ポリシーが現実の行動に直面するとき
ある政府の請負業者がプレッシャーを受けていました。FEMA洪水被害者向け支援申請の処理が滞っていたのです。処理速度を上げるために、申請者の名前、住所、医療記録をChatGPTに貼り付けました。ルールを破っているとは思っていませんでした。ただ最善のツールを使っただけです。
結果:政府による調査と公開情報開示。
これがポリシーのみに頼るAIガバナンスの根本的な失敗です。ポリシーは従業員に何をすべきかを伝えます。しかし行動を止めることはできません。
企業従業員の77%が、ポリシーで禁止されているにもかかわらず、週に少なくとも1回は機密業務情報をAIツールで共有しています(eSecurity Planet/Cyberhaven 2025)。これは無謀な従業員ではありません。時間的プレッシャーの下で、最速のツールを選ぶ人々です。
なぜポリシーは機能しないのか
AI利用ポリシーは、入力の瞬間における人間の判断に依存しています。その瞬間は短い。従業員はポリシーを覚えていないかもしれません。コンテンツを「機密」と判断しないかもしれません。時間短縮のメリットが大きく感じられるためリスクを受け入れるかもしれません。
Cyberhavenの2025年Q4分析では、ChatGPTへの入力の34.8%に機密ビジネス情報が含まれていることが判明しました。これらのユーザーの多くはポリシーを知っていました。それでも貼り付けました。
アクセスポリシーはシステムが適用するから機能します。メール層のDLPはシステムが適用するから機能します。AIポリシーには貼り付け時点での適用手段がありません。人間の判断がその空白を埋めます。大規模では、人間は間違いを犯します。
FEMAの請負業者はその過ちの一つを犯しました。悪意のある行為者ではありませんでした。ポリシーが速度より遅さを選ぶよう求めたため、ツールが勝利しました。プレッシャーの下で、彼は速度を選びました。
テクニカルコントロールがポリシーにできないことを止める
大規模に機能する唯一の解決策は、トレーニング層ではなく技術層で動作します。
ブラウザ拡張機能は、クリップボードの内容がウェブベースのAIに届く前に傍受できます。請負業者が申請者の名前と住所をコピーしてChatGPTに貼り付けると、拡張機能が個人情報を検出して匿名化し、クリーンなバージョンを送信します。AIは実際の値ではなく[NAME_1]と[ADDRESS_1]を受け取ります。それでもタスクを完了します。申請者の個人情報はChatGPTのサーバーに届きません。
これは自動的です。ユーザーは何も覚える必要がありません。
CursorやGitHub Copilotを使う開発者には、MCPサーバーが同じ保護層を提供します。AIコンテキストに貼り付けられたコードは、最初に匿名化エンジンを通過します。認証情報や独自の識別子がトークンになります。AIはクリーンな入力を受け取り、それでも有用な出力を提供します。
ブロッキングとの比較:ブロッキング vs. 匿名化 — ブラウザDLP比較
テクニカルコントロールで何が変わるか
ブラウザ拡張機能が導入されると、FEMAのシナリオは異なる展開になります:
- 請負業者がケース管理システムから申請者レコードをコピー
- 拡張機能がクリップボードの個人情報を検出
- プレビューモーダルで置き換えられる内容を確認
- 匿名化されたバージョンがChatGPTに送信
- ChatGPTがリクエストを処理して結果を返す
- 請負業者が必要な支援を得る — 調査は発生しない
ポリシーを変更する必要はありませんでした。トレーニングを実施する必要もありませんでした。傍受層が対処しました。
ポリシートレーニングはリスクを周辺部で低減します。テクニカルコントロールは障害モードを排除します。FEMAのインシデントはポリシーの失敗でした。その請負業者のデバイスにChrome Extensionが1つ導入されていれば、発生しなかったはずです。
関連記事: