ChatGPTの情報漏洩リスクとは?取るべき4つの対策を紹介
昨今注目を集めている「ChatGPT」。原稿の作成やプログラミング、楽譜の生成や描画までできるとあって、さまざまな領域で注目を集めている生成AIです。
ChatGPTのGPTとは「Generative Pre-training Transformer」の略であり、大量のテキスト(文章)・画像・音声(拡張機能)データを事前学習することで、人間のように自然な会話を行うことができます。
ChatGPTは複雑な業務にも対応できることから、タスク(仕事)の効率化と高いコストパフォーマンスを期待できるツールとして脚光を浴びています。既にさまざまな領域でChatGPTの活用は進んでおり、多くのテック企業が独自のAIシステム立ち上げる動きも見られます。
このように、ChatGPTをはじめとしたAI技術には、多くのビジネスチャンスが見込まれる一方で、著作権の問題や誤情報の拡散・機密情報漏洩・プライバシーの問題・サイバー攻撃への悪用の可能性などの潜在的リスクが指摘されています。
この記事では、ChatGPTの利用における情報漏洩のリスクを中心に、取るべき対策について弁護士が解説します。
この記事の目次
ChatGPTに関わる情報漏洩のリスク
企業のChatGPT導入リスクには、主に以下の4点が挙げられます。
- セキュリティリスク(情報漏洩・正確性・脆弱性・可用性等)
- 著作権侵害リスク
- 悪用可能性のリスク(サイバー攻撃等)
- 倫理面での課題
ChatGPTの情報漏洩リスクとは、ChatGPTに秘匿情報を入力した場合に、その情報がOpenAI社の従業員や他のユーザーに見られたり、学習用データとして利用されたりするリスクがあるということです。
OpenAIのデータ利用ポリシーによれば、ChatGPTの「API 」を経由するか、「オプトアウト」を申請しない限り、ユーザーがChatGPTに入力したデータはOpenAIによってそのデータを収集利用(学習)されることになります(後ほど詳しく解説します)。
ChatGPTの利用が情報漏洩につながった事例
ここでは、ChatGPTの利用により、登録した個人情報や入力した機密情報が漏洩した事例をそれぞれ紹介します。
個人情報が流出したケース
2023年3月24日、OpenAIは、一部のユーザーに別のユーザーのクレジットカード番号の下4桁、カードの有効期限などを含む個人情報が表示されるバグがあったため、3月20日にChatGPTを短時間オフラインにしたことを発表しました。このとき個人情報が漏洩したのは、「ChatGPT Plus」有料プラン加入者の一部(会員の約1.2%)とのことでした。
また、このバグと同時に、チャット履歴に別のユーザーのチャット履歴が表示されるというバグもあったことも発表されました。
これを受けて、2023年3月31日、イタリアのデータ保護当局は、Open AIに対し、ChatGPTが学習のために個人データを収集・保存することに法的根拠が欠如しているとして、同国ユーザーのデータ処理に一時的な制限を課す改善命令を出しました。これを受けてOpenAIは、ChatGPTへのイタリアからのアクセスをブロックしました。このブロックは、その後OpenAIが個人テータの取り扱いを改善したため、同年4月28日に解除されました。
社内の機密情報が流出したケース
2023年2月、米国のサイバーセキュリティ会社Cyberhavenは、顧客企業に対しChatGPTの利用に関するレポートを発表しました。
そのレポートによると、Cyberhaven製品を使用する顧客企業の160万人の労働者のうち、知識労働者の8.2%が職場でChatGPTを一度は使用しており、そのうちの3.1%はChatGPTに企業機密データを入力しているというものでした。
また、これは韓国の事例ですが、2023年3月30日韓国メディア「Economist」は、サムスン電子の社内の一部署がChatGPTの使用を許可したところ、機密情報を入力してしまう事案が発生したと報道しています。
サムスン電子側は、社内情報セキュリティの注意喚起をしていたものの、プログラムのソースコードや会議内容を入力してしまった従業員がいたということです。
このような状況下で、ChatGPTの利用について制限する国や企業がある一方、推奨する方針を打ち出している国や企業もあります。ChatGPTの導入の際には、情報漏洩のリスクの大きさを理解した上で検討すべきでしょう。
ChatGPTで情報漏洩を防ぐための4つの対策
情報漏洩は一度発生すると、法的な責任だけでなく、信頼や評判などの損失も大きくなります。そのため、情報漏洩を防ぐためには、社内の情報管理体制の整備や教育が重要となります。
ここでは、ChatGPTで情報漏洩を防ぐための4つの対策をご紹介したいと思います。
対策1:利用ルールの制定
まず自社のChatGPTについてのスタンスを決定し、社内規程にChatGPTの利用に関する事項を盛り込みます。個人情報のみならず、機密情報は入力しないなどの明確なルールを決めて運用することが重要です。
その際、自社のChatGPT利用ガイドラインを策定することが望ましいでしょう。また、社外との契約書には、ChatGPTの利用に関する事項を盛り込むようにします。
2023年5月1日、一般社団法人日本ディープラーニング協会(JDLA)は、ChatGPTの倫理的・法的・社会的課題(ELSI)の論点をまとめ、「生成AIの利用ガイドライン」を公開しました。
産学官各分野においても、ガイドラインの策定の検討に着手しています。これを参考にしつつ、自社のChatGPTの利用ルールを明文化したガイドラインを策定することで、一定のリスク回避を期待できます。
参考:一般社団法人日本ディープラーニング協会(JDLA)|生成AIの利用ガイドライン
もっとも策定したガイドラインが周知・徹底されなければ意味はありません。ガイドラインだけでは対策としては不十分といえます。
対策2:情報流出を防ぐための体制を整える
ヒューマンエラーを防ぐ対策として、DLP(Data Loss Prevention)と呼ばれる、特定データの漏洩を防止するためのシステムを導入することで、機密情報の送信・コピーを防ぐことが可能です。
DLPは、ユーザーではなく、データを常に監視し、機密情報や重要データを自動的に特定し保護するシステムです。DLPを利用すると、秘匿情報が検知された場合、アラートを通知したり操作をブロックすることが可能です。
管理コストを抑えながら内部からの情報漏洩を確実に防止できますが、セキュリティシステムに関する高度な理解が必要で、技術部門のない会社でのスムーズな導入は難しいかもしれません。
対策3:情報流出を防ぐツールを使用する
上述した通り直接的な事前対策として、「オプトアウト」を申請することでChatGPTに入力したデータを収集されることを拒否することができます。
ChatGPTの設定画面から「オプトアウト」を申請することができます。しかし、オプトアウトを申請すると、プロンプトの履歴が残らなくなり、不便と感じる人も多いと思います。
オプトアウト設定以外の方法としては、ChatGPTの「API」を利用したツールを導入するという方法があります。
「API(Application Programming Interface)」とは、OpenAIが公開している、ChatGPTを自社サービスや外部ツールに取り込むインターフェースのことです。OpenAIは、ChatGPTの「API」を経由して入出力された情報は利用しないことを明言しています。
この点はChatGPTの利用規約にも明示されています。利用規約によると、
3.コンテンツ
(c) サービスを向上させるためのコンテンツの利用
We do not use Content that you provide to or receive from our API (“API Content”) to develop or improve our Services.
