ChatGPT在企業導入時的風險:解說機密信息洩露案例及對策
企業內對於ChatGPT的導入正逐漸增加。雖然其有用性受到廣泛關注,但有幾點必須注意。其中之一便是絕對不可向ChatGPT輸入機密信息。實際上,在國外已有因輸入機密信息而導致企業重大機密洩露的案例。
本文將由律師詳細解說,在日益進化的ChatGPT商業應用中,如何圍繞機密信息洩露風險,提供案例分析及應採取的預防措施。
不應向ChatGPT輸入機密資訊的原因
ChatGPT雖然方便,但由於它是透過學習網絡上的大數據和使用數據來生成的AI聊天機器人,如果不採取任何措施,輸入的機密資訊可能會有被洩露的風險。
關於機密資訊洩露風險的對策,本所稍後將詳細解說。但首先,讓本所來談談除了ChatGPT相關的機密資訊洩露風險之外的其他風險。
ChatGPT應用於企業時,除了機密資訊洩露外的其他風險
ChatGPT目前正處於許多企業進行導入驗證的階段。因此,在決定是否將其用於商業活動之前,有必要充分理解相關風險。
除了機密資訊(包括個人資訊)洩露的安全風險外,企業在使用ChatGPT時可能面臨以下兩大風險:
- 輸出資訊的可信度風險
- 輸入輸出資訊的著作權侵害風險
接下來將對這些風險進行詳細解說。
輸出資訊的可信度不足
在2023年3月14日公開的GPT-4中,由於新增了搜尋功能,因此能夠提供最新的資訊。然而,ChatGPT在回答問題時,雖然會將資訊呈現得宛如真實,但其可信度並未得到保證。ChatGPT生成的回應不是基於學習數據的準確性,而是根據概率生成被認為最可能的文本。因此,在使用這些輸出結果之前,進行事實核查是不可或缺的。如果企業不慎發布虛假資訊,可能會損害企業本身的信譽。
著作權侵害等法律風險
在ChatGPT的著作權侵害判斷中,「AI開發・學習階段」與「生成・利用階段」的判斷是不同的。由於這兩個階段中涉及的著作物使用行為不同,因此適用的著作權法條文也不同。所以,必須分開考慮這兩者。
參考:日本文化廳|令和5年(2023年)度著作權研討會「AI與著作權」[ja]
在2019年1月施行的修正著作權法中,新增了針對「AI開發・學習階段」的權利限制規定(第30條之4),規定了不以享受著作物所表達的思想或情感為目的的利用行為,如資訊分析等AI開發活動,原則上可以不經著作權人許可進行。
另一方面,如果ChatGPT輸出的生成物與著作物存在類似性或依賴性(改編),則可能構成著作權侵害。因此,在公開之前,需要確認ChatGPT參考的資訊的權利人,並檢查ChatGPT創建的內容是否有類似之處。在引用著作物時,應明確標示出處(權利限制規定),或在轉載時獲得著作權人的使用許可,並進行適當處理。
如果被著作權人指出著作權侵害,可能會面臨民事責任(損害賠償、慰問金、使用禁止、名譽恢復等法律措施)或刑事責任(親告罪)。
ChatGPT輸入機密資訊引發問題的案例
2023年3月30日,韓國媒體「EConomist」報導,三星電子的半導體部門允許使用ChatGPT後,發生了三起輸入機密資訊的事件。
儘管三星電子已在內部提醒員工注意資訊安全,但仍有員工在請求程式修改時傳送了源代碼(兩起事件),以及有員工在製作會議記錄時不慎傳送了會議內容。
這些事件發生後,該公司作為緊急措施,限制了向ChatGPT提問時的上傳容量。公司還表示,如果類似事件再次發生,可能會切斷與ChatGPT的連接。
此外,沃爾瑪和亞馬遜也警告員工不要在聊天機器人中分享機密資訊。亞馬遜的律師表示,已經發現ChatGPT的回應與亞馬遜內部數據相似的案例,這暗示了數據可能被用於學習。
如何採取措施,防止在使用ChatGPT時洩露機密信息
OpenAI在其使用條款等文件中說明,為了系統改進,會將輸入的數據用於學習等目的,並要求用戶不要傳送敏感信息。
本章將介紹在硬體與軟體方面,防止使用ChatGPT時洩露機密信息的四項措施。
制定公司內部使用指南
在企業導入ChatGPT時,提升個人的資訊安全素養和進行社內再培訓固然重要,但制定適合本公司的ChatGPT使用指南也是非常可取的。
2023年(令和5年)5月1日,一般社團法人日本深度學習協會(Japanese JDLA)整理了ChatGPT的倫理、法律及社會問題(ELSI)的討論點,並公開了「生成AI的使用指南」。在產、學、官各領域也開始著手制定指南。
