最終更新日:2024-09-06
ChatGPTで情報漏洩が起こる?リスクに対処するポイントを徹底解説!
ChatGPTを使用する上で、情報漏洩に注意しなければならないという話を聞いたことがある方も多いのではないでしょうか?実際にChatGPTで情報漏洩が起こるのか疑問に思っている方もおられるでしょう。
この記事では
ChatGPTを使いたいけど情報漏洩が心配な方、安全にChatGPTを使用したいと思っている方は、最後までご覧ください。
ChatGPTの活用方法をこちらの記事で詳しく説明していますので併せてご覧ください。
AI Marketでは
自分でChatGPTの導入に強いAI開発会社を探したい方はこちらの記事で特集していますので併せてご覧ください。
目次
ChatGPTで情報漏洩は生じえる?
ChatGPTを開発したOpenAI社のセキュリティポータルには以下の記載があります。
- 保存時の暗号化:すべての顧客データは保存時に暗号化される
- 転送中の暗号化:すべての顧客データは転送中に暗号化される
- データ侵害の通知:顧客データに関連するデータ侵害が発生した場合通知される
- データ漏洩の監視:エンドポイント上のリムーバブルメディアを制限し、データ漏洩などの不審なアクティビティを監視するツールを備えている
- 侵入テスト:毎年第三者による侵入テストを実施
これ以外にも各種ポリシーの整備やセキュリティに関する事項の記載があります。このようにOpenAI社はセキュリティ対策を講じており、基本的な利用に関しては安全であると言えます。
しかし、過去には一部情報流出が発生した事例もあるため完全に安全というわけではありません。万が一を考えて、機密情報や個人情報に気を付けて使用する必要があります。
なぜChatGPTで情報漏洩が起こる?
過去にChatGPTで情報が流出した事例があります。では、なぜ情報が流出するのでしょうか?以下の理由があります。
- 入力情報を学習し反映する
- OpenAI社によるアカウント情報の流出
- バグによるプロンプトの流出
それぞれの理由を解説します。
入力情報を学習し反映する
ChatGPTは、基本的にユーザーが入力した情報を、OpenAIがモデルのトレーニングやサービスの向上のために利用する仕組みとなっています。これにより、ChatGPTがユーザーの質問や要求に対してより正確に応答を行うことができるようになっているのです。
そのため、もし社外秘の情報をChatGPTに入力してしまうと、その情報が社外のサーバーに保存されてしまいます。場合によっては、社外秘の情報をほかのユーザーの返答に使用される場合もあります。
実際に、韓国の大手電子製品メーカーサムスン電子で、ChatGPTに入力した社外秘の情報が流出したと発表しました。従業員がエラーとなったソースコードをChatGPTにアップロードしコードの修正を依頼したことで、社外秘の情報が流出したのです。その後サムスン電子ではChatGPTの利用は禁止となりました。
OpenAI社によるアカウント情報の流出
OpenAI社によって情報が流出することもあります。3月25日に、OpenAIがChatGPTで個人情報漏洩が発生したことを発表しました。有料版のChatGPT Plusに加入しているユーザーの名前や住所、クレジットカード番号の情報が流出しました。
有料版のChatGPT Plusのユーザーは、サブスクリプション管理画面で登録した名前や住所、クレジットカードの番号の情報を確認することができます。この事故では、サブスクリプション管理画面に他のユーザーの情報が表示されるという個人情報の流出が発生しました。この事故でChatGPT Plusユーザーの約1.2%の情報が約10時間流出してしまったとのことです。
バグによるチャット履歴の流出
OpenAI社の発表によると、ChatGPTのバグにより、一部のユーザーに別のユーザーのチャット履歴が表示される問題が発生した事例があります。ユーザーは、画面の左側にあるサイドバーに過去のChatGPTのチャット履歴が表示されます。過去にChatGPTに送ったプロンプトやChatGPTからの返答を確認できるほか、続けてプロンプトを送ることでチャットを再開できるようになっています。
この事例では、ChatGPTで採用しているインメモリ型データベースシステムのバグにより、別の人のプロンプトが表示されてしまいました。ChatGPTに機密情報等を送っていた場合、会社の機密情報が見られてしまう状態となっていました。数時間後にバグは修正され、チャット履歴は復元されましたが、自分の送ったプロンプトやチャットの内容が他者に見られてしまう事態が起こり得るということが分かる事例です。
ChatGPTで情報漏洩を防ぐためのポイント
ChatGPTを使用する上で、情報漏洩を防ぐためのポイントは以下です。
- 機密情報を入力しない
- AIに学習にされないための設定をする
- APIやAzureOpenAIServiceを活用する
- ChatGPT TeamやEnterpriseを利用する
それぞれのポイントを解説します。
