生成AIは画像や文章を巧妙に作り出せるため、各種書類の偽造に悪用される恐れがあります。例えば、画像生成AIを使えば運転免許証やマイナンバーカード等の本人確認書類の精巧な偽造が可能と指摘されており、それによってオンライン契約時の本人確認をすり抜けるケースが懸念されています。実際に2025年には、中高生が違法入手したID情報をもとにChatGPTでログインプログラムを作成し、他人名義で携帯回線を契約して転売する不正が発覚しました。
生成AI悪用し楽天モバイルに不正アクセス、1000件以上の回線入手し転売か…容疑で中高生3人逮捕 : 読売新聞
この事件でも「AI生成の偽造身分証で本人確認を突破した可能性」が報じられており、生成AIが犯罪の手口に利用された一例と言えます。また、社内不正の場面でも、従業員がAIで架空の請求書や会計データを作成して経費を詐取するといった内部犯罪も起こり得ます。
このページの目次
AIを利用した事件に対して成立しうる犯罪
こうした行為は明確に刑法犯罪に該当します。契約や取引で他人をだます行為は詐欺罪(刑法246条)となり得ますし、公的な身分証や社印付き文書を偽造すれば公文書偽造罪・私文書偽造罪などの重い罪に問われます。電子データの改ざんによる不正取得は電子計算機使用詐欺罪が適用される場合もあります。不正な書類で契約を結べば取引先にも損害を与え、企業として信用失墜は避けられません。特に金融・証券分野ではAIを用いた巧妙な詐欺が今後増えるとの予測もあり、欧州では2027年までにAI詐欺による被害額が数百億ドルに達する可能性が指摘されています。
どのように防止するか?実務での対応策
不正な書類やデータの偽造を防ぐために、企業法務・コンプライアンス部門は以下のような対応策を講じる必要があります。
- 本人確認プロセスの強化: オンライン上の顧客確認(eKYC)ではAI偽造に備えた追加確認を導入します。提出書類の真正性をチェックするソフトの活用や、必要に応じて対面確認や電話での二段階認証を併用し、画像データだけで承認しない体制を整備するべきです。
- 社内承認フローの厳格化: 経費精算や支払手続において、一人の担当者だけで完結させず複数人・部署でのダブルチェックを制度化します。AI生成の巧妙な偽造請求書であっても、人の目による確認や不正検知システムの導入で発見できる仕組みにします。
- ログ管理と証拠保全: 社内で生成AIを使って作成した文書等のログを可能な範囲で記録・保存し、不審な出力物の出所を追跡できるようにします。万一、不正が疑われる場合は速やかにログを解析し、関与者の特定と証拠保全を行えるように備えましょう。
- 早期の法的対応: 社内の調査で犯罪行為が判明した場合、隠蔽せず直ちに法務部主導で必要な措置を取ります。加害社員への懲戒処分はもちろん、被害が社外に及ぶ場合は被害者への連絡と謝罪、そして警察への被害届提出を検討します。企業自らが犯罪の舞台とならないよう、毅然とした姿勢で臨むことが重要です。
実務上のポイント
社内規程で「生成AIの利用禁止事項(ガイドライン)」を定め、他人の個人情報や他社機密を無断で入力・生成しないこと、違法行為に繋がり得る用途は禁止する旨を明記しましょう。
また、経理・財務部門に対してはAIによる不正の兆候(不自然な文書様式や不審なファイル名など)に注意を払うよう教育します。万一、取引先から受領した書類に疑義が生じた場合も、安易に受け入れず真偽を確認する慎重さが求められます。企業風土として誠実性を重視し、不正を見逃さない内部統制が最大の防御策となります。
ChatGPT悪用による脅迫・ブラックメール
文章生成AIを使えば、巧みに人を脅す脅迫文やブラックメール(恐喝目的のメール)を大量に作成することも容易です。従来、犯罪者の送る脅迫メールは文面に不自然さがあり発覚しやすい側面もありました。しかし生成AIの文章は文法的に洗練されており、あたかも本物のビジネス文書のような体裁で恐怖を与える内容を作り出せます。例えば「社内の秘密を握った。公表されたくなければ金銭を支払え」といったメールが役員宛に送りつけられた場合、そこに実在しない情報であってもAIがもっともらしく細部を創作するため、受け手は真偽を判断しづらくなります。
また近年では、AIで生成した偽の裸画像をネタに個人を脅迫するケースも海外で問題化しています。ディープフェイクと呼ばれることもあります。実際アメリカ・カリフォルニア州では、AIが作った偽のヌード画像を生成したり拡散したりする行為を禁じる法律が2024年に成立しました。このようにディープフェイクを用いた新手の恐喝も登場しており、企業やその従業員が標的となる恐れがあります。
想定される法的リスク
