【音声あり】AI採用に潜むリスクと対策〜いま、企業が直面する課題〜

When AI Goes Wrong: How to Navigate an AI Recruitment Incident
IAPP Global Privacy Summit 2025 現地レポート[Vol.9]　

この記事は音声でもお楽しみいただけます（Notebook LMの音声概要機能を利用しています。記事の内容との齟齬や文字の読み方が正確でない部分がありますので、予めご了承ください）

転載：IAPP Global Privacy Summit 2025

企業においても、人工知能（AI）ツールの導入が加速している。しかし、それらのAIツールが意図した通りに機能しなくなった場合、企業はどのように対応すべきか？
本セッションでは、採用関連のAIインシデントを事例に挙げ、解説が行われた。

◆ この記事でわかること
===
・採用業務におけるAI導入により、応募書類の処理効率は大幅に向上する一方で、外部攻撃・アルゴリズムの無許可改変・バイアス発生といった、技術リスク、ガバナンスリスクが複合的に発生している。
・実務で利用していくうえでは、変更管理、権限管理、開発チーム教育、サードパーティ管理、ポリシー策定など、AI活用における全社横断的ガバナンスと危機対応体制が必要である。
・さらに、インシデントが発生した際の、内部および外部コミュニケーションに関する考慮すべきことがある。
===

登壇者

Cynthia Bilbrough, AIGP, CIPP/US, FIP, Global Head HR Privacy, Digital and Risk, GSK
リスクとプライバシーに関する分野で20年の経験を有する、実績豊富な弁護士。ヒューストン大学法科大学院で法学博士号（JD）、ノースカロライナ大学チャールストン校で経営学修士号（MBA）、バージニア大学で文学士号（BA）を取得。
現在はGSKのグローバルHRプライバシー、デジタル、リスク部門の責任者として、プライバシーとリスク管理に関する戦略的リーダー。GSKでは、HR向けのAIリスク管理レビュープロセスを設計・実施し、データプライバシー、アルゴリズムの偏り、倫理的考慮事項に関連する潜在的なリスクの包括的な評価と軽減を確保した。
以前は、アドビのシニアプライバシーカウンセルやTIAAの副法務部長を務め、プライバシー法、責任あるAI、データガバナンスに関する専門知識を磨いた。テキサス州弁護士会会員であり、IAPPからCIPP/US認定を取得している。

Meredith Griffanti, Senior Managing Director of Cybersecurity Comms, FTI Consulting
危機管理コミュニケーションとサイバーセキュリティPRの専門家。複雑なサイバーセキュリティ攻撃やデータプライバシー調査に精通している。機密性の高いデータ漏洩事件のいくつかに関与し、ビジネスメール詐欺、フィッシング、スピアフィッシング、DDoS攻撃、クレデンシャルスタッフィング、国家主体の攻撃、重要インフラ関連、大規模な二重身代金要求型ランサムウェア攻撃など、サイバーセキュリティインシデントのコミュニケーション対応を成功裡に導いてきた。クライアントがサイバーセキュリティインシデントの前後および発生中に、メディア、従業員、顧客、規制当局を含む主要な利害関係者と効果的かつ透明性のあるコミュニケーションを確立する支援も行う。
PR Newsから「2020年危機管理部門の年間人物」に選出され、2021年の「サイバーセキュリティPR専門家賞」を受賞。2021年には、危機コミュニケーションの専門知識を評価され、コンサルティング・マガジンから「ライジング・スター賞」を受賞した。
ジョージア大学でジャーナリズムの学士号を取得し、オーストリアのインスブルック大学で国際研究を修めた。

Kelly Ann Harris, CIPP/US, Managing Director Global Head of Cyber Legal, UBS
UBSのマネージング・ディレクター兼サイバー法部門グローバル責任者。サイバーセキュリティに関する事項に加え、AI、プライバシー、デジタル資産に焦点を当てた業務を担当している。UBS入社前は、デロイト、プルデンシャル・フィナンシャル、ウィンダム・ワールドワイドで13年間、プライバシーと情報セキュリティプログラムの構築に従事した。また、キルパトリック・アンド・ロックハート（現K&Lゲイツ）、ギボンズP.C.にて弁護士経験を積み、その後、日本の製薬会社である第一三共、大塚製薬のインハウス弁護士としても勤務した経歴を持つ。

