ChatGPTの企業導入におけるリスクとは。機密情報漏洩の事例や対策を解説

企業内におけるChatGPTの導入がじわじわと進んでいます。その有用性に注目が集まっていますが、気をつけなければならない点はいくつかあります。その1つがChatGPTに機密情報を入力してはいけないということです。実際に海外では機密情報を入力したことがきっかけで企業の重大な機密漏洩につながった事例もあります。

本記事では、日々進化するChatGPTのビジネス利用にあたって、機密情報の漏洩リスクを中心に、事例や取るべき対策について弁護士が解説します。

ChatGPTへ機密情報の入力をしてはいけない理由

ChatGPTは便利な反面、ネット上のビッグデータや利用データを学習して生成されるAIチャットボットのため、何も対策を講じなければ、入力された機密情報が漏洩するリスクが潜んでいます。

機密情報漏洩のリスク対策については、後ほど詳しく解説しますが、ChatGPTにまつわる機密情報漏洩以外のリスクについてまず解説します。

ChatGPTの利用で企業が被る機密情報漏洩以外のリスク

ChatGPTは、現在多くの企業で導入検証が行われている段階です。そのため、リスクを十分理解した上で、ビジネス活用をするか判断する必要があります。

ChatGPTの利用で、企業が被る機密情報（個人情報含む）漏洩以外のセキュリティリスクには、下記の2点が挙げられます。

• 出力された情報の信憑性リスク
• 入出力情報の著作権侵害リスク

それぞれについて詳しく解説します。

出力された情報の信憑性に欠ける

2023年3月14日に公開されたGPT-4は、検索機能が備わったことから、最新の情報を提供できるようになりました。しかしChatGPTは、回答をする時に情報をあたかも真実のように出力しますが、その信憑性は保証されていません。ChatGPTが生成する応答は、学習データにより情報の正確性に基づき出力を行っているわけではなく、確率の高い（最も可能性が高い）文章と判断されたものを生成しているに過ぎません。そのため、その出力結果を利用する前にはファクトチェックが欠かせません。万が一虚偽の情報を企業が発信してしまうと、企業そのものの信用が損なわれるおそれがあります。

著作権侵害などの法的なリスク

ChatGPTにおける著作権侵害の判断は、「AI開発・学習段階」と「生成・利用段階」において判断が分かれます。それぞれの段階で行われている著作物の利用行為が異なるため、著作権法の条文も異なります。そのため、両者は分けて考える必要があります。

参考：文化庁｜令和5年度著作権セミナー「AIと著作権」

2019年1月に施行された改正著作権法には、権利制限規定（許諾が不要な例外規定）の第30条の4に「AI開発・学習段階」が新設されました。AI開発のためなどの情報解析のように、著作物に表現された思想または感情の享受を目的としない利用行為は、原則として著作権者の許諾なく行うことが可能と規定されています。

一方、ChatGPTで出力された生成物に、著作物との類似性・依拠性（改変）が認められる場合には、著作権侵害となります。したがって公表する前には、ChatGPTが参照した情報の権利者を確認し、ChatGPTが作成したものと類似した内容がないか確認することが重要です。そして著作物を引用する場合は出典元を明記したり（権利制限規定）、転載する場合は著作権者の利用許諾を得るなり、適正に処理しなければなりません。

著作権者から著作権侵害を指摘された場合には、民事責任（損害賠償・慰謝料・使用差止め・名誉回復などの法的措置）や刑事責任（親告罪）を問われる可能性があります。

ChatGPTへ機密情報を入力して問題となった事例

2023年3月30日韓国メディア「EConomist」は、サムスン電子の半導体部門でChatGPTの使用を許可したところ、機密情報を入力してしまう事案が3件発生したと報道しています。

サムスン電子側は、社内で情報セキュリティの注意喚起をしていたものの、プログラムの修正を依頼するためにソースコードを送信したり（2事案）、議事録作成のために会議内容を送信してしまった従業員がいたということです。

これらの事案が発生した後、同社は緊急措置としてChatGPTへの1質問あたりのアップロード容量を制限しました。また、同様の事案が再発するようであれば、接続を遮断する可能性もあると述べています。

また、WalmartとAmazonは、従業員に対してチャットボットで機密情報を共有しないよう警告しています。Amazonの弁護士は、ChatGPTの応答がAmazonの持つ内部データに似ている事例が既に見られていると話しており、データが学習に利用された可能性を示唆しています。

ChatGPTの利用で機密情報が漏洩しないようにする対策

OpenAI は、利用規約等の中でシステム改善のため入力されたデータを学習等に使用すると説明しており、センシティブな情報を送信しないよう求めています。

この章では、ChatGPTの利用で機密情報の漏洩を防ぐ対策について、ハード・ソフト面で4つ紹介します。

社内利用に関するガイドラインを策定する

ChatGPTの企業導入にあたっては、個人の情報セキュリティリテラシーを高めたり、社内のリスキリングも欠かせませんが、自社のChatGPT利用ガイドラインを策定することが望ましいでしょう。

2023年5月1日、一般社団法人日本ディープラーニング協会（JDLA）は、ChatGPTの倫理的・法的・社会的課題（ELSI）の論点をまとめ、「生成AIの利用ガイドライン」を公開しました。産学官各分野においても、ガイドラインの策定の検討に着手しています。

