生成AIのリスクをIPAが初の注意喚起｜名古屋の中小企業が決めておきたいAI利用ルール

IPAが「生成AIのリスク」を組織向け脅威に初選出

IPA（情報処理推進機構）が毎年公表している「情報セキュリティ10大脅威 2026」で、「AIの利用をめぐるサイバーリスク」が組織向け脅威として初めて選出され、いきなり第3位に入りました。これは約250名の専門家による投票で決まるもので、現場の実務担当者が「今、本当に注意すべき」と感じている脅威の縮図といえます。

ちなみに第1位は5年連続でランサムウェア、第2位は4年連続でサプライチェーン攻撃。常連の強敵が並ぶなかに、生成AIのリスクが一気に割り込んできた格好です。それだけ、AIが「一部の先進企業のもの」から「どの会社も日常的に使うもの」へと変わったことの裏返しでもあります。

情報セキュリティ10大脅威 2026（組織向け・上位3つ）

1位 ランサムウェアによる被害 5年連続の第1位。データを暗号化して身代金を要求する、依然として最大の脅威。
2位 サプライチェーンの弱点を悪用した攻撃 4年連続の第2位。取引先や委託先を経由して被害が広がるパターン。
3位 AIの利用をめぐるサイバーリスク（初選出） 生成AIの急速な普及にともなう情報漏えい・悪用・新たな攻撃手口。2026年版で初めてランクイン。

出典：IPA「情報セキュリティ10大脅威 2026」（組織向け）

中小企業にとっての「AIのリスク」は、難しい攻撃の話だけではない

「AIのリスク」と聞くと、AIを悪用した高度なサイバー攻撃を思い浮かべるかもしれません。もちろんそれも含まれますが、名古屋・愛知の中小企業にとってより身近で現実的なのは、「社員が良かれと思って使った結果、情報が外に出てしまう」という方の漏えいリスクです。

たとえば、お客様の名簿や見積書をそのまま無料のAIサービスに貼り付けて要約させる。あるいは、まだ公表していない新商品の企画書をAIに添削させる。こうした使い方は、設定によっては入力した内容がAI側の学習やサービス改善に使われる可能性があり、「気づかないうちに社外秘が外に出ていた」という事態につながりかねません。悪意がないぶん、かえって発覚しにくいのが厄介なところです。

7月からはMicrosoft 365にもAI機能が標準で組み込まれます（先日の記事でも触れました）。AIが「特別なツール」から「普段の道具」になるからこそ、使い始める前に最低限のルールを決めておくことが、これまで以上に大事になってきます。

OZ.が提案する「AI利用ルール 3つの最低ライン」

難しい規程を一から作る必要はありません。まずは次の3つだけ、紙1枚にまとめて全員で共有するところから始めるのが現実的です。OZ.がご相談を受ける際も、最初はこの3点に絞ってお伝えしています。

まず決めたい・AI利用の最低ライン

01 入れていい情報・ダメな情報を線引きする 顧客名簿・個人情報・未公開情報・取引条件はAIに貼らない。一般的な文章の手直しはOK、など具体的に。
02 会社として使うAIサービスを決める 「学習に使わない設定」がある法人向けプランを選び、個人のアカウントでの業務利用は控える。
03 AIの回答は鵜呑みにせず人が確認する もっともらしい誤り（ハルシネーション）もある前提で、最終チェックは必ず人が行う。

ポイントは、AIを「禁止する」のではなく「安全に使えるレールを敷く」という発想です。便利な道具を現場から取り上げてしまうと、結局は社員が個人の判断でこっそり使い始め、かえって管理が効かなくなります。AI導入の第一歩とセットで、この“使い方の地図”を渡してあげることが、経営者の役割だと考えています。

まとめ

IPAが生成AIのリスクを初めて組織向けの脅威に選んだことは、「AIはもう、どの会社にとっても無関係ではない」という国からのメッセージでもあります。難しく考えず、まずは「入れていい情報・ダメな情報の線引き」「使うサービスを決める」「人が最終確認する」の3点を紙1枚にまとめるところから。AIの便利さを安心して活かすための、小さな第一歩になります。

AIの「使い方ルール作り」、OZ.が一緒に整理します

「ルールを作りたいけれど、何をどこまで決めればいい？」「うちの業務で安全に使えるAIはどれ？」──そんなご相談から承ります。名古屋・愛知エリアの中小企業のIT支援を専門に行うOZ.が、現場の実態に合わせて、無理なく続けられるAI利用ルールづくりをお手伝いします。

無料相談・お問い合わせスマホサポートBizを見る

ブログ一覧へ戻る