【ChatGPT活用法】情報漏洩リスクに対応した使い方をしよう

この記事では、情報漏洩のリスクが低いChatGPTの使用法について、個人でできる対策を中心にご紹介します。

ChatGPTを使わない人の中には、情報漏洩のリスクが高いとニュースを耳にして「食わず嫌い」をしている方もいらっしゃるのではないでしょうか。

この記事では、ChatGPTを使用する際に、どんな点に注意すれば情報漏洩のリスクが高くならないのかを解説し、個人でできる対策を具体的に紹介します。

ChatGPTによる情報漏洩のリスクを正しく理解して、正しく恐れましょう。

 

ChatGPTを安全に使用する前提条件とは?

ChatGPTはインターネットで提供されているサービスです。

そのため、パソコンやインターネットを使用する環境としてセキュリティが十分でなくてはなりません。

最低限満たすべきセキュリティとして、いくつか確認すべきことをあげてみます。

  • ウイルスソフトの導入や更新

ウイルスソフトの導入は済んでいますか。

毎日のようにパソコンウイルスの亜種が発生しています。ウイルス定義が自動的に更新されるようにしておきましょう。

また、定期的なスキャンも有効です。

  • OSのバージョン

OSの更新が済んでいなければ、できる限り早めに更新をしましょう。

OSに脆弱性が認められた場合、更新されるまでの間にサイバー攻撃を受けることがあります。

  • OSのサポート期間

サポートの終了したOSはセキュリティに脆弱性が認められても、更新されることがありません。

サポートされているOSを使用するようにしましょう。

  • 迷惑メール対策

メールに不審なファイルやリンクが添付されていることがあります。

ファイルやリンク先にはウイルスが仕込まれている可能性があります。

フィルター等を使用して、迷惑メールを受信しないように対策しましょう。

  • Wi-Fiや回線

Wi-Fiや無線回線を使用する場合は、セキュリティの設定を確認しましょう。

無料のWi-Fiや回線には要注意です。

  • パソコンやアプリのパスワード

パソコンやアプリなどに設定しているパスワードは強度の強いものにしましょう。二段階認証ができるものは二段階認証を設定します。

不安な方はセキュリティのプロにお願いする方法もあります。

ChatGPTのSaaSとしてのリスクとは?

SaaS (Software as a Service)とはネットを介して、ソフトウェアアプリケーションを提供するサービスのことを意味します。

ChatGPTに聞いたところ、ChatGPTはクラウド(ネットワークで提供されるサービス全般のこと)ベースのSaaSに分類されるとのことでした。

同じようにクラウドベースのSaaSであるビジネス用のアプリケーションにはみなさんがお使いのものも多いでしょう。

ChatGPTに具体例を挙げてもらったところ、Google Workplace、Slack、Zoomなどの名前が出てきました。

SaaSを利用する際にセキュリティ上、気を付ける点についてChatGPTに聞いたところ、「ChatGPTを安全に使用する前提条件とは?」でご紹介したセキュリティ対策と同じようなものが挙げられました。

ネットワークを利用する際の最低限のセキュリティを整えておけば、SaaSの利用にも最低限のセキュリティ対策が施されていると考えてよさそうです。

しかし、いくらユーザー側が気を付けていたとしても、運営側のミスやサイバー攻撃のため、情報が漏れてしまう可能性はゼロではありません。

そのため、ユーザー側でも情報の取り扱いは慎重にする必要があります。

具体的な対応策については、のちほどご紹介いたします。

ChatGPTの生成AIとしてのリスクとは?

