ChatGPTは便利なツールですが、大切な個人情報などを誤って入力すると、情報漏洩リスクが生じてしまいます。
この記事では、ChatGPTの情報漏洩対策や、入力したデータを学習に使わせない方法について、実例を交えながら紹介します。
ChatGPTに個人情報入力してしまった!どんなリスクがある?
ChatGPTに個人情報を入力してしまった場合、それがどのように利用され、保存されるか不安に思う方も多いでしょう。
特に、第三者に情報が漏洩する危険性や、意図しない目的で利用される可能性について心配するのは当然です。
では、具体的にどのようなリスクが考えられるのでしょうか?
ChatGPTはユーザーが入力した個人情報や機密情報も学習に使用している
ChatGPTは、うっかり大切な情報を加入者が入力すると、オプトアウト(利用拒否)しておかない限り、LLM(大規模言語モデル)の学習に利用されてしまう可能性があります。
本来は反映されてはいけない情報が、ChatGPTの応答に反映されてしまうリスクがあるのです。
また、サイバー攻撃によってデータベースが侵害され、加入者の情報や会話履歴が盗まれる危険もあります。
そのため、加入者はあらかじめ危険性を理解し、大切な個人情報などを扱う際には、慎重に対応することが求められます。
OpenAIは積極的に個人情報を収集しているわけではないと主張している
加入者がChatGPTに入力した情報は、会話の生成やLLMの改善に利用されます。
しかし、OpenAIは積極的に個人情報を収集しているわけではないと、主張しています。
インターネット上の大量のデータは人に関係するものであるため、当社の学習情報には、意図せずに個人情報が含まれる場合があります。当社は、当社のモデルのトレーニングのために個人情報を積極的に求めることはしません。
出典:OpenAI Help Center
加入者のプロファイリングや特定の目的のために情報を収集しているわけではなく、あくまでもLLMの性能向上が目的だと言っているのです。
ChatGPTの情報漏洩リスクを実際の事例を交えて紹介
実際の事例として、サムスン電子の情報漏洩事件があります。
2023年5月、サムスン電子は、従業員によるChatGPTなどAIツールの使用を禁止しました。
この決定は、エンジニアが誤って機密情報をChatGPTにアップロードし、それが流出したことが発覚したためです。
サムスンは、これらのデータが外部サーバーに保存されて容易に削除できず、第三者に提供されてしまう危険を問題視しました。
この問題は、生成AI利用に伴う情報漏洩の危険性を浮き彫りにしました。
その結果、サムスンは社内ネットワークや、会社所有の端末でのAIツール利用を禁止します。
また、個人所有端末でも、会社関連の情報を入力しないよう警告しました。
違反者には厳しい処罰が科されることもあります。
このような動きは他の企業にも広がっており、アマゾンやJPモルガン・チェースなど、同様の措置を講じた大企業も多くあります。
この事例は、生成AIの利用が情報漏洩のリスクを伴うことを示しています。
企業や個人が情報の取り扱いに慎重になるように、という警鐘を鳴らしているのです。
ChatGPTの情報漏洩リスクは入力データの学習だけじゃない
ChatGPTからの情報漏洩は、常に誤操作によって生じるとは限りません。
システムのバグや不正アクセスによる漏洩の危険も存在します。
ChatGPTのバグにより個人情報が閲覧可能な状態に
2023年3月20日、ChatGPTに重大なバグが発生し、加入者の会話履歴や個人情報が第三者の端末に一時的に表示される事態が発生しました。
ChatGPTの左側のサイドバーに表示される会話履歴の一部に、第三者のチャットタイトルが誤って表示されたのです。
OpenAIはこの問題を受けて一時的にChatGPTを停止して、修正作業を実施しました。
今週初め、オープンソース ライブラリのバグにより、一部のユーザーが他のアクティブ ユーザーのチャット履歴のタイトルを表示できるようになったため、ChatGPT をオフラインにしました。また、両方のユーザーがほぼ同時期にアクティブだった場合、新しく作成された会話の最初のメッセージが他のユーザーのチャット履歴に表示される可能性もあります。
出典:March 20 ChatGPT outage: Here’s what happened | OpenAI
さらに調査が進む中で、有料サービスであるChatGPT Plusの加入者のうち1.2%の支払関連情報が、別の加入者の端末に誤って表示された恐れがあることも、明らかになりました。
