ChatGPT:n tietovuotoriskit – Esittelyssä neljä toimenpidettä, jotka kannattaa ottaa käyttöön
Viime aikoina paljon huomiota on saanut “ChatGPT”. Se on generatiivinen tekoäly, joka pystyy tuottamaan tekstiä, ohjelmointia, nuotteja ja piirroksia, ja se on herättänyt kiinnostusta monilla eri aloilla.
ChatGPT:n “GPT” tarkoittaa “Generative Pre-training Transformeria”, ja se kykenee käymään luonnollista keskustelua ihmisen tavoin, koska se on ennakkoon opetettu suurilla määriä tekstiä, kuvia ja ääntä (laajennusominaisuuksia) sisältävillä tiedoilla.
Koska ChatGPT pystyy käsittelemään monimutkaisia tehtäviä, se on saanut paljon huomiota työtehtävien tehokkuuden ja kustannustehokkuuden parantamisen välineenä. ChatGPT:n käyttö on jo edennyt monilla aloilla, ja monet teknologiayritykset ovat myös aloittaneet omien AI-järjestelmiensä kehittämisen.
Näin ollen, ChatGPT:n ja muiden AI-teknologioiden tarjoamien monien liiketoimintamahdollisuuksien ohella on myös tunnistettu potentiaalisia riskejä, kuten tekijänoikeusongelmat, väärän tiedon leviäminen, luottamuksellisen tiedon vuotaminen, yksityisyyden suojaan liittyvät ongelmat ja kyberhyökkäysten väärinkäyttö.
Tässä artikkelissa asianajaja selittää, mitä toimenpiteitä tulisi harkita erityisesti ChatGPT:n käytön yhteydessä ilmenevien tietovuotojen riskien osalta.
ChatGPT:n tietovuotoihin liittyvät riskit
Yritysten ChatGPT:n käyttöönottoon liittyvät riskit voidaan pääasiassa jakaa neljään kohtaan:
- Turvallisuusriskit (tietovuodot, tarkkuus, haavoittuvuudet, saatavuus jne.)
- Tekijänoikeusrikkomusten riskit
- Väärinkäytön riskit (esimerkiksi kyberhyökkäykset)
- Eettiset haasteet
ChatGPT:n tietovuotoriski tarkoittaa sitä, että jos ChatGPT:lle syötetään luottamuksellista tietoa, on olemassa riski, että tämä tieto voi tulla OpenAI:n työntekijöiden tai muiden käyttäjien nähtäväksi tai sitä voidaan käyttää oppimisaineistona.
OpenAI:n datankäyttöpolitiikan mukaan, ellei käyttäjä käytä ChatGPT:n “API:a” tai hae “opt-out” -poikkeusta, OpenAI voi kerätä ja käyttää (oppia) käyttäjän ChatGPT:lle syöttämää dataa (tästä kerromme lisää myöhemmin).
ChatGPT:n käytöstä johtuneet tietovuodot
Tässä esittelemme tapauksia, joissa ChatGPT:n käytön seurauksena rekisteröidyt henkilötiedot tai syötetyt luottamukselliset tiedot ovat vuotaneet.
Henkilötietojen vuotaminen
24. maaliskuuta 2023 OpenAI ilmoitti, että osalla käyttäjistä oli esiintynyt bugi, joka näytti toisen käyttäjän luottokortin neljä viimeistä numeroa ja kortin voimassaoloajan kaltaisia henkilötietoja. Tämän vuoksi ChatGPT oli otettu lyhyeksi aikaa offline-tilaan 20. maaliskuuta. Vuotaneet henkilötiedot koskivat osaa ‘ChatGPT Plus’ -maksullisen suunnitelman tilaajista (noin 1,2 % jäsenistä).
Lisäksi samanaikaisesti tämän bugin kanssa ilmoitettiin myös toisen bugin, joka näytti käyttäjille toisten käyttäjien chat-historiaa.
