いて、AI時代の情報管理とリスクについて、土本氏は、「生成AIは全世界のユーザーと情報を共有するデータベースです。問題は、世に出てはいけない情報まで出ているのではないかということです。個人情報データをクラウドなどの生成AIに預けるのは、個人情報保護法から言って第三者への提供に該当し、違反となる可能性があります。生成AIに個人情報や業務情報を登録することは原則NGです」と述べ、生成AI利用時のセキュリティルールの設定を求める。
　セキュリティルールづくりでは、個人情報の入力、機密情報の入力、不正な情報の無断使用などを禁止するほかに、著作権や知的財産権を侵害する利用禁止、自社ブランドやアイデンティティを損なう利用の禁止、AIによる意思決定の完全依存の禁止、機密性の高い取引情報の社外流出の禁止を定めることを促す。「AIは絶対に正しいことはありません。重要な判断は必ず人間の確認を通して、AIの提案をそのまま採用してはいけません」と、注意を促す。
　次に「組織の知識」について土本氏は触れ、課題としては企業が資料の整理・整頓をしていない点を挙げた。そのために、企業の知識や資料を探すのに時間を要しているという。「今後は4～5年以内に中小企業も、セキュリティ環境が整備されたクローズAI環境のシステムが導入されていくでしょう」と述べ、組織の情報を整理してAIによるナレッジマネジメントの構築の必要性を説く。
　最後に、「生成AIに学ばせるデータが準備できていない組織がまだまだ多いため、今後はAIに読み込ませたいデータを顧客に提案し事業にしていくことが、私たちの業界の一つの勝ち筋のビジネスになるのではないでしょうか」と述べ、AIを活用したビジネスの方向性を示した。