不可忽视的“影子AI”真相
你的公司里,有没有员工擅自使用ChatGPT或Claude?
根据Yahoo!新闻的调查,“影子AI”正在企业中蔓延。所谓影子AI,是指员工未经IT部门批准,私自开始使用的生成式AI服务。
令人惊讶的是,调查结果显示,管理职位的员工比普通员工对“影子AI的风险意识更低”。这凸显了管理层AI素养不足,而一线却在放任使用AI的现实。
本文将从经营视角分析这一问题,并提出具体对策。
为什么影子AI如此危险
影子AI最大的风险在于“信息泄露”和“合规违规”。
如果员工将客户数据或公司机密信息输入到免费版ChatGPT中,这些数据可能会被用于OpenAI服务器的学习。这可能导致违反个人信息保护法,或违反与客户的保密协议。
此外,即使AI的回答包含错误信息,员工也可能直接用于工作。如果管理层无法验证AI的输出,项目可能会基于错误判断推进。
我本人在协助客户企业导入AI时,经常听到“无法掌握员工擅自使用的AI工具”这样的声音。这不仅仅是IT管理的问题,而是经营风险本身。
管理层意识低下的原因
调查显示,管理层意识低下的原因主要有两点。
第一点是“未能熟练运用AI”。管理层自身接触AI的机会较少,无法切身感受到风险。想象自己未使用之物的危险性是很困难的。
第二点是“看不到一线的实际情况”。管理层无法详细掌握下属的业务。尤其是在远程办公增多的今天,员工何时使用何种工具更难以察觉。
如果放任这种状态,影子AI将进一步扩大。管理层的“不知情”才是最大的风险。
经营者应采取的三大对策
那么,具体该怎么做呢?我将介绍实际向客户提出的三项对策。
1. 采用“禁止清单”而非“许可制”进行管理
如果规定“所有AI工具均需许可”,审批流程会变得繁琐,员工会因麻烦而忽视。因此,更现实的做法是仅列出禁止使用的AI工具清单,其余则允许使用。
具体而言,可按以下标准制定禁止清单:
- 数据存储在公司外部服务器的免费AI服务
- 服务条款中允许将输入数据用于学习的服务
- 未获得安全认证(如SOC2)的服务
采用这种方法,员工可以自由尝试AI,但无法使用危险工具。管理负担也能降至最低。
2. 强制实施员工AI素养培训
对包括管理层在内的全体员工,实施最低限度的AI素养培训。内容只需涵盖以下三点:
- 不得输入AI的信息(个人信息、机密信息、客户信息)
- AI的回答必须由人工验证
- 使用的AI工具必须报告
培训时长30分钟即可。关键在于彻底贯彻“不能以不知道为借口”的规则。
3. 引入官方AI工具,驱逐影子AI
影子AI产生的根本原因是“员工想用AI,但公司没有提供官方工具”。
因此,公司应引入安全的AI工具,为全体员工创造可用环境。例如,ChatGPT Enterprise(约每月4000日元/用户,约合人民币200元)或Microsoft Copilot(约每月3200日元/用户,约合人民币160元),这些服务的数据不会被用于学习,安全性也有保障。
虽然需要成本,但考虑到信息泄露风险,这是一笔划算的投资。每年每位用户约4~5万日元(约合人民币2000~2500元)。10人规模每年40~50万日元(约合人民币2万~2.5万元),100人规模每年400~500万日元(约合人民币20万~25万元)。
在我的客户中,引入官方工具后,影子AI的报告数量急剧减少。一旦员工开始使用“公司认可的安全AI”,风险将大幅降低。
将影子AI转化为机遇的思路
影子AI是风险,但同时也体现了“员工希望积极利用AI”的需求。
不应忽视这一需求,而应适当完善指南,让员工在安全环境中利用AI。这正是经营者的职责。
例如,在公司内部举办“AI活用案例竞赛”,分享优秀用法,效果显著。建立一种机制,让员工自发尝试AI,并将知识在全公司共享。
在我的公司,我们为所有员工提供了自由尝试AI工具的环境。但作为交换,必须报告所使用的AI工具及其用途。在这种运营模式下,至今未发生一起信息泄露事件。
总结:管理层的意识改革刻不容缓
影子AI的风险不是技术问题,而是“人的问题”。尤其是管理层意识低下问题严重,若放任不管,可能导致企业信誉受损。
首先,请从掌握公司内部使用了哪些AI工具的实际状况开始。在此基础上,考虑引入禁止清单和官方工具,并实施培训。
AI是经营的强大武器。但若无序使用,也会成为凶器。在恰当的治理下利用AI,提升竞争力。其第一步,就是影子AI的可视化与管理。
你的公司,是否已经能够“管理”AI了呢?
评论