ChatGPT や Gemini など、生成AIは急速にビジネスの現場に広がっています。しかし、議事録の自動作成、メールの下書き、プログラミングのコード生成、さらには新規事業のアイデア出しまで、幅広い業務での活用が進みつつある一方で、「セキュリティリスクが心配」「個人情報の取り扱いが不安」といった理由から、導入に二の足を踏む企業も少なくありません。

ソフトバンクでは、全社で安全に生成AIを活用するためのルールや仕組みの整備に取り組んでいます。今回は、ソフトバンクのISC（Information Security Committee）統括部セキュリティマネジメント部で社内ルール作りを担当し、生成AI活用のセキュリティ指針を整備してきた北谷忠士にインタビューを行い、生成AIを安全に導入・推進するための秘訣 を具体的なエピソードを交えながらうかがいました。

お話をうかがった方

生成AIルール作りの裏側

―まず、ISC統括部セキュリティマネジメント部について教えてください。

北谷： 私たちは、ソフトバンク社内のセキュリティルールを策定・運用する部署です。簡単に言えば「セキュリティに関する社内のルールメーカー」のような立場です。ルールを整備することで、社員が安心して業務に生成AIを利用できるよう支援しています。

また、ソフトバンクではAIガバナンス推進室（AIの開発・運用における倫理方針を策定し、適正な社内運用の推進を担当）やCDO室（Chief Data Officer、個人情報保護やデータの取り扱いを担当）という部門もあります。これらと連携しながら、会社全体でのリスク管理を行っています。ISC統括部としては、重大なセキュリティ事故を一件も起こさず、情報資産を守ることを目標に取り組んでいます。

―生成AIが登場したとき、すぐにルールを整備されたのでしょうか？

北谷： いえ、最初はいきなりルールを作るのではなく、まずは注意喚起から開始しました。ChatGPTが話題になった当初、多くの社員が試しに使ってみたいという雰囲気になっていたのですが、リスクを正しく理解している人は少なかったと思います。

そこで最初に行ったのは、「機密情報やお客さまの個人情報を入力してはいけない。なんでもかんでも入力してよいわけではない」という基本的な周知でした。その後、利用が広がるにつれて具体的なルールが必要になりました。AIガバナンス推進室やCDO室をはじめとする各部署と連携しながら、倫理や安全性の観点を整理し、私たちは情報漏洩防止の観点からルールを整えていきました。

生成AI活用に潜むリスクと通信業界の事情

―生成AIを利用する上で、注意しているリスクは何でしょうか？

北谷：1つ目は 情報漏洩 です。これは最も大きなリスクであり、通信事業者として何よりも避けなければなりません。2つ目は、個人情報の越境移転、つまり、データが海外に渡ってしまうリスクです。そして3つ目は、著作権や知的財産権 です。生成AIが作成した文章や画像に対してどこまで自社の権利を主張できるのか。これはまだ業界全体で整理が進んでおらず、当社としても模索している状況です。

―通信業界ならではの事情もありそうですね。

北谷：通信業界には「通信の秘密」を守るための厳しいルールがあります。例えば、通話やメールの内容だけではなく、通信があったという事実そのものも第三者に渡してはいけません。監督官庁である総務省も、通信関連のデータをクラウドに預けることに慎重な立場を取っています。そのため、私たち通信事業者はほかの業界に比べてクラウドサービスを積極的に利用しにくい状況があります。

―そうした制約の中で、どのようにリスクをコントロールしているのですか？

北谷： 個人情報の越境移転を起こさないために、日本リージョンで提供されているサービスを利用することを原則としています。国内データセンターで運用されていれば、越境移転のリスクを避けやすいからです。やむを得ず海外サービスを利用する場合は、DPA（データ処理契約）を基本としつつも、「当社のデータに勝手にアクセスしない」「学習に利用しない」と明記し追加契約を結ぶこともあります。

ユーザー側で生成AIを利用する際の注意事項としては、入力してよい情報と禁止情報を項目ごとに明確に分けています。

また、ソフトバンクでは独自に個人情報や社外秘の情報に関していくつかの区分を設けています。例えば、個人の住所や電話番号など、より守るべき情報は最も重要度の高い区分とし、徹底的に保護する体制をとっています。生成AI利用においても、この考え方を踏襲しています。

