高度に機能し成熟したビジネスの核心にはデータが存在しますが、Microsoft CopilotやGeminiのようなAIツールは機密情報の管理における脆弱性を露呈させています。これらの技術が日常業務に組み込まれるにつれ、機密情報の過剰な露出リスクが高まっていることは無視できません。AIデータリスク評価は最初の防衛ラインとして機能し、自動化の力を活用しながら、機密データが最初から保護されることを保証します。
 

AIデータリスク評価とは何か？

AIデータリスク評価とは、組織がCopilotのようなAIツールの導入を継続しながら、機密情報を効果的に特定・保護するための手法です。主要な構成要素には、自動化されたデータ発見、分類、アクセス監視、ポリシー適用が含まれます。これにより、データ資産内のコンテンツを理解し、プラットフォームを跨いだAIインタラクション中のデータフローに関する情報を提供し、リスク軽減の取り組みを支援します。 

オンライン上に保存されAIがアクセス可能なデータの脆弱性が高まっていることを考慮すると、組織はデータ漏洩のリスクにますます敏感になっています。機密情報、従業員記録、独自のビジネスデータなど、適切な管理がなければ、AIツールはプロンプト、応答、外部プラットフォームとの統合を通じて、意図せず様々なプラットフォームにこの情報を晒す可能性があります。

データリスクの最小化とは、組織内の機密情報を管理し、そのデータの保管場所を把握し、アクセス権限を持つ者を理解することである。リスク評価では、サードパーティのAIツールや統合機能も考慮に入れ、組織の直接的な管理外にデータが流出する可能性のある箇所を可視化すべきである。具体的な例としては、個人データ、財務記録、およびペイメントカード業界（PCI）や個人識別情報（PII）などの規制対象情報が挙げられる。AIの進化に伴い、多くの組織では異なるタスクを実行するために複数のツールを同時に運用しています。各プラットフォーム内でデータは保存・アクセスされるため、漏洩のリスクに晒されています。AIデータリスク評価を実施することで、組織はリスク曝露領域や規制リスクを予測し、責任あるAI導入のための強固な枠組みを構築できます。

企業はすでに機密データを保護しているのでは？

多くの組織ではデータセキュリティ対策が実施されていますが、データ損失防止（DLP）や内部者リスク管理（IRM）といった従来のデータ保護ツールは、メール、ファイル共有、コラボレーションプラットフォーム向けに設計されています。AIはこれらのツールが単独では対応できない新たなデータ漏洩経路をもたらします。これにより、AI技術がデータエコシステム内にあるか外部にあるかを問わず、監視が必要となります。

マイクロソフトはMicrosoft Purviewの構成要素として、AI向けデータセキュリティポスチャ管理（DSPM for AI）を提供しています。このソリューションはデータ損失防止（DLP）や内部者リスク管理（IRM）ポリシーと連携して使用可能です。データ資産を分析し潜在的な脆弱性を調査、その結果に基づく推奨事項を提供します。DSPM for AIにより、組織はAIアプリケーションと内部システム間のデータフローを監視・管理できます。DLPおよびIRMとの統合を通じて、DSPM for AIは独自のAI監視機能を提供し、従来型環境とAI環境の両方におけるポリシー適用を支援します。

法務チームにとって、これは既存のセキュリティインフラを刷新することなく、AIとのやり取りにおいて機密データがどのようにアクセスされ、共有され、使用されているかを可視化できることを意味します。

組織に合わせたAIデータリスク管理の構築

分類器とは、組織のデータ資産全体から機密情報を検出するルールまたはモデルです。DSPM for AIでは、分析に基づくデフォルトポリシーを作成しながら、組織固有のリスクプロファイルを反映した分類器のカスタマイズが可能です。

法務・コンプライアンス部門はIT・セキュリティチームと連携し、規制要件、機密保持要件、内部リスク回避ポリシーに基づき分類器を調整できます。既存の情報タイプの編集、カスタム分類器の作成、DSPMポリシーへの適用を、すべて一元化されたポータル内で実行可能です。

この柔軟性により、AIリスク管理は画一的な対応ではなく、各組織のニーズや法的・規制上の義務に応じて進化します。

分類器向けのMicrosoft組み込み推奨機能の利用

導入の起点に迷う組織向けに、Microsoftはリアルタイムのトラフィック分析に基づく自動分類器推奨を提供します。これらの推奨事項は、機密データをAIサイトにアップロードする行為や、機密情報を暴露する可能性のあるプロンプトの送信といった高リスク行動の特定を支援します。