当社は、お客様が当社の API に提供しまたは API から受信したコンテンツ (「API コンテンツ」) を、当社のサービスの開発または改善のために使用することはありません。
We may use Content from Services other than our API (“Non-API Content”) to help develop and improve our Services.
当社は、当社の API 以外のサービスからのコンテンツ (「非 API コンテンツ」) を、当社のサービスの開発および改善に役立てるために使用することがあります。
If you do not want your Non-API Content used to improve Services, you can opt out by filling out this form. Please note that in some cases this may limit the ability of our Services to better address your specific use case.
お客様が非 API コンテンツをサービス向上のための利用を希望されない場合は、このフォームに入力してオプトアウトできます。
場合によっては、これにより、お客様の特定のユースケースに適切に対処するための当社のサービスの能力が制限される場合があることに注意してください。
引用:OpenAI公式サイト|ChatGPTの利用規約
対策4:ITリテラシーの社内研修を実施する
ここまでご紹介した対策のほかにも、社内研修などを実施して自社の従業員のセキュリティリテラシーを高めることが重要といえます。
サムスン電子の事例でも、社内で情報セキュリティに注意喚起をしていながら、機密情報を入力してしまったことが情報漏洩を引き起こしています。システム面から情報漏洩を防ぐだけでなく、ChatGPTに関する知識やITリテラシーの社内研修を実施することが望ましいといえるでしょう。
ChatGPTで情報漏洩が発生してしまった場合の対応
万が一情報漏洩が発生した場合には、事実関係の調査や対策などを速やかに行うことが重要です。
個人情報の漏洩の場合、個人情報保護法に基づいて、個人情報保護委員会に報告することが義務付けられています。また、本人に対しても事態が生じた旨を通知する必要があります。個人情報の漏洩によって相手方の権利や利益を侵害した場合は、民事上の損害賠償責任を負うことがあります。さらに、不正な目的で個人情報を盗んだり提供したりした場合は、刑事上の責任も問われる可能性があります。
営業秘密や技術情報の漏洩の場合、不正競争防止法に基づいて、漏洩先に対して削除依頼などの措置を求めることができます。また、営業秘密や技術情報の漏洩によって相手方に不当な利益を得させた場合は、民事上の損害賠償責任を負うことがあります。さらに、不正な手段で営業秘密や技術情報を取得したり使用したりした場合は、刑事上の責任も問われる可能性があります。
職務上の守秘義務に違反して情報を漏洩した場合、刑法やその他の法律によって、刑事上の責任を問われる場合があります。また、職務上の守秘義務に違反して情報を漏洩したことで相手方に損害を与えた場合は、民事上の損害賠償責任を負うことがあります。
したがって、漏洩した情報の内容にあわせて迅速に対応する必要があり、あらかじめそのための体制を構築しておくことが重要になります。
関連記事:個人情報漏洩が発生したら?企業が採るべき行政対応を解説
まとめ:ChatGPTの情報漏洩リスクに備えた体制作りを
ここでは、ChatGPTの情報漏洩リスクと取るべき対策について解説しました。急速に進化し続けるChatGPT等を活用したAIビジネスにおいては、その法的リスクに精通した経験豊富な弁護士に相談して、あらかじめそのリスクに応じた社内の体制を整えておくことをお勧めします。
情報漏洩のみならず、AIを活用したビジネスモデルの適法性検討から、契約書・利用規約の作成・知的財産権の保護・プライバシー対応など、AIと法律の両方の知識と経験をもつ弁護士と連携していれば安心です。
当事務所による対策のご案内
モノリス法律事務所は、IT、特にインターネットと法律の両面に豊富な経験を有する法律事務所です。AIビジネスには多くの法的リスクが伴い、AIに関する法的問題に精通した弁護士のサポートが必要不可欠です。当事務所は、AIに精通した弁護士とエンジニア等のチームで、ChatGPTを含むAIビジネスに対して、契約書作成、ビジネスモデルの適法性検討、知的財産権の保護、プライバシー対応など、高度な法的サポートを提供しています。下記記事にて詳細を記載しております。
モノリス法律事務所の取扱分野:AI(ChatGPT等)法務
カテゴリー: IT・ベンチャーの企業法務