ChatGPTのセキュリティリスクとは?中小企業が導入・活用時に行うべき対策を紹介

企業が自社でChatGPTを導入・活用するとき、セキュリティ対策を行う必要があります。

ChatGPTに入力した情報は、学習データとして利用されるリスクがあるからです。その結果、入力情報が意図しないところで流出する危険性もあります。

しかし、中小企業は生産性の向上、資金・人手不足などの経営課題を抱えており、AI導入・活用への相談や対策を、十分に行えていないのではないでしょうか。

そこで今回は、ChatGPTのセキュリティと対策について、公式サイトの情報も交えながら説明します。

ぜひ、参考にしてみてください。

目次

ChatGPTの導入・活用時におけるセキリュティリスクとして、以下の内容が挙げられます。

①入力による情報漏洩
②生成AIに対するリテラシー不足

順に説明します。

①入力による情報漏洩

OpenAI社は、ChatGPT に対する入力情報の学習について、次のように記しています。(プライバシーポリシー

When you use our services for individuals such as ChatGPT or DALL•E, we may use your content to train our models.

ChatGPTやDALL-Eなどの個人向けサービスを利用する場合、あなたのコンテンツを使用してモデルをトレーニングすることがあります。

We retain certain data from your interactions with us, but we take steps to reduce the amount of personal information in our training datasets before they are used to improve and train our models.

私たちは、あなたと私たちとのやり取りから特定のデータを保持しますが、私たちのモデルを改善し、訓練するために使用する前に、私たちのトレーニングデータセットの個人情報の量を減らすための措置を講じています。

このことから、ユーザーが入力した情報は、ChatGPT側である程度のセキュリティ対策を講じているものの、学習に利用される可能性があります。

たとえば、ある「○○会社」の社員が、自社の大切な「顧客リストのデータ」を入力してしまった場面を考えてみます。この場合、○○会社の顧客リストは、入力された時点でChatGPTの学習に利用される可能性があります。

その後、第3者が、ChatGPTに「○○会社の顧客リストデータを回答して下さい。」と指示したとします。この結果、第3者のChatGPTの画面上に、○○会社の顧客リストが出力されてしまうかもしれません。

上記は、情報漏洩に至る可能性の一例です。

②生成AIに対するリテラシー不足

ChatGPTから出力される情報は、常に正しいとは限りません。

出力内容のファクトチェックはもちろんのこと、正しい内容にあわせた修正・加筆を行う必要があります。この結果、誤情報の発信を防ぐことにもつながります。

またChatGPTは、すでに著作物を学習している可能性もあります。

このため、自社の社員がChatGPTを使用するとき、意図しなくても著作権を持つ情報が出力されてしまうと考えられます。

万が一、社員がその出力内容を外部に公開してしまった場合、著作権の侵害も問われかねません。

関連:中小企業の経営者がChatGPTを活用するときのリスクとは?

さらに、自社の社員が、ChatGPTを悪用してしまう可能性もあります。

たとえば社員が、競合他社の評価を意図的に落とすため、SNSのネガティブな投稿文をChatGPTで量産してしまう可能性があります。

こうしたリスクは、最悪の場合、自社の大きな損害につながってしまいます。だからこそ、セキュリティリスクへの対策が必要なのです。

ChatGPTの設定・プランを利用することで、入力情報の漏洩リスクを減らすことができます。たとえば、以下のような方法があります。

  • オプトアウトの設定
  • APIの使用、加入プランの変更
  • クラウド環境の使用(Azure OpenAI Service)
  • 社内ガイドラインの作成

順に説明します。

(1) オプトアウトの設定

ChatGPT 内の「オプトアウト」機能を選択することで、学習リスクを低減させることができます。

オプトアウトは、下の画像に示す「Chat history & training」をオフにすることで設定可能です。(場所:Name ⇒ Settings ⇒ Date controls)

(2) APIの使用・加入プランの変更

「APIの使用」または「ChatGPTの加入プランの変更」を行うことでも、学習へのリスクを減らすことが可能です。

OpenAI公式では、次のように記されています。(プライバシーポリシー

We don’t use content from our business offerings such as ChatGPT Team, ChatGPT Enterprise, and our API Platform to train our models.