Seurauksena 31. maaliskuuta 2023 Italian tietosuojaviranomainen antoi OpenAI:lle parannusmääräyksen, jossa se asetti väliaikaisia rajoituksia ChatGPT:n kautta kerätyn ja tallennetun henkilödatan käsittelylle, koska sille ei ollut oikeudellista perustaa. OpenAI reagoi estämällä pääsyn ChatGPT:hen Italiasta. Tämä esto poistettiin 28. huhtikuuta samana vuonna, kun OpenAI oli parantanut henkilötietojen käsittelyään.
Yrityksen sisäisten luottamuksellisten tietojen vuotaminen
Helmikuussa 2023 yhdysvaltalainen kyberturvallisuusyritys Cyberhaven julkaisi raportin asiakkailleen ChatGPT:n käytöstä.
Raportin mukaan Cyberhavenin tuotteita käyttävistä asiakasyrityksistä 1,6 miljoonaa työntekijää, joista 8,2 % oli tietotyöläisiä, oli käyttänyt ChatGPT:tä työpaikalla ainakin kerran, ja näistä 3,1 % oli syöttänyt ChatGPT:lle yrityksen luottamuksellisia tietoja.
Lisäksi Etelä-Koreasta raportoitiin tapaus, jossa 30. maaliskuuta 2023 korealainen media ‘Economist’ uutisoi, että Samsung Electronicsin eräs osasto oli sallinut ChatGPT:n käytön, minkä seurauksena oli syötetty luottamuksellisia tietoja ohjelmaan. Samsung Electronics oli kyllä muistuttanut sisäisestä tietoturvasta, mutta silti työntekijöitä oli syöttänyt ohjelmaan muun muassa lähdekoodia ja kokousten sisältöjä.
Tällaisessa tilanteessa jotkin maat ja yritykset ovat asettaneet rajoituksia ChatGPT:n käytölle, kun taas toiset ovat omaksuneet suosittelevan linjan. ChatGPT:n käyttöönottoa harkittaessa on tärkeää ymmärtää tietovuotojen riskien suuruus.
Neljä keinoa estää tietovuodot ChatGPT:n avulla
Tietovuoto voi aiheuttaa paitsi juridisia seuraamuksia, myös merkittäviä luottamuksen ja maineen menetyksiä. Tästä syystä on tärkeää kehittää ja ylläpitää tehokasta tietojenhallintajärjestelmää ja henkilöstön koulutusta tietovuotojen estämiseksi.
Tässä artikkelissa esittelemme neljä keinoa, joilla voit estää tietovuotoja ChatGPT:n avulla.
Toimenpide 1: Käyttösääntöjen laatiminen
Ensimmäisenä askeleena määritellään yrityksen kanta ChatGPT:n käyttöön ja sisällytetään ChatGPT:n käyttöä koskevat asiat yrityksen sisäisiin määräyksiin. On tärkeää päättää selkeät säännöt, kuten ettei henkilökohtaisia tai luottamuksellisia tietoja syötetä palveluun, ja toimia näiden sääntöjen mukaisesti.
Tässä yhteydessä on suositeltavaa laatia yrityskohtaiset ChatGPT:n käyttöohjeet. Lisäksi on huolehdittava siitä, että ChatGPT:n käyttöä koskevat asiat otetaan mukaan ulkoisiin sopimuksiin.
1. toukokuuta 2023 (Reiwa 5), Japanin yleishyödyllinen yhdistys Japan Deep Learning Association (JDLA) kokosi yhteen ChatGPT:n eettisiä, oikeudellisia ja yhteiskunnallisia kysymyksiä (ELSI) ja julkaisi “Generatiivisen AI:n käyttöohjeet”.
Teollisuuden, akateemisen maailman ja hallinnon eri sektoreilla on myös aloitettu ohjeistusten laatimisen harkinta. Nämä ohjeet huomioon ottaen ja yrityskohtaiset ChatGPT:n käyttösäännöt kirjallisesti vahvistamalla voidaan odottaa tietynlaista riskien välttämistä.
Viite: Japanin yleishyödyllinen yhdistys Japan Deep Learning Association (JDLA)|Generatiivisen AI:n käyttöohjeet[ja]
Kuitenkin, ellei laadittuja ohjeita tunneta ja noudateta kattavasti, ne eivät ole merkityksellisiä. Pelkät ohjeet eivät ole riittävä toimenpide.