參考這些資料,制定明確的公司內ChatGPT使用規則指南,可以期待達到一定程度的風險規避。
參考:一般社團法人日本深度學習協會(Japanese JDLA)|生成AI的使用指南[ja]
採用技術以防止機密資訊外洩
為了預防因人為錯誤導致的機密資訊洩露,本所可以採用稱為DLP(Data Loss Prevention,資料遺失預防)的系統,這是一種專門為防止特定資料洩露而設計的系統,能夠防止機密資訊的傳送和複製。
DLP是一種持續監控輸入資料的功能,能夠自動識別並保護機密資訊和重要資料。使用DLP時,一旦檢測到秘密資訊,系統便能發出警報或阻止操作。這樣可以在控制管理成本的同時,確實防止內部資訊洩露。然而,這需要對安全系統有深入的理解,對於沒有技術部門的公司來說,順利導入可能會有一定的困難。
考慮導入專用工具
自2023年3月起,ChatGPT通過API(Application Programming Interface的縮寫,是軟件或程式、網絡服務之間的介面)的使用,得以防止向ChatGPT發送的數據外洩。
雖然透過API傳送的數據不會被用於學習或改進,但為了「防止不當使用或誤用的監控」,這些數據將被保留30天後刪除。此外,若收到「法律要求」,數據的保留期限可能會延長。
即使設定ChatGPT不用於學習或改進,數據在一定期間內仍會被伺服器端保存,因此從理論上講,信息洩露的風險仍然存在。因此,在輸入機密信息或個人信息時,需要格外小心。
然而,OpenAI非常重視用戶隱私和數據安全,並採取了嚴格的安全措施。若想更安全地使用,建議導入具有高級安全措施的工具「Azure OpenAI Service」。
針對企業專用的工具「Azure OpenAI Service」,通過API輸入到ChatGPT的數據不會被收集。此外,一旦申請退出並通過審核,原則上可以拒絕30天的數據保留和監控,從而避免信息洩露的風險。
如何設定ChatGPT以防止學習輸入的機密信息
正如上述,ChatGPT會學習所有選擇加入的內容,因此從2023年4月25日起,提供了事先設定為選擇退出的功能。
作為直接的預防措施,如果您不希望ChatGPT使用您輸入的數據進行學習和改進,則需要提交「選擇退出」申請。ChatGPT提供了一個「選擇退出」的Google表單,您應該確保完成這個程序。(輸入並提交您的電子郵件地址、組織ID和組織名稱)
然而,即使在這種情況下,OpenAI仍會在一定期間(原則上是30天)監控您的數據,並且伺服器端仍會保存輸入數據。
ChatGPT使用條款
3.內容
(c) 使用內容以改善服務
本所不會使用您提供給本所的API或從本所的API收到的內容(「API內容」)來開發或改進本所的服務。
本所可能會使用來自本所API以外的服務的內容(「非API內容」)來幫助開發和改進本所的服務。
如果您不希望您的非API內容被用來改進服務,您可以通過填寫此表單來選擇退出。請注意,在某些情況下,這可能會限制本所的服務更好地解決您的特定用例的能力。
引用:OpenAI官方網站|ChatGPT使用條款 https://openai.com/policies/terms-of-use
總結:在商業應用中使用ChatGPT必須針對機密信息的處理採取措施
以上,本所根據實例解釋了在商業應用ChatGPT時,機密信息洩露的風險及其對策。
在如ChatGPT這樣迅速進化的AI商業應用中,從制定公司內部使用指南、檢視商業模式的合法性、起草契約和使用條款、保護知識產權、到隱私保護等方面,都必須與專家合作制定相應對策。
相關文章:什麼是Web3相關法律?也解釋了進入該領域企業需要掌握的要點[ja]
本所提供的對策介紹
Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的律師事務所。AI業務伴隨著許多法律風險,因此獲得精通AI相關法律問題的律師支持是至關重要的。
本所擁有精通AI的律師與工程師等專業團隊,為包括ChatGPT在內的AI業務提供高級法律支持,包括契約書撰寫、業務模式的合法性審查、知識產權保護、隱私權處理等。詳細內容已在下列文章中說明。
Monolith法律事務所的業務範圍:AI(包括ChatGPT等)法務[ja]
Category: IT
Tag: ITTerms of Use
