生成AIを安全に導入するなら、セキュリティ・ITリテラシー・コストの3軸がポイント

生成AIの企業導入が進む一方で、適切な活用に必要な要素が明確になってきている。インテリジェントコンテンツ管理プラットフォームを提供するBoxが実施した調査では、生成AI導入に関する3つの課題「セキュリティ」「ITリテラシー」「コスト」が浮き彫りとなった。2025年3月27日、「クラウドWatch Day｜AI×データ活用セミナー」（主催：インプレス、クラウドWatch）に登壇したBox Japanの武田新之助氏は、この調査結果を基に、データセキュリティの土台づくりが生成AI活用の前提条件であることを強調。「生成AIに使われるのではなく、使いこなすために」企業が取り組むべき実践的なアプローチを提示した。

株式会社Box Japan シニアプロダクトマーケティングマネージャー 武田新之助氏

生成AI活用における「セキュリティ」の重要性

　企業向けのインテリジェントコンテンツ管理プラットフォームを提供するBox。2025年に創業20周年を迎え、創業当初から企業がファイルを安全に保存・活用するための機能と使いやすさを追求してきた。現在、国内2万社以上の企業や中央省庁、地方自治体がBoxを採用しており、武田氏は顧客から評価される特徴として「容量無制限」「ランサムウェア対策」「PPAP対策（パスワード付きファイル送付の手間解消）」の3点を挙げた。

　Box Japanでは昨年、企業のビジネスパーソン1000名を対象とした調査「企業における生成AI活用に関する意識調査」を実施。武田氏は、そこから「セキュリティ」「ITリテラシー」「コスト」の課題が浮かび上がったとし、それぞれのポイントを解説した。

　まずは生成AIのセキュリティ課題。調査結果では、導入済み企業のユーザーの74%、システム管理者では95%が課題や不安を感じていることが判明した（ 図1 ）。管理者が感じる課題の第1位は「機密情報・個人情報の漏えい」であり、第3位には「偽情報・誤情報」、第4位には「LLMからの情報漏えい」が入った。また、導入検討中の企業が重視する点の第1位は「セキュリティ面が担保されていること」だった。

図1：多くの管理者、ユーザーが生成AI利用において課題や不安を抱えている

　武田氏は従来の「境界型セキュリティ」とは異なる「データセキュリティ」の重要性を強調した。「生成AIがアクセスする情報源は社内のデータファイルです。ファイルはさまざまなサービスやシステム、端末に分散して保存され、移動やコピーも頻繁です」と指摘する。

　その危険性を示す具体例として「過剰共有（オーバーシェアリング）」の問題を挙げる。「生成AIに『私の名前が載っている書類をリストアップしてください』と質問した場合、自分が関わるプロジェクト計画書やチームミーティングの議事録は当然出てきます。しかし、その中に『退職勧奨対象者リスト』が含まれていたらどうでしょうか」と疑問を投げかけた。人が手作業では辿り着きにくいファイルにも、AIは容易にアクセスし、アクセス権の設定ミスがあれば情報漏えいにつながる恐れがある。
また、古い就業規則と新しい就業規則が保存されている場合、生成AIは情報の新旧や正確性を判断できず不正確な回答をする問題も指摘した。企業情報の90%は非構造化データ（ファイル）とされており、これらを適切に管理できなければ生成AIを安全に活用できない。

　多くの企業では情報がファイルサーバーや多様なシステムに分散しているが、Boxは1,500以上のシステムやサービスと連携して企業内情報を一元管理できる。ポータルサイト機能「Box Hubs」を使えば、整理された最新ファイルを組織内で共有できる。なお、Boxのアクセス権限管理モデルでは「ウォーターフォール型」と呼ばれる継承方式を採用しており、上位フォルダーの権限が必ず配下のフォルダーに継承されるシンプルな仕組みとなっている（ 図2 ）。

図2：設定の複雑さを排除する、シンプルなアクセス権限継承モデルを採用

　また、機密度に応じた分類ラベルをファイルに付与して保護する「Box Shield」機能も備え、不意（人為的ミス）や故意（内部不正）による情報漏洩を防止する機能も提供している。武田氏は「Boxでコンテンツを管理すれば、生成AIのデータソースを集約・保護できるので、データセキュリティの土台ができます」と説明した。

「ITリテラシー」の壁を越える使いやすさ

　2つ目の課題である「ITリテラシー」。生成AI導入済み企業の管理者は「従業員が使いこなせるか」を課題に感じており、一般ユーザーも生成AIから期待通りの回答を得るために適切な指示を与える「プロンプトスキルが必要」と回答している。

　生成AIから期待通りの回答を得るには、具体的かつ詳細にプロンプトを記述する必要があるが、すべての従業員がプロンプトスキルを持つことは難しい。そこでBoxが提供しているのが「Box AI for Documents」だ。これは、Boxに保存されたドキュメントのプレビュー画面で利用できる生成AI機能で、画面内の「Box AI」ボタンを押すと4つのプロンプトの例を表示する。ユーザーはそれを選んでクリックするだけで生成AIからの回答を得られるという仕組みだ。

