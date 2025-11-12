データ・リーダーは、新たな二重の現実に直面しています。AI施策のためにデータを提供するプレッシャーを受ける一方で、データを安全に保ち、ハッカーの手に渡らないよう確保する必要があります。しかし残念ながら、AIガバナンスと監視の間の隙間をかいくぐり、データが危険にさらされる可能性があります。
IBMの年次報告書『データ侵害のコストに関する調査』では、世界17業界の600組織のデータ侵害を分析し、このギャップが盗難データ、業務の混乱、規制当局への高額な罰金といった重大なコストにつながる可能性があることを示しています。データ侵害はまた、企業の評判低下や顧客の信頼喪失、解約リスクの増大にもつながります。
最高データ責任者（CDO）やその他のデータ・リーダー、あるいはデータ戦略、ガバナンス、価値創出に責任を持つすべての人にとって、この調査結果は警鐘となります。調査対象の侵害組織の31％が業務の混乱を経験し、60％がAIのサプライチェーンやモデルへの攻撃によって直接的なデータ侵害を受けていることから、この結果は他人事ではなく、CDOにとっての行動指針となるはずです。
これらの調査結果の重要性は、単なるセキュリティーの問題にとどまりません。戦略的なリーダーシップにおける課題としても位置付けられます。CDOはデータのイノベーションとガバナンスの交差点に立ち、AIの変革力を最大限に引き出すと同時に、そのトランスフォーメーションが信頼、コンプライアンス、事業のレジリエンスを損なわないよう責任を負います。
以下では、AI時代におけるデータ・セキュリティーについてCDOが知っておくべき5つのポイントと、データを安全に保つためにCDOが実行すべき3つの対策について説明します。
データ侵害のコストに関する調査によると、調査対象の侵害組織の63％にはAIガバナンス方針がなく、承認プロセスや監視メカニズムを整備していたのはわずか37％でした。これらは通常、AIガバナンスを担当する法務・コンプライアンスチームやセキュリティー責任者にとって直接の課題ですが、CDOも問題を認識し、データがモデル学習やアプリケーション構築に使用される前に確認する必要があります。
つまり、CDOはイノベーションとコンプライアンス・リスク管理のバランスを考慮しつつ、ガバナンスと監視方針の策定に関与し、AIガバナンス、データ・ガバナンス、セキュリティーが相互に補完し合う統合戦略を構築する必要があります。
調査対象組織の5分の1（20％）は、シャドーAIに関連する侵害を経験しています。シャドーAIとは、ITやセキュリティーの監視なしに従業員が独自に導入した非公式のAIツールを指します。これらの事例は、平均的な侵害コストを最大で67万米ドル押し上げ、顧客の個人を特定できる情報（PII）や知的財産を不均衡にさらす結果となりました。
はっきり言って、シャドーAIは単なる技術的な問題ではなく、文化的な問題でもあります。従業員は、業務効率を高め、生産性を向上させ、顧客やサプライチェーン、急速に変化する市場環境に関する有益な洞察を得るためにAIツールを活用するプレッシャーを受けています。しかし、指針がなければ、従業員は無意識のうちに顧客の個人情報や企業の知的財産をアップロードすることで、セキュリティー・プロトコルを逸脱してしまう可能性があります。
AI関連の侵害を報告した組織のうち、驚くべきことに97％が適切なアクセス制御を欠いていました。CDOはこれらの制御を直接管理するわけではありませんが、この潜在的な欠陥を認識し、セキュリティー責任者やAIリーダーに「アクセス制御は適切に機能しているか」「機能していない場合はなぜか」を確認する必要があります。AIを支えるのはデータであるため、アクセス制御が弱いと機密データのリスクが高まります。
調査対象の侵害組織のうち、半数以上（53％）が顧客の個人を特定できる情報（PII）の侵害を報告しました。シャドーAIが関与する侵害では、その割合はほぼ3分の2（65％）に上ります。知的財産の漏えいは頻度こそ低いものの、シャドーAI関連の侵害では1件あたり178米ドルと、最も高いコストがかかっています。