DSPM for AIのようなツールをDLPなどの他のMicrosoft製品と組み合わせることで、ユーザーはデータセキュリティを確保しつつ、統合システム内で効率的なワークフローを運用できます。

AIガバナンスフレームワーク：ハイハイ、よちよち、走る

組織は「ハイハイ、よちよち、走る」モデルを活用し、ステークホルダーと共に新たなポリシーを展開できます。プロセスは以下の通りです：

• ハイハイ：監査モードでポリシーを展開し、強制執行せずに動作を観察します。
• よちよち：ステークホルダーが新規ポリシーに違反した際に監視・警告しますが、動作をブロックしません。
• 走る：ポリシーを強制適用し、リスクのある行動をブロックするとともにコンプライアンスを確保する。

この段階的アプローチにより、組織はセキュリティと利便性のバランスを取りつつ、戦略的なAIガバナンスフレームワークを構築しながら混乱を回避できます。各段階では、ポリシー違反率、ユーザー採用率、インシデント対応時間などの指標を用いて進捗を管理し、説明責任を確保すべきです。フレームワークはリスクプロファイルに基づいて適応可能である必要があります。高リスクユースケースでは強制適用への移行を早める必要があり、低リスク領域では監査モードを長く維持できる場合があります。

リスク評価から法務・コンプライアンスチームが得るもの

DSPM for AIによるAIデータリスク評価の実施は、AIガバナンスへの積極的な対応を支援する複数の利点をもたらします。最小限の設定で迅速な導入を可能にし、AIのプロンプトや応答におけるデータ漏洩を防止し、非倫理的行動を監視し、GDPR、HIPAA、NIST、RMFなどの規制枠組みへのコンプライアンス支援を提供します。DSPM for AIはさらに、AIインタラクションに対する自動化されたガバナンス制御と監査証跡を可能にすることでポリシー施行を支援します。リアルタイム監視とアラート機能により、潜在的なデータ悪用やポリシー違反への迅速な対応を可能にし、法務、リスク、コンプライアンス、セキュリティ、データ各チーム間の連携を促進。AIイニシアチブ全体での統一的なガバナンスを確保します。これらの機能により、コンプライアンスや機密性を犠牲にすることなくイノベーションを実現できます。

サードパーティ製AIツール使用時のデータ保護

CopilotはPurview内でネイティブに完全にサポートされていますが、サードパーティ製AIツールの対応範囲は、コネクターを使用するか、カスタム開発のAIアプリにPurview SDKを統合することで管理できます。マイクロソフトは、可視性と制御を他のプラットフォームにも拡大するため積極的に取り組んでおり、機密情報の意図しない開示、監査証跡の欠如、管轄区域のデータプライバシー法への非準拠など、AI導入に伴うリスクをより包括的に把握できる環境を組織に提供しています。この可視性のギャップにより、組織はMicrosoftのガバナンス枠組み外のリスクに晒されます。このギャップを埋めるため、法務部門とIT部門は、使用中の全AIに監視とポリシー適用を拡張する補完的ソリューションを検討すべきです。先を見据えたアプローチにより、組織はこれらのツールが発展し続ける中で新たなリスクに先手を打てます。法務部門はIT部門やガバナンス関係者との協働を積極的に推進し、許容可能な利用ポリシーを定義するとともに、Microsoftエコシステムを超えた監視ツールの導入を進める必要があります。

大きなリスクには大きな責任が伴う

AIデータリスク評価は単なるIT上の懸念ではなく、法的・コンプライアンス上の優先課題です。DSPM for AIなどのツールをガバナンス戦略に統合することで、組織は機密データを保護し、規制順守を確保し、責任あるAI導入を支援します。AI導入に飛びつく前に、堅固なデータガバナンスフレームワークを構築すれば、確信を持って前進するための強固な基盤となります。

マニカンダデヴァン・マノカラン、シニアデータセキュリティコンサルタント、Epiq

マニカンダデヴァンは、マイクロソフト技術において16年以上の経験を持つ顧客中心のコンサルタントです。クラウド移行、セキュリティ、コンプライアンスを専門としています。マニカンダデヴァンは、インテリジェントなAIソリューションを用いて組織のデータ環境を近代化する支援に強い情熱を持っています。