生成AIの活用が進む中で、企業が直面するリスクはモデルの精度や情報漏洩だけではなくなっています。実際の業務現場で、AIが「人のふりをする」形で悪用されるケースが現れ始めました。
米国のフードデリバリー大手であるDoorDashが、AIを使って配達を偽装したとされる配達員を利用停止にした事例は、その象徴的な出来事です。本記事では、この出来事を単なる不正行為として片付けるのではなく、企業がAIを業務に組み込む際に避けて通れなくなった「現場発のAIリスク」という観点から整理し、IT担当者が考えるべき対策を掘り下げます。
何が起きたのか:DoorDashのAIなりすまし事例
米国のフードデリバリー大手であるDoorDashは、AIを使って配達を偽装したとみられる配達員を利用停止にしたと明らかにしました。報道によれば、当該配達員は実際には配達を行っていないにもかかわらず、AIを活用して配達が完了したかのように見せかけていたとされています。
DoorDashはこの行為を規約違反として扱い、アカウントの停止という対応を取りました。この出来事は一見すると、個人による不正行為の一例に見えるかもしれません。しかし、企業ITの視点で見ると、より本質的な問題を含んでいます。
この問題が配送業界特有ではない理由
重要なのは、この問題が配送業界に固有のものではないという点です。本質は「業務を行った本人」と「システム上で業務を実行した存在」が乖離してしまったことにあります。これは、以下のような幅広い業務形態に共通する構造です。
- 現場作業
- 外注・業務委託
- リモートワーク
- プラットフォーム型ビジネス
AIが業務を代行し、応答し、振る舞うことが容易になった結果、「誰が実際に仕事をしたのか」が見えにくくなっています。
なぜAIだけの問題では済まされなくなったのか
今回の件は、AIそのものが悪意を持ったわけではありません。AIはあくまで手段であり、問題の本質は業務設計と統制の在り方にあります。
多くの企業では、
- 人が操作する
- 人が判断する
ことを前提に業務プロセスや不正対策が設計されてきました。しかし、AIが介在すると、その前提が崩れます。既存の本人確認や監視の仕組みは、「人が直接行う不正」には対応できても、「AIを介したなりすまし」までは想定していないケースが少なくありません。
企業サービスに広がる「現場発AIリスク」
今回のDoorDashの事例が示しているのは、AIリスクがもはや「システム内部」だけで完結する問題ではなくなったという事実です。多くの企業では、AI導入というとIT部門主導でのツール選定やガバナンス設計を想定します。しかし実際には、AIはすでに現場レベルで静かに使われ始めているケースが増えています。
IT部門の管理外で使われるAI
現場発のAIリスクが厄介なのは、IT部門が把握しきれない形で利用が進む点にあります。
たとえば、
- 業務効率化のために個人がAIツールを使う
- 外注先や委託先が独自にAIを組み込む
- SaaSや業務アプリの裏側でAIが使われている
といった状況は、すでに珍しくありません。DoorDashのケースも、企業が公式に提供したAI機能ではなく、現場側の行動が起点になっています。
AIが「代行」することで曖昧になる責任
AIが業務を代行できるようになると、
- 誰が実行したのか
- 誰が責任を負うのか
という境界が曖昧になります。人が直接操作していれば、本人確認や行動ログで責任を追えますが、AIが介在すると「本人がやったのか、AIがやったのか」という問いが発生します。
この曖昧さは、
- プラットフォーム事業
- マーケットプレイス
- 業務委託モデル
と非常に相性が悪く、企業サービス全体の信頼性に影響を与えかねません。
シャドーITから「シャドーAI」へ
これまで企業が警戒してきたのは、IT部門の管理外で使われるシャドーITでした。今後はこれに加えて、シャドーAIという新しい問題が浮上します。
- 許可されていないAI利用
- 規約外の自動化
- 想定外のなりすましや代行
これらは、意図的な不正だけでなく、「便利だから」「効率が上がるから」という善意から発生することも少なくありません。その点で、従来のセキュリティ対策とは性質が異なります。
SaaS・プラットフォーム事業者が直面する課題
DoorDashのようなプラットフォーム事業者にとって、現場発AIリスクは避けて通れない問題です。ユーザーやパートナーがAIを使うこと自体を完全に禁止するのは現実的ではありません。一方で、無制限に許容すれば、サービスの公平性や信頼性が損なわれます。
そのため、
- 何が許されるAI利用なのか
- どこからが不正なのか
- 発覚した場合にどう対応するのか
を明確にし、「使われること」を前提にしたルール作りが必要になります。
現場発AIリスクは今後、確実に増える
重要なのは、DoorDashの事例を例外と考えないことです。AIは今後さらに安価になり、使いやすくなります。その結果、現場発のAI利用は確実に増えます。
企業に求められているのは、
- AI利用を完全に止めること
ではなく、 - AIが使われる前提で業務と統制を設計すること
です。この視点を持てるかどうかが、今後の企業AI活用の成否を分けるポイントになるでしょう。
DoorDashの対応が示す重要な示唆
注目すべきなのは、DoorDashがこの問題を「技術的に完全に防ぐ」方向ではなく、「検知し、排除する」対応を取った点です。AIによる不正をゼロにすることは現実的ではありません。そのため、
- 何が不正なのかを明確にし
- 発覚した場合の対応を決め
- 実行する
という運用面での線引きを重視しています。この姿勢は、多くの企業にとって参考になります。
IT担当者が今、考えるべき対策の視点
IT担当者に求められるのは、AI利用を前提に業務と統制を再設計することです。たとえば、
- AIによる業務代行をどこまで許容するのか
- 人でなければならない工程はどこか
- ログや監査で何を確認すべきか
といった点を明文化する必要があります。AI不正を「想定外」にしないことが、これからのガバナンスでは重要になります。
AIなりすましリスク:まとめ
DoorDashのAIなりすまし事例は、特定企業の不祥事ではありません。AIが業務の現場に入り込んだことで、企業リスクの形が変わり始めていることを示す象徴的な出来事です。IT担当者に求められているのは、新しいツールを選ぶことだけではなく、AIが介在する業務全体をどう設計し、どう統制するかという視点です。AIはすでに現場にあります。その前提に立った対応が、今まさに求められています。
