MONOLITH LAW OFFICE+81-3-6262-3248Días de semana 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

¿Cuáles son los riesgos de la implementación corporativa de ChatGPT? Explicación de casos de filtración de información confidencial y medidas de prevención

IT

¿Cuáles son los riesgos de la implementación corporativa de ChatGPT? Explicación de casos de filtración de información confidencial y medidas de prevención

La implementación de ChatGPT dentro de las empresas está avanzando gradualmente. Aunque su utilidad está atrayendo mucha atención, hay varios puntos que se deben tener en cuenta. Uno de ellos es que no se debe ingresar información confidencial en ChatGPT. De hecho, hay casos en el extranjero donde la entrada de información confidencial ha llevado a filtraciones significativas de secretos Negocios.

En este artículo, un abogado explicará, centrándose en el riesgo de fuga de información confidencial, los casos y las medidas que se deben tomar en relación con el uso empresarial de ChatGPT, que evoluciona día a día.

Razones por las que no se debe ingresar información confidencial en ChatGPT

ChatGPT, si bien es una herramienta conveniente, es un chatbot de IA generado a partir del aprendizaje de big data y datos de uso en Internet, lo que implica que, sin las medidas adecuadas, existe el riesgo de que la información confidencial ingresada pueda filtrarse.

Explicaremos con más detalle las medidas para mitigar el riesgo de fuga de información confidencial más adelante, pero primero abordaremos otros riesgos asociados con la fuga de información confidencial relacionados con ChatGPT.

Riesgos para las empresas al usar ChatGPT más allá de la fuga de información confidencial

ChatGPT se encuentra actualmente en fase de prueba de implementación en muchas empresas. Por lo tanto, es necesario decidir si se utilizará en los negocios después de comprender completamente los riesgos involucrados.

Al utilizar ChatGPT, los riesgos de seguridad que las empresas pueden enfrentar, además de la fuga de información confidencial (incluida la información personal), incluyen los siguientes dos puntos:

  • Riesgo de credibilidad de la información generada
  • Riesgo de infracción de derechos de autor de la información de entrada y salida

A continuación, explicaremos cada uno en detalle.

Falta de credibilidad en la información generada

El GPT-4, lanzado el 14 de marzo de 2023, ha mejorado su capacidad para proporcionar información actualizada gracias a su nueva función de búsqueda. Sin embargo, aunque ChatGPT genera respuestas como si fueran verdaderas, su credibilidad no está garantizada. Las respuestas generadas por ChatGPT no se basan en la precisión de la información de los datos de entrenamiento, sino que simplemente crea lo que se considera el texto más probable. Por lo tanto, es esencial realizar una verificación de hechos antes de utilizar los resultados generados. Si una empresa difunde información falsa, existe el riesgo de que su propia credibilidad se vea comprometida.

Riesgos legales como la infracción de derechos de autor

Riesgos legales como la infracción de derechos de autor

La evaluación de la infracción de derechos de autor en ChatGPT se divide en dos fases: la “fase de desarrollo y aprendizaje de la IA” y la “fase de generación y uso”. Como las acciones de uso de obras protegidas por derechos de autor son diferentes en cada etapa, los artículos de la ley de derechos de autor también varían. Por lo tanto, es necesario considerar ambas fases por separado.

Referencia: Agencia de Asuntos Culturales | Seminario de Derechos de Autor del Año 5 de Reiwa (2023) “IA y Derechos de Autor”[ja]

La ley de derechos de autor revisada, que entró en vigor en enero de 2019, estableció una nueva “fase de desarrollo y aprendizaje de la IA” en el Artículo 30-4 de las disposiciones de limitación de derechos (excepciones que no requieren autorización). Los actos de uso de obras protegidas por derechos de autor que no tienen como objetivo disfrutar de las ideas o emociones expresadas en las obras, como el análisis de información para el desarrollo de la IA, pueden realizarse en principio sin el permiso del titular de los derechos de autor.

Por otro lado, si se reconoce similitud o dependencia (modificación) con obras protegidas por derechos de autor en los productos generados por ChatGPT, esto puede constituir una infracción de derechos de autor. Por lo tanto, antes de publicar, es importante verificar los derechos de los titulares de la información a la que ChatGPT ha hecho referencia y confirmar que no hay contenido similar al creado por ChatGPT. Además, al citar obras protegidas por derechos de autor, es necesario indicar claramente la fuente (disposiciones de limitación de derechos) o, al reproducir, obtener el permiso de uso del titular de los derechos de autor y manejarlo adecuadamente.

