セキュリティ担当者がChatGPTの業務利用方針を検討する際の留意点
目次[非表示]
はじめに
昨今、ChatGPTに関する話題に注目が集まるなか、「業務利用」について検討される企業様が増加しています。実際に、クラウドリスク評価「Assured(アシュアード)」を導入されている企業様からもChatGPT等のAI利用について相談されることが多くなっています。
Assuredは、ChatGPTを含めた、SaaS/ASPなどのクラウドサービスのセキュリティリスク(安全性)の第三者評価情報を集約したプラットフォームとして、先端技術と正しく向き合い、ビジネスに取り入れていくためのルールメイクを支えていく役割を目指しています。
そこでこの度、世間の関心を特に集めているChatGPTについて、Assuredのセキュリティ評価専門チームが公開情報を読み解き、企業における業務利用方針を検討されるセキュリティ担当者の皆様向けに解説をさせていただきます。
本ページでは、AIに関する世の中の動向およびChatGPTのWeb版の業務利用(API利用は除く)を想定したセキュリティ上の留意点を取り上げます。最新AI技術を安心・安全に活用し、業務の効率化や新たなビジネスチャンスに繋げていただくため、本ページをぜひお役立てください。
※GPT、DALL·E、Whisper等のOpenAIの製品のうち、Webブラウザ上のチャット形式でユーザーからの質問に回答をしてくれるサービス(OpenAIのホームページで「ChatGPT」として提供されているサービス)を本記事では「Web版」とよびます。
AI関連の指針・原則・ガイドラインの動向
国内外においてAI関連の指針・原則・ガイドラインの策定が進んでいます。国内におけるAI関連のガイドラインに法的拘束力はなく、AIサービス事業者・開発者、利用者に向けに「人間中心のAI社会原則(①人間中心の原則、②教育・リテラシーの原則、③プライバシー確保の原則、④セキュリティ確保の原則、⑤公正競争確保の原則、⑥公平性、説明責任及び透明性の原則、⑦イノベーションの原則)」の考え方を踏まえ、AI開発や利活用における留意点や実施すべき行動目標、実務的な対応例等を提示する内容となっています。
AIガバナンスに関する社内規程を整備する際は、分野横断のガイドラインおよび自社が属する業界におけるガイドラインを参照することを推奨します。
国内における分野横断の主なAI関連の指針・原則・ガイドライン
策定日 |
名称 |
関係府省 |
対象者 |
概要 |
|---|---|---|---|---|
H29.7 |
総務省 |
AIサービス開発者 |
AIの開発者が研究・開発段階において留意することが期待される事項をまとめ、その解説を記載。 |
|
H30.6 |
経済産業省 |
AIサービス提供事業者/AIサービス利用者 |
AI 技術を利用したソフトウェアに ついて、その特性を踏まえた上で、開発・利用契約を作成するにあたっての考慮要素、トラブルを予防する方法等についての基本的な考え方を記載。 |
|
R1.8 |
総務省 |
AIサービス提供事業者/AIサービス利用者 |
人間中心のAI社会原則に基づき、AIの利用者(含AI利用サービス提供者)が利活用段階において留意することが期待される事項を「原則」という形式でまとめ、その解説を記載。 |
|
R4.1 |
経済産業省 |
AIサービス提供事業者 |
AIの社会実装の促進に必要なAI原則の実践を支援すべく、事業者が実施すべき行動目標を提示し、それぞれの行動目標に対応する仮想的な実践例とAI原則からの乖離評価例を参考情報として記載。 |
|
R4.2 |
総務省 |
AIクラウドサービス提供事業者 |
AIクラウドサービスの効果的・効率的な実現方法について具体的な開発の流れを体系的に整理するとともに、開発の各プロセスにおいて開発者が留意すべき点を記載。 |
|
R6.4 |
経済産業省/総務省 |
AIサービス提供事業者/AIサービス利用者 |
生成AIの普及を始めとする近年の技術の急激な変化等に対応すべく、AI開発ガイドライン(平成29年、総務省)、AI利活用ガイドライン(令和元年、総務省)、AI原則実践のためのガバナンスガイドラインVer1.1を統合・アップデート |