生成AI活用の技術的対策：基本を徹底

―生成AIに関する技術的なセキュリティ対策について教えてください。

北谷： 実は、生成AI専用の特別な仕組みを導入しているわけではなく、基本的にはクラウドやSaaS利用の際のセキュリティ基準を適用しています。

例えば、シングルサインオン（SSO） を導入し、社員のアクセスを一元管理したり、不正アクセスを防ぐために IPアドレス制限 を設けています。また、パブリッククラウドなどのサービスを利用する際には、APIキーの管理 にも注意を払っています。トークンの使い回しは不可とし細かく分散管理を行い、1つのキーが漏れても被害を最小限に抑えられるようにしています。また、先ほども述べた通り、当社の預けるデータを勝手に触らせないために、DPAの利用規約も確認しつつ、データ量や信頼性などリスクに応じて個別交渉を行い契約を結んでいます。

社員教育と社内ルールの徹底

―ルールを社員に浸透させるために、どのような工夫をされていますか？

北谷：AIガバナンス推進室により、2025年9月を「AIガバナンス強化月間」と位置付け、eラーニングや動画教材、社内ウェビナーを活用し、全社員に対してリスクとルールを分かりやすく周知したガバナンス教育が実施されました。また、AIの導入や活用をよりスムーズにスピード感を持って検討するために、ソフトバンクではワンストップで審議を行っています。ISCやCDO、AIガバナンス、法務、アーキテクトや開発など各部門の専門知識メンバーが集まり、統一見解を示す仕組みも導入しています。

生成AI活用にあたり、社員教育のポイントは2つあると考えます。
1つ目は、生成AIそのものが持つリスクを理解してもらう ことです。例えば、悪用すれば危険な情報を生成してしまう可能性があります。これは従来のITシステムにはあまりなく、生成AIならではのリスクであり、倫理観的な観点や仕組みの特徴を理解してもらう必要があります。
2つ目は、サービス利用に伴うリスクを理解してもらう ことです。これは従来のクラウド利用と同じ考えですが、入力する情報次第で企業として大きなリスクを背負うことになることを意識してもらうことが欠かせません。

また、ソフトバンクの特徴的な取り組みとして、AI倫理委員会 があります。外部有識者も参加して、外部からの客観的な指摘を取り入れ、方針や倫理を議論しています。

―生成AIの利用に関して社員からどのような相談が多いのでしょうか？

北谷：「このサービスを使ってみたいけど安全性が不安」という相談が多いです。例えば、ある生成AIサービスが話題になったときもそうでした。性能面では魅力的でしたが、カントリーリスクや倫理面を考慮し、グレーゾーンなものは当社では利用しないと判断しました。テクノロジー的に優れているからとすぐに飛びつくのではなく、リスクを評価して判断するというのが基本方針です。

生成AIの未来にどう備えるか

―セキュリティマネジメントを担う立場として、生成AIに関する今後の展望について教えてください。

北谷： 生成AIを否定するのではなく、むしろ積極的に活用していきたいと考えています。実際に私たちISC統括部でも、相談対応や調査業務で生成AIを利用しています。人間だけでは調査に時間がかかることも、AIを使えばスピード感を持って対応できます。今後は「AIエージェント to AIエージェント」のように、AI同士がやりとりする世界が来ると考えています。そのときに備えて、必要なルールやポリシー、技術を見極めていきたいと思っています。

―最後に、これから生成AIを導入しようと考えている企業担当者に一言お願いします。

北谷： 一番大事なのは 仕組みを理解すること だと思っています。生成AIがどのように動作し、データがどこに行くのか仕組みを理解すれば、どこにリスクがあるかも自然に見えてきます。リスクが見えれば、必要な対策を考えられるようになります。大切なのは「危ないから使わない」のではなく「リスクを理解して安全に使う」、これが生成AIを導入・推進していくための秘訣 だと思います。

まとめ

生成AIの導入を躊躇させるのは、リスクが見えにくいことです。「セキュリティが心配だからやめておこう」と考えるのは簡単ですが、それでは業務効率化や新しい価値創出のチャンスを逃してしまいます。生成AIを導入し安全に推進するには、組織として原則を定めリスクを理解し、社員一人一人が安全に活用できる環境を整えることが必要です。自社だけでは難しいと感じたら、経験のあるパートナーを活用するのも有効です。

ソフトバンクは、自社での実践に基づくノウハウを蓄積し、生成AI導入のパートナーとして企業を支援できる体制を持っています。もし自社で「生成AIを使いたいがリスクが心配」と悩んでいるなら、ぜひソフトバンクにご相談ください。

関連記事

関連資料

関連ページ

関連セミナー・イベント

同じカテゴリーの記事をみる