【AIのセキュリティ】努力目標と契約(NDA)

このテーマを2つ目に書いたのに、ずっとこの話は書いちゃいけないような気がして、書けませんでした。ですが私は多くの企業さんに聞きたいとずっと思っている。

御社が使っているChatGPT。。。その会社がデータ漏洩した場合に備えてNDA契約でしばりかけてますか？って

私たちはお客様の情報を扱う事があります、それをいくらクラウド上にあるからって、VPN接続でセキュアな通信ができるからって、API経由で使うから学習に使われないからって、

そんなの訴訟になったら関係なくないですか？

仕組み上情報漏洩しないはず。というのと絶対しない事を契約で約束するNDAとは全然違います。
皆さんの会社もお客様のデータを扱う部署にパートナーさんが来たときは、NDAの契約結びますよね。多くのChatGPT活用企業にとってChatGPTはもはやパートナーのようなものでしょう。
大事な情報を提供してくれて一緒にお仕事をする、お客様に対して言えますか？
パートナーさんとはNDA結んでます。OpenAIやMicrosoft社とは結んでいません。って。

AI導入で業務効率が10％あがったとか、500万円のコスト削減とかいうニュースを見かけるようになりましたが、情報漏洩したときの損害賠償は億の単位です。

以下はChatGPTの規約より抜粋です。チャットGPTに投げた質問や回答は「コンテンツ」と定義さます。

保証の否認

当社のサービスは「現状有姿」で提供されます。法律で禁止されている場合を除き、当社および当社の関連会社およびライセンサーは、本サービスに関していかなる保証(明示的、黙示的、法定、その他)も行わず、商品性、特定目的への適合性、満足のいく品質、非侵害、平穏享有の保証、および取引または取引慣行の過程から生じる保証を含むがこれらに限定されないすべての保証を否認します。当社は、本サービスが中断されないこと、正確であること、エラーがないこと、またはコンテンツが安全であること、または紛失または変更されないことを保証しません。

責任の制限

当社、当社の関連会社、またはライセンサーのいずれも、利益、営業権、使用、データの損失、またはその他の損失に対する損害を含む、間接的、偶発的、特別、結果的、または懲罰的な損害について、たとえそのような損害の可能性について知らされていたとしても、責任を負いません。本規約に基づく当社の責任総額は、責任が発生する前の12か月間に請求の原因となったサービスに対してお客様が支払った金額、または100ドル(<>ドル)のいずれか大きい方を超えないものとします。本条の制限は、適用法で認められる最大限の範囲でのみ適用されます。

よって大々的に使っていると言っている企業は、おそらく個別にMicrosoftとNDA契約と損害賠償等のリスクに備えた保険をかけてるはずです。この水面下でやってる部分があまりにも表に出てきてないから、勘違いして気軽につかっちゃってる企業さんが一定数いるんじゃないかって。。。