Si un titular de derechos de autor señala una infracción de derechos de autor, se puede incurrir en responsabilidad civil (indemnización por daños y perjuicios, compensación por daño moral, cese de uso, restauración de la reputación, etc.) o responsabilidad penal (delito denunciable).

Casos en los que se introdujo información confidencial en ChatGPT y se convirtió en un problema

El 30 de marzo de 2023 (Reiwa 5), el medio de comunicación surcoreano ‘EConomist’ informó que, tras permitir el uso de ChatGPT en la división de semiconductores de Samsung Electronics, se produjeron tres incidentes en los que se introdujo información confidencial.

Desde Samsung Electronics, a pesar de haber realizado advertencias sobre la seguridad de la información interna, hubo casos en los que se enviaron códigos fuente para solicitar modificaciones al programa (dos casos) y un empleado que transmitió el contenido de una reunión para la creación de actas.

Tras estos incidentes, la compañía tomó medidas de emergencia limitando la capacidad de carga por cada pregunta hecha a ChatGPT. Además, han indicado que si se repiten incidentes similares, podrían llegar a bloquear el acceso al servicio.

Asimismo, Walmart y Amazon están advirtiendo a sus empleados que no compartan información confidencial a través de chatbots. Un abogado de Amazon ha mencionado que ya se han observado casos en los que las respuestas de ChatGPT se asemejan a los datos internos de Amazon, sugiriendo la posibilidad de que dichos datos hayan sido utilizados para el aprendizaje del sistema.

Medidas para prevenir la fuga de información confidencial al utilizar ChatGPT

OpenAI explica en sus términos de uso y otros documentos que utiliza los datos ingresados para mejorar el sistema y para el aprendizaje, y solicita que no se envíe información sensible.

En este capítulo, presentaremos cuatro medidas, tanto de hardware como de software, para prevenir la fuga de información confidencial al utilizar ChatGPT.

Desarrollo de Guías para el Uso Interno

Desarrollo de Guías para el Uso Interno

Al implementar ChatGPT en una empresa, es fundamental no solo mejorar la alfabetización en seguridad de la información personal y el reskilling interno, sino también es recomendable desarrollar guías de uso de ChatGPT propias de la compañía.

El 1 de mayo de 2023, la Asociación Japonesa de Aprendizaje Profundo (JDLA, por sus siglas en inglés) publicó las “Guías de Uso de AI Generativa”, que recopilan puntos de discusión éticos, legales y sociales (ELSI) relacionados con ChatGPT. En diversos sectores, incluyendo la academia y el gobierno, se ha comenzado a considerar el desarrollo de guías.

Tomando esto como referencia y estableciendo guías claras para el uso de ChatGPT en su propia empresa, se puede esperar mitigar ciertos riesgos.

Referencia: Asociación Japonesa de Aprendizaje Profundo (JDLA) | Guías de Uso de AI Generativa[ja]

Incorporación de tecnología para evitar la fuga de información confidencial

Como medida para prevenir errores humanos que puedan causar la fuga de información confidencial, es posible implementar un sistema conocido como DLP (Prevención de Pérdida de Datos), el cual previene la transmisión y copia de información confidencial.

El DLP supervisa constantemente los datos ingresados y tiene la capacidad de identificar y proteger automáticamente la información confidencial y los datos importantes. Al utilizar DLP, si se detecta información sensible, se puede notificar una alerta o bloquear la acción. Esto permite prevenir de manera segura las fugas de información desde el interior de la empresa, manteniendo bajos los costos de gestión. Sin embargo, se requiere un alto nivel de comprensión de los sistemas de seguridad y puede ser difícil implementarlo sin problemas en empresas que no cuentan con un departamento técnico.

Consideración de la implementación de herramientas especializadas

Desde marzo de 2023, ChatGPT ha implementado una API (interfaz de programación de aplicaciones, por sus siglas en inglés, que conecta software, programas y servicios web) que permite prevenir la fuga de datos enviados a ChatGPT.

Aunque los datos enviados a través de la API no se utilizan para el aprendizaje o la mejora del sistema, se almacenan durante 30 días para “monitorear el uso indebido o el abuso” antes de ser eliminados, según la nueva política de retención de datos. Cabe mencionar que, en caso de “requerimientos legales”, el período de retención de datos podría extenderse.

Incluso con esta configuración que impide el uso de ChatGPT para el aprendizaje o la mejora, los datos se almacenan en el servidor por un tiempo determinado, lo que teóricamente presenta un riesgo de fuga de información. Por lo tanto, es necesario tener mucho cuidado al ingresar información confidencial o personal.