漏洩した情報には加入者の氏名・メールアドレス・支払い先住所・クレジットカードの種類・番号の下4桁・有効期限が含まれていましたが、完全なクレジットカード番号が漏洩することはありませんでした。
さらに詳しく調査したところ、同じバグが原因で、特定の 9 時間の時間帯にアクティブだったChatGPT Plus 加入者の 1.2% の支払い関連情報が意図せず表示された可能性があることも判明しました。月曜日に ChatGPT をオフラインにする前の数時間で、一部のユーザーは他のアクティブユーザーの氏名、メール アドレス、支払い先住所、クレジットカードの種類、クレジットカード番号の最後の 4 桁 (のみ)、クレジットカードの有効期限を見ることができました。クレジットカード番号全体が露出することはありませんでした。
出典:March 20 ChatGPT outage: Here’s what happened | OpenAI
OpenAIは、サービスを一時停止して復旧に取りかかりましたが、一部の履歴は復元できないままです。
OpenAIは、影響を受けた恐れのある加入者に対し、個別に遺憾の意を通知しました。
この事件は、AIツールの急速な普及に伴うセキュリティとプライバシーの課題を浮き彫りにしています。
OpenAIはこの問題を重く受け止め、将来のリスクを減らすために、新しい対策を講じようとしています。
ChatGPTのアカウント情報がダークウェブで売買されている
サイバーセキュリティ企業のGroup-IBの調査によると、10万件以上のChatGPTのアカウント情報がダークウェブで売買されていることが明らかになりました。
売買された情報は、マルウェアによって収集されたもので、アジア太平洋地域での流出が特に多かったと報告されています。
流出したアカウント情報には、機密情報や企業の知的財産が含まれている恐れがあり、これらが悪用された場合、個人や企業に甚大な被害を与える危険性があります。
この事実は、ChatGPTには見られたくない情報を入力しないことや、アカウントの管理に十分な注意が必要であることを、改めて示しています。
ChatGPTの個人情報・機密情報漏洩対策は学習させないこと
最も重要な対策は、大切な個人情報などを、LLMの学習に利用させないことです。
これにより、情報漏洩のリスクを大幅に減らせます。
ChatGPTに使っていい業務と使ってはいけない業務など規定をちゃんと設けよう
ChatGPTから大切な情報の漏洩を防ぐ最も効果的な方法は、それらを入力しないことです。
特に企業が活用する際には、ChatGPTを使って構わない業務と、使ってはいけない業務に関して、明確な区分と規定を設けることが大事です。
研修などで決定した規定を全社に周知させ、従業員のリテラシーを上げる努力も必要でしょう。
ChatGPTに入力データを学習させないようにオプトアウトしよう
OpenAIでは、加入者が自分のデータをChatGPTの学習に利用されないように、オプトアウトできる機能を提供しています。
オプトアウトすることで、危険性を最小限に抑えられます。
オプトアウトのやり方は以下の記事で解説しています。
法人の場合はAzure OpenAI Serviceを活用しよう
法人の場合は、Microsoft社が提供するAzure OpenAI Serviceの活用も検討すべきです。
Azure OpenAI Service は、Microsoft社のクラウドサービス「Microsoft Azure」上で、OpenAIの高度な生成AIを利用して、さまざまなタスクを実行可能にするサービスです。
Azure OpenAI Serviceは、自然言語による質疑応答・翻訳・コードの生成・画像の生成などに活用できます。
Azure OpenAI Serviceへのアクセスには悪用防止のため制限があり、申請が必要です。
Azure OpenAI Serviceを利用することで、より安全な環境でAI言語モデルを活用できます。
まとめ
ChatGPTは使いこなすと便利ですが、情報漏洩のリスクも存在します。
大切な個人情報の入力は避け、必要に応じてオプトアウトを設定しましょう。
また企業で利用する際は、明確なガイドラインをあらかじめ策定しておくことが、不可欠です。
Azure OpenAI Serviceなど、より安全なサービスの活用も検討しましょう。
適切な対策を講じることで、ChatGPTを安全に活用して、その恩恵を享受できるのです。