「関係府省庁のAI関連の指針・原則・ガイドラインの作成状況(内閣府)」をもとに作成
ChatGPTの業務利用に関する動向
現状は、ChatGPTを積極的に業務利用する企業様は少なく、業務利用の禁止や機密情報を入力しないように注意喚起している企業様が多いようです。
利用を推進する企業様においても、セキュリティ上の留意点を考慮し、モデルの学習には用いられないと明記されているAPI連携に限定し顧客情報を含まない形で利用するなどセキュリティリスクに対応した上で、業務に利用しています。
いち早くChatGPTの業務利用に関するガイドラインを策定し公開している企業様も見受けられますが、多くの企業様ではChatGPTの業務利用ついて検討および方針・ルールの策定を急いでいる状況です。
ChatGPT等の業務利用を推進する企業様のニュース
- GMOインターネットグループ株式会社様
「GMOインターネットグループが「ChatGPT」の業務活用を開始」
- 株式会社サイバーエージェント様
「ChatGPTで広告運用の実行スピードを大幅短縮する「ChatGPTオペレーション変革室」を設立」
- パナソニック コネクト株式会社様
「Microsoft Azure OpenAI Serviceを活用したAIアシスタントサービスを国内全社員向けに導入」
ChatGPTの業務利用を制限・禁止する企業様のニュース
AIサービスの業務利用に関するガイドライン策定のニュース
- クラスメソッド株式会社様
「クラスメソッド社内のAIサービス利用のガイドラインを策定しました」
- 株式会社 Zaim様
ChatGPTのプライバシーポリシーと利用規約における留意点
Web版を利用する際の情報漏えい、情報の正確性に関する留意事項について、OpenAIのホームページのPrivacy policy(プライバシーポリシー)、Terms of use(利用規約)、関連するFAQを確認しました。以下で内容を抜粋、要約してご紹介します。
情報漏えい
・OpenAIはユーザーが入力する情報から個人情報を収集します。収集した個人情報は、統計または匿名化され、プライバシーポリシーに記載された目的のために第三者に共有されます。※Privacy policyより
・Data Processing Addendum(データ処理補遺条項)の申込みは、API利用の場合に限り可能で、ChatGPT、DALL-E等の一般利用は対象外です。※Terms of useより
DPA:DPAにはデータの取り扱いやセキュリティに関する事業者の対応が明記されます。DPAの提供はGDPR(欧州一般データ保護規則)の遵守に係る事項です。
・コンテンツ(ユーザーが入力した内容及び出力結果)はモデルのパフォーマンス向上に利用されますが、FAQ内に記載されたリンクから指定のフォームでオプトアウトをすることによってモデルのパフォーマンス向上に利用されません。※FAQより
・モデルのパフォーマンス向上に利用される場合でも、利用するデータから個人情報は削除され、少量のデータがサンプルで利用されます。技術およびプロセス管理によりデータの保護に細心の注意がはらわれます。※FAQより
・準拠法はカリフォルニア州法で、裁判所管は米国カリフォルニア州サンフランシスコ郡の連邦裁判所または州裁判所です。※Terms of useより
・チャット履歴の削除はアカウントの削除を行うことで削除可能ですが、部分的な削除には対応していません。※FAQより
情報の正確性
・ChatGPTに入力した情報と出力された情報をまとめて「コンテンツ」とよび、利用者は利用規約を遵守する限りあらゆる目的で利用できます。※Terms of useより
・常に人工知能と機械学習の改善に取り組んでいますが、機械学習の確率的性質を考えると、状況によっては、実在の人物、場所、または事実を正確に反映していない誤った出力が生じる場合があります。ユーザーは自身の利用事例に応じて正確性を評価する必要があります。※Terms of useより
