組織における ChatGPT 利用は安全か？

原文のブログはこちらからご覧いただけます。

組織が ChatGPT を禁止していない限り、今日このとき、まさにこの瞬間にも従業員が利用している可能性は十分にあります。しかし、ChatGPT や AI を活用した類似のチャットボットの利用は、組織にとって安全なのでしょうか。また、セキュリティ、プライバシー、法的責任にはどのような影響があるのでしょうか。

筆者は今回、このテーマについて複数の専門家（自身が勤務するグローバルサイバーセキュリティ企業 BlackBerry の各部署を含む）に意見を求め、ChatGPT や類似ツールの利用にあたり、すべての組織が議論すべき事項を明らかにしました。

ChatGPT のビジネス利用

ChatGPT は公開後 2 か月で ユーザー数1億以上となり、史上最も急成長したデジタルプラットフォームとなりました。比較のために Facebook を見てみると、こちらは公開後 1 年の時点で 100万人をわずかに超えるユーザーを獲得しています。

人工知能（AI）で駆動する「自然言語処理」型のチャットボットがこれほど広く普及したのは、ChatGPT が初です。このツールは人間との対話のような相互交流が可能で、メール、書籍、歌詞、アプリケーションコードなどの内容を生成できます。

すべての新興テクノロジーと同様、ChatGPT のような生成系 AI モデルもまた、利益とリスクの両方をもたらす可能性があります。一部の組織は業界のベストプラクティスを調査した上で、少なくとも現時点ではリスクが利益を上回ると判断しています。そのため、そうした組織は ChatGPT の利用を不認可の扱いとし、適切なサポートと監督が確立するまでの間、企業ネットワークから ChatGPT へのアクセスをブロックしている可能性があります。

ChatGPT とビジネスリスクに関する考慮事項

この AI ツールに関する潜在的なトレードオフのすべてを判断するには時期尚早ですが、すべての組織が考慮すべきChatGPT（および増え続ける類似ツール）の利用に伴うリスクの一部を以下に示します。

AI チャットボットに関するデータ漏洩とセキュリティ上の考慮事項

サードパーティや社内の機密情報を ChatGPT に入力すると、その情報はチャットボットのデータモデルの一部となります。そのため、関連する質問をした他のユーザーにその情報が共有され、データが漏洩する恐れがあります。ChatGPT（または任意のオンラインソース）への機密情報の許可のない開示は、組織のセキュリティポリシーに違反する可能性があります。

AI チャットボットに関する法的考慮事項

ChatGPT のセキュリティが侵害された場合、組織が契約上または法律上保護を求められるコンテンツ（ChatGPT の入出力）が漏洩し、その責任が組織に帰せられることにより、企業の評判に影響する可能性があります。ChatGPT は情報をそのデータ内に取り込むサードパーティシステムです。そのため、AI ボットのセキュリティが侵害されていない場合でも、顧客やパートナーの機密情報を共有すること自体が、それらの顧客やパートナーとの契約違反となる可能性があります。なぜなら多くの場合、こうした情報は契約上または法律上保護することが求められるためです。

ChatGPT が生成したコードの所有者が誰かという点も複雑です。利用規約では、ChatGPT の出力は入力を提供した人物やサービスの所有物であることが示されています。その出力が法的に保護されたデータを含み、かつそのデータが他のソースの入力から収集されたものである場合、複雑な問題が発生します。

さらに、著作物（ライセンスされたオープンソースの素材を含む）を基にした文章の生成に ChatGPT が使用された場合には、著作権も懸念事項となります。たとえば、ChatGPT がオープンソースのライブラリを学習しており、質問への回答としてそのコードを「再現」したとします。開発者がそのコードを企業が出荷する製品に組み込んだ場合、その企業は「非友好的な」OSS（オープンソースソフトウェア）ライセンス違反を犯すことになりかねません。

重要な注意点はもうひとつあります。利用規約では、ChatGPT を他の AI の開発に利用することはできないことが示されています。企業が AI の開発に取り組んでいる場合、このような用途で ChatGPT を利用すると、将来的な AI 開発の継続が危うくなる可能性があるのです。

AI チャットボットに関するプライバシー上の考慮事項

ChatGPT は現在、氏名やメールアドレスといった機密情報や個人情報を提供または入力することについて、ユーザーに注意を促しています。しかし、このツールの開発者が国際的なプライバシー法をどのように遵守しているのかは明確でなく、また個人データを保護し、データに対する個人の権利を尊重するために適切な管理が行われているかどうかも定かではありません。

生成系 AI システムに個人データを提供すると、そのデータが別の目的で再利用される可能性が生じ、結果としてデータの悪用や風評被害につながる恐れがあります。承認されていない目的で個人データを使用することは、組織に情報を提供した個人の信頼を損なうだけでなく、おそらくは従業員、顧客、パートナーに対する組織のプライバシー規約にも違反するでしょう。

組織における ChatGPT 利用の安全性

ChatGPT やそれに続く多くの AI ツールが安全に利用できるかどうかは、組織が自ら評価していく必要があります。

たしかに、最先端テクノロジーの採用はビジネスの実現につながるでしょう。しかし、新たなプラットフォームを用いる場合は常に、サイバーセキュリティ、法律、プライバシー上の潜在的リスクを評価する必要があります。本記事でご紹介したポイントがお客様の組織内での議論のきっかけとなり、組織が今後取るべき最善策に対する評価が可能になることを願っています。

関連記事

• ChatGPT and Cybersecurity: What Does It Mean?
• IT リーダーの予測：ChatGPT を利用したサイバー攻撃が目前に
• It's a Bot-Eat-Bot World as Cybercriminals Go High-Tech 
• サイバーセキュリティ環境で高まる ChatGPT の影響力
• 製品のお問い合わせ：https://www.blackberry.com/ja/jp/forms/enterprise/contact-us
• 攻撃や感染した事故対応はこちらまで　サイバーセキュリティチームによるコンサルティングサービス: https://www.blackberry.com/ja/jp/services/blackberry-cybersecurity-consulting/overview
• AIを使ったランサムウェア対策: https://www.blackberry.com/ja/jp/solutions/malware
  
• BlackBerry Japan：https://www.blackberry.com/ja/jp
  
• Facebook（日本語）: https://www.facebook.com/watch/BlackBerryJPsec/
  
• Twitter（日本語）: https://twitter.com/BlackBerryJPsec
  
• LinkedIn: https://www.linkedin.com/company/blackberry/
  
• YouTube（日本語）: https://www.youtube.com/channel/UCT2VHYwfUVC4V0AnkVZ2QIg/videos