LLM採用選考、注入攻撃で歪む

研究の概要

米国の研究チームは、LLMによる履歴書自動スクリーニングシステムが、応募者の意図的な文章操作に対してどの程度脆弱であるかを実験的に検証した。対象とした操作手法はプロンプトインジェクションと呼ばれるもので、実際の資格や職歴を追加することなく、LLMの評価を誘導する自己推薦的な文言を履歴書に埋め込む行為を指す。

実験では応募者の質が均質な環境と異質な環境の双方を設定した。均質な環境、すなわち応募者間のスキル差が小さい場合には、注入操作はランキングを確実に押し上げる効果を示した。一方、操作を行う応募者が増えるにつれて効果は急速に減衰し、操作が広範に普及した場合にはその優位性がほぼ消滅した。異質な環境では平均的な効果は低下するものの、本来低評価となるべき応募者が高評価候補者を上回るケースが散発的に発生し、選考の公正性を損なうリスクが確認された。

ビジネスへの示唆

この知見が直接影響を与えるのは、採用プロセスのデジタル化を推進する企業の人事部門および採用管理システム（ATS）ベンダーである。特に応募者数が多く均質な職種——新卒一括採用、コールセンター・営業アシスタントなどの大量募集ポジション——において脆弱性が高く、早急な対策が求められる。

影響を受ける主なKPIと部門は以下のとおりである。

• 採用品質スコア（Quality of Hire）：操作によって実力と評価の乖離が生じ、入社後パフォーマンスの低下につながるリスク
• 採用コスト（Cost per Hire）：不適切な候補者の選考通過が面接工数を増加させる
• 多様性・公平性指標（DEI指標）：技術的知識を持つ応募者が不当に優遇される可能性があり、属性間の不均衡を拡大させうる

ATSベンダーやHRテック企業にとっては、製品の信頼性に関わる問題でもある。LLMを選考エンジンに組み込む際、入力テキストの前処理段階で注入的表現を検出・除去するフィルタリング機能の実装が競争優位の一要素となりうる。また、LLMの出力に人間のレビューを組み合わせるヒューマン・イン・ザ・ループ体制の構築が、特に均質候補者が多い大量採用局面では有効なリスク低減策となる。

法務・コンプライアンス部門の観点からも見逃せない。欧州AI規制（EU AI Act）はハイリスクAIシステムとして採用AIを明示的に分類しており、操作耐性の欠如は規制上の説明責任問題に発展する可能性がある。日本においても、アルゴリズム採用に関する透明性要求が高まりつつある中、脆弱性を把握せずにシステムを運用することは企業リスクとなる。

今後の展望

研究チームはコードと実験リソースを公開しており、HRテック企業や学術機関が防御手法の開発に応用できる環境が整っている。今後の研究課題としては、注入操作の自動検出アルゴリズムの開発、モデル種別による脆弱性の差異分析、および実運用データを用いた検証が挙げられる。

AIによる採用自動化の導入を検討・推進する企業は、効率化の恩恵とシステム操作リスクのトレードオフを明示的に評価したうえで導入設計を行う必要がある。均質候補者が集中するポジションほど脆弱性が高いという本研究の知見は、LLM選考の適用範囲を職種特性に応じて限定する運用指針の策定に直接活用できる。