【米国発】オンラインAI翻訳ツールの隠れたリスクと、機密コンテンツの管理を取り戻す方法

　ますます相互に関連し合う世界では、機械翻訳(MT)はビジネスにとって日常的なツールとなっています。海外とやりとりを行うチームほど、言語を越えて迅速かつ効率的にコミュニケーションを行うためにMTを利用します。しかし、翻訳業務は安全でコンプライアンスに準拠して遂行できているのでしょうか。規制が強化されサイバー空間の脅威が増大する中、改めて次のような、深刻な問題に取り組む必要があります。

翻訳中の機密データが、実際にどのように扱われているか、本当に管理できているでしょうか。

機械翻訳：隠れたセキュリティリスクとは？

機械翻訳の潜在的なセキュリティ脆弱性は、見過ごされがちです。実際、段落や文書を翻訳する程度では、リスクが低いと考えがちだからです。しかし、Google Translate、Microsoft Translator、DeepLなどのクラウドベースの無料パブリックサービスを利用する場合は、機密性の高いコンテンツが次のような危険にさらされる可能性があります。 

• 外国の法管轄（例：米国のCLOUD法、外国情報監視法(FISA)702条）
• AIモデルのトレーニングのためのデータ収集 
• 明確な同意のないデータ保管
• コンテンツの無制限の再利用 

　EU域内のサーバーでホストされている場合であっても、クラウドプロバイダーは、外国当局によるデータアクセスを可能にする域外法の適用を依然として受ける可能性があり、そのアクセスは多くの場合、利用者に知られることなく実行されます。

現実世界への影響：スパイ活動とデータ漏洩

これらは単なる理論上のリスクではありません。最近の事例が、その深刻な事態を示しています。

産業スパイ（2023年）： ゼネラル・エレクトリック社の元エンジニアが、ジェットエンジンの企業秘密を盗もうとした罪で有罪判決を受けました。その際、セキュリティ保護されていないデジタル通信経路を使用した可能性があります。

データ漏洩（2024年）： 欧州の自動車部品メーカーにおいて、コンプライアンス基準を満たさない機械翻訳サービスを使用した結果、電気自動車（EV）プロジェクトの機密データが漏洩しました。

どちらのケースにおいても、データ翻訳ワークフローの管理不備が情報漏洩を引き起こす一因となり、数百万ドル規模の損害と、企業評価に対する長期的な打撃という結果を招きました。

あらゆる場所で規制はますます厳しく

各国政府および規制当局は、増大するこれらの脅威に対応しています：

EUデータ法（2024年）：企業や組織に対し、自社の機密データがどこでどのように処理されているか、特に国境を越える場合にはその状況を把握することを義務付けています。（https://commission.europa.eu/news/data-act-enters-force-what-it-means-you-2024-01-11）

AI法（2024年）：高度な機械翻訳をハイリスクAIアプリケーションと位置付けています。法令遵守のため、今後はデータフロー管理とリスク評価の証明が必要となります。(https://www.europarl.europa.eu/topics/en/article/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence)

世界のデータプライバシーに関する法規制（GDPR、CCPA、PDPAなど）：法規制などに遵守しない場合、高額な罰金や信頼の失墜を招く可能性があります。

翻訳ガバナンスを無視している企業は、データ侵害に対する罰金と同様に、世界の年間売上に応じた罰金を科される可能性があります。

翻訳業務において見直すべき、4つの主要ポイント

1. 利用状況の把握： 誰が、どのような種類のデータに対し、どんな翻訳ツールを使用しているのか？
   
2. データの取り扱いと保管： ツールはクラウドベースか？ そのインフラの所有者は誰なのか？ ISO27001認証やそれに相当する認証を取得しているか？
   
3. 法令遵守と法的リスク： GDPR、AI法、その他の地域特有の要件を遵守しているか？
   
4. シャドーIT： 従業員が未承認の翻訳ツール（例：Google翻訳へのコピー＆ペーストなど）を使用していないか？ もしそのような場合のさらされているリスクは、想像以上に深刻である可能性が高いです。

安全でコンプライアンスに準拠したMTのためのベストプラクティス

ソブリン型またはオンプレミス型のMT ソリューションを使用する ：データを処理する場所と方法を完全に制御できるプロバイダーを選択する。理想的には自国の法管轄内で処理が可能なプロバイダーを選択する。

データの非保管・非再利用の確保： AIモデルのトレーニングのために、お客様のデータを保持したり使用したりしないソリューションを選択する。

定期的な監査の実施： 最新の規制に対応できるよう、翻訳プロセスとツールを定期的に見直す。

従業員への教育： 意識向上が重要です。ほとんどのリスクは、従業員が習慣や利便性から不適切なツールを使用してしまうことによって発生する。

データの管理主権を維持することは競争上の必須事項

• パートナー企業や規制当局との信頼関係を構築する
• 知的財産や企業秘密を保護する
• サイバーレジリエンスを強化する
• データを重視し、国際的なコンプライアンス基準を満たしたブランドとして市場をリードする

今こそ翻訳ワークフローのセキュリティ確保を

　今日の規制環境と脅威の状況において、全従業員、とりわけコンプライアンス責任者、CISO（最高情報セキュリティ責任者）、デジタルリーダーは、組織全体で翻訳がどのように取り扱われているかを評価し、統制するために協力しなければなりません。
　まずは現状把握から始めてください。課題を特定し、リスクのある慣行を改めましょう。そして、翻訳セキュリティを、より広範なデータガバナンス戦略の礎として確立しましょう。

多言語でのセキュアな情報提供基盤の構築を

　シストラン社は、1968年に世界初の自動翻訳開発企業として米国カリフォルニア州サンディエゴ市で創業されました。1986年に、本社をフランス・パリ市に移転し、2019年には、国内のお客様をサポートするため、日本支社を設立しました。これまでのイノベーションとして、世界初の「オンライン翻訳ポータル」や、ハーバード大学と共同で世界初の「ニューラル翻訳システム」を開発しました。シストランが提供するAI翻訳ソリューションは、米国政府をはじめとする各国政府や国際機関、また、フォード社、アドビシステムズ社、ファイザー社といった世界をリードする大手グローバル企業でも多数採用されています。
デモをご希望の方は、こちらからお問い合わせください。

オンプレミスAI翻訳環境の構築

関連記事のご案内

SYSTRAN活用FAQ集

企画運営：株式会社 情報システムエンジニアリング 　協力： シストランジャパン 合同会社