生成AIを安心して利用できるような仕組みづくりを模索
工場のセキュリティ対策とともに資生堂が積極的に取り組んでいるのがAI活用だ。AI活用に取り組む要因を髙橋氏は次のように説明する。
「資生堂はDXに注力し、継続強化していくことを、経営上、最重要テーマの1つに位置づけています。『Global No.1 Data-Driven Personal Skin Beauty & Wellness Company』という目標を掲げ、様々な領域で取り組みを強化しています。たとえばEC領域では、プラットフォームごとに取り組みを加速させ、2025年の売上比率30%達成を目指しています」
ECサイトについては、取得するデータを活かしたデータ活用を推進することが重要な鍵となるという。
「消費者データ戦略では、消費者データを取得と活用を積極的に行い、CRMプログラムによるライフタイムバリュー、パーソナライゼーションの推進を行っていきます。イノベーション領域では、継続的なビューティーテック体験の革新をオンライン、オフライン両方で実現していきます。AIを活用した肌診断をはじめ、新たなパーソナライズ・ウェルネス・プラットフォームの展開を予定しております。こうしたDX強化の一環として、生成AIを含めたAI活用を積極的に行っていきますが、その際に重要な課題となるのが情報セキュリティ&プライバシーです。DX推進による利便性とセキュリティを担保した安全と安心を併存させていく必要があります」
社内の生成AIに対するデマンドは高いというが、活用の際にはリスクも出てくる。
「生成AI自体にはまだまだ技術的、法的、倫理的リスクが存在しています。グローバル横断の生成AIガバナンス体制の確立、生成AI利用ポリシーの策定、リスク評価のルール策定、適切な監督体制と利用、運用状況のモニタリング、従業員へのリテラシー教育といった、生成AIを利用する際のガバナンス構築が必須になります」
現在、国内でトライアルを進めているのが、「AIインパクトアセスメント」と「Security By Design」だ。
「AIインパクトアセスメントでは、リスクマネジメント部門、法務部門、情報セキュリティ部門によってチェックシートを用いたアセスメントが行われます。Security By Designは、情報セキュリティ部門によるチェックシートを用いたアセスメントを実施しています。
AIインパクトアセスメントでは、法的リスク、情報漏洩、不正利用のリスクを評価、特定し、Security By Designは、クラウドサービスや委託先のセキュリティリスク、個人情報を含む機密情報の取り扱い、業務プロセスのリスクを評価しています。リスク軽減化措置がそれぞれ異なり、AIインパクトアセスメントでは、契約書、同意書の文言変更や権利侵害のリスクに対する運用ルールの策定などを行い、Security By Designでは、AIサービス自体のセキュリティ設定の強化、委託先環境のセキュリティ強化などを目的としています」
生成AI活用は、日本だけに留まるものではないため、グローバル展開のための準備も進められている。
「社内専用の生成AIサービスも導入しました。一般の情報だけではなく、資生堂社内の情報を学習させ、より業務にフィットしたサービスとなっています。グローバルでの利用を前提に、本格的に利用する際はリージョンごとにサイバー環境を用意し、データ越境対策を行う準備をしています」
同社のAIチャットボット『Shiseido AI Concierge』はパッケージ化し、各リージョンのサーバーに展開することで導入できるという。そのうえ、利用するエリアによって現地法規制の順守にも対応。たとえば、EMEAでは利用規定に同意することでサービスを使い始めることができる。
生成AIを活用する際の情報セキュリティ対策についても、対策が立てられている。
「1つ目は、プロキシによる生成AIを利用したWebサイトのカテゴリーブロックを行っています。この対策を行うことで、外部の生成AIサービスを利用したい場合は、必然的にセキュリティアセスメントが実施されるような運用フローを確立しています。2つ目は、外部の生成AIを利用したサービス利用状況のモニタリングです。毎週、生成AIサービスへのアップロード容量をモニタリングしており、機密情報・個人情報が入力されていないかを確認しています」
今後の計画として、(1)グローバル横断の生成AIガバナンス体制の確立、(2)グローバルの生成AIポリシーの策定(社外・社内)、(3)AIインパクトアセスメント&Security By Designプロセスのグローバル標準化の3点を予定しているという。
