林和洋（Kazuhiro Hayashi）

PwCコンサルティング合同会社パートナー

サイバーセキュリティ&デジタルオペレーショナルレジリエンス

近年、日本企業を取り巻く国際情勢は劇的に変化しています。経営層には国際情勢を形成する潮流を理解し、従来以上に高度な方法で地政学リスクを管理することが求められるようになりました。

国境のないデジタル空間においても、国際情勢の不安定化を背景に国家間に障壁が生まれ、企業活動が制約されつつあります。海外で事業を展開する日本企業には、経済安全保障を考慮した企業戦略が必要となり、サイバーセキュリティ対応やAI規制法をはじめとする海外法規制への対応が求められます。

PwCでは、サイバーインテリジェンス活動の一環として、グローバルで活動を続ける脅威アクター（攻撃者グループ）を常時監視しています。監視を担当するのは日本を含むグローバル専門チームで、日本独自の観点での分析結果も提供しています。同チームでは現在、362^＊の脅威アクターを特定・追跡しており、そのうち35^＊グループが、日本を攻撃対象としていることを把握しています。
^＊2025年2月現在

AIリスク対応を複雑化する規制

企業においてAIは着実に普及しています。今後1年から2年の間に、多くの企業が生成AIを活用したビジネスを展開することは間違いありません。

生成AIのビジネス活用が拡大する一方で、AI特有の新たなリスクへの対応が課題となっています。AIのリスクを、「技術」「法律」「倫理」の3つの領域に分類にわけて考えます。「技術」「法律」「倫理」の3つの領域に加えて、複数の領域にまたがる重要なリスクも存在します。AIが誤った情報を提示してしまう「ハルシネーション」は、技術的な限界に起因する問題でありながら、誤情報の拡散による社会的影響や法的責任などの問題もはらんでいます。

これらのリスクへの対応をさらに複雑にしているのが、国・地域による規制環境の違いです。例えば、データプライバシーに関する規制は、欧州連合（EU）の一般データ保護規則（GDPR）のように厳格な法的規制として確立している地域がある一方で、ガイドラインレベルにとどまる地域も存在します。

このような規制環境の違いを背景に、各国・地域では独自の生成AI規制の整備が進んでいます。PwCが実施した調査によると、EU、米国、中国、日本など主要国において、それぞれの価値観や産業政策を反映した規制やフレームワークが形成されつつあります。グローバルに事業を展開する企業は、進出先の規制動向を注視し、各国の要件に適合したリスク管理体制を構築する必要があります。

AIリスク対応のアプローチ―インテリジェンスの活用と実践

生成AIの普及に伴い、2023年からAI関連インシデントは急増しています。発生したインシデントの多くは心理的影響、企業評判、経済的損失に関連するものですが、近年では物理的な被害も報告され始めています。

サイバーセキュリティ対策と同様、AIリスク対応では、インテリジェンスを活用したアプローチが有効です。ここで言うインテリジェンスは、技術的な情報収集にとどまりません。世界各国で策定される規制やガイドラインの動向把握、同業他社で発生したインシデントの分析、さらには自社と同様のAI活用をしている企業の体制やインシデント対応事例など、幅広い視点での情報収集と分析を指します。特に技術領域では、AIを活用した攻撃手法の研究や、AIシステムを標的とした攻撃への対策など、最新の脅威に関する知見を継続的に蓄積することが重要です。

AIインシデントへの対応には、技術部門だけでなく、法務、コンプライアンス、広報など、組織横断的な協力体制の構築が不可欠です。各部門がそれぞれの専門性を活かしながら、包括的なリスク管理体制を整備することが求められています。

特に重要なのは、AIの進化スピードを考慮した定期的なリスク評価の見直しと、新たなリスクへの迅速な対応体制の確立です。このためには、技術部門と法務部門の緊密な情報共有、広報部門を含めた危機管理体制の構築、そして経営層への適切な報告ラインの確保が必要となります。さらに、インシデント事例からの教訓を組織的に共有し、定期的な訓練と体制の見直しを行い、最新の脅威情報に基づいて対応手順を更新していくことも重要です。