ChatGPTとセキュリティ

広く注目を集めているChatGPTは個人だけでなく企業などの組織でもAPI連携などで利活用が進んでいます。
ChatGPTは、OpenAIが開発した自然言語処理モデルで、人工知能を搭載したチャットボットです。様々な質問や会話に対して回答を生成して自然な対話を実現しています。
ChatGPTを利用するにあたり、セキュリティ上注意すべきポイントはあるのでしょうか。

今回はChatGPTを利用する際のセキュリティ上の注意点を紹介します。

新しい技術が登場したときには、それを悪用するサイバー犯罪者が必ず現れます。また、サイバー犯罪者でなくとも「悪意がなく行っていたことが、後々大きな問題になる」ということもあります。
ChatGPTも、ビジネスでの利活用が推進される反面、組織においては自社の情報漏洩に繋がってしまうことを留意する必要があります。

ChatGPTでのデータ取り扱い

ChatGPTは様々な質問や会話に対してチャット形式で丁寧に回答してくれます。例えば、売上を伸ばすためのマーケティング手法などを検討する際に、社外秘の商品開発情報や製品別の売上情報などをChatGPTに入力してしまうリスクがあります。
OpenAI公式サイトのFAQでは「機微情報は会話で共有しないでください」と記載されています。(2023年3月26日現在)
「入力」ではなく「共有」という言葉が使われています。ChatGPTで入力している内容は、第三者に閲覧される可能性が常にあるという意識を持たなければなりません

また、サービスを利用する際は必ずセキュリティ対策の状況やプライバシーの取り扱いを確認することが大事です。
OpenAIのプライバシーポリシーでは、「サービスの改善や分析、研究、サービスの悪用防止などのため個人情報を利用する可能性がある」とありますが、同時に「個人情報は匿名化され、情報の再識別を試みることはない」と記載されています。(2023年3月26日現在)
プライバシポリシーについては一般的なサービスと同様で、大きなリスクはないと言えます。ただし、2023年3月現在のプライバシーポリシーのため、今後の方針変更には留意しておかなければなりません。自社が利用しているサービスの提供企業のプライバシーポリシーは定期的に確認しておく必要があります。

ChatGPTを利用する際に気を付けるべき3つのポイント

ChatGPT利用に関するポリシーを明確にして、従業員に周知する

ビジネス推進のために、経営者はChatGPTを利用するか否かを判断しなければなりません。
会社としての利用ポリシーを明示して、ChatGPTを利用する場合のルールを明確に示すことが必要です。

サービスへのアクセスを制限する

一部社員のみアクセス可能にしたり、利用用途の制限などが必要です。
しかし、利用制限を周知したとしても、実際には利用できてしまうという状況では実効性がありません。プロキシやWebフィルタリングなどを利用で技術的な対策が有効です。

入力する情報に問題がないかを確認する

ポリシーで入力してはならない情報を定義したり、入力データをチェックする仕組みを作るなどが必要です。
事前にポリシーで秘密情報の入力はしないということを明確にしつつ、秘密情報に関しては技術的に送信を禁止するといった対策となります。
例えば、自社として最高機密に該当する情報についてはコピー＆ペーストをできなくするといったことで、リスクは減らすことができます。入力しているデータは上司が必ず確認するといったチェック体制も有効です。
秘密情報の定義については、セキュリティ対策に必要な情報資産管理台帳の機密性区分が重要になってきます。