セキュリティ・ガバナンス

中小企業のAIセキュリティ最低限チェックリスト 今日からできる12項目

Meliorra編集部
中小企業のAIセキュリティ最低限チェックリスト 今日からできる12項目

この記事の要点

専任のセキュリティ担当がいない中小企業でも、12項目のチェックリストで生成AIの情報漏洩リスクを大幅に下げられる。ツール選定から社内ルール・緊急時対応まで、コストをかけずに始められる対策をまとめた。

結論

中小企業のAIセキュリティ対策は、複雑なシステムより「1枚のルールと全員への周知」から始めると最も効果が高い。12項目のチェックリストを使って、コストをほぼかけずにできる対策から順番に実施することで、大半のリスクをコントロールできる。

なぜ中小企業にこそ対策が必要か

「うちは小さい会社だから狙われない」は通用しなくなっている。2つの理由がある。

内側からのリスクが大きい:外部からの攻撃より、社員の誤入力・無許可ツールの使用による内部起因の情報漏洩の方が発生件数は多い。企業規模に関係なく、生成AIを使う組織であれば同じリスクがある。

サプライチェーン攻撃の標的になる:大企業と取引関係にある中小企業は、大企業へのアクセス経路として狙われることがある。中小企業のシステムに侵入して大企業との通信・取引情報を盗む手口だ。

一方で、中小企業が大企業と同じレベルのセキュリティ対策をする必要はない。「最低限の対策を確実に実施する」という方針で十分だ。

12項目のセキュリティチェックリスト

【ルール整備】3項目

□ 1. 入力禁止情報のリストを作って配布する

「AIに入れていい情報・入れてはいけない情報」を箇条書きで1枚まとめ、全員に配る。難しく作る必要はない。

入れてはいけない情報(例)
・顧客の氏名・連絡先・契約内容
・未公開の価格・事業計画
・取引先から受け取った秘密保持義務のある情報
・従業員の給与・評価情報

入れてもよい情報(例)
・一般的な文章の添削(固有名詞を除いたもの)
・公開情報を使ったリサーチ
・社内向けでない一般的な文書のテンプレート作成

□ 2. 業務で使えるAIツールのリストを明示する

「このツールを使ってよい」「このツールは禁止」を明示することで、社員が自己判断で使う「シャドーAI」を防げる。

□ 3. 判断に迷ったときの相談窓口を決める

「このケースは入力してもいいか分からない」と思ったときに相談できる人(上司・情報担当)を指定しておく。窓口がなければ社員は自己判断するしかない。

【ツール設定】3項目

□ 4. 使っているAIサービスのデータポリシーを確認する

現在業務で使っているツールのデータポリシーを確認する。確認するポイントは3つだ。

  • 入力データが学習に使われるか
  • データが第三者に提供されるか
  • データの保存期間はどのくらいか

□ 5. 顧客情報・機密情報を扱うなら法人プランに切り替える

無料プランを業務利用している場合、顧客情報・機密情報を扱う作業には法人プランへの移行を検討する。法人プランはデータが学習に使われないケースが多く、セキュリティ水準が上がる。

□ 6. 使っていないアカウントを削除する

退職した社員・使わなくなったツールのアカウントを放置しない。不要なアカウントは攻撃の侵入口になる。

【社員教育】2項目

□ 7. 誤入力は報告しやすくする

「AIに機密情報を誤入力してしまった」と気づいたとき、すぐに相談できる雰囲気を作る。発覚後の対応が速いほど被害が小さくなる。報告した社員を責めない姿勢を経営者・管理者が示すことが重要だ。

□ 8. フィッシングメールの見分け方を全員に伝える

「差出人のメールアドレスを確認する」「不審なリンクのURLをクリック前に確認する」「緊急の送金要求は別の手段で確認する」という3点を全員に伝えるだけで、被害リスクを大幅に下げられる。

【アクセス管理】2項目

□ 9. 業務で使うアカウントに多要素認証(MFA)を設定する

メール・クラウドストレージ・会計ソフトなど、重要なサービスのアカウントにMFAを設定する。パスワードが漏れても、MFAがあれば不正ログインを防げる可能性が高い。

□ 10. 退職者のアカウントを即日無効化する仕組みを作る

退職後もアカウントが有効なままだと、元社員が不正にアクセスできる状態が続く。退職手続きの中に「使用していた業務サービスのアカウント無効化」を組み込む。

【インシデント準備】2項目

□ 11. 情報漏洩が起きたときの連絡先リストを作る

誰に連絡するかを事前に決めておく。最低限:情報管理責任者・顧問弁護士・主要な取引先の担当者。リストを印刷して紙でも保管しておくと、システムが使えない状況でも参照できる。

□ 12. 使っているAIサービスのデータ削除方法を確認しておく

誤入力が発生したとき、そのサービスで会話履歴を削除する方法・サポートに削除を依頼する方法を事前に把握しておく。インシデント発生後に調べ始めると時間がかかる。

優先順位:まずここから

12項目すべてを一度にやろうとせず、効果が高い順に着手する。

  1. 今日できる:入力禁止情報リストの作成と配布(1〜2時間)
  2. 今週中:使っているAIサービスのデータポリシー確認・相談窓口の設定
  3. 今月中:MFAの設定・法人プランへの移行検討・インシデント連絡先リストの作成

完璧を目指すより「できるものから確実に実施する」姿勢の方が、実際のリスクを下げる効果が高い。

AIに入れてはいけない情報の詳細についてはAIに入れてはいけない情報の判断基準を、シャドーAI対策についてはシャドーAI(無断利用)のリスクと企業の対策を参照してほしい。インシデントが起きたときの対応はAI絡みの情報漏洩が起きたときの対応にまとめている。

まとめ

中小企業のAIセキュリティ対策は、12項目のチェックリストで体系的に進められる。最初の1枚(入力禁止情報リスト)を作って全員に配るだけで、最もよくある誤入力リスクを大幅に減らせる。コストよりも「やるかやらないか」の意思決定と実行が、中小企業のセキュリティ対策で最も差がつく部分だ。

#中小企業#AIセキュリティ#情報漏洩対策#セキュリティチェックリスト#生成AI

よくある質問

中小企業でもAIセキュリティ対策は必要ですか

必要です。中小企業は専任のセキュリティ担当がおらず対策が遅れやすく、取引先の大企業への踏み台として狙われることもあります。ただし大企業と同じ対策は不要で、「最低限を確実に」という方針で十分です。

無料の生成AIツールを業務で使い続けても大丈夫ですか

公開情報の調査・一般的な文章作成であれば問題ないケースが多いですが、顧客情報・社内機密・個人情報の入力は無料プランでは避けるべきです。業務利用が増えてきたら、法人向けの有料プランへの移行を検討することを勧めます。

セキュリティ対策にどのくらいのコストがかかりますか

このチェックリストの項目の多くはコスト不要です。ルールの作成・周知・教育は社内工数のみで対応できます。ツールの法人プランへの移行が最大のコストで、ChatGPT Team相当なら1人あたり月3,000円程度(2026年時点)から始められます。

まず何から始めればいいですか

「AIに入れていい情報・入れてはいけない情報」を1枚でまとめたルールを作ることを最初に勧めます。5〜10分で作れて、最もよくある情報漏洩(誤入力)のリスクを下げられます。

関連記事