Toimenpide 2: Tietovuotojen estämiseen tähtäävän järjestelmän kehittäminen
Inhimillisten virheiden ehkäisemiseksi voidaan ottaa käyttöön DLP (Data Loss Prevention) -järjestelmä, joka on suunniteltu estämään tiettyjen tietojen vuotaminen. Tämän avulla on mahdollista estää luottamuksellisten tietojen lähettäminen ja kopiointi.
DLP on järjestelmä, joka valvoo jatkuvasti dataa, ei käyttäjiä, ja tunnistaa sekä suojaa automaattisesti luottamukselliset ja tärkeät tiedot. DLP:n avulla voidaan, kun salaisia tietoja havaitaan, lähettää hälytyksiä tai estää toimintoja.
Se mahdollistaa sisäisten tietovuotojen varman estämisen hallintakustannuksia säästäen, mutta vaatii syvällistä ymmärrystä turvajärjestelmistä, ja teknologiaosastoa vailla oleville yrityksille sen sujuva käyttöönotto voi olla haastavaa.
Toimenpide 3: Tietovuotoja estävien työkalujen käyttö
Kuten aiemmin mainitsimme, suorana ennaltaehkäisevänä toimenpiteenä voit hakea “opt-out” -vaihtoehtoa, jolla voit kieltäytyä ChatGPT:n syöttämiesi tietojen keräämisestä.
Voit hakea “opt-out” -vaihtoehtoa ChatGPT:n asetusvalikosta. Kuitenkin, kun haet opt-out -vaihtoehtoa, et enää näe komentojesi historiaa, mikä voi tuntua monista epäkäytännölliseltä.
Opt-out-asetuksen lisäksi voit ottaa käyttöön työkaluja, jotka hyödyntävät ChatGPT:n “API:a”.
“API (Application Programming Interface)” tarkoittaa rajapintaa, jonka OpenAI on julkaissut ja jonka avulla voit integroida ChatGPT:n omiin palveluihisi tai ulkoisiin työkaluihin. OpenAI on ilmoittanut, että se ei käytä API:n kautta lähetettyjä tai vastaanotettuja tietoja palveluidensa kehittämiseen tai parantamiseen.
Tämä on myös selkeästi ilmaistu ChatGPT:n käyttöehdoissa. Käyttöehtojen mukaan:
3. Sisältö
(c) Sisällön käyttö palveluiden parantamiseksi
Emme käytä sisältöä, jonka toimitat tai vastaanotat API:stamme (“API-sisältö”), palveluidemme kehittämiseen tai parantamiseen.
Saattaisimme käyttää sisältöä muista kuin API-palveluistamme (“ei-API-sisältö”) auttaaksemme palveluidemme kehittämisessä ja parantamisessa.
Jos et halua, että ei-API-sisältöäsi käytetään palveluiden parantamiseen, voit kieltäytyä täyttämällä tämän lomakkeen. Huomaa, että joissakin tapauksissa tämä saattaa rajoittaa palveluidemme kykyä vastata paremmin erityiseen käyttötapaukseesi.
Lähde: OpenAI:n virallinen sivusto|ChatGPT:n käyttöehdot
Toimenpide 4: IT-lukutaidon sisäiset koulutukset
Aiemmin esittelemiemme toimenpiteiden lisäksi on tärkeää järjestää sisäisiä koulutuksia ja näin parantaa yrityksen työntekijöiden tietoturvatietoisuutta.
Esimerkiksi Samsung Electronicsin tapauksessa, vaikka yrityksessä kiinnitettiin huomiota tietoturvaan, salaisen tiedon syöttäminen johti tietovuotoon. Järjestelmätason tietovuotojen estämisen lisäksi on suositeltavaa toteuttaa sisäisiä koulutuksia ChatGPT:stä ja IT-lukutaidosta.
Toimenpiteet ChatGPT:n kautta tapahtuneen tietovuodon sattuessa
Mikäli tietovuoto sattuu, on tärkeää nopeasti ryhtyä toimenpiteisiin, kuten faktatilanteen selvittämiseen ja vastatoimiin.