　武田氏は「Box AIボタンを押し、プロンプトボタンを押す、たった2クリックで資料のポイントを抽出することができます」と実演した。この使いやすさに注目して、アサヒグループジャパンや日立建機はBox AIを導入したという。

　また、武田氏は農林中央金庫の事例も紹介した。同社では、3,000以上ある規定ファイルの検索性向上のため、社内の規定閲覧システムにBox AIを組み込んで活用している。規定ファイルを複数選択してBox AIに質問すると、API経由で回答と引用箇所をセットで得られるようになった。この機能は毎月2,000から3,000回程度利用されており、情報の検索性の効率化・高度化が進んでいるという。

　さらに武田氏は、「Box AI エージェント」を紹介した。これは特定の業務やユースケースに合わせてプロンプトをカスタマイズできる機能で、Box AI Studioで利用可能となっている。期待通りの回答を得られるようにプロンプトをあらかじめ設定しておくことができる（ 図3 ）。

図3：各種規制に準拠し、自社の取り決めに則ったAIエージェントのカスタマイズ例

　例えば「主要なコンプライアンスのリスクを特定して次のステップを提案してください」という質問に対して、GDPRやISOなどの規制にフォーカスした問題・課題を表形式で抽出し、企業に合わせた提案文言も生成することができる。繰り返し利用できるため都度詳細なプロンプトを用意しなくてもよくなる。「ユーザーが長いプロンプトを入力する必要はもうありません」と武田氏は強調した。

「コスト」の予測可能性と無制限利用

　3つ目の課題は「コスト」だ。調査結果では、導入前に想定した予算よりも実際の導入費用が高くなる傾向が明らかになった（ 図4 ）。また、企業が生成AIの導入を決断する上で「実際の利用料金があらかじめわかること」が重要なポイントとなっている。従量課金や追加料金が発生するサービスでは予算の見通しが立てにくく、IT部門の悩みの種となっているという。

図4：生成AIを導入した企業は想定よりも多くのコスト負担をしていることがわかった

　武田氏は「本当に必要な生成AIとは何か」を問いかけ、多機能・高性能なものを選んだ結果、高額な利用料金になっていないかと指摘する。この課題に対し、Box AIはすべての有償プランで利用可能でアドオンライセンス購入が不要、さらに利用回数も無制限という特徴を持つ。

　Box AIを利用すれば、AIモデルの選定に悩む必要もない。生成AIの機能ごとにBoxが最適なAIモデルを選定するからだ。また、Box AI エージェントでは顧客自身が利用するAIモデルを選択することも可能だという。

　さらに、生成AI特有のリスクへの対策も盛り込まれている。「ハルシネーション（偽情報の生成）」やLLMからの情報漏えい対策として、Box AIは「セキュアRAG」という仕組みを搭載している。武田氏は「ドキュメントチャンキングとエンベディングというテクノロジーを使って、参照するファイルから質問に最も関連性の高い情報を抽出することで、ハルシネーションを抑制して回答精度を向上させています」と説明。なお、LLMを介した情報漏えいを防ぐため、プロンプトやデータはディスクやログに保存されず、すべての処理はメモリー上で実行され、処理完了後にメモリー上のデータは削除される仕組みになっているという。

生成AI活用の前提としてのデータセキュリティ

　講演のまとめとして武田氏は、データセキュリティの重要性を改めて強調した。多くの企業のセキュリティ部門は従来、境界型セキュリティを主に担当してきた。今後もシステムの導入や土台作りはIT部門が行うが、ファイルの機密度の分類や適切な管理には業務部門との協力が不可欠だという。

　業務部門の協力が難しい場合もあるが、武田氏は「情報漏えいした場合に被害を受け、謝罪や事故対応するのは当該部署です。情報漏えい対応は各部署の仕事であり、データ分類によって自分たちを守れるという当事者意識が必要です」と業務部門の協力がいかに重要かを指摘した。

　社内のデータセキュリティの考えを浸透させるために、武田氏は段階的なアプローチも提案した。「IT部門でも契約書やベンダーとの委託契約書、お客様データなどがあるので、まず自分たちのIT部門や、もしくはDX推進部の身近なところから始めて、効果を見せていくことで他の部署も続いてくるでしょう」と具体的な導入ステップを示した。

　最後に武田氏は「生成AIの業務への導入は不可欠であり、取り組む企業は競争優位性を得られる」としながらも、「世の中にあふれる情報に惑わされて飛びついたりせず、慎重かつ確実な導入をお勧めします」と述べた。そして「一度立ち止まって、自社のファイル管理ができているかを確認してほしい。生成AIが安全に活用できる環境が整っているか見直すことが第一歩です」と締めくくった。