生成AI時代の情報セキュリティ—「AIリスク」「内部不正」「SNS炎上」をまとめて防ぐルール作り

Day5：生成AI時代の情報セキュリティ—「AIリスク」「内部不正」「SNS炎上」をまとめて防ぐルール作り

はじめに

ここまで4日間で、入口（ログイン）、だまし（フィッシング）、事業停止（ランサム・ぜい弱性・サプライチェーン）を見てきました。

最終日のDay5は、2026で注目が集まっている「人のミスや判断」に近いテーマをまとめます。

IPAの「情報セキュリティ10大脅威 2026（組織）」では、「AIの利用をめぐるサイバーリスク」が3位に初選出されました。また、組織向けでは内部不正や情報漏えいにつながる項目も挙げられています。個人向けでも、ネット上のデマ・偽情報や、なりすまし、アカウント乗っ取りなど、人の判断を揺さぶる脅威が含まれます。

参考：IPA（情報処理推進機構）「情報セキュリティ10大脅威 2026」

https://www.ipa.go.jp/security/10threats/10threats2026.html

本文

なぜ最後に「ルール作り」なのか

セキュリティ対策は、ツールを入れて終わりではありません。結局は、

忙しい時にリンクを踏んでしまう

急がされて送金してしまう

便利だから同じパスワードを使ってしまう

良かれと思って情報を共有してしまう

という「人の行動」で穴ができます。

だから、続く仕組み＝ルールが必要です。ルールといっても、難しい規程ではなく、迷わないための短い約束で十分です。

AIリスク：便利さの裏にある3つの落とし穴

AIは仕事を速くしてくれます。一方で、2026では「AIの利用をめぐるサイバーリスク」が組織向け脅威に初めて大きく入ってきました。

機密情報を入れてしまう
- 顧客名、見積、契約内容、未公開情報、社内のID情報などを貼り付ける
- “ちょっとだけ”のつもりでも、積み重なると危険

出力をうのみにしてしまう
- 法律・税務・医療のような領域で誤りが混ざると、損害が出る
- 引用や根拠が必要な資料は、必ず一次情報で確認

AIを装った詐欺（なりすまし）が増える
- 「AIで作った請求書」「AIで作った上司の指示」など、“それっぽさ”が上がる
- だからこそ、Day3の「別ルート確認」がより重要になる

AI利用の最小ルール（まずこれだけ）

①機密は入れない　②出力は確認する　③お金の話は別ルート確認

内部不正・持ち出し：悪意だけでなく“うっかり”が多い

内部不正というと「悪い人が盗む」と思いがちですが、中小企業や個人事業では、

自宅で作業するためにデータを個人PCにコピーした

退職・契約終了後にアカウントが残っていた

共有フォルダが誰でも見られる状態だった

のような“うっかり”が原因になることも多いです。

だから対策も難しくありません。基本は3つです。

アカウントを消すタイミングを決める（退職・契約終了の当日など）

権限を必要最小限にする（全部見える人を減らす）

持ち出しルールを決める（USB禁止、クラウド経由のみ、など）

よくある落とし穴

「社長だけは何でもできる」状態は、社長が狙われた時に一気に抜かれます。権限を分けるだけで被害が小さくなることがあります。

SNS・情報発信：炎上より怖い「信用のじわじわ崩れ」

個人向けの脅威には「ネット上のデマ・偽情報」などが含まれます。これが仕事に絡むと、

間違った情報を拡散してしまう

なりすましアカウントで誤情報を出される

顧客や取引先の情報が混ざってしまう

といった形で、信用がじわじわ落ちます。

発信を安全にするコツは、次の「ワンクッション」です。

誰かの名前・会社名・数字が出る投稿は、必ず1回見直す

一次情報（公式発表・公的機関）を確認してから投稿する

なりすまし対策として、主要SNSは2段階認証をON

小さな会社でも回る「セキュリティルール」ひな形

「立派な規程」を作る必要はありません。A4一枚でも回ります。おすすめはこの7項目です。

リンクは踏まない：メール・SMSのリンクは原則開かず、公式から確認する

2段階認証：メール／クラウド／SNSは必ずONにする

パスワード：使い回し禁止。管理アプリの利用をOKにする

支払い・振込：変更や至急は、必ず別ルート確認＋二人確認

更新：OS・ソフト・機器の更新は止めない（自動更新を基本）

バックアップ：別の場所に持ち、復元の手順を決める

AI利用：機密は入れない／出力は確認／お金の話は別ルート確認

ポイント

ルールは「守れない」ほど増やさない。守れる数に絞るほうが強いです。

7日でできる：社内（自分）ルール整備ロードマップ

1日目：今使っているサービス一覧を書く（メール／クラウド／会計／SNS）

2日目：2段階認証をON（優先はメール→クラウド）

3日目：パスワードの使い回しを解消（まず上位3つ）

4日目：支払いルールを決める（別ルート確認＋二人確認）

5日目：バックアップを「別の場所」に追加する

6日目：更新が止まっている機器を洗い出して直す

7日目：A4一枚にルールをまとめ、見える場所に置く

今日のチェックリスト

AIに入れてはいけない情報（機密）の例を、自分（社内）で共有した

「AIの出力は確認する」ルールを決めた（根拠が必要なものは一次情報へ）

退職・契約終了時のアカウント削除タイミングを決めた

SNSの2段階認証をONにした（なりすまし対策）

A4一枚ルール（7項目）を作る準備ができた

まとめ＋要約

最後は「人の判断」を守るために、短いルール作りが効く

AIは便利だが、機密入力・うのみにする・AIを装う詐欺の3つに注意

内部不正は悪意だけでなく“うっかり”も多い。権限・持ち出し・退職時の整理が基本

A4一枚の7項目ルールで、個人でも小さな会社でも回せる

FAQ（3問）

Q1. AIは使わない方が安全ですか？: A. 使わないのも一つの選択ですが、現実的には「使う前提でルールを作る」方が回りやすいです。機密を入れない、出力を確認する、この2つでリスクは大きく下げられます。
Q2. ルールを作っても守られません…: A. 守られない原因は「多すぎる」「現場の手間が増える」ことが多いです。まず7項目に絞り、守れる形にするのがコツです。
Q3. 相談するとしたら、何を用意すればいいですか？: A. 「使っているサービス一覧」「困っていること（不正ログイン／請求書詐欺が不安／バックアップが不安など）」「社内の人数と作業環境（在宅の有無）」の3点があると、具体策が出しやすいです。