全社データセキュリティ構築支援

生成AI・AIエージェントの業務活用が急速に進むなか、AIを介して業務文書を含む企業内のデータへアクセスする機会が増えています。同時に外部への情報漏えいなどのリスクも増大しており、これらは企業経営に影響を及ぼし、経済安全保障上の問題に発展する可能性もあります。

KPMGは、データアクセスコントロール等、全社的なデータセキュリティ構築を通して、企業のAI活用環境におけるリスク低減とさらなるAI活用を支援します。

活用が進む生成AIは、AIを介してデータを参照する機能を持つことがあります。またAIエージェントは、自律的に行動（データ探索）する特性を持ち、企業内のデータへアクセスします。個人情報を含む企業の機密情報がAIの入力や学習データに含まれる場合、外部への情報漏えいやAIの出力結果を本来閲覧すべきでない従業員が閲覧してしまう等のリスクが挙げられます。

全社的なリスクとして発現した際には、企業経営に影響を及ぼしたり、諸外国への重要インフラ等に関する情報漏えいや、技術力・特許情報等を狙ったサイバー攻撃を含む新型犯罪等の経済安全保障上の問題につながる可能性もあります。

生成AI・AIエージェントはなくてはならない存在になりつつあり、また業務の生産性向上も期待されていますが、活用にあたってはリスクの低減が不可欠です。下図のように生成AI・AIエージェントの活用を多層的に捉え、各層（ドメイン）およびその境界を踏まえて多層的アクセス制御として設計することが重要です。

多層的アクセス制御において、データ活用者（人）が業務を行う場合と同様に、生成AI・AIエージェント（AI）が参照するインプットデータおよび提供するアウトプットデータ（データ）についても、活用者本人のアクセス権限を上限とする必要があります。さらに活用用途および各層に応じて、都度認証・認可を実施し（ゼロトラストモデルの採用）、「人」×「AI」×「データ」を一貫した認証・認可基盤でつなぐことが求められます。

企業のAI活用環境において、「人」×「AI」×「データ」を一貫した認証・認可基盤でつなぎ、2つのアプローチを組み合わせて、全社的なデータセキュリティの確立を支援します。

（1）    データ活用者のアクセス権限に基づく管理アプローチ（ユーザー資格情報／権限ベース）

• ｢人」×「データ」：企業内のデータに対して、業務目的に応じた必要最小限のアクセス権を定義
• ｢人」×「AI」：AIやアプリケーションの利用を統制するために、データ活用者に応じた権限セットを定義

（2）セキュリティメタデータを用いたデータ管理アプローチ

｢AI」×「データ」：企業内のデータに付与されたメタデータを基に、アクセス範囲をきめ細かく制御することで、AIが適切に判断

このアプローチをとることで、構造化／非構造化データを問わず、カラム（データ項目）・レコード・ファイル単位まで詳細なアクセス制御の実現が期待できます。「人」×「AI」×「データ」でつながれた認証・認可基盤は、企業のAI活用環境におけるアクセス制御の前提となり、全社的なデータセキュリティを支えることが可能となります。

KPMGは、このようなアプローチに基づく設計や実装支援を通じて、企業のAI活用環境におけるリスク低減と、より一層のAI活用に貢献します。