OpenAI, sin embargo, da gran importancia a la privacidad de los usuarios y la seguridad de los datos, y ha implementado estrictas medidas de seguridad. Para un uso más seguro, se recomienda la implementación del servicio ‘Azure OpenAI Service’, que permite medidas de seguridad avanzadas.

El ‘Azure OpenAI Service’, una herramienta especializada para empresas, no recopila los datos ingresados a ChatGPT a través de la API. Además, si se solicita la opción de exclusión y se aprueba, se puede rechazar la retención y el monitoreo de los datos ingresados durante 30 días, lo que permite evitar el riesgo de fuga de información.

Cómo configurar ChatGPT para que no aprenda la información confidencial ingresada

Como se mencionó anteriormente, ChatGPT tiene un mecanismo por el cual aprende todo el contenido opt-in, por lo que, a partir del 25 de abril de 2023, cuenta con una función que permite configurar previamente el opt-out.

Como medida preventiva directa, si desea rechazar que los datos ingresados en ChatGPT sean utilizados para el aprendizaje o la mejora del sistema, será necesario realizar una solicitud de “opt-out”. ChatGPT dispone de un formulario de Google para el “opt-out”, por lo que es recomendable completar este procedimiento. (Se debe ingresar y enviar la dirección de correo electrónico, la ID de la organización y el nombre de la organización)

Sin embargo, incluso en este caso, los datos ingresados se guardarán en el servidor y estarán sujetos a supervisión por parte de OpenAI durante un período determinado (en principio, 30 días).

Términos de uso de ChatGPT

3. Contenido

(c) Uso del contenido para mejorar el servicio

No utilizamos el Contenido que usted proporciona o recibe de nuestra API (“Contenido de la API”) para desarrollar o mejorar nuestros Servicios.

Nosotros no utilizamos el Contenido que usted proporciona o recibe de nuestra API (“Contenido de la API”) para desarrollar o mejorar nuestros Servicios.

Podemos utilizar el Contenido de Servicios distintos a nuestra API (“Contenido No-API”) para ayudar a desarrollar y mejorar nuestros Servicios.

Nosotros podemos utilizar el Contenido de Servicios que no son de nuestra API (“Contenido No-API”) para ayudar a desarrollar y mejorar nuestros Servicios.

Si no desea que su Contenido No-API sea utilizado para mejorar los Servicios, puede optar por no participar llenando este formulario[ja]. Tenga en cuenta que en algunos casos esto puede limitar la capacidad de nuestros Servicios para abordar mejor su caso de uso específico.

Si usted no desea que su Contenido No-API sea utilizado para la mejora de los Servicios, puede optar por no participar rellenando este formulario.

Tenga en cuenta que, en algunos casos, esto podría limitar la capacidad de nuestros Servicios para atender de manera más adecuada su caso de uso específico.

Referencia: Sitio oficial de OpenAI | Términos de uso de ChatGPT https://openai.com/policies/terms-of-use[ja]

Conclusión: El uso de ChatGPT en los negocios requiere medidas esenciales para el manejo de información confidencial

Hemos explicado los riesgos de fuga de información confidencial y las medidas correspondientes en el uso de ChatGPT en los negocios, basándonos en ejemplos concretos.

En el negocio de la IA, que continúa evolucionando rápidamente, como es el caso de ChatGPT, es indispensable tomar medidas en colaboración con expertos, desde la creación de directrices para el uso interno, la evaluación de la legalidad del modelo de negocio, la redacción de contratos y términos de uso, la protección de los derechos de propiedad intelectual, hasta la respuesta a la privacidad.

Artículo relacionado: ¿Qué es la ley relacionada con Web3? También explicamos los puntos clave para las empresas que entran en este campo[ja]

Medidas de Nuestra Firma

Monolith Law Office es un despacho de abogados con amplia experiencia en IT, especialmente en Internet y derecho. El negocio de la IA conlleva numerosos riesgos legales, y el apoyo de abogados especializados en cuestiones legales relacionadas con la IA es esencial.

Nuestra firma cuenta con un equipo de abogados y ingenieros expertos en IA que proporcionan un avanzado soporte legal para negocios de IA, incluyendo ChatGPT, como la creación de contratos, la evaluación de la legalidad de modelos de negocio, la protección de derechos de propiedad intelectual y la gestión de la privacidad. Los detalles se encuentran en el artículo a continuación.

Áreas de práctica de Monolith Law Office: Asuntos legales de IA (incluyendo ChatGPT)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Volver arriba