企業のChatGPT導入成功事例、失敗例解説はこちらの記事で詳しく説明していますので併せてご覧ください。
機密情報を入力しない
ChatGPTはより精度の高い会話ができるように、ユーザーが入力した情報を学習し、回答に反映する仕組みです。ユーザーが入力した情報は一定期間、OpenAI社のサーバーで安全に管理されるようになっています。
しかし、機密情報を入力してしまい回答に反映されてしまったために、知らないところで機密情報が流出してしまう可能性があります。また、なんらかの不具合や外部からの悪意ある攻撃など様々な要因で、ユーザーが入力した情報が流出してしまう可能性も考えておかなければなりません。
どんな会社であっても情報流出が起こってしまう可能性があります。OpenAI社もセキュリティ対策を行っており基本的に安全ですが、ChatGPTでも同様に情報が流出する可能性があると考える必要があります。社内の機密情報が漏洩しないように、ChatGPTを使用する際は、絶対に機密情報を入力しないよう徹底すべきです。
AIに学習にされないための設定をする
2023年4月25日、ChatGPTでユーザーが履歴を残さずにやりとりできる設定が追加されました。設定後は、ChatGPTでのやりとりはAIを改良するための学習データとして使われない設定となります。
ChatGPTでの入力に気を付けていても、会社などで複数人利用していれば、完全に管理することはできません。また、本人は機密情報という認識がなくとも、実は機密情報であったということも起こり得るでしょう。そういったリスクを防止するためにも、履歴を残さない設定は有効です。
この設定は、有料・無料問わずユーザーがいつでも変更可能となっています。設定後は、ChatGPTの学習データとして使用されません。ただし、ChatGPTの画面上にチャット履歴が表示されなくなるため注意が必要です。また、不正利用の有無を調べるためにデータがOpenAI社に30日間保存される点は変わりません。
APIやAzure OpenAI Serviceを活用する
ChatGPTのAPIを活用することでセキュリティを保ち、様々なアプリケーションにChatGPTを組み込むことができます。通信はAPIを介して行われるため、チャット内容がOpenAI社の学習データに再利用されることはありません。ChatGPTのAPIを利用することで、社内情報を漏洩させることなくセキュアな状態で業務の効率化を行うことができます。
関連記事:「AI導入用APIをプラットフォーム別に紹介!各ツールの特徴を徹底解説!」
また、Microsoft社が提供しているAzure OpenAI Serviceを使用すれば、ブラウザでもMicrosoft社の高度なセキュリティ上でChatGPTを使用することができます。具体的には、Azure OpenAI ServiceはMicrosoft社の以下のようなセキュリティ体制のもと運用されます。
- 送信されたデータは暗号化されAzureのデータセンターで安全に保管
- すべての操作の監査ログが生成されリアルタイムで監視
- アカウントの権限設定
送信されたデータは暗号化されるため、安全性が高い状態でMicrosoft社の外部サーバーに保管されます。操作の監査ログは常に監視され、異常なアクセスや不正な操作に対して迅速に対処することが可能です。アカウントの権限設定を行うこともでき、利用状況の監視やアクセス権を管理することができます。
こうしたセキュリティ体制により、情報漏洩のリスクを低減することができます。
Azure OpenAI Serviceのメリット、デメリットをこちらの記事で詳しく説明していますので併せてご覧ください。
ChatGPT TeamやEnterpriseを利用する
OpenAIは2023年8月28日、「ChatGPT Enterprise」を発表しました。ビジネスでChatGPTを活用する企業を対象にした大企業向けプランで、以下のような特徴があります。
- 企業利用可能レベルの安全性とプライバシー保護
- 大規模導入のための機能
- ChatGPT Enterpriseの機能
通常よりも2倍までの速さが出せるGPT-4を利用することができ、文章の長さも通常の4倍まで入力することができます。プロンプトや会社データは学習に利用されず、データの暗号化、管理用のマスターアカウントなどセキュリティ面も充実しています。高度なセキュリティ下で、よりスペックの高いChatGPTを企業が安心して利用できるプランです。
それとほぼ同等の機能を持つ小規模組織向けプランとして、2024年1月には「ChatGPT Team」の提供を開始しています。Enterpriseプランと同様、入力したデータは学習に利用されない設定となっています。
AI Marketでは
ChatGPTを巡る各国の動向
ChatGPTはその便利さから、世界各国で利用されています。一方、個人情報の保護や情報流出の懸念などAIがもたらすリスクについても指摘されています。これを受けて、各国ではChatGPTに対してそれぞれどのような対応を取っているのでしょうか?