データは保管場所を問わず脆弱になり得ますがデータ侵害のコストに関する調査によると、ほとんどの侵害は、パブリッククラウド、プライベートクラウド、オンプレミスなど、複数の環境に分散されたデータで発生していました。ハイブリッドクラウドは利便性が高い反面、複雑性を生み、リスクを増大させ、それがコストにつながる可能性があります。複数の環境に関連しているデータ侵害の平均コストは505万米ドルで、オンプレミスでのデータ侵害の平均コストは401万米ドルでした。
AIのデータセットは、財務情報や医療記録と同等の高価値資産として扱う必要があります。
AIデータの保護は、プライバシーやコンプライアンスのためだけでなく、データの完全性を守り、組織の信頼を維持し、データ侵害を防ぐためにも不可欠です。そのため、CDOはクラウド、オンプレミス、ハイブリッド環境にまたがる機密データの分類と保護に積極的に取り組む必要があります。さらに、すべてのPIIは保存時も転送時も暗号化されていることを確認すべきです。
このアプローチでは、表面的な対策にとどまらず、堅牢なデータ・セキュリティーの基盤を実装することが求められます。具体的には、データの発見と分類、アクセス制御、暗号化、鍵管理などを用いたデータ保護が必要です。
さらに、データおよびAIセキュリティー・サービスの活用も含まれます。これらの対策はAIを安全に運用することに限ったものではありませんが、AIが脅威にも支援にもなる現状では、これまで以上に重要です。
AIのセキュリティーとガバナンスは互いに補完し合う存在です。組織がそれらを連携させずにいると、リスク、複雑さ、コストが増大します。
組織は、CDO、CISO、コンプライアンスチームが定期的に協力する体制を整える必要があります。セキュリティーとガバナンスの統合型ソフトウェアとプロセスに投資し、部門横断の関係者を連携させることで、シャドーAIの自動検出と管理が可能になります。
CDOは、AIの安全なデータ・パイプラインの構築や明確なAI利用ガイドラインの策定において中心的役割を果たすことが不可欠です。また、AIモデルのライフサイクル全体を通じて、各段階にガバナンスを組み込みながら管理することも重要です。
AIモデルやエージェントは、アクセス権限を持つ「ID」として機能することを認識する必要があります。
CDOは、データガバナンスの観点からAIエージェントと人間を同等に扱うことが重要です。システムにアクセスするには両者とも運用上の制御が必要ですが、AIエージェントには設計された特定のタスクやワークフローへのアクセスのみを許可することが不可欠です。
セキュリティーとガバナンスにおいて統合的かつ協調的なアプローチを取ることで、CDOはIDセキュリティーの強化において重要な役割を果たします。人間であるユーザーと同様に、AIエージェントもシステムにアクセスしてタスクを実行する際に認証情報に依存しています。そのため、強力な運用制御を実装すること、あるいはそれを支援するサービスを活用し、非人間アイデンティティー（NHI）のすべての活動を可視化することが不可欠です。組織は、管理された（保管された）認証情報を使用するNHIと、管理されていない認証情報を使用するNHIを区別できなければなりません。
CDOの役割はかつてないほど重要性を増しています。AIはデータ・リーダーシップのルールを書き換え、責任あるイノベーションを実践する者が、信頼され、レジリエントな次世代企業の時代を切り拓きます。
CDOは、AIライフサイクルのあらゆる段階にガバナンスを組み込み、AIを支えるデータを保護し、部門横断の協力体制を率いて組織の最も価値ある資産を守ることができます。
データ侵害のコストに関する調査では、真のリスクはAIそのものではなく、ガバナンスが伴わないAIであることを明確に示しています。
シャドーAI、不十分なアクセス制御、断片化された責任により、信頼が損なわれ、コストが上昇しています。
適切な対策を講じれば、CDOは侵害リスクやコストを削減できるだけでなく、組織が自信を持ってイノベーションを推進する力を強化することもできます。