SECURITY
AIは、危ない。
でも、使わない手はない。
生成AIには、確かに脅威があります。それでも、これだけ強力な道具を手放す理由にはなりません。
危険は、正しいガードレール(ツールの設定・社内ルール・全社教育)を用意すれば防げます。シクミヤは、その“守り”まで一緒に用意します。
RISK
AIには、これだけの脅威がある
きれいごとは言いません。生成AIには、実際にこれだけのリスクがあります。どれも高度な攻撃ではなく、“日常の使い方”から生まれます。
リスク 1
入力した情報が“学習”に使われることがある
無料版の生成AIは、入力内容がAIの学習に使われる設定が初期状態のものがあります。顧客名や取引条件を入れるのは避けるべき状態です。
リスク 2
共有リンク・画面から意図せず外に出る
AIとの会話は共有リンクを発行でき、リンクを知っていれば誰でも見られる状態になるものもあります。安易な共有は情報の広がりを生みます。
リスク 3
誤情報(ハルシネーション)をそのまま外に出す
AIは事実と異なる内容を、自信のある文体で堂々と答えることがあります。確認せず顧客に送れば、会社の信用問題になります。
脅威は実在します。でも、どれも高度な攻撃ではなく「日常の使い方」から生まれるもの。
だから、正しいガードレールを用意すれば防げます。
SHADOW AI
「禁止」は、いちばん危ない選択
禁止しても、社員は個人スマホで使います。会社が把握できない“野良AI利用(シャドーAI)”こそ、最大のリスクです。
| 会社の方針 | 実際に起きること | リスク |
|---|---|---|
| 全面禁止 | 社員が個人スマホ・個人アカウントで隠れて使う(野良AI利用) | 会社が把握できない場所で、教育もルールもないまま業務情報が入力される |
| 何も決めず放置 | 人によって使うツールも使い方もバラバラになる | 線引きを知らない社員が、悪気なく機密情報を入力してしまう |
| ルールを決めて正しく使う 推奨 | 会社が選んだツールと線引きの中で全員が使う | リスクを管理された範囲に抑えられる(推奨) |
禁止は「使わせない」ではなく「見えない場所で使わせる」を意味します。
リスクをゼロにするのではなく、会社の目が届く範囲に置いて管理する。これが出発点です。
PUBLIC POLICY
国も自治体も、答えは同じ。
「禁止」ではなく「安全に使い倒す」
向き合い方に迷ったら、国と自治体の公式方針が参考になります。結論は共通しています。
「最もAIを開発・活用しやすい国へ」。罰則より“安全な活用”
- ▸ 2025年に「AI推進法(人工知能関連技術の研究開発及び活用の推進に関する法律)」が施行。法律名から「推進」を掲げ、罰則規定はありません。
- ▸ 実務の統一指針は総務省・経済産業省の「AI事業者ガイドライン」。“機密情報・個人情報の入力に注意”“ファクトチェック”といった守りと、活用の後押しをセットで示しています。
出典(一次情報)
研修を必須にし、線引きを定めた上で「積極推進」
- ▸ 「生成AIの調達・利活用に係るガイドライン(2026年4月)」で、利用前の研修を必須化。重要度の高い情報の入力は原則禁止とし、ハルシネーション対策として必ず事実検証(ファクトチェック)を求めています。
- ▸ 「生成AIは補助的なツールであり、業務における検討・判断の責任は利用者にある」と明記。職員だけでなく県民・事業者の利活用も想定した設計です。
出典(一次情報)
※ 2026年7月時点の各機関の公開情報にもとづく参考情報です。各ガイドラインは継続的に改訂されます。最新かつ正確な内容は、各出典元をご確認ください。
公的機関の結論も「使う側が仕組みと線引きを理解して、安全に活用する」。
シクミヤがやるのは、まさにそれを
中小企業の現場で実装することです。
GUARDRAIL
ガードレールを、一緒に用意します
正しく守れば、AIは中小企業の強力な武器になります。その“守り”は、この3層で整えます。どれか1つでは穴が空き、3つ揃って初めて機能します。
第1層
ツール選定
社員が個人アカウントで使う状態をやめ、会社として使うツールとプランを決めます。基準は「入力データが学習に使われない設定にできるか」。法人向けプランはこれが基本です。
第2層
社内ルール(線引き)
「AIに入れていい情報・いけない情報」を1枚に整理。禁止リストは短く具体的にし、「それ以外は自由に使っていい」と明言します。守れるルールにするのがコツです。
第3層
教育(仕組みの理解)
「入力した情報はどこへ行くのか」を全社員が理解すれば、リストにない情報も自分で判断できます。丸暗記ではなく、仕組みからわかる状態をつくります。
なお、AIの出力の最終確認や運用の判断は、各社に責任が帰属します(国・自治体のガイドラインも同じ立場です)。シクミヤは“代わりに責任を負う”のではなく、御社が自分たちで安全に判断・運用できる状態づくりを伴走します。 免責事項について
FAQ
よくあるご質問
AIのセキュリティ対策は、専門知識がないと無理ですか? ▼
いいえ。中小企業のAIセキュリティで実際に問題になるのは、そのほとんどが「社内の使い方」に起因するものです。外部からの高度な攻撃ではなく、「何を決めて、何を教えるか」という経営判断の話なので、IT担当者がいない会社でも十分に対処できます。必要なのは高度な技術ではなく、ツール選定・社内ルール・教育の3層の考え方です。
シクミヤは、セキュリティの“何を”支援してくれますか? ▼
ツール選定(法人向けプランと「学習させない」設定の確認)・社内ルール(入れていい情報の線引き)・全社員の教育(仕組みの理解)の3層を、御社の業務に合わせて一緒に整えます。「代わりに全部やる」のではなく、御社が自分たちで安全に運用できる状態づくりを伴走します。
万が一トラブルが起きたら、責任を取ってもらえますか? ▼
生成AIの出力には誤りが含まれることがあり、AIの出力の確認・業務上の意思決定・最終的な運用の責任は、各社に帰属します。これは国・自治体の公式ガイドラインも同じ立場です(「生成AIは補助的なツールであり、判断の責任は利用者にある」)。シクミヤは“代わりに責任を負う”のではなく、御社が自分たちで安全に判断・運用できる状態づくりを支援します。詳しくは免責事項をご覧ください。
社内ルールの作り方まで、もっと詳しく
中小企業のAIセキュリティ解説記事を読む →CONTACT
セキュリティの不安ごと、
相談してください。
「社員に使わせて大丈夫か」「何を禁止すればいいか」
だけでも大丈夫です。
安心して使える状態づくりから、一緒に考えます。
ご相談は無料(オンライン・30分)です。営業電話は一切ありません。