OpenAIのセキュリティ情報を整理する

OpenAIはこれまでも利用規約やブログ記事などでセキュリティについての情報を公表していましたが、「Security&privacy」という形でより詳細に情報セキュリティに関するトピックの公開を行いました。

今回はSecurity&privacyで公開されている情報のポイントを整理していきます。

Security

Security&privacy

Security＆privacyでは、OpenAIが組織やプラットフォームへの信頼を築くために行なっていることなどの情報を整理しています。

概要

• OpenAIのミッションの基礎はセキュリティであるとして、セキュリティ投資を行っている

• AIを進化させるコンピューティングの取り組みを保護し、新たなセキュリティ脅威に継続的に準備している

ここでは、OpenAI自体やサービスなどにおいて「セキュリティ」という要素を基礎に考えているというスタンスについて明確化されています。

Compliance（コンプライアンス）

• GDPRとCCPAを遵守している

• ユーザ組織やユースケースで必要な場合は、データ処理契約を締結できる

• OpenAI APIは、第三者のセキュリティ監査人の評価のもと、SOC 2 Type 2に準拠している

まず個人データ保護に関して、EUの規則である「GDPR」と、米国カリフォルニア州の法律「CCPA」を遵守していることを明言しています。

また、GDPR準拠で求められている、データ管理者と処理者の間で締結するデータ処理契約の締結が可能であるとのことです。（処理活動の性質や目的、期間が記載される）

また、APIについてはサイバーセキュリティコンプライアンスのフレームワークであるSOC22に準拠していることを監査において確認し、継続的な運用状況まで確認するType2に準拠していることを公表しています。

External auditing（外部監査）

• OpenAI APIは、毎年第三者による侵入テストを受け、悪意のある攻撃者に悪用される前にセキュリティ弱点を特定している

不正アクセスや攻撃による情報漏えい、障害、改ざんなどのリスクを考慮してテストを行なっているようです。
もちろん「テストを行なっている＝ぜい弱性が一切ない」わけではないですが一応確認はしているという点では参考になるかもしれません。

Customer requirements（お客様の要望）

• ユーザが規制、業界、契約上の要件（例：HIPAA）を満たすのを支援した経験がある

• 詳細は問い合わせてください

OpenAIでは米国における保護された健康情報の合法的な仕様とかいじに関する連邦規制基準でもあるHIPAAなどに充足するためのサポートなども行なっているようです。
もしOpenAIを使いたいが、何らかの規制を満たせずOpenAIの協力や情報開示が必要な場合には問い合わせてみても良いかもしれません。

Reporting security issues（セキュリティに関する問題を報告する）

• セキュリティ研究者、倫理的ハッカー、技術愛好家に対して、バグバウンティプログラムによるセキュリティ問題の報告を求めている

• このプログラムでは誠実なセキュリティテストのためのセーフハーバーを提供し、ぜい弱性の重大性と影響に基づく現金報酬を提供する

OpenAIでは大衆からバグ情報を報告してもらう、バグバウンディプログラムを実施しており、内容に応じて報奨金も提供しているとのことです。
また、セーフハーバーについても言及しているため、バグバウンディプログラムのためのぜい弱性の特定などは免責されると思って問題ないでしょう。

FAQ（よくある質問）

• APIを通じて送信されたデータはトレーニングやサービス改善に使われることはないが、ChatGPTやDALL-Eを通じて送信されたデータは使われることがある

• オプトアウトすることで、トレーニングやサービス改善へのデータ使用を拒否することができる

• APIを通じて提出したデータを、オプトイン申請することでデータ共有に使用してもらうこともできる

• データ削除リクエストを送信すると、ユーザのコンテンツ（プロンプト、生成された画像、アップロード、API応答など）が削除される。リクエストは処理まで最大30日かかる

• マーケティング目的でユーザコンテンツを第三者と提供することはない。OpenAIが処理活動を提供するために契約しているプロセッサの一覧を確認することもできる

以前から明言されていたデータのオプトアウトや、APIデータのオプトインなどの申請について改めて整理されています。

ChatGPT、DALL-Eオプトアウトフォーム
APIオプトインフォーム

またデータ削除についてもリクエストを送ることで対応してもらえるようです。ただ削除前に学習などに使われてしまっていればあまり意味はなさそうなのでその点に留意しておく必要はありそうです。

How can I delete my account? | OpenAI Help Center

またOpenAIのサービスの処理活動に利用している外部サービスについても以下サイト内で一覧化されているようです。
会社名と利用内容とロケーションがまとめられています。

OpenAI API

Featured roles（注目の役割）

この項目ではセキュリティに関する職種の募集が行われています。

Learn more about security at OpenAI（OpenAIのセキュリティについて詳しくはこちら）

OpenAIではより詳しいセキュリティに関する情報をOpenAI Security Portalというサイトでも開示しているようです。
こちらは情報を確認するためにはアクセス権をもらう必要があり名前や業務用メアドなどを入力する必要があるので、もし具体的に確認したい場合には活用しましょう。

OpenAI | OpenAI Security Portal

おわりに

今回はOpenAIが公開しているセキュリティ情報に関するページSecurity&privacyのポイントについて整理してみました。
セキュリティチェックなどを行う際に参考になる情報もいろいろ詰まっているようなので、どれくらいのセキュリティレベルにあるのか確認したい場合などにぜひご活用ください。