MONOLITH 律師事務所+81-3-6262-3248平日 10:00-18:00 JST [English Only]

MONOLITH LAW MAGAZINE

IT

ChatGPT在企業導入時的風險:解說機密信息洩露案例及對策

IT

ChatGPT在企業導入時的風險:解說機密信息洩露案例及對策

企業內對於ChatGPT的導入正逐漸增加。雖然其有用性受到廣泛關注,但有幾點必須注意。其中之一便是絕對不可向ChatGPT輸入機密信息。實際上,在國外已有因輸入機密信息而導致企業重大機密洩露的案例。

本文將由律師詳細解說,在日益進化的ChatGPT商業應用中,如何圍繞機密信息洩露風險,提供案例分析及應採取的預防措施。

不應向ChatGPT輸入機密資訊的原因

ChatGPT雖然方便,但由於它是透過學習網絡上的大數據和使用數據來生成的AI聊天機器人,如果不採取任何措施,輸入的機密資訊可能會有被洩露的風險。

關於機密資訊洩露風險的對策,本所稍後將詳細解說。但首先,讓本所來談談除了ChatGPT相關的機密資訊洩露風險之外的其他風險。

ChatGPT應用於企業時,除了機密資訊洩露外的其他風險

ChatGPT目前正處於許多企業進行導入驗證的階段。因此,在決定是否將其用於商業活動之前,有必要充分理解相關風險。

除了機密資訊(包括個人資訊)洩露的安全風險外,企業在使用ChatGPT時可能面臨以下兩大風險:

  • 輸出資訊的可信度風險
  • 輸入輸出資訊的著作權侵害風險

接下來將對這些風險進行詳細解說。

輸出資訊的可信度不足

在2023年3月14日公開的GPT-4中,由於新增了搜尋功能,因此能夠提供最新的資訊。然而,ChatGPT在回答問題時,雖然會將資訊呈現得宛如真實,但其可信度並未得到保證。ChatGPT生成的回應不是基於學習數據的準確性,而是根據概率生成被認為最可能的文本。因此,在使用這些輸出結果之前,進行事實核查是不可或缺的。如果企業不慎發布虛假資訊,可能會損害企業本身的信譽。

著作權侵害等法律風險

著作權侵害等法律風險

在ChatGPT的著作權侵害判斷中,「AI開發・學習階段」與「生成・利用階段」的判斷是不同的。由於這兩個階段中涉及的著作物使用行為不同,因此適用的著作權法條文也不同。所以,必須分開考慮這兩者。

參考:日本文化廳|令和5年(2023年)度著作權研討會「AI與著作權」[ja]

在2019年1月施行的修正著作權法中,新增了針對「AI開發・學習階段」的權利限制規定(第30條之4),規定了不以享受著作物所表達的思想或情感為目的的利用行為,如資訊分析等AI開發活動,原則上可以不經著作權人許可進行。

另一方面,如果ChatGPT輸出的生成物與著作物存在類似性或依賴性(改編),則可能構成著作權侵害。因此,在公開之前,需要確認ChatGPT參考的資訊的權利人,並檢查ChatGPT創建的內容是否有類似之處。在引用著作物時,應明確標示出處(權利限制規定),或在轉載時獲得著作權人的使用許可,並進行適當處理。

如果被著作權人指出著作權侵害,可能會面臨民事責任(損害賠償、慰問金、使用禁止、名譽恢復等法律措施)或刑事責任(親告罪)。

ChatGPT輸入機密資訊引發問題的案例

2023年3月30日,韓國媒體「EConomist」報導,三星電子的半導體部門允許使用ChatGPT後,發生了三起輸入機密資訊的事件。

儘管三星電子已在內部提醒員工注意資訊安全,但仍有員工在請求程式修改時傳送了源代碼(兩起事件),以及有員工在製作會議記錄時不慎傳送了會議內容。

這些事件發生後,該公司作為緊急措施,限制了向ChatGPT提問時的上傳容量。公司還表示,如果類似事件再次發生,可能會切斷與ChatGPT的連接。

此外,沃爾瑪和亞馬遜也警告員工不要在聊天機器人中分享機密資訊。亞馬遜的律師表示,已經發現ChatGPT的回應與亞馬遜內部數據相似的案例,這暗示了數據可能被用於學習。

如何採取措施,防止在使用ChatGPT時洩露機密信息

OpenAI在其使用條款等文件中說明,為了系統改進,會將輸入的數據用於學習等目的,並要求用戶不要傳送敏感信息。

本章將介紹在硬體與軟體方面,防止使用ChatGPT時洩露機密信息的四項措施。

制定公司內部使用指南

制定公司內部使用指南

在企業導入ChatGPT時,提升個人的資訊安全素養和進行社內再培訓固然重要,但制定適合本公司的ChatGPT使用指南也是非常可取的。

2023年(令和5年)5月1日,一般社團法人日本深度學習協會(Japanese JDLA)整理了ChatGPT的倫理、法律及社會問題(ELSI)的討論點,並公開了「生成AI的使用指南」。在產、學、官各領域也開始著手制定指南。