Martha Hirst, Associate, Data Strategy and Security Team, Debevoise & Plimpton
人工知能、サイバーセキュリティ、プライバシーに関する幅広い問題について、大手企業に助言を提供している。コーポレートガバナンス、インシデント対応、内部調査、規制対応業務に従事。グローバルな視点から、金融サービス、テクノロジー、法律、製薬業界など、多様な業界の経営幹部に対し、定期的に助言を提供している。
国家主体のサイバー攻撃グループや高度な持続的脅威グループが関与する高プロファイルな多国間サイバーセキュリティインシデントにおいて、クライアントを支援してきた。また、EU AI法、GDPR、DORA、NIS-2などの欧州法に準拠した、ユニークまたは複雑なデータ駆動型課題の解決を支援する豊富な経験を有する。

人事におけるAI活用の急拡大

採用現場において、AIによる応募書類の自動スクリーニングが急速に普及している。
ボット等による大量応募の影響で応募総数が急増し、人間による選考では処理が追いつかない状況が生まれているためである。また、応募者がAIを活用して応募書類の質を高めていることも理由の一つに挙げられる。

人事におけるAIの使用については、すでに問題がいくつも起きている。例えば、AIによる履歴書スクリーニングツールが女性や少数派の候補者を排除したことに対する反発や、プライバシー保護に問題があると懸念されるビデオ面接ツールの存在である。

こうした差別や偏見の助長、プライバシー侵害などの、AIを活用した採用関連の失敗事例はもはや仮定の話ではない。すでに実際に起き、ニュースで取り上げられているのである。人事に関するAIの使用は、誰が採用され、誰が昇進し、誰が解雇されるかに影響するため、厳しい監視の目が向けられている。

転載：IAPP Global Privacy Summit 2025（当社が日本語に改変）

法制度の複雑化：国ごとに異なる審査要件

AI活用に対する法的規制は世界各国で施行され始めており、企業は各国・地域ごとに異なる制度への対応が求められている状況である。

• アメリカニューヨーク市：採用プロセスにおけるAI活用に規制を導入（「バイアス監査」義務）

• コロラド州：AI法（AIガバナンス体制を構築している企業であれば、比較的準拠しやすいと見られる）

• カリフォルニア州：消費者がオプトアウトする権利（人事の領域では対応が難しいと懸念される）

• EU AI法：人事・採用関連AIは「高リスクAI」と定義、2026年8月より本格施行予定

• 韓国AI基本法：人事・採用関連AIについて、高リスク定義がEUと微妙に異なる

規制内容が統一されておらず、グローバル企業のAIガバナンスは非常に複雑化している。

事例：Naples Lifestyle社のAI採用インシデント

講演では、架空企業「Naples Lifestyle社」の事例を挙げてインシデント対応について議論がなされた。

概要：Naples Lifestyle社は、国際的に展開する大手小売企業。採用活動の効率化のため、社内開発のAI採用支援ツールを導入していた。このAIは、応募書類を自動的にスクリーニングし、最も有望と判定した候補者を優先的に提示する仕組みである。これにより、人事担当者は膨大な応募書類すべてを確認する負担を大幅に軽減できていた。

異常事象の発生 - 大量の不良応募が通過

ある日、採用チームはAIが選別した応募書類の中に、明らかに不適切な履歴書が急増していることに気付く。調査の結果、外部の悪意ある第三者が、履歴書データに「隠しテキスト(Hidden Embedded Text)を埋め込むことでAIを騙し、不適切な応募を優先させる攻撃を仕掛けていたことが判明した。