アメリカ
ChatGPTの開発を行うOpenAI社の拠点であるアメリカでは、AIの利用に関する規制案が検討されており、アメリカ商務省が規制案に向けてAIの評価や認証制度について一般からの意見募集を開始しました。まだ規制案の検討中で、具体的な規制案の可決には至っていません。
OpenAI社がアメリカに拠点を置くことから、規制案の内容によってChatGPTの利用規約等も変更される可能性は十分にありますので、今後の動向に注意が必要です。
中国
中国政府は、2023年2月下旬までに中国の国内企業に対し、ChatGPTの使用を停止するよう指示しました。しかし、ChatGPTのような大規模言語モデルや生成AIが有用であることは認識しており、ChatGPTの代わりとして、百度(Baidu)の「文心一言(ERNIE Bot)」や、阿里(Alibaba)の「通義千問(Tongyi Qianwen)」といった生成AIの開発・普及が進んでいる状況です。
イタリア
イタリアでは2023年3月31日に、OpenAIのプライバシー法違反や個人情報の漏洩や青少年への悪影響の懸念、雇用減少への影響の懸念等の理由からChatGPTの規制が行われました。
イタリアのデータ保護機関(GPDP)は、ChatGPTがEUのプライバシー法に違反し、個人データを不当に収集・処理しているとして懸念を表明しました。また、欧州警察機関も、犯罪者がChatGPTを利用して詐欺やサイバー犯罪を行う可能性があると発表しました。これらの懸念もあり、イタリアではChatGPTの規制が行われることとなりました。
EU諸国
EU諸国の立法議会である欧州議会は、2023年6月14日(現地時間)に「EU AI Act」と呼ばれるAI規制法案を可決したことを発表しました。この法案では、顔認識ソフトウェアの使用を大幅に制限する他、生成AIの提供企業に対し、プログラム構築に使うデータについてのさらなる開示を義務付けるものとなっています。
「ChatGPTのような生成AIシステムは、コンテンツがAIによって生成されたものであることを開示する必要がある」とのコメントを出しています。規制案は、ChatGPTで生成したコンテンツに関する情報開示の義務化などを盛り込んだものとなっています。
ChatGPTの安全性についてよくある質問まとめ
- ChatGPTの情報セキュリティは安全?
ChatGPTを開発したOpenAI社のセキュリティポータルには、各種ポリシーの整備やセキュリティに関する事項の記載があります。このようにOpenAI社はセキュリティ対策を講じており、基本的な利用に関しては安全であると言えます。詳しくはこちらにジャンプ。
- ChatGPTで情報漏洩を防ぐためのポイントは?
ChatGPTを使用する上で、情報漏洩を防ぐためのポイントは以下です。
- 機密情報を入力しない
- AIに学習にされないための設定をする
- APIやAzureOpenAIServiceを活用する
- ChatGPT Enterpriseを利用する
まとめ
ChatGPTで情報漏洩が起こるのは、ChatGPTの学習の仕組みや、OpenAI社の外部サーバーにデータが保管されること、技術的なバグなどが様々な原因と考えられます。OpenAI社は多くのセキュリティ対策を行っていますが、より
自社特有の情報を使用したい場合は、
AI Marketでは
生成AIの導入にあたってコンサルを依頼するメリット、コンサルの選び方はこちらで特集していますので併せてご覧ください。
AI Marketの編集部です。AI Market編集部は、AI Marketへ寄せられた累計1,000件を超える開発相談経験を活かし、AI(人工知能)に関する技術や、製品・サービスなどの紹介記事を提供しています。ご興味をお持ちの製品やサービスがありましたら、ぜひご相談ください。