"生成AI・未導入の会社" に潜むデータ漏洩の落とし穴。あなたの会社、その危険性に気が付いていますか?
”データ漏洩の落とし穴” は意外なところに?
これは、とある中小企業での出来事です。一見、優秀な新人さんが社内に新しい風を吹き込んだお話のように見えますが、実はこの中にデータ漏洩の落とし穴が潜んでいます。
どうでしょう、どの部分に問題があったかお分かりになられたでしょうか?答えは「顧客リストを噂のChatGPTで30秒くらいで終わらせちゃって。しかも無料だよ?」の部分です。では、なぜこれが問題なのでしょうか?
ChatGPTの利用規約にある「Train」とは
ChatGPTの利用規約を見てみましょう。利用規約には次のような記載があります。(太文字にした部分の日本語訳を付けています。)
どういうことかと言いますと、この利用規約が対象範囲としている無料版のChatGPTと有料版のChatGPT Plusでは、
入力したデータは(申請をしない限り)ChatGPTの学習に使用され、そこに顧客情報が含まれていた場合にその情報が他の利用者の画面に出力される可能性がゼロではなくなる。
というデータの扱いになっているということです。
つまり冒頭のお話は、顧客のデータを流出させてしまっているにも関わらず、それを自慢げに語ってしまっているというお話なのですが、最近これに近い話をいくつか耳にしたので注意喚起の意味も込めてこの記事を書いています。
データが「学習」されないChatGPTがある
自治体のChatGPT導入は大丈夫なの?
この学習のことを知って「ちょっと待って、、だとしたら、自治体がこぞってChatGPTを導入してるけど、あれ大問題なのでは?」ということが頭に浮かんだ方もおられるかもしれませんが、そこは心配ありません。なぜなら、自治体が使っているのは「データが学習されないChatGPT」だからです。簡単に言ってしまうと各自治体専用の環境の中にChatGPTをコピーして使っています。
データが学習されない3つのChatGPTとは
ただ、自治体と同じような環境を用意するにはコストがかかってしまうため、ビジネス向けのChatGPTとしてChatGPT Team、ChatGPT Enterprise、OpenAI APIの3つのサービスがあります。これらのサービスでは入力したデータが学習に使用されないことが規約に明記されています。以下はその具体な内容です。
▼ 商用利用規約(Business terms)
上記の3つのサービスが対象範囲とされている商用利用規約のセクション3.2で以下のように記載がされています。
エンタープライズプライバシーに関するコミットメント(Enterprise privacy commitments)では、次のようにより明確な記載がされています。
さらにこちらはQ&Aにはなりますが、ここでも明確な記載がされています。
3つのうちのどのサービスを選べばよいのか?
では、このうちのどれを選べばよいのか?ですが、これは会社の規模や導入の目的にあわせた選択が必要となってくるため一概にこれがよいとは言えません。
もし担当者が一人であれば、きちんとオプトアウト(学習に使われない申請)をして使えば無料版でも問題ないと思います。しかし、組織・複数人で使うとなるとオプトアウトの徹底は難しく手間もかかるため一元管理できるChatGPT Teamがよいと思います。ただ、当社の導入支援では将来性なども見据えてOpenAI APIをお勧めしています。
生成AI利用ガイドラインでより安全な生成AIの利用を
入力データが学習に使用されない環境を確保することは、データ漏洩を防ぐための最も重要なポイントですが、学習に使われないからとはいって「個人情報」「給与情報」「取引先との機密情報」などの情報をポンポンとChatGPTに入れてしまってよいものでしょうか?
これは会社毎の考え方になってきます。そのため「生成AIに入れてよいデータ」や「生成AIから出力されたデータを使ってよいところ」などを明記した生成AI利用ガイドラインを作り、それを社内に浸透させることで、より安全に生成AIの利用ができるようになります。
(自治体や大企業では、安全な利用環境の構築だけでなく、こうした利用ガイドラインの策定や教育をあわせて行っています。)
社外にある落とし穴「パートナー」からのデータ漏洩にも注意が必要
最後になりますが、データ漏洩の落とし穴は社内だけではなく取引をしているパートナーにも潜んでいます。「効率化」「納期の短縮」「経費削減」などのために取引をしているパートナーが生成AIを利用する可能性は大いにあります。
生成AIガイドラインを考えることは、パートナーに対しても有効になってきます。あなたの会社からの依頼とともに渡されたデータのうち、どのデータが対象で、どのような生成AIの利用環境であれば使ってよいのかを依頼の際に明示することは今後重要になってくるでしょう。
株式会社ジーニーズ
当社は、設立から19期目となるマイクロ法人(代表取締役のみ)です。主にシステム開発のプロジェクトマネジメントや技術支援、SaaSの開発・販売のほか、最近では生成AIのご相談・導入支援を事業として行っています。