「セキュリティが心配だから」という言い訳で先送りする残念な人たち

ある企業の研修で、生成AIの活用について講義をしたときのことです。 受講者に「現在、業務でどれくらいの人が生成AIを使っていますか？」と尋ねてみると、挙手したのは全体の半分ほどでした。

なぜ使わないのかを聞いてみると、多くの人から返ってきた答えは判で押したように同じものでした。 「セキュリティが心配だから」 あるいは、「会社がセキュリティを理由に許可していないから」というものです。

この光景には、強い既視感を覚えます。 かつてクラウドサービスが登場したばかりの黎明期にも、まったく同じことが起きていました。「クラウドなんてセキュリティが心配で使えない」と導入を拒み続けた企業や個人がたくさんありました。 そうやって新しいテクノロジーやサービスの採用を先送りにし続けた結果、気がつけば競合他社に大きく遅れをとり、周回遅れになってから「なんとかしなければ」と大慌てで騒ぎ出すといった歴史は繰り返しているようです。

誤解のないように申し上げますが、「セキュリティ対策よりも、新しい技術を使うことを優先すべきだ」などと言うつもりは毛頭ありません。セキュリティは企業経営にとって極めて重要な要件です。

しかし、「セキュリティが心配だ」と口にする人たちに、「具体的に何が心配で、どうなれば安心なのか」「現在のセキュリティ対策の要件は何か」を尋ねても、真っ当な答えが返ってくることは滅多にありません。 ただ漠然と「よく分からないから」「何かあったら怖いから」という理由で、「セキュリティ」という誰も反論できない錦の御旗を掲げ、やるべきことを先送りにしているだけではないでしょうか。

「対策すること」が目的化していないか？

「セキュリティ対策」の本質とは本来、テクノロジーによって実現する利便性や効率を最大限に引き出すための「安全対策」であり、その安全を維持するためのルール作りや教育といった「安心対策」であるはずです。

しかし、何を守るべきか、どの程度のリスクを許容するのかという基準を定めぬまま、「心配だから」という感情論で一律に対策（らしきこと）を行っている例が後を絶ちません。

その典型がいわゆる「PPAP（パスワード付きZIPファイル送信）」です。 機密扱いするほどでもない資料をわざわざ暗号化してメールに添付し、その直後に平文でパスワードを送る。これでは、通信経路を傍受されればファイルもパスワードも両方盗まれてしまうため、セキュリティ対策としての効果は皆無に等しいと言えます。

むしろ、問題なのはここからです。PPAPは「効果がない」だけでなく、逆にセキュリティリスクを高めてしまうことさえあるのです。 暗号化されたZIPファイルは中身を確認できないため、企業の入り口にあるセキュリティゲートウェイのウイルスチェックをすり抜けてしまいます。攻撃者はこの穴を突き、パスワード付きZIPファイルにマルウェアを潜ませて送りつける手口（Emotetなど）を横行させました。 「セキュリティ対策」として行っていたはずの慣習が、いつの間にかウイルスの隠れ蓑となり、かえって企業の安全を脅かしていたのです。

そもそもメールへのファイル添付自体がネットワークに負荷をかけますし、一度送信されたファイルは送信者の管理下から離れてしまい、その後どう扱われるか追跡できません。 一方で、クラウドのファイル共有サービスを使えば、「誰がいつアクセスしたか」のログが残り、問題があれば即座に共有リンクを無効化できます。本来はこちらの方が遥かにセキュアな運用が可能なのです。

それにも関わらず、「外部のクラウドは心配だ」という根拠の薄い理由で利用を禁じ、一方でセキュリティリスクを高めるPPAPという「形式」には固執する。これほど皮肉な話はありません。 こうした本質を見失った企業に限って、生成AIに対しても「セキュリティが心配だから」と、同じように根拠のない拒絶反応を示していることが多いのです。

知らないまま恐れていないか？ 生成AIの現実

ここで、生成AIに関する「セキュリティの懸念」について、事実を整理してみましょう。

「生成AIに入力した情報は、学習データとして再利用され、外部に漏れてしまうのではないか」 そう心配する方は多いですが、現在の主要な生成AIサービスには、きちんとした対策が用意されています。

多くの法人向けプラン（Enterprise版など）では、「入力データをAIの学習に利用しない（ゼロデータリテンション）」というポリシーが明記されています。また、個人利用であっても、設定画面で「学習に利用しない」というオプトアウト設定をオンにすれば、入力データがモデルの改善に使われることはありません。