ここからは、生成AIの特性による情報漏洩のリスクについて、説明します。

リスクを説明するためには、AIの学習する仕組みについても簡単にご紹介しなくてはなりません。

生成AIには事前学習するための大量のデータを読み込ませます。

出力にある程度の精度が出たところで運用を開始しますが、さらに追加データを読み込ませて、よりよい回答ができるように学習させます。

ChatGPTの場合、ユーザーの入力内容やフィードバックを学習に利用しています。

つまり、ユーザーがプロンプトに個人情報を入力してしまい、その情報がAIの学習に使われた場合、第三者のプロンプトによっては個人情報が流出してしまう可能性があるということになります。

これが情報漏洩の観点から見たChatGPTの生成AIとしてのリスクです。

実際に過去には、特定の悪意あるプロンプトを入力すると、個人情報が出力されてしまう事象が確認されました(Open AI社によって対応済み)。

それでは、安全にChatGPTを利用するためには、どうしたらいいのでしょうか。

AIの学習について、興味のある方はayakoさんの『【AIの性能向上のカギを握る2つのポイント】「大量のパラメータ」か「人間からのフィードバック」か』も是非、どうぞ。AIの学習の仕組みが分かりやすく説明されています。

個人でできるAI特化型リスク対策

ここからは、誰にでも今日から簡単にできる具体的なリスク対策をご紹介します。

個人情報、機密事項、プライバシーに関わる情報は入力しない

個人情報、機密事項、プライバシーに関わる情報を入力しなければ、流出もしません。

取り扱いの難しい情報に関しては、入力しないのが何よりも一番の対策になります。

ChatGPTの設定を変更する

入力をしない方法以外では、個人でできる対策としては一番手軽かもしれません。

ChatGPT上で、チャット履歴を保存せず、AIにも学習をさせない設定にすることができます。

まず、画面左下のアカウント名横にある3点リーダーをクリックします。

上記画面からSettings>Data Controlとたどり、Chat history and trainingをオフにします。

白枠内のスイッチが緑になっていれば、オンになっています。緑の部分をクリックするとオフにすることができます。

オフになると画面のように、スイッチ部分が白くなります。

Chat history and trainingをオフにすると、それまでチャット履歴が表示されていた部分に以下が表示されます。

この設定にすれば、チャットの内容がAIに学習されることはありません(Open AI社のクラウドには不正使用監視のため、30日間だけ保存されます)。

しかし、チャットの内容や履歴もアカウントには保存されませんので、気を付けてください。

オプトアウト申請をする

チャット履歴は残したいけれど、AIの学習に利用されたくないという方はオプトアウト申請(情報提供停止の申請)をしましょう。

この申請をすると、チャットの内容がAIの学習に使用されません。

Google formからの申請です。申請はこちらから。

上記のリンクをクリックすると下の画面が開きます。

申請フォームには入力欄が3つありますが、必須のものはメールアドレスとOrganization IDです。この2点を入力すれば申請完了です。

メールアドレスはChatGPTのアカウント作成に使用したものを入力してください。

Organization IDやOrganization nameを確認するには、Account Org Settingsのリンクをクリックします。

以下の画面が開きますので、それぞれ内容を確認して、申請フォームに入力します。

個人使用している方はOrganzation nameがありませんので、申請フォームに入力する必要がありません。

(個人使用の場合、Organization settingsページのOrganization nameはPersonalと表示されるようです)

Organization nameの登録がある方は任意でオプトアウト申請フォームに入力してください。

申請フォームに入力が終わりましたら、送信ボタンをクリックします。

送信が完了したら、以下の画面が表示されます。またGoogle formから申請を受領した旨のメールも届きます。

これで申請は完了です。

 

API接続をしているアプリを使用する

Open AI社は、API(別々のアプリケーションをつなぐ仕組み)接続によって得た情報に関して、AIの学習に利用しないとAPIデータ取り扱いポリシーで明記しています。

そのため、ChatGPTとAPI接続したアプリを使用する方法もあります。

しかし、そのアプリもSaaSでしょうから、SaaSを利用する際のリスクは依然として残ります。

アプリを使用する際はユーザー側、アプリ側、それぞれのセキュリティ対策がしっかり施されているかを確認し、ご利用いただくことをおすすめします。

過去の記事でSlackとSlackアプリAssortを利用した方法をご紹介しました。AssortがChatGPT APIを利用しているため、データが学習に使われることはありません。ご興味のある方はこちらから。

ChatGPT Businessを利用する

Open AI社はチャット履歴を残しつつも、データを学習には使わない設定をデフォルトにしたChatGPT Businessというサービスを提供する予定です。

23年7月現在、サービスの提供について新たな発表はありませんが、このサービスが開始されたら利用する方法もあります。

情報漏洩リスクに見るChatGPTと企業の関係 今後のゆくえは?