他人を脅して金品を要求すれば恐喝罪(刑法249条)に該当し、害を加える趣旨のメールを送ればたとえ要求がなくとも脅迫罪(刑法222条)に問われます。生成AIの活用によって犯行が巧妙化・大量化すると、企業の経営陣や従業員に対するリスクは無視できません。特に役員クラスは個人情報や資産情報が公開されている場合も多く、犯罪者に狙われやすい傾向があります。海外では「役員への脅迫」がディープフェイク悪用の一形態として報告されており、日本企業にとっても無関係でいられません。
被害に遭うだけでなく,万一、社員が業務中にAIを使って取引先を脅すような行為を行った場合、その社員個人が刑事責任を負うのはもちろん、企業も監督責任を問われ社会的信用を失うリスクがあります。
実務上の対応策
脅迫・恐喝への対策として、企業は被害防止と事件発生時の適切対応の両面から準備しておきます。
- 社内外への注意喚起: 社員に対し、AI由来と思われる不審な脅迫メールやSNSメッセージを受け取った場合の対応を周知します。具体的には「連絡を安易に信用しない」「身代金要求に応じない」「すぐ上司や法務部に報告する」ことを徹底させます。取引先や顧客にも、当社社員を名乗る不審メール等があれば真偽確認してもらえるよう事前にアナウンスするなど、情報共有体制を築きます。
- 緊急時の対応フロー策定: 脅迫事案が発生した場合に備え、社内の危機管理フローを決めておきます。法務・コンプライアンス部門を中心に、広報やITセキュリティ部門とも連携した対応チームを編成し、初動対応手順(証拠保全、警察への通報、取引先への説明など)をマニュアル化します。
- 法執行機関との連携: 悪質な恐喝を受けた際は企業判断で内々に処理しようとせず、速やかに警察に相談します。昨今,サイバー犯罪に対して,各都道府県警も特別捜査室を設置していることが多く、専門部署がディープフェイク画像の解析や犯人特定を支援してくれます。被害届の提出にあたっては必要に応じ顧問弁護士の助言を仰ぎ、刑事告訴も視野に入れた法的措置を検討します。
- メールフィルタリング強化: 技術的対策として、脅迫や詐欺の兆候があるメールを自動検知するフィルタを導入します。「送金要求」「機密漏洩」等のキーワードをトリガーに管理部門へアラートが飛ぶ仕組みを設けることで、社員個別の判断に頼らず組織として怪しい連絡を察知できます。
実務上のポイント
脅迫への対応で最も重要なのは「冷静さ」と「報告体制」です。
脅し文句に動揺して単独判断で金銭を支払ってしまうと、さらなる要求をエスカレートさせる危険があります。社員には「脅迫メールは決して一人で抱え込まず、必ず上長や法務に共有する」文化を根付かせましょう。また万一フェイク情報を拡散するとの予告があった場合に備え、広報部門と協力して公式声明を速やかに出せる準備も欠かせません。被害を未然に防ぐだけでなく、発生後の被害拡大を最小限に抑える危機管理体制を平時から構築しておくことが肝要です。
ディープフェイク悪用による風評・業務被害
画像や音声を自由自在に操るディープフェイク技術も、企業に新たな脅威をもたらしています。AIが作り出す偽の映像・音声によって、企業や経営者になりすましたり虚偽情報を流布したりする手口です。海外では既に、Zoom会議上でAI生成の架空役員が社員を騙し、極秘資金の送金を指示するといった巧妙な詐欺事件が発生しました。この事件では多国籍企業が約37億円もの被害を受けており、AI偽装と社内手続の盲点を突いた犯行として注目されています。また別の事例では、イギリス企業のCEOが上司になりすましたAI音声に騙され約24万ドルを送金してしまいました。これらは典型的な詐欺型の被害ですが、ディープフェイクはさらに企業の信用失墜を狙った虚偽風評の拡散にも使われかねません。たとえば競合他社が当社の製品不良を捏造した動画をネットに流したり、経営トップの不適切発言を偽造音声ででっち上げたりすれば、瞬く間に株価下落や顧客離れを招くでしょう。事実、AIによる情報操作で株式市場に影響を与えるリスクは多く指摘されており、日本国内でも十分起こり得るシナリオです。
こうした場合、企業は業務妨害罪(刑法233条・234条)や名誉毀損罪(刑法230条)などで加害者を刑事告訴できる可能性がありますが、一度流布したデマを完全に回収することは難しく、被害の深刻さは計り知れません。
想定される法的リスク
ディープフェイクによる攻撃は,いくつものリスクを抱えます。社内手続の不備を突かれれば前述のように巨額の金銭被害(詐欺罪)が生じますし、虚偽情報の拡散によって取引先や消費者からの信用を失えば営業上の損失は甚大です。
不当なデマ拡散は刑事上も信用毀損罪・業務妨害罪(刑法233条・234条)が成立し得る違法行為ですが、犯人を突き止めて刑事責任を問うまでに時間がかかるのが実情です。また、ディープフェイク生成物そのものについて,日本の現行法では明確な規制がなく(※2025年7月時点)、被害を受けても直ちに削除や差し止めを強制できない可能性があり,既存の法的枠組みを活用するしかありません。
