「AIに自社データを学習させない」は本当に守られている？“SaaSに隠れたAI”を炙り出す4つの観点

ベンダー4割強がAI学習データのルールを明示していない？

　ここまでの話を踏まえると、SaaSなどのクラウドサービスにおいてAIを活用する場合、その責任はAI開発者ないしはAI提供者となるベンダー側に委ねられると思われがちだ。実際どの程度のSaaSサービスがAIを提供しているのか、「Assuredクラウド評価」が3,212のSaaSサービスを対象に実施した調査（2025年7月調査）によれば、42.8%のSaaS提供企業がAIを利用または開発していることが明らかになった。既存のAIを利用しているサービスが24.9%、AIを自社開発しているサービスが7.7%、両方行っているサービスが10.2%という内訳だ。

　ここで問題なのは、その透明性だと植木氏。AIを利用または開発している1,374サービスを対象にした調査では、AIサービスの利用規約をユーザー向けに作成・明示していないサービスが42.1%に上ったという。加えて、学習データの収集・利用について法令遵守のためのルールを策定していないサービスも42%存在するという結果が示された。

　さらに、自社データの扱いも懸念されるポイントだ。AIを利用もしくは開発しているサービスの21.8%が預託データをモデルのトレーニングやファインチューニングに利用しており、そのうち22%は法令遵守のためのルールを定めていないという実態が指摘された。

　AIの品質管理やセキュリティ対策の実施状況にも課題は多く見られる。「AIに関する攻撃手法や動向について情報収集し、対応している」と回答したSaaSサービスは56.8%、「学習データやAIの出力結果・判断根拠などを定期的に評価し、バイアスなどを継続的にモニタリングしている」と答えたサービスも54.7%と、いずれも約半数にとどまっている。機能面から見たら便利なサービスであっても、ガバナンスの整備はSaaS事業者・利用者双方においてまだ発展途上であることがデータから見て取れる。

実は裏でAIが動いていた……「隠れAI」を把握する4つの観点

　このようにSaaSサービスに隠れたAIのリスクは様々だが、植木氏が特に注意を促すのが「隠れAI」だ。ChatGPTのように「生成AI」と銘打っているサービスを利用する際、多くの企業が利用におけるルールを設けてガバナンスを効かせている。しかし、表向きはSaaSサービスだが、その裏で実はAIが動いているケースは見落としが生じやすいと同氏は指摘する。

　このような隠れAIが生まれる典型的なパターンは2つ存在するという。1つは、サービスの利用規約にAIを利用していることが明示されておらず、そもそも気づけないパターンだ。先述の調査で42.1%のサービスが利用規約を明示していないことからも、無視できない大きなリスクであることがうかがえる。もう1つのパターンは、導入時点ではAIの利用がなかったサービスに後からAI機能が追加されたケースだ。植木氏は次のように警鐘を鳴らす。

　「導入時にはAIのリスク評価を行っていても、いつの間にかサービスが変更され、AIが裏で動いていることにユーザー企業が気づかないケースも見られます。定期的にセキュリティ評価を行わなければ、いつの間にか自社データがAIの学習データとして使われているといった事態になりかねません」（植木氏）

　このようなリスクを未然に防ぐために、SaaSサービス利用者が確認すべき項目として、同氏は以下4つの観点を挙げた。

• AIサービスの利用規約がユーザー向けに作成・明示されているか
• 学習データの収集・利用について法令遵守のためのルールが存在するか
• 預託データがAIの学習に使われるかどうか、またオプトアウト（学習利用を拒否する設定）が可能か
• AIに関する攻撃手法への対応やバイアスのモニタリングが行われているか

　そして「これらの観点は導入時だけでなく定期的に確認することが求められる」として、具体的なセキュリティ評価方法が紹介された。