最近様々なAI Dev Tool や AIを実装したSaaS製品が多くなりました。
その製品の機能面だけを見ると非常に便利ですが、時に安全保障上のリスクのある製品もあります。
ツール導入時にはSOC2等の認証の他、米国財務省・国防総省による監視対象企業になっていないか等確認が必要です。
📝 製品調査時に確認すべき主な項目
1. メーカー・創業背景
メーカー本社所在地
企業の法人登録地および主要オフィスの場所
創業者情報
氏名、経歴、過去の所属企業や思想傾向など
出身国
企業および創業者の出身国(安全保障上のリスク判断に重要)
2. 資本構成・ステークホルダー
出資元/投資先
ベンチャーキャピタル(VC)、政府系ファンド、戦略投資元などの存在とその国籍
地政学的リスクの有無(例:中国・ロシア系資本など)
3. 技術構成・利用形態
利用インフラ
セルフホスト型 or クラウド型
特定OSやブラウザへの依存性(例:Apple Silicon限定など)
外部AI・APIの依存有無(例:OpenAI、Claudeなど)
4. セキュリティとリスク
セキュリティ上の懸念点
ユーザーデータの保存場所・暗号化対応
ログ保存・共有範囲・プライバシーポリシー
開発元によるAI学習への利用有無
国家安全保障上の懸念
中国・ロシアなどの当局への情報開示リスク
米国輸出規制(EAR、ITAR)や対米外国投資委員会(CFIUS)などの対象可否
米国財務省・国防総省による監視対象企業かどうか
5. セキュリティ認証の取得状況
SOC 2(System and Organization Controls)
Type I:設計時点でのセキュリティ管理体制の有無
Type II:一定期間運用された実績の証明
ISO/IEC 27001(ISMS認証)
情報セキュリティマネジメント体制の国際基準準拠
統合セキュリティ管理の実現 Vanta