ビデオ会議で上司の顔を見て、声を聞いても、それが「本物」だと断言できる時代は終わりつつあります。2024年には香港で約40億円の詐欺被害が発生し、会議に参加した全員がディープフェイクだったという事件が世界を震撼させました[1]。
2026年はEU AI規制法の完全施行年であり、日本企業にとっても「本人確認」という業務の根幹を見直す転換点となります。本記事では、迫りくる規制環境の変化と、企業が今すぐ着手すべき対策について解説します。
2026年、認証システムの信頼性が問われる時代へ
日本企業を襲う「見えない脅威」の実態
日本企業は今、ディープフェイクという見えない脅威に直面しています。ある調査によれば、日本のBEC(ビジネスメール詐欺)被害増加率は34.6%増を記録しており[2]、生成AIによって自然な日本語での詐欺が容易になったことが背景にあります。さらに深刻なのは、経営者の98%以上がディープフェイクを見分ける自信がないと答えている点です[3]。つまり「見分けられない」のに「既に攻撃されている」という状況が進行中なのです。
グローバルでは事態はより深刻化しています。2025年の調査では、企業の62%が過去12ヶ月にディープフェイク攻撃を経験したと報告されており[4]、もはや「将来のリスク」ではなく「現在進行形の脅威」となっています。調査会社の予測によれば、2026年までに企業の30%が顔認証単独での本人確認を「信頼性不十分」と判断するとされており[5]、認証システムそのものの信頼性が揺らいでいます。
グローバル規制が迫る対応期限
日本と海外の規制環境には大きなギャップが存在します。2025年6月に成立した日本のAI新法は基本法的性格にとどまり、罰則規定を持ちません[6]。現時点で日本にはディープフェイクを直接規制する法律は存在せず、名誉毀損罪や著作権法といった既存法での対応に依存しているのが実情です。
一方、2024年8月に発効し段階適用され、主要な義務が2026年8月前後から本格適用されます[7]。ディープフェイク生成AIには透明性義務が課され、違反した場合の罰金は最大1,500万ユーロ(約24億円)または売上高の3%に達します。重要なのは、この規制が域外適用されることです。日本企業がEU市場にAI製品を提供する場合、あるいはAIの出力がEU域内で使用される場合、日本企業も規制対象となります。米国でも2025年5月にTAKE IT DOWN Actが成立し、2026年5月までにプラットフォーム事業者は通知・削除システムの構築が義務化されます[8]。
本人確認プロセスの抜本的見直しが必要な理由
金融・人材業界で顕在化するリスク
金融業界では、本人確認の根幹が揺らいでいます。日本で主流のeKYC「ホ方式」(本人確認書類の画像と容貌の画像を照合する方式)について、日本政府は2027年4月施行予定の改正でこの方式を廃止し、ICチップ読取や公的個人認証への移行を進める方針です[9]。これはディープフェイクリスクへの対応であり、金融機関は大規模なシステム改修を迫られます。実際、2021年には日立製作所がディープフェイク技術を用いてeKYC方式を突破できることを実証しており、理論上のリスクではなく現実の脆弱性として認識されています[10]。
人材・採用業界では「ディープフェイク面接」という新たな脅威が出現しています。2024年のレポートでは、AIで生成した履歴書・SNSプロフィール・面接映像を用いて企業に潜入するケースが報告されました[11]。サイバーセキュリティ企業では、実際に北朝鮮のエージェントがディープフェイクで採用を突破した事例が明らかになっています。オンライン面接が標準化した現在、この脅威は日本企業にも現実のものとなりつつあります。
テック企業が示す技術的解決策の限界
GAFAMを中心に、コンテンツの「来歴証明」インフラの構築が進んでいます。2021年に設立されたC2PA(Coalition for Content Provenance and Authenticity)は、デジタルコンテンツの作成者情報、編集履歴、AI使用有無を暗号化署名で保護する技術標準を策定しており、2024年にはGoogle、OpenAI、Meta、Amazonが運営委員会に参加しました[12]。Adobe、Google、Metaはそれぞれ独自の検証技術を展開しており、業界標準として定着しつつあります。
しかし、この技術的解決策には限界があります。メタデータはSNSアップロード時に削除されることが多く、コンテンツが拡散される過程で来歴情報が失われてしまいます。また、C2PA対応機器で撮影されたコンテンツのみが対象であり、既存の膨大なデジタルコンテンツには適用できません。専門家は、2026年時点では「部分的な解決策」にとどまると見ています[13]。
企業が今すぐ取り組むべき5つの対策
多層認証とゼロトラストの導入