さらに、以下のような極めて堅牢なセキュリティ対策が標準で施されています。

• 通信の暗号化（SSL/TLSによるデータ保護）

• 国際的なセキュリティ基準への準拠（SOC 2 Type 2など）

• 厳格なアクセス制御（多要素認証や権限管理）

こうした事実を調べることもなく、設定一つで解決できることを知らずに、「セキュリティが心配」と言い続けるのは、単なる思考停止ではないでしょうか。

ハルシネーションという「言い訳」

もう一つ、使わない理由としてよく挙げられるのが「ハルシネーションが心配だから」というものです。 ハルシネーションとは、AIが事実とは異なる内容や、もっともらしい嘘を堂々と生成してしまう現象のことです。

「嘘をつくかもしれないAIなんて使えない」と言う人たちがいますが、これには興味深い研究結果があります。 2023年に発表されたデンマークの医療機関で行われた研究によると、人々が「人間に許容するエラー率」は約11%であるのに対し、「AIに許容するエラー率」は約7%と、著しく低いという結果が出ています。 つまり、私たちは人間に対しては「人間だもの、間違いはある」と寛容である一方で、AIに対しては過剰なまでに完璧を求めているという「ダブルスタンダード（二重基準）」が存在するのです。

さらに、ハルシネーションのリスクは今や数値化され、可視化されています。 AI検索プラットフォームを提供するVectara社は、GitHub上で「Hallucination Leaderboard」を公開し、主要なLLMのハルシネーション率を定期的に計測・更新しています。 このデータによれば、最新の高性能モデルにおけるハルシネーション発生率は極めて低い水準（モデルによっては1%前後）にまで低下しており、その精度は日々向上しています。 これは、ハルシネーションがもはや「いつ起きるかわからない幽霊」のようなものではなく、「確率として把握し、管理可能なリスク」になったことを意味します。

生成AIサービスを提供する各社は、ハルシネーションへの対策を最重要課題の一つとして取り組んでいます。検索エンジンと連携して回答の根拠を提示する「グラウンディング」技術や、社内データを参照して正確な回答を生成する「RAG（検索拡張生成）」といった仕組みが普及し、リスクは日々低減されています。

Anthropic社のCEOであるダリオ・アモデイ氏も指摘するように、構造化された事実確認などのタスクにおいては、もはやAIの方が人間よりもミス（人間の場合は記憶違いや思い込みによる作話）が少ないという見解もあります。 OpenAIの「ChatGPT o1」など、推論能力を強化したモデル（リーズニングモデル）が登場したことで、論理的思考が可能になり、その精度はさらに向上しています。

「ハルシネーションがあるから使わない」というのは、過去の情報のまま止まっているか、あるいはAIに対する過剰な要求を盾にして、自分が使わないための都合の良い言い訳にしているに過ぎないのかもしれません。

まずは使ってみて、それから考える

本質に向き合うことなく、「セキュリティ対策（という名の形式）」を守ることを目的とし、リスクを恐れて何もしない。その結果としての「暗黙の了解」が、テクノロジーの価値を毀損し、ビジネスの機会を奪っています。

「セキュリティが心配だから」「ハルシネーションがあるから」 そうした言い訳を盾にして、新しい可能性から目を背けるのはもうやめましょう。

まずは、物事の仕組みや最新の事実を正しく理解する努力をすること。 そして、机上の空論で心配する前に、まずは実際に使ってみることです。 使ってみて、どこにリスクがあるのかを肌で感じ、それに対する具体的な対策を考える。

技術の発展スピードが凄まじく速い現代。 立ち止まって心配する時間は、もう残されていません。まずは「実践」し、結果から学んで「改善」する。そのサイクルを回し始めた人だけが、時代のスピードを味方につけ、新しい価値を創造できるのです。

「システムインテグレーション革命」出版！

AI前提の世の中になろうとしている今、SIビジネスもまたAI前提に舵を切らなくてはなりません。しかし、どこに向かって、どのように舵を切ればいいのでしょうか。

本書は、「システムインテグレーション崩壊」、「システムインテグレーション再生の戦略」に続く第三弾としてとして。AIの大波を乗り越えるシナリオを描いています。是非、手に取ってご覧下さい。