チャットボットを導入する際、ISMSのリスクアセスメントにおいて考慮すべき点は主に以下の3つです。
無料の生成AIなどを利用した場合、社員が入力した機密情報(個人情報やパスワード)がAIの再学習に使われ、社外に漏洩する恐れがあります。
退職者や異動者がチャットボットにアクセスし続けられる状態は、ISMSの「アクセス制御」において重大な不適合となります。
「いつ、誰が、どんな情報を入力したか」を追跡できないツールは、インシデント発生時の原因究明が不可能であり、監査要件を満たしません。
なぜ、セキュリティに厳しい組織こそ、積極的にチャットボットを導入すべきなのでしょうか。九州観光機構の成功事例を「ガバナンス」の視点で読み解きます。
観光地では、ネット上の不確かな情報(野良情報)が旅行者を混乱させることがあります。機構は「公式AI」を用意することで、旅行者を正しい情報へ誘導しました。
これを企業に置き換えると、以下のようになります。
ISMS(ISO/IEC 27001)の管理策に基づき、チャットボットに求められる具体的な機能要件をリスト化しました。
機能だけでなく、サービス提供事業者(ベンダー)自体の信頼性も評価対象となります。以下の基準でスコアリングすることをお勧めします。
A. 「入力データがAIモデルの学習に利用されないこと(オプトアウト)」が規約で明記されているAPI版またはEnterprise版を利用することが必須です。また、利用ガイドラインを策定し、社員に周知教育を行うことも人的対策として必要です。
A. ISMSの規定や企業のポリシーによりますが、一般的には最低1年間、推奨3年間のログ保存が可能なツールを選定すべきです。CSV等でエクスポートし、自社のSIEM(統合ログ管理)に取り込めるとなお良いです。
A. RAG(検索拡張生成)の仕組みにおいて、アップロードされたファイルが「他社の回答」に使われることはありませんが、念のため「テナント分離(データが論理的に他社と混ざらない設計)」がなされているかベンダーに確認してください。
ISMS対応チャットボットの導入は、情シスにとって「妥協」ではなく「防衛策」です。
安全な公式ツールを提供することで、社員の生産性を高めつつ、ガバナンスの効いたIT環境を維持しましょう。
セキュリティチェックシートを入手する
[無料] チャットボット導入時に使える「セキュリティ要件定義書(Excel)」テンプレート
ISMS認証取得済みのツールを探す
[一覧] 金融機関・官公庁での導入実績がある「高セキュリティチャットボット」比較表
チャットボット運用に一切手間をかけず成果を出したい企業専用
AIさくらさん(澁谷さくら)
ChatGPTや生成AIなど最新AI技術で、DX推進チームを柔軟にサポート。5分野のAI関連特許、品質保証・クラウドセキュリティISOなどで高品質を約束します。御社の業務内容に合わせて短期間で独自カスタマイズ・個別チューニングしたサービスを納品。登録・チューニングは完全自動対応で、運用時のメンテナンスにも手間が一切かかりません。