第一に、本人確認プロセスの多層化が不可欠です。顔認証や音声認証など単一の生体認証に依存することを避け、「知識」(パスワード)、「所持」(ICカード、スマートフォン)、「生体」(顔、声、指紋)を組み合わせた多要素認証に移行する必要があります。特に高額送金や機密情報へのアクセスには、別チャネルでのコールバック確認を義務化することが有効です。「至急」「内密に」といった例外処理を原則禁止するルール整備も重要でしょう。
第二に、「ゼロトラスト」の考え方を組織全体に浸透させることです。これは「すべてを検証する」を前提に、アクセスを慎重に確認する設計思想を指します。ビデオ会議で「社長の顔」が見えても、それだけで信頼せず、追加の認証ステップを標準化します。「本人であることの証明責任」を組織的に確立することが求められます。
組織全体のリスク意識改革
第三に、従業員教育の徹底が欠かせません。経営者の98%以上がディープフェイクを見分けられないという話もあった通り「見分けることは困難」という前提で訓練を行う必要があります。ディープフェイク認識研修、財務部門向けBEC詐欺対策、経営層向けリスク啓発を継続的に実施し、「疑問を感じたら必ず確認する」文化を醸成することが重要です。
第四に、グローバル規制への先行対応です。2026年8月のEU AI Act完全施行に向けて、EU市場に影響するAIシステムの棚卸しと分類を行い、透明性要件への対応を準備します。米国のTAKE IT DOWN Act(2026年5月)への対応も並行して進めましょう。国内規制が追いつく前に、グローバル標準への準拠を自主的に進めることが、競争優位にもつながります。
第五に、インシデント対応体制の構築です。ディープフェイク被害が発生した場合の対応プレイブックを整備し、CISO、法務、広報、経営層を含むチームを組成します。サイバー保険の検討も含め、被害発生を想定した準備を行うことが賢明でしょう。
さいごに
コンサルティング会社の予測によれば、生成AI関連詐欺損失は2027年には400億ドル(約6兆円)に達し、年平均成長率は32%とされています[14]。ディープフェイクは、もはや対岸の火事ではありません。2026年は、日本企業がデジタル時代の「信頼の証明」を再設計する重要な転換点となります。
問われているのは、「ディープフェイクを検出できるか」ではなく、「検出が困難な状況でも被害を防げるプロセスと組織を構築できるか」です。今すぐ多層認証の導入、ゼロトラストの浸透、従業員教育の強化に着手することが、2026年以降の企業の競争力を左右します。行動を起こすのは、今です。
出典
- [1] Top 5 Cases of AI Deepfake Fraud From 2024 Exposed – Incode
- [2] Deepfake Statistics 2025: The Data Behind the AI Fraud Wave – DeepStrike
- [3] 「ディープフェイクに関する実態調査2024年版」から見えてきた脅威を解説 – トレンドマイクロ
- [4] Why CIOs Can’t Ignore the Rising Tide of Deepfake Attacks – Gartner
- [5] Gartner Predicts 30% of Enterprises Will Consider Identity Verification and Authentication Solutions Unreliable in Isolation Due to AI-Generated Deepfakes by 2026 – Gartner
- [6] Japan’s AI Bill Advances Toward Enactment – Baker McKenzie
- [7] Long awaited EU AI Act becomes law after publication in the EU’s Official Journal – White & Case
- [8] Deepfake Regulation Overview: All About AI and Deepfake Laws – Reality Defender
- [9] eKYCとは?犯収法対応のオンライン本人確認で業務改善 – ダブルスタンダード
- [10] 各国が動く「ディープフェイク」規制 – 早稲田大学RCLIP
- [11] Top 5 Cases of AI Deepfake Fraud From 2024 Exposed – Incode
- [12] What is the Coalition for Content Provenance and Authenticity (C2PA)? – TechTarget
- [13] EU AI Act: Deepfake Regulations and Implementation Timeline – Reality Defender
- [14] Deepfake banking and AI fraud risk – Deloitte
この記事を書いた人