・免責事項:サービスは「現状有姿」で提供されます。サービスが停止しないこと、内容に正確であること、エラーがないこと、コンテンツが安全で消去されず変更がされないことは保証されません。※Terms of useより
参照
・Privacy policy
・Terms of use
・Data usage for consumer services FAQ
・How your data is used to improve model performance
なお、情報の取り扱われ方と情報の正確性について、ユーザー登録時に以下のような登録ユーザーに留意を促すポップアップが表示されます。
・チャットの内容はシステム向上のために担当者に閲覧される可能性があり、センシティブな情報を入力しないでください。
・内容の正確性について、不正確や誤解を招く情報、攻撃的、偏った内容が表示される可能性があります。
ChatGPT Web版の業務利用における情報セキュリティ上の留意点のまとめ
前述の点を踏まえ、ChatGPTの業務利用における留意点を以下にまとめます。これらの
留意点を従業員が正しく把握し、安心・安全にChatGPTを業務利用できるよう、企業としての利用方針を策定し、従業員に周知していくことが望まれます。
情報漏えい
SNSに秘密情報や個人情報を入力し情報漏えいが発生したケースは多々発生しており、SNSに関するルールを作成している企業様は多いと思います。
ChatGPTの場合は、入力された情報を学習データとして利用しているため、ChatGPTに入力した情報が、他の利用者の回答に用いられることで、情報漏えいにつながる可能性があります。
前述した通り、ChatGPT Web版では、ユーザーが入力した内容をAIに学習させないように「オプトアウト」を受け付けているので、入力データを利用されたくない場合は、オプトアウト申請を行う必要があります。
また入力されたデータは、データベースに保存されている可能性があり、学習データとして利用されない場合も、サイバー攻撃や内部不正による情報漏えいの可能性があります。
情報漏えいリスクへの対応として、ChatGPTに入力する情報についてのルールを策定し、従業員への周知・教育を行うことが重要です。しかしながら、はじめから全ての情報を網羅したルールを策定することは難しいため、企業で保有する秘密情報や個人情報の分類から入力の可否をガイドラインとして策定し、個別の詳細な情報については、都度判断した結果をナレッジとして蓄積するのがよいでしょう。
情報の正確性
ChatGPTが回答した内容はすべて正しいとは限りません。ChatGPTの利用責任は利用者にありますので、回答内容を鵜呑みにせず自身で判断する必要があります。
上記の理由から、ChatGPTの回答内容については、安易な利用に繋がらないように、慎重に利用しなくてはいけないことを従業員に理解してもらう必要があります。ChatGPTの仕組みを正しく理解するための学びの機会を提供するなど、従業員自身がChatGPTを業務利用する際に自己判断できるように教育していくことが重要です。
まとめ
新しいシステムや技術の導入を検討する際には、政府等の指針やガイドライン、他社事例から外部環境を把握し、自社にとって論点となる項目について公式情報の確認を行います。これらの情報を元に自社内での態勢を整え、その普及と教育を行いながら外部及び内部環境の変化に合わせて継続的に態勢改善を行います。
ChatGPT等のAIにおける情報セキュリティの留意点は、他のクラウドシステムと共通しています。Assuredがクラウドシステムを評価する際にも各システムに普遍的に存在するリスクをしっかりと確認した上で個別のリスクも見極められるよう、評価項目を日々ブラッシュアップしています。
まずは原則や基本的なことに留意し、活用検討をはじめてはいかがでしょうか。
業務の効率化や改革にAIの利活用は必要不可欠であると考えられるため、安全・安心な活用促進に向けて、Assuredは今後もChatGPT等のAIに関する動向について収集し公開していきますので、よろしければ以下のフォームよりご登録をいただければと思います。
(編集:Assured編集部)
