Mimecastは1月15日(英国時間)、「Does ChatGPT Leak Sensitive Data?|ChatGPT Data Leak|Mimecast」において、ChatGPTに代表される生成AI技術がもたらすリスクを取り上げ、これを適切に恐れ対策することの重要性を解説した。

  • Does ChatGPT Leak Sensitive Data?|ChatGPT Data Leak|Mimecast

    Does ChatGPT Leak Sensitive Data?|ChatGPT Data Leak|Mimecast

生成AI技術がもたらすリスクとは

ChatGPTに代表される生成AI技術はビジネスに必要不可欠な要素となりつつある。そのため、企業や組織は適切な距離感で付き合っていくことが求められる。しかしながら、そのような新しい先端技術には落とし穴がつきもので、大なり小なり何かしらのリスクをもたらす。

Mimecastは生成AI技術がもたらすリスクとして、機密情報の流出を取り上げている。実用化されているChatGPTなどのテキストベースの生成AIは、知的生命を完全に模倣した知能ではなく、既知の情報を大量に学習した大規模言語モデル(LLM: Large Language Model)と呼ばれる技術を利用している。

学習に利用されるデータは広く公開されている膨大な情報が中心となるが、サービスとして提供されている生成AIツールは、ユーザーが入力した情報の一部またはすべてを学習に利用することがある。

その結果、入力したデータの一部またはすべてが第三者に回答として表示されることがあり、意図せず機密情報を流出することになる。多くの有料サービスは入力データの学習利用をユーザー制御可能としているが、実際のところは開発者にしかわからない。

リスクが顕在化した例

Mimecastは実際にリスクが顕在化した事例として、2023年1月に報じられたAmazonの事例を取り上げている。2022年下旬、AmazonはChatGPTの応答の中に「既存の社内資料と密接に一致する」情報があることを発見した。これを受けて、Amazonの弁護士はChatGPTに社内の機密情報を入力しないよう従業員に警告したとされる。

利用を禁止するのではなく、対策を

Mimecastはリスクとその対策について次のように述べている。

生成AIツール利用時の情報漏洩リスクを軽減する適切かつ唯一の方法は、人、プロセス、テクノロジー全体にわたる意図的でバランスのとれたアプローチだ。

リスクを回避する最も簡単で強力な対策は、利用の禁止だ。しかしながら、便利なツールは禁止してもいずれ誰かがこっそり利用する。そうなると、さらに深刻化な事態をまねく可能性がある。

そこでMimecastは利用を禁止するのではなく、バランスのとれた適切な対策が重要だと訴えている。具体的な対策は次のとおり。

  • 社内の主要な関係者を集め、経営理念に沿った生成AIツールの利用に関するポリシーを策定する
  • 従業員に生成AI利用に関するトレーニングの受講を義務付ける
  • 従業員に生成AI利用に関するサポート窓口と、不適切な利用の報告窓口を通知する

また、経営陣や管理職に向けては次の対策を推奨している。

  • 信頼できない生成AIツールを従業員が使用しないように行動を監視する
  • 許可していない生成AIツールへの入力をブロックするシステムを導入する
  • 従業員が生成AIツールにファイルをアップロードする場合、これを検出して警告できるようにする
  • 違反した従業員には適切な再教育を実施する

生成AIツールの利用について、バランスの取れたポリシーを策定した企業もあるが、禁止を決定した企業もある。しかしながら、企業の発展を考えた時、適切な利用環境を整える方が利用を禁止するよりも将来の発展につながっていくと考えられる。

保有する機密情報の質によっては禁止せざるを得ない場合もあるため、一概に禁止を否定することはできないが、便利なツールは適切に恐れ、活用していくことが望まれている。