企業法務としては、「攻撃を事前に防ぐこと」と「万一被害に遭った後の被害拡大抑止」の両面で迅速に対応することが求められます。
実務上の対応策
ディープフェイク起因の被害を防止・軽減するため、以下の対策を講じましょう。
- 重要プロセスの多要素確認: 社内で金銭振込や機密情報開示など重大なプロセスを実行する際、複数の確認手段を組み合わせるルールを設定します。例えば経営幹部からの支払指示はメールや音声だけでなく、必ず直接対面もしくは電話で再確認する運用とします(なりすまし詐欺の防止)。実際、一部企業では敢えてITに頼らず人間の対話を重視したアナログの確認方法(例:二要素認証の徹底)を導入し、ディープフェイク詐欺への備えをしています。
- 風評被害へのモニタリング: SNSや動画サイト等で自社に関する不審な情報拡散がないか、日頃からモニタリングを行う体制を整えます。自社名や経営者名を定期的にエゴサーチしたり、専用の監視サービスを利用したりして、早期にフェイク情報を発見することが重要です。万一、虚偽の投稿を確認した場合は速やかに証拠を保存しつつ、プラットフォーム運営会社へ通報して削除要請を行います。
- 法的措置と広報対応の準備: 悪質なデマ拡散やなりすまし被害が発生した場合に備え、平時から顧問弁護士と協議して刑事告訴や民事差止請求の方針を決めておきます。被害発生時には所轄警察や専門機関と連携しつつ、必要なら発信者情報開示請求など法的手段も駆使して早期解決を図ります。同時に、広報部門が中心となり事実無根である旨の公式声明を迅速に公表し、取引先や顧客の不安を和らげることも大切です。
- 従業員教育と情報共有: ディープフェイク映像や音声に社員が騙されないよう、定期的にセキュリティ教育を行います。巧妙な偽動画の実例を見せ、どんな点で違和感に気づけるか討議するといった訓練も有効です。また万一社内で不審な指示や情報を受け取った場合にすぐ相談し合えるよう、部署横断の連絡網を普段から機能させておきます。
実務上のポイント
ディープフェイク被害は一度起これば甚大ですが、「発生を前提」とした危機対応力を養うことが重要です。技術的検知が追いつかない現状では、人間の注意力と組織的対応が最後の砦となります。社内ルールで「高額送金の指示は必ず複数人確認」「重要発表は広報を通じて行う(社員個人のSNS発信は禁止)」などと定め、フェイク情報に乗じた混乱を未然に防ぎましょう。また、取引先や顧客にも平時から「万が一当社関係者の怪しい情報を見聞きしたらお知らせください」と伝えておけば、社外からの早期通報に繋がる可能性があります。社内外で協力し、不審な情報はまず疑って確認する風土を作ることが最大の防御策となります。
おわりに
生成AIの発展は企業活動に多大な恩恵をもたらす一方、その悪用による犯罪リスクも現実のものとなりつつあります。書類偽造による詐欺、巧妙化する脅迫・恐喝、ディープフェイクによる業務妨害――これらは従来別個のリスクでしたが、生成AIという強力なツールによって誰もが手軽に実行できる時代になりました。企業の法務担当者は、自社がそうした新手の犯罪被害に遭う可能性を常に念頭に置き、社内規程の整備や従業員教育、そして事件発生時の対応フロー策定に取り組む必要があります。幸い、日本でも警察や関係省庁がAI悪用犯罪への対策を強化し始めており、また有識者によるガイドライン策定も進んでいます。企業としても顧問弁護士等と連携し最新動向をキャッチアップしながら、技術と法制度の両面から「備えあれば憂いなし」の体制を築きましょう。生成AIを“有用な道具”として安全に使いこなすために、法務の果たすべき役割は今後ますます重要になると言えます。
生成AIに関連する法整備やガイドラインについては日々アップデートが行われているため、企業法務担当者の方は最新情報をウォッチしつつ、自社の実情に即した対策を講じてください。本記事が、皆様の企業におけるリスク管理と安全なAI利活用の一助になれば幸いです。
元裁判官、元検察官、元会計検査院の官房審議官など企業案件の知識・経験の豊富な弁護士が、企業犯罪・不祥事対応等のコンプライアンス事案に対応します。
全国展開している事務所だからこそできるネットワークを生かした迅速な対応が可能です。
企業犯罪・不祥事に関するお問い合わせ、ご相談のご予約は24時間365日受け付けております。
企業犯罪・不祥事が起きてしまった場合の対応にお困りの方、予防法務も含めたコンプライアンス体制の構築・見直しをお考えの経営者の方は、弁護士法人あいち刑事事件総合法律事務所に一度ご相談ください。