これを参考にしつつ、自社のChatGPTの利用ルールを明文化したガイドラインを策定することで、一定のリスク回避を期待できます。

参考：一般社団法人日本ディープラーニング協会（JDLA）｜生成AIの利用ガイドライン

機密情報が流出しないような技術を取り入れる

機密情報漏洩のヒューマンエラーを防ぐ対策として、DLP（Data Loss Prevention）と呼ばれる、特定データの漏洩を防止するためのシステムを導入することで、機密情報の送信・コピーを防ぐことが可能です。

DLPは、入力データを常に監視し、機密情報や重要データを自動的に特定し保護する機能です。DLPを利用すると、秘匿情報が検知された場合、アラートを通知したり操作をブロックすることが可能です。管理コストを抑えながら内部からの情報漏洩を確実に防止できますが、セキュリティシステムに関する高度な理解が必要で、技術部門のない企業でのスムーズな導入は難しいかもしれません。

専用ツールの導入を検討する

ChatGPTには2023年3月から、API（「Application Programming Interface」の略語で、ソフトウェアやプログラム、Webサービスの間をつなぐインターフェース）を利用することにより、ChatGPTに送信したデータの流出を防ぐことができるようになりました。

API経由で送信されたデータは学習や改善に利用されることはないが「不正利用や誤用を防ぐためのモニタリング」のため30日間保管された後、削除されるという保管規約へ変更されました。なお「法的な要求」を受けた場合は、データの保管期間が延長される可能性があるとのことです。

このようにChatGPTを学習や改善に使わせない設定にしても、一定期間はサーバー側で保存されるため、理論的には情報漏洩のリスクが存在します。したがって、機密情報や個人情報を入力する際には十分注意が必要です。

ただし、OpenAIはユーザーのプライバシーとデータの安全性を重視しており、厳格なセキュリティ対策を講じています。より安全に利用したい場合は、高度なセキュリティ対策が可能なツールである「Azure OpenAI Service」を導入することを推奨しています。

企業向けに特化したツールで「Azure OpenAI Service」上でAPI経由しChatGPTに入力したデータは、収集されることはありません。また、オプトアウトを申請し審査が通ると、原則として30日間の入力データの保持と監視も拒否できるため、情報漏洩のリスクを回避できます。

そもそもChatGPTで入力した機密情報を学習しないようにする設定方法

上述したとおりChatGPTは、オプトインのコンテンツは全て学習してしまう仕組みであることから、2023年4月25日より、事前にオプトアウトに設定する機能が備わっています。

直接的な事前対策として、ChatGPTに入力したデータを学習や改善に利用されることを拒否する場合には「オプトアウト」申請をする必要があります。ChatGPTには、「オプトアウト」のGoogleフォームが用意されているので、必ずこの手続きを取っておいたほうがよいでしょう。（メールアドレス・組織ID・組織名を入力し送信する）

しかし、この場合であっても、一定期間（原則30日間）はOpenAIに監視され、サーバー側で入力データは保存されることに変わりはありません。

ChatGPTの利用規約

3.コンテンツ

(c) サービスを向上させるためのコンテンツの利用

We do not use Content that you provide to or receive from our API (“API Content”) to develop or improve our Services.

当社は、お客様が当社の API に提供しまたは API から受信したコンテンツ （「API コンテンツ」） を、当社のサービスの開発または改善のために使用することはありません。

We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.

当社は、当社の API 以外のサービスからのコンテンツ （「非 API コンテンツ」） を、当社のサービスの開発および改善に役立てるために使用することがあります。

 If you do not want your Non-API Content used to improve Services, you can opt out by filling out this form. Please note that in some cases this may limit the ability of our Services to better address your specific use case.

お客様が非 API コンテンツをサービス向上のための利用を希望されない場合は、このフォームに入力してオプトアウトできます。

場合によっては、これにより、お客様の特定のユースケースに適切に対処するための当社のサービスの能力が制限される場合があることに注意してください。

引用：OpenAI公式サイト｜ChatGPTの利用規約　https://openai.com/policies/terms-of-use

まとめ：ChatGPTのビジネス利用は機密情報の取り扱いについての対策が必須

以上、ChatGPTのビジネス利用における機密情報の漏洩リスクと対策について、事例を踏まえ解説しました。

ChatGPTなど急速に進化し続けるAIビジネスには、社内利用に関するガイドラインの策定から、ビジネスモデルの適法性検討・契約書・利用規約の作成・知的財産権の保護・プライバシー対応など、専門家との対策が欠かせません。

関連記事：Web3に関する法律とは？参入企業が押さえるポイントについても解説

当事務所による対策のご案内

モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。AIビジネスには多くの法的リスクが伴い、AIに関する法的問題に精通した弁護士のサポートが必要不可欠です。

当事務所は、AIに精通した弁護士とエンジニア等のチームで、ChatGPTを含むAIビジネスに対して、契約書作成、ビジネスモデルの適法性検討、知的財産権の保護、プライバシー対応など、高度な法的サポートを提供しています。下記記事にて詳細を記載しております。

モノリス法律事務所の取扱分野：AI（ChatGPT等）法務