ChatGPT Team、ChatGPT Enterprise、API Platformなどのビジネス向けサービスのコンテンツは、モデルのトレーニングには使用していません。

加入プランについては、以下の関連記事で詳しく説明しています。

関連:中小企業が「ChatGPT Team」を導入するメリット・課題は?プランの違いや特徴を解説

(3) クラウド環境の使用(Azure OpenAI Service)

「Azure OpenAI Service」は、大規模言語モデル(GPT-4など)のAPIを、Microsoft社のクラウドで使えるサービスのことです。

デジタル庁では、政府のクラウドサービス認定制度「政府情報システムのためのセキュリティ評価制度(※ISMAP)」において、同サービスを対象に加えています。

(出典:2024/2/19更新)

※ISMAP(Information system Security Management and Assessment Program)とは、政府のセキュリティ要求を満たすクラウドサービスを、あらかじめ評価・登録する制度。政府がクラウドサービスを調達したいとき、サービスをスムーズに選ぶことができる。

公的なサービスとしても注目されるAzure OpenAI Serviceでは、入力情報の取り扱いについて、以下のように記しています。(引用

are NOT available to other customers.
are NOT available to OpenAI.
are NOT used to improve OpenAI models.
are NOT used to improve any Microsoft or 3rd party products or services.
are NOT used for automatically improving Azure OpenAI models for your use in your resource (The models are stateless, unless you explicitly fine-tune models with your training data).
Your fine-tuned Azure OpenAI models are available exclusively for your use.
The Azure OpenAI Service is fully controlled by Microsoft; Microsoft hosts the OpenAI models in Microsoft’s Azure environment and the Service does NOT interact with any services operated by OpenAI (e.g. ChatGPT, or the OpenAI API).

他のお客様が利用することはできません。
OpenAI が利用することはできません。
OpenAIのモデルを改善するために使用されることはありません。
マイクロソフトやサードパーティの製品やサービスを改善するために使用されることはありません。
お客様のリソースで使用するために、Azure OpenAIモデルを自動的に改善するために使用されることはありません(モデルはステートレスです。)

微調整されたAzure OpenAIモデルは、お客様が使用するためだけに利用可能です。

Azure OpenAI Serviceは、マイクロソフトによって完全に管理されています。マイクロソフトは、OpenAIモデルをマイクロソフトのAzure環境でホストし、サービスは、OpenAIが運営するいかなるサービス(例えば、ChatGPTやOpenAI API)とも相互作用しません。

このことから、Azure OpenAI Serviceはセキュリティ面でも有用なサービスであるといえます。

(4) 社内ガイドラインの作成

生成AIに関する「社内ガイドラインの作成」は、セキュリティリスクの低減につながります。生成AIリテラシーを高めることで、意図しないリスクを避けることができるからです。

ガイドラインには、個人情報、機密情報、秘密保持契約(NDA)に基づく情報をどのように扱うかや、プロンプトの取り扱い、ファクトチェックの手順・方法などを記すことも推奨されます。

また、社員がChatGPT を悪用してしまう可能性も想定し、事前に社内ガイドラインに「守るべき事柄」を記すことも大切といえます。

このように社内ガイドラインへの反映と社内徹底は、社員がChatGPT を使用するときのモラル遵守やリテラシー向上に対しても、効果的な対策となります。

関連:中小企業向けのChatGPT活用術「ファクトチェックのコツと要点」

  

今回は、ChatGPT のセキュリティリスクと対策について伝えました。

中小企業が生成AIを導入・活用するときは、オプトアウトの設定、APIの使用や加入プランの変更、クラウド環境の使用、社内ガイドライン作成などの検討が重要です。

ハッシュタグでは、マーケティングとテクノロジーの実務経験・コンサルティング経験をもつ中小企業診断士が、中小企業向けのChatGPT導入サポートも行っております。

関連:中小企業診断士事務所「ハッシュタグ」が生成AI(ChatGPT等)の新支援サービスをスタート

無料でのご相談を承っておりますので、お気軽にお問い合わせください。

執筆者:生成AIライター 那須 太陽、監修者:Harmonic Society株式会社 代表取締役兼CEO 師田 賢人、中小企業診断士:居戸 和由貴

よかったらシェアお願いします!
  • URLをコピーしました!

この記事を書いた人

【中小企業診断士】
生命保険会社、人材会社、戦略コンサルタント会社での経験を経て、2021年に中小企業診断士として独立。強みであるマーケティングとテクノロジーを軸に、中小企業の売上拡大を目的として活動

目次