Kun kyseessä on henkilötietojen vuoto, on henkilötietojen suojaa koskevan Japanin ~henkilötietolain mukaan velvollisuus ilmoittaa tapahtuneesta henkilötietojen suojasta vastaavalle komissiolle. Lisäksi on tarpeen ilmoittaa asianomaiselle henkilölle tapahtuneesta. Henkilötietojen vuodon seurauksena, jos toisen osapuolen oikeuksia tai etuja on loukattu, voi seurata siviilioikeudellinen vahingonkorvausvastuu. Lisäksi, jos henkilötietoja on varastettu tai luovutettu laittomasti, voi seurata myös rikosoikeudellisia seuraamuksia.
Liikesalaisuuksien tai teknisen tiedon vuodossa voidaan Japanin ~epäreilun kilpailun estämistä koskevan lain mukaisesti vaatia vuotokohteelta tietojen poistamista tai muita toimenpiteitä. Jos liikesalaisuuden tai teknisen tiedon vuoto on tuottanut toiselle osapuolelle perusteetonta etua, voi seurata siviilioikeudellinen vahingonkorvausvastuu. Lisäksi, jos liikesalaisuuksia tai teknistä tietoa on hankittu tai käytetty laittomin keinoin, voi seurata rikosoikeudellisia seuraamuksia.
Jos tietoja on vuodettu rikkomalla työtehtävien yhteydessä olevaa vaitiolovelvollisuutta, voi Japanin ~rikoslain tai muiden lakien mukaan seurata rikosoikeudellisia seuraamuksia. Lisäksi, jos vaitiolovelvollisuuden rikkominen on aiheuttanut toiselle osapuolelle vahinkoa, voi seurata siviilioikeudellinen vahingonkorvausvastuu.
Näin ollen on tärkeää reagoida nopeasti vuodetun tiedon luonteen mukaisesti ja rakentaa etukäteen järjestelmä tällaisia tilanteita varten.
Liittyvä artikkeli: Mitä yritysten tulisi tehdä tietovuodon sattuessa[ja]
Liittyvä artikkeli: Mitä tehdä, kun henkilötietovuoto tapahtuu? Yrityksen hallinnolliset toimenpiteet selitettynä[ja]
Yhteenveto: Valmistaudu ChatGPT:n tietovuotoriskeihin
Tässä osiossa olemme käsitelleet ChatGPT:n tietovuotoriskejä ja niiden varalta toteutettavia toimenpiteitä. On suositeltavaa, että konsultoit kokenutta lakimiestä, joka on perehtynyt ChatGPT:n kaltaisten nopeasti kehittyvien AI-teknologioiden käyttöön liittyviin oikeudellisiin riskeihin, ja varmistat, että yrityksesi on valmistautunut näihin riskeihin sopivalla tavalla.
Ei pelkästään tietovuotojen varalta, vaan myös AI-pohjaisten liiketoimintamallien laillisuuden arvioinnissa, sopimusten ja käyttöehtojen laatimisessa, immateriaalioikeuksien suojelussa sekä yksityisyyden suojaamisessa on turvallista työskennellä yhteistyössä lakimiehen kanssa, jolla on sekä AI että oikeudellista asiantuntemusta ja kokemusta.
Toimenpiteemme esittely
Monolith Lakitoimisto on IT-alan, erityisesti internetin ja oikeudellisten kysymysten, rikkaan kokemuksen omaava lakitoimisto. AI-liiketoimintaan liittyy monia oikeudellisia riskejä, ja AI:n oikeudellisiin ongelmiin perehtyneen asianajajan tuki on välttämätöntä. Toimistomme tarjoaa AI:hin erikoistuneiden asianajajien ja insinöörien tiimin avulla korkeatasoista oikeudellista tukea AI-liiketoiminnalle, mukaan lukien ChatGPT, sopimusten laatimisessa, liiketoimintamallien laillisuuden arvioinnissa, immateriaalioikeuksien suojelussa ja yksityisyyden suojaamisessa. Lisätietoja on kirjoitettu alla olevassa artikkelissa.
Monolith Lakitoimiston palvelualueet: AI (muun muassa ChatGPT) oikeudelliset palvelut[ja]
Category: IT
Tag: ITTerms of Use
