Web会議ツール連携型AI（人工知能）アシスタント、営業支援（SFA）AIツール、ドキュメント作成、要約AIサービスなど、いわゆる「AI SaaS」の活用がIT部門に限らず、企業の間で広まりつつある。

アシュアードが実施した調査（2025年7月実施）によると、調査対象となった3212サービスの内、ChatGPTなど既存のAIを利用したり、自社でAIを開発したりしているサービスが42.8％に上るという。アシュアードは、これらのSaaSの中には、一見するとAIに関係のないように見えるサービスでも、実は内部でAIを利用しているという「隠れAI」サービスもあったと指摘する。

一方、AIを利用または開発しているサービスにおいて、ユーザー企業が入力したプロンプトやアップロードしたファイルが、AIの学習データとして再利用されるか否か、あるいは外部に共有されるかといった「データの利用目的と範囲」が、契約書やプライバシーポリシー上で不明確なケースが散見されたという。

「AIサービスの利用者にむけた利用規約などを作成、明示している」サービスは53.6％、「学習データの収集、利用について、法令順守のためのルールを定めている」サービスは53.7％にとどまり、約4割が未実施という状況だった。

さらに注意が必要なケースとして、2割強のサービスが「預託データを学習（モデルのトレーニング、ファインチューニングを含む）に利用する」と回答した一方、これらのサービスの内、学習データの収集、利用ルールを定めていないサービスが22％あった。

アシュアードは「企業は気付かぬ内に、機密情報や個人情報が意図せずAIの学習に利用されたり、コンプライアンス違反や情報漏えいのリスクを抱えたりする可能性が高まる」と指摘。またAIを利用または開発しているサービスの中には、情報セキュリティ確保のための組織体制（セキュリティリスクの管理体制やセキュリティインシデントへの対応体制など）が十分に確立されていないケースも見られた。

「AIに関する攻撃手法や動向について情報収集し、対応している」のは56.8％、「学習データ、AIの出力結果、判断根拠などを定期的に評価し、バイアスなどを継続的にモニタリングしている」のは54.7％と、約4割が未実施の状況だった。

アシュアードは「各社が提供するSaaSなどにおいて、AIの利用を前提としたサービスが増えていることを示している。これらのサービスを利用する際には、AIならではの観点でセキュリティ対策状況を確認する必要がある」と述べている。

SaaS導入の際、機能やコストだけでなく「AIの利用実態」や「預託データの学習有無」といった、これまでのSaaS選定にはなかったAI観点での評価が必要となりつつある。加えて、この問題はSaaSを提供する事業者だけでなく、自社のアプリケーションやサービスに生成AIを組み込むことを検討する企業にとっても、人ごとではない。生成AIを活用する上で、顧客データや個人情報の取り扱いに関するポリシーに加えて、AIの利用や学習に関するポリシーも整備し、ユーザーに開示するといった新たな取り組みが不可欠となる。

なお、こうした取り組みを進めていく上で参考になるのが、総務省と経済産業省が公開している「AI事業者ガイドライン」だ。「AI開発者」「AI提供者」「AI利用者」という3つの主体に分けて、それぞれが取り組むべき指針を示している。こうした情報源も参考にしながら、率先して取り組みを推進すべきだろう。