生成 AI の利用規定(AUP)策定の重要性を考える
Marina Kaganovich
Executive Trust Lead, Office of the CISO, Google Cloud
Anton Chuvakin
Security Advisor, Office of the CISO, Google Cloud
※この投稿は米国時間 2024 年 5 月 15 日に、Google Cloud blog に投稿されたものの抄訳です。
職場で生成 AI を使用には、堅牢な「ガードレール」の準備が必要不可欠となります。オフィスタワーや集合住宅を建設するときに、安心安全で信頼できる、堅牢な建築基準に従う必要があるのと同じように、AI の使用についても、生成 AI のための独自の「建築基準」、すなわち、社内の利用規定(AUP)を策定する必要があるのです。
生成 AI の時代に向けてこうした AUP を策定、発展させていくことは、生成 AI の管理を巡る基本的な考え方や価値観について組織内で共通の理解を確立することにつながります。生成 AI が広く浸透し、日常的な使用が常識となりつつあるなかで、このような基準を設けることはますます重要となってきています。
Google Cloud の CISO オフィスは、組織のガバナンス体制および生成 AI との関係を構築するうえで、AUP(利用規定)は重要かつ多面的な指針になると考えています。なぜなら、AUP は組織のガバナンスの他の柱(幅広い啓蒙活動や、トレーニング、コンプライアンスの継続的監視など)と密接に結びついているからです。
生成 AI の使用方法は、組織の全体的な目標および価値観に沿ったものにすると同時に、より広範な地域および業界の該当する要件を満たすことが重要です。
AUP を明確に定義することが重要である主な理由として、以下の 3 つがあげられます。
- リスクの軽減: 企業のデータおよびリソースの使用に関して、推奨事項と禁止事項を AUP で明確に示すことで、企業の全体的なリスク管理プログラムに沿ってリスクを軽減することが可能となります。
- 組織内の戦略統一: AUP を設けることで、組織の価値観や使命に沿いながら生成 AI の使用を促進するとともに、従業員が適切な方法でこの新たな技術を利用するように奨励できます。
- コンプライアンスの促進: AUP は、組織のリスク選好度に応じて戦略を方向付けながら、規制コンプライアンスの要件に沿って AI の使用方法を定義するために重要な役割を果たします。
では、AUP にはどのような内容を含めるべきなのでしょうか。
まず、生成 AI の「許可」「禁止」に関する組織の見解に基づき、AUP の目的を明確化することから始めましょう。生成 AI の使用方法は、組織の全体的な目標および価値観に沿ったものにすると同時に、より広範な地域および業界の該当する要件を満たすことも重要です。
AUP が対象とするアプリケーション、ユーザー、行為を指定する必要があります。また、AUP の策定や管理、実行担当者など、責任の所在を明確にするとともに、AUP と他のポリシー(特にデータ ガバナンス、情報セキュリティ、データ損失防止、サードパーティのリスク管理に関するもの)との関係を明らかにしておきます。
AUP の策定にあたっては、関係者との意思疎通が不可欠です。組織内の主な関係者と連携しながら、他の関連ポリシーの所有者の意向に沿った形で AUP の指針を定め、重複や矛盾、混乱が生じるのを防ぐようにします。この過程は、記載事項の漏れを徹底的に洗い出すための良い機会でもあります。
AUP によって安全で責任ある AI を促進する
AUP においては、使用を許可するツールの一覧はもちろん、禁止するツールの例外リクエストをどのように管理するかといった内容も含めるようにしましょう。AI 対応の一般向けツールが増えるなかで、組織内のシャドー AI のリスクは、その使用目的が良心的なものであるかどうかはさておき、高まる一方です。たとえば、医療企業において一般向けの AI ツールを使用することは、HIPAA 準拠違反のリスクにつながる可能性があります。
AUP および承認済みツールを使用することで、生成 AI モデルのトレーニングおよび運用目的で使用されるデータが安全に責任をもって取り扱われるように徹底できます。さらに、AUP によって、生成 AI 製品への入力を許可するデータの種類や、なぜ他のデータが許されないかなど、判断の目安を示せます。
AUP はできるだけ具体的な内容にして、従業員に個人的判断を強いることのないようにしましょう。そうすることで、組織のリスク選好度や価値観からの逸脱を回避できます。
また、AUP では、実例をあげながら生成 AI の使用範囲を規定したり、ある使用方法が適切または不適切かを判断する基準を示したりすることもできます。ここで重要なのは、禁止されているユースケースでも、一定のガードレールを敷くことによって許可されることがありうるということを説明できる点です。ガードレールの例としては、人間による監視や、グラウンディング技術を取り入れるといった方法があります。
実際の例を含める
Google Cloud の CISO オフィスでは、ビジネス リーダーや取締役会に対して生成 AI の誤用について警鐘を鳴らすには、実例を示すことが有効であると考えています。AUP に各種の実例を盛り込むことで、生成 AI の開発、導入、監視について明確な指揮系統を設けることの重要性や、エンタープライズ グレードの生成 AI ツールに投資することの必要性を訴えることができます。
一方、規制や禁止事項の対象を広げすぎたり、内容が曖昧であったりすると、妥当なユースケースへの有益な生成 AI の応用が妨げられ、シャドー AI につながる恐れがあります。たとえば、あらゆる AI を禁止することは、AI をどうしても必要とする従業員が私物デバイスを使い始めるなど、かえってリスクを高める恐れがあります。
同様に、AI ツールへの機密情報の入力を幅広く防止するような文言は、機密情報とはいったいどのような種類のデータであるのかを明確に定義しないと、逆効果になりかねません。AUP はできるだけ具体的な内容にして、従業員に個人的判断を強いることのないようにしましょう。そうすることで、組織のリスク選好度や価値観からの逸脱を回避できます。
AUP をさらに充実させるためのヒント
包括的によく練られた AUP は、組織が AI 技術を採用するにあたって欠かせないツールとなります。こうしたベスト プラクティスに従って、責任ある AI ガバナンスに積極的に取り組むことで、リスクを最小限に抑え、信頼の基盤を構築しながら、生成 AI の可能性を最大限に引き出すことができます。
AUP は生きたドキュメントであり、ポリシー レビュー プロセスの一環として定期的に再評価する必要があります。組織の目標や優先事項に合わせて調整しながら、あまり細かくなりすぎないよう柔軟性をもたせながら AUP の草案を作成するとともに、技術や規制の変化に応じて定期的にレビューを行い、アップデートを重ねていく必要があります。
新しい技術についていくのは大変なことです。それを踏まえ、公式のトレーニング プログラム、タウンホール ミーティングやチーム ミーティングから得た情報に基づき、多角的なアプローチを採用するとよいでしょう。さらに、これらのチャネルを全体的な AI ガバナンス プログラムへのフィードバック ループに取り入れるのが理想的です。そうすることで、検討すべき箇所に焦点を当てたり、よく話題にのぼるトピックに着目して有益な議論に発展させたり、今後取り入れるべき基準や強化すべき点を洗い出したりすることが可能となります。
従業員が生成 AI の使用についてオープンに対話できるような、画期的かつ協力的な企業文化の育成に投資することが、生成 AI でできることや適切な使用方法について教育及び啓蒙活動につながります。このトピックについて詳しくは、Google Cloud の AI ガバナンスのベスト プラクティスに関する最近の投稿と、FS-ISAC の Framework for an Acceptable Use Policy for External Generative AI をご覧ください。
-Google Cloud、CISO オフィス、エグゼクティブ トラスト リード Marina Kaganovich
-Google Cloud、CISO オフィス、セキュリティ アドバイザー Anton Chuvakin