參考這些資料,制定明確的公司內ChatGPT使用規則指南,可以期待達到一定程度的風險規避。

參考:一般社團法人日本深度學習協會(Japanese JDLA)|生成AI的使用指南[ja]

採用技術以防止機密資訊外洩

為了預防因人為錯誤導致的機密資訊洩露,本所可以採用稱為DLP(Data Loss Prevention,資料遺失預防)的系統,這是一種專門為防止特定資料洩露而設計的系統,能夠防止機密資訊的傳送和複製。

DLP是一種持續監控輸入資料的功能,能夠自動識別並保護機密資訊和重要資料。使用DLP時,一旦檢測到秘密資訊,系統便能發出警報或阻止操作。這樣可以在控制管理成本的同時,確實防止內部資訊洩露。然而,這需要對安全系統有深入的理解,對於沒有技術部門的公司來說,順利導入可能會有一定的困難。

考慮導入專用工具

自2023年3月起,ChatGPT通過API(Application Programming Interface的縮寫,是軟件或程式、網絡服務之間的介面)的使用,得以防止向ChatGPT發送的數據外洩。

雖然透過API傳送的數據不會被用於學習或改進,但為了「防止不當使用或誤用的監控」,這些數據將被保留30天後刪除。此外,若收到「法律要求」,數據的保留期限可能會延長。

即使設定ChatGPT不用於學習或改進,數據在一定期間內仍會被伺服器端保存,因此從理論上講,信息洩露的風險仍然存在。因此,在輸入機密信息或個人信息時,需要格外小心。

然而,OpenAI非常重視用戶隱私和數據安全,並採取了嚴格的安全措施。若想更安全地使用,建議導入具有高級安全措施的工具「Azure OpenAI Service」。

針對企業專用的工具「Azure OpenAI Service」,通過API輸入到ChatGPT的數據不會被收集。此外,一旦申請退出並通過審核,原則上可以拒絕30天的數據保留和監控,從而避免信息洩露的風險。

如何設定ChatGPT以防止學習輸入的機密信息

正如上述,ChatGPT會學習所有選擇加入的內容,因此從2023年4月25日起,提供了事先設定為選擇退出的功能。

作為直接的預防措施,如果您不希望ChatGPT使用您輸入的數據進行學習和改進,則需要提交「選擇退出」申請。ChatGPT提供了一個「選擇退出」的Google表單,您應該確保完成這個程序。(輸入並提交您的電子郵件地址、組織ID和組織名稱)

然而,即使在這種情況下,OpenAI仍會在一定期間(原則上是30天)監控您的數據,並且伺服器端仍會保存輸入數據。

ChatGPT使用條款

3.內容

(c) 使用內容以改善服務

本所不會使用您提供給本所的API或從本所的API收到的內容(「API內容」)來開發或改進本所的服務。

本所可能會使用來自本所API以外的服務的內容(「非API內容」)來幫助開發和改進本所的服務。

如果您不希望您的非API內容被用來改進服務,您可以通過填寫此表單來選擇退出。請注意,在某些情況下,這可能會限制本所的服務更好地解決您的特定用例的能力。

引用:OpenAI官方網站|ChatGPT使用條款 https://openai.com/policies/terms-of-use

總結:在商業應用中使用ChatGPT必須針對機密信息的處理採取措施

以上,本所根據實例解釋了在商業應用ChatGPT時,機密信息洩露的風險及其對策。

在如ChatGPT這樣迅速進化的AI商業應用中,從制定公司內部使用指南、檢視商業模式的合法性、起草契約和使用條款、保護知識產權、到隱私保護等方面,都必須與專家合作制定相應對策。

相關文章:什麼是Web3相關法律?也解釋了進入該領域企業需要掌握的要點[ja]

本所提供的對策介紹

Monolith法律事務所是一家在IT領域,特別是互聯網和法律方面擁有豐富經驗的律師事務所。AI業務伴隨著許多法律風險,因此獲得精通AI相關法律問題的律師支持是至關重要的。

本所擁有精通AI的律師與工程師等專業團隊,為包括ChatGPT在內的AI業務提供高級法律支持,包括契約書撰寫、業務模式的合法性審查、知識產權保護、隱私權處理等。詳細內容已在下列文章中說明。

Monolith法律事務所的業務範圍:AI(包括ChatGPT等)法務[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

返回頂部