業界・業種で変わるセキュリティの見方
金融、医療、SaaS、EC、公共、製造などで、守る資産・規制・脅威・許容リスクがどのように変わるかを整理する。
セキュリティは業界で変わる
セキュリティの基本原則は共通している。
しかし、何を最優先で守るか、どの規制を満たすか、どの障害を許容できないかは業界・業種によって大きく変わる。
同じAIチャットボットでも、ECの問い合わせ対応、医療相談、金融商品の説明、社内ナレッジ検索、製造ラインの保守支援ではリスクの意味が違う。
開発者が見るべきなのは、「AIを使っているか」だけではなく、誰の、どんな資産を、どんな文脈で扱っているかである。
業界別の見方
| 業界 | 守る資産 | 主なリスク | 重視される観点 |
|---|---|---|---|
| 金融 | 口座、取引、与信、本人確認情報 | 不正送金、詐欺、説明責任違反 | 完全性、監査証跡、認証、規制対応 |
| 医療 | 診療情報、検査結果、患者属性 | 個人情報漏洩、誤助言、可用性低下 | 機密性、安全性、記録、アクセス制御 |
| SaaS | 顧客データ、テナント境界、管理権限 | テナント越境、API悪用、設定ミス | 認可、マルチテナント分離、監査ログ |
| EC | 決済、注文、配送、顧客情報 | 決済不正、アカウント乗っ取り、在庫操作 | 認証、決済保護、不正検知 |
| 公共 | 住民情報、行政手続き、公共サービス | なりすまし、情報漏洩、説明不能な判断 | 公平性、透明性、可用性、監査性 |
| 製造 | 設計情報、設備、サプライチェーン | 操業停止、知財漏洩、OT侵害 | 可用性、安全性、ネットワーク分離 |
金融: 完全性と説明責任
金融では、データが漏れないことだけでなく、取引や判断が正確であることが重要になる。
AI活用例:
- 問い合わせ対応
- 不正検知の補助
- 与信・審査業務の支援
- 社内規程検索
- レポート作成
注意点:
- AIの回答が投資助言や契約説明に近づく
- 本人確認や認可の不備が直接的な金銭被害につながる
- 判断根拠と承認履歴を後から説明できる必要がある
- 外部LLMに顧客情報や取引情報を渡す場合のルールが厳しい
金融では、AIが「便利な説明文」を作るだけでも、説明責任や誤案内のリスクを持つ。
医療: 機密性と安全性
医療では、患者情報の機密性と、誤った情報が人に与える影響を重く見る。
AI活用例:
- 診療記録の要約
- 問診支援
- 医療文書検索
- コールセンター支援
- 研究データ分析
注意点:
- 診療情報や検査結果は特に機密性が高い
- AIの回答が診断・治療判断と誤解される可能性がある
- 参照文書の古さや根拠不明な回答が安全性に影響する
- 患者ごとのアクセス権限、職種ごとの閲覧権限が重要になる
医療では、便利な自動化よりも、誰が最終判断を行うか、根拠をどう確認するかが重要になる。
SaaS: テナント分離と管理権限
SaaSでは、複数顧客のデータを同じシステムで扱うため、テナント分離が中心課題になる。
AI活用例:
- 顧客ごとのナレッジ検索
- サポート返信の下書き
- 管理画面の自動操作
- 分析レポート生成
- ワークフロー自動化
注意点:
- RAG検索で他社データが混ざる
- 管理者向けAI機能が過剰な権限を持つ
- APIキーや連携トークンがAIログに残る
- 顧客ごとのデータ保持・削除要求に対応する必要がある
SaaSでは、AI機能ごとに「どのテナントの文脈で動いているか」を明確にする。
EC: 不正利用と顧客体験の両立
ECでは、顧客体験を落とさずに不正注文、アカウント乗っ取り、決済悪用を防ぐ必要がある。
AI活用例:
- 商品問い合わせ対応
- レビュー分析
- 不正注文検知
- 返品・交換対応
- 商品説明生成
注意点:
- AIチャットが割引、返金、キャンセル条件を誤案内する
- アカウント乗っ取り後にAIサポートが攻撃者を助ける
- 決済情報や配送先情報が会話ログに残る
- レビューや商品情報がプロンプトインジェクションの媒体になる
ECでは、サポート自動化と不正対策を分けずに設計する。
公共: 公平性と透明性
公共領域では、可用性、公平性、説明可能性が強く求められる。
AI活用例:
- 行政手続き案内
- 住民問い合わせ対応
- 文書検索
- 申請内容の確認支援
- 災害対応情報の整理
注意点:
- 誤案内が住民の権利や手続きに影響する
- AI判断が差別的・不公平に見える可能性がある
- 高齢者や障害者を含む利用者へのアクセシビリティが必要
- 監査可能な記録と人間による説明責任が重要になる
公共では、効率化だけでなく、誰でも同じ品質で使えることがセキュリティ・信頼性の一部になる。
製造: 可用性と安全性
製造では、情報漏洩だけでなく、設備停止や安全事故が大きなリスクになる。
AI活用例:
- 設備保守支援
- 作業手順書検索
- 品質異常の分析
- 設計文書の要約
- サプライチェーン情報の整理
注意点:
- OTネットワークとITネットワークの接続点が攻撃面になる
- AIが古い手順や誤った保守情報を提示する
- 設計情報や製造ノウハウの漏洩が知財リスクになる
- 可用性を優先するため、安易に停止できないシステムがある
製造では、サイバーセキュリティと物理的な安全性を切り離して考えない。
業界差を整理する質問
AI機能を作る前に、次の問いを確認する。
| 問い | 意味 |
|---|---|
| 何が漏れると困るか | 個人情報、営業秘密、決済情報、医療情報、知財 |
| 何が改ざんされると困るか | 取引、注文、診療記録、設定、判断根拠 |
| 止まると何が起きるか | 売上損失、業務停止、人命・安全への影響 |
| 誰に説明する必要があるか | 顧客、監査人、規制当局、社内責任者 |
| AIはどの権限で動くか | 読み取り、下書き、送信、更新、削除、外部連携 |
| どの規制や契約に縛られるか | 個人情報、金融、医療、業界標準、顧客契約 |
関連Docs
参考リソース
- NIST AI Risk Management Framework - https://www.nist.gov/itl/ai-risk-management-framework
- NIST Cybersecurity Framework - https://www.nist.gov/cyberframework
- CISA Secure by Design - https://www.cisa.gov/securebydesign
- OWASP Top 10 for LLM Applications - https://owasp.org/www-project-top-10-for-large-language-model-applications/
- 1. 🤖AI開発時代のセキュリティとは
- 2. 🗺️AI開発時代のセキュリティリスク地図
- 3. 🧭リスクから逆算するセキュリティ学習ロードマップ
- 4. 🧠セキュリティスペシャリストに求められる人的能力
- 5. 🏢業界・業種で変わるセキュリティの見方
- 6. ⏳セキュリティのこれまでとこれから
出典: NIST AI RMF 1.0 / CISA Secure by Design / NIST Cybersecurity Framework / OWASP Top 10 for LLM Applications