ChatGPTが急速に広まったことを背景に、生成AIによる情報漏洩が世界的な関心事になっています

5月末にMM総研が実施した調査によると、アメリカでは約51%の企業がChatGPTを何らかの形で導入しているそうです。対する日本では、7%にとどまっています。

(ただし、日本の調査対象者数が1万3400人超であるのに対して、アメリカでの対象者数は402人という制約もあります)

しかし、アメリカの大企業であるAppleやAmazon、Wal-Martなどは情報漏洩の可能性を理由に使用を禁止しているという現状もあります。

さらに7月14日にはアメリカの連邦取引委員会が個人情報などの取り扱いについて、Open AI社が消費者保護法に違反をしていないか、調査を始めたとのニュースも入ってきました。

EUは2021年に作られたAI規制案にリスク段階別の規制を盛り込んだ修正案を6月に発表したりするなど、ChatGPTをはじめとした生成AIへの対応は日米に比べて慎重です。

各国や各企業での対応がバラバラなように、日本も対応が二分されています。

日本でいち早くChatGPT導入を決定したのがベネッセコーポレーション。

同社ではDXを促進するため、2021年から社長直下に情報システム部門、人財育成部門、コンサル部門が一体となったDigital Innovation Partners (DIP)を設置しているため、戦略的な導入でもあるようです。

また、金融機関では大和証券グループが導入したのを皮切りに、他の機関も活用の実証や検証を始めました。

すでに導入した企業の多くが情報漏洩のリスクを抑えるために、自社モデルを高セキュリティ環境下で使用できるようにしています。

その一方で、何も対策していない日本企業も多いようです。

ChatGPTは、すでに個人で使用できるサービスのため、自分でアカウントを登録し業務に活用する従業員が出てくるでしょう。

企業として

  • 使用方針や使用ガイドラインを定める
  • 業務への使用を禁止にする
  • 研修を実施する
  • 自社モデルを構築する
  • 社員にメッセージを出す

など決断に応じて、迅速な対応が求められるのではないでしょうか。

使用時のルールや制限を決める際には、日本ディープラーニング協会の「生成AIの利用ガイドライン」が非常に参考になります。

今後も、生成AIに対する情報漏洩リスクの高いイメージが払しょくされなければ、対策をしていない企業、禁止にする企業、自社用モデルを使用する企業と対応がますます分かれていくものと想像されます。

しかし、業務への個人利用を物理的に100%制限できない限り、何も対策をしないこと自体がリスクを高めてしまうのではないかと筆者は懸念しています。

消費者庁による消費者意識調査では、回答者の約半数がAIに対して漠然と「怖い」イメージを持っていると回答しました。

漠然とした恐怖心はシンギュラリティ(AIが人類の知性を大きく超えてしまうこと)に対する懸念から生まれているのだと思いますが、情報漏洩など生成AI独特のリスクも少なからず、寄与しているものと想像します。

正しい知識で正しく恐れて、リスクの低い方法でAIを活用していきたいですね。

まとめ

今回の記事では、情報漏洩に関して、個人でできる対策や今後予測される企業の動向をご紹介しました。

ChatGPTにはSaaSとしてのリスクや生成AIとしてのリスクがあります。

PCまわりのセキュリティを整え、プロンプトには個人情報や機密情報を入れないのを徹底するだけでも、リスク対策になります。

正しい知識をベースにできる限りの対策をして、安全にAIを活用していきましょう。

 

 

Who is writing

米国カリフォルニア州ベンチュラ郡立 Ventura Community College
米国ケンタッキー州立 Murray State University卒業。
プロンプトリサーチャー。
東日本大震災をきっかけに「後悔しないよう、今やりたいことやる!」と決意。
たくさんの動物と暮らすことを夢見て夫婦で田舎に移住。
仕事のモットーは「楽して良いものを作る」。
アナログとデジタルを両立したハイブリッドな田舎暮らしをめざし、chatGPTに鍛えられる日々を過ごす。