The Hacker Newsはこのほど、「ChatGPT's Data Protection Blind Spots and How Security Teams Can Solve Them」において、ChatGPTのデータ保護の盲点について伝えた。ChatGPTをはじめとするジェネレーティブAIは、テキストを迅速に作成できる究極の生産性向上ツールとして注目される一方、企業の機密データを暴露するリスクにもなるという。
社員がChatGPTにテキストを入力または貼り付けると、そのテキストはもはや企業のデータ保護ツールやポリシーによって制御されなくなることが問題とThe Hacker Newsは指摘している。テキストが従来のデータファイルからコピーされたものなのか、オンラインドキュメントからコピーされたものなのか、あるいは他のソースからコピーされたものなのかは問題ではなく、制御できなくなること自体が問題だと提起している。
情報漏えい対策(DLP: Data Loss Prevention)ソリューションは、オンプレミスのエージェントからCloud Access Security Broker(CASB)に至るまですべてファイル指向とされている。このソリューションを利用することでファイルの内容に基づいてポリシーを適用し、変更、ダウンロード、共有などのアクションを防止することができる。
しかしながらChatGPTはファイルを持っておらず、代わりにコピーしたテキストスニペットを貼り付けたり、Webページに直接入力したりするなど、DLPソリューションが保護できない使い方をするため、そのガバナンスやコントロールの範囲を超えているという。
企業がChatGPTなどのジェネレーティブAIを利用する場合、機密情報の漏洩を防ぐために、データ保護に対する注意が求められている。ChatGPTを利用する際は、アクセス制限、監視方法などを明確に定め、機密情報の保護を徹底することが望まれる。