この攻撃により、大量の不適格な履歴書がAIによって高評価と判定され、採用チームの通常業務が一時的に機能不全に陥った。採用チームは急遽、すべての応募書類を手動で確認する事態に追い込まれてしまった。

内部統制の問題も発覚

インシデント対応の過程で、さらに深刻な問題が判明する。約1か月前、AI開発チームの担当者が、上司の正式な承認を得ずにAIアルゴリズムの微調整を行っていた。

担当者は「採用精度をさらに高める改善」と考えていたが、結果的に特定属性の応募者が選考上不利になる変更となってしまっていた。これは意図しない差別的バイアスの助長につながるものであり、企業のレピュテーション、法的リスクの両面で重大な問題となった。

個人情報の外部漏洩リスクが浮上

さらに調査を進める中で、AIツールの一部機能において外部の大規模言語モデル（LLM）との連携が行われていたことが確認された。外部LLMに履歴書データが学習用データとして送信されていた可能性があり、また外部システムへの送信が適切に管理・同意取得されていなかった疑いがある。

この場合、個人データ漏洩に該当する恐れが生じる。GDPRでは72時間以内に監督機関へ報告する義務や、データ主体への通知が定められている。本事例の場合、応募履歴書には、氏名、住所、連絡先、職歴などのセンシティブ情報が含まれており、外部流出があった場合の影響は非常に大きくなる。

複数の課題が一気に露呈

本事例から、ガバナンスの隙がAI活用のリスクを顕在化させることがわかる。外部攻撃に対するAIの脆弱性や、社内教育の不足、記録・監査の甘さ、不十分なTPRM（サードパーティリスク管理）など、事業者が抱える課題は多岐にわたる。

インシデント対応の要点

今回の事例では、対応策として以下の事項が推奨された。

• AIツールの運用を一時停止し、すべての証拠保全を実施

• 影響を受けた期間や候補者を特定し、影響評価を実施

• 技術チーム、法務、広報、経営層を巻き込み、冷静に対応

• 透明性と責任あるAIの原則に基づく社内外対応の検討

AIの活用は今後さらに加速することが予測されるが、ガバナンスの整備なくしてAI活用の持続はない。責任あるAI活用のためには、現場ルールの明文化やAIガバナンス委員会の設置、AI活用時の変更管理の仕組み化といった、具体的な取組みが重要となる。

以上

===

◆ 関連記事
[Vol.1]【対談】サム・アルトマン(OpenAI)ーAI時代のプライバシーと人類の未来：「人間らしさ」の証明とは？〈要約版〉
[Vol.2]【講演レポート】ローレンス・レッシグが語る「ビジネスモデルが法を超える」──規制の4要素とAI時代のプライバシーの再定義
[Vol.3]【講演レポート】AIガバナンスを組織にどう実装するか？
[Vol.4]《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史
[Vol.5] AI時代におけるイノベーションとコンプライアンスの両立
[Vol.6]経営層レベルにおけるデジタルガバナンスの構築と維持
[Vol.7]Click & Risk：AI時代の「広告」と「消費者プライバシー」の具体的対処法〈講演レポート〉
[Vol.8]AI for Humanity： 高品質なデータが人権を保障する
[Vol.9]AI採用に潜むリスクと対策〜いま、企業が直面する課題〜←この記事
[Vol.10]AI時代─人間らしさが武器になる〜米欧の規制動向とGoogleの取り組み〜　
[Vol.11]実世界データでAIを鍛える〜ファインチューニングの現場とプライバシー対応の最前線〜

===

＜＜前へ：AI for Humanity： 高品質なデータが人権を保障する
＞＞次へ：AI時代─人間らしさが武器になる〜米欧の規制動向とGoogleの取り組み〜　

===

IAPP公式サイト：https://iapp.org/conference/global-privacy-summit/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP　#プライバシーガバナンス　#データガバナンス　#EUAI法　#TPRM　#透明性　#オプトアウト　#同意管理　#AI採用　#高リスクAI　#LLM　#GDPR　#個人データ漏洩