中小企業診断士（兼情報処理安全確保支援士）の麻生です。QMS（品質マネジメントシステム）とISMS（情報セキュリティマネジメントシステム）の運用・維持を推進する部署で仕事をしています。今年も1月末に「情報セキュリティ10大脅威（組織）」が公開されました。昨年比で１位２位の脅威は変わりませんでしたが、新たにAI関連のリスクが3位にランクインしています。

1位　ランサム攻撃による被害
2位　サプライチェーンや委託先を狙った攻撃
3位　AIの利用をめぐるサイバーリスク
（以下略）

解説を読むとAI関連のリスクとして以下の問題をひとまとめにしています。
① AIに対する不十分な理解による、意図しない問題（他社の権利侵害、情報漏えい）
② AIが加工・生成した結果を鵜呑みにすることにより生じる問題
③ AIの悪用によるサイバー攻撃の容易化、手口の巧妙化

AIに不用意に入力した情報が漏えいにつながる①や、ハルシネーションと呼ばれる誤情報の生成②についてはよく知られているところです。③にはさまざまあると思います。メールによるテキストベースの詐欺だけでなく、AIで生成した音声や動画を用いた詐欺も発生しているようです。AIにランサムウェアを作らせて逮捕された学生の事案もありました。関連してAIそのものに関しても動画生成AI「Sora」のアプリやインターネットサービス提供終了が話題になっています。大量リソースの消費や著作権侵害の懸念などの問題があり、現時点ではビジネスとしてバランスが取れないようです。

一方で技術の進歩を追いかけるように2023年にAIに関するマネジメントシステム（ISO42001）が制定され2025年にJIS化されました。これはいわばPDCAの枠組みでAIとそのリスクをマネジメントしようとする規格です。また2024年に発効した「EU　AI法」が2026年8月から本格施行されます。これはAIをリスクの観点で分類し、悪影響の大きさに応じて利用を規制するもので、違反には巨額の制裁金が課されるとのことです。国内でもAI推進法やAI事業者ガイドラインなどの整備が進められています。

このようにAIを取り巻く状況はめまぐるしく変化しています。AIは大変便利でその進歩に驚かされることもたびたびありますが、リスクとそのコントロールやコンプライアンスの動向を注視する必要がありそうです。