その情報、ChatGPTに読み込ませても大丈夫? 自治体DXの専門的立場から考える(1/3 ページ)
こんにちは。全国の自治体のデジタル化を支援している川口弘行です。
前回は「自治体における情報セキュリティの考え方」について解説しました。現在の自治体のネットワークは、
- インターネットに接続できるネットワーク
- 庁内職員の一般事務のためのネットワーク
- 住民情報(住民記録や税、福祉など)を取り扱うネットワーク
――の3つに分離されていて、情報資産の重要性(=機密性+可用性+完全性)も3段階に分類できることから、これらを1:1で対応付けて管理するという提案でしたね。
そして、情報資産の機密性を判別するために、生成AIに文書ファイルを読み込ませて、そのレベルを推測させるという取り組みも紹介しました。
(関連記事:ChatGPTを使って「文書機密レベル」を判別する方法 自治体の情報セキュリティについて考える)
ここでみなさんは、こんな疑問を抱きます。
「機密性を確認するために、その情報資産を外部に持ち出すというのは本末転倒なのではないのか?」
この指摘、まさにそのとおりですね。今回は、この点について解決を試みてみましょう。
著者プロフィール:川口弘行(かわぐち・ひろゆき)
川口弘行合同会社代表社員。芝浦工業大学大学院博士(後期)課程修了。博士(工学)。2009年高知県CIO補佐官に着任して以来、省庁、地方自治体のデジタル化に関わる。
2016年、佐賀県情報企画監として在任中に開発したファイル無害化システム「サニタイザー」が全国の自治体に採用され、任期満了後に事業化、約700団体で使用されている。
2023年、公共機関の調達事務を生成型AIで支援するサービス「プロキュアテック」を開始。公共機関の調達事務をデジタル、アナログの両輪でサポートしている。
現在は、全国のいくつかの自治体のCIO補佐官、アドバイザーとして活動中。総務省地域情報化アドバイザー。
公式Webサイト:川口弘行合同会社、公式X:@kawaguchi_com
その情報資産はどこからやってきたのか?
まず、生成AIを使わずに、どこまで機密性を整理できるかを考えてみます。前回の記事では、現状の運用から情報資産の重要性を推測するというアプローチを考えてみました。
- レベル1ネットワーク(インターネットに接続できるネットワーク)で管理しているのだから、その情報資産は重要性1
- レベル2ネットワーク(庁内職員の一般事務のためのネットワーク)で管理しているのだから、その情報資産は重要性2
- レベル3ネットワーク(住民情報を取り扱うネットワーク)で管理しているのだから、その情報資産は重要性3
というものです。
まず、レベル3ネットワークにある情報資産は、ひとまず重要性3として扱っておきましょう。これはそのままです。
続いて、レベル2ネットワークにある情報資産について考えます。
原則としてここは重要性2の情報資産が管理されているはずですが、もしかするとここに重要性3の情報資産が混在しているのではないか――というのが主な論点となります。
では、この混在している重要性3の情報資産はどこからやってきたのでしょうか?
レベル3ネットワークで管理している情報資産(住民記録や税、福祉の情報)を持ち出しているのならば、その運用はちょっと問題です。
前回もお話した日本年金機構の情報漏洩(ろうえい)も、年金加入者情報は分離している奥のネットワーク(いわゆるレベル3に相当)で管理されていましたが、職員が何かの作業を行うために、それらの情報を自分のPC(レベル2に相当)に複製し、そのPCが標的型攻撃を受けたことで漏洩につながったわけです。
自治体はインターネット分離を行っているため、直ちに同じような被害は生じないと思いますが、その運用自体は改善の余地があります。
では、メールや紙媒体で受領した情報を転記、再入力することで、重要性3の情報資産を生成したのでしょうか? 名簿などの作成でこのケースは考えられます。
この場合、情報を受領した際に、持ち主(本人)から、その情報についてどのように取り扱うのかの承諾を得ていますか?
見方を変えると、例えば個人を識別できるような情報の提供を受けた際、その情報を当該行政事務で利用する旨の承諾を得ているのであれば、その情報資産は重要性2として取り扱う方がふさわしいのかもしれません(そして、利用目的が達成した段階で適切に廃棄する運用であるべきでしょう)。
なお、レベル2ネットワーク内の情報資産をレベル1ネットワークに持ち出す場合、重要性2のまま持ち出すのか、重要性1に加工して持ち出すのかで、それぞれ異なる取り扱いとなります。これはまた別の機会に考えましょう。
関連記事
ChatGPTを使って「文書機密レベル」を判別する方法 自治体の情報セキュリティについて考える
今回は「自治体における情報セキュリティの考え方」について見ていきたい。情報資産の「重要性レベル」をいかに判別していくべきなのか。
ChatGPTに重要な情報を送っても安全か? 自治体のネットワーク分離モデルから考える
自治体における生成AIの利活用、今回は「送信された情報の管理の問題」、つまり「ChatGPTに重要な情報を送信しても安全なのか?」という点について考えたい。
自治体を苦しめてきた「オープンデータ公開」 負担軽減へ生成AIが秘める可能性とは?
今回は「自治体のオープンデータへの取り組みと生成AIの関係」について考える。長年、自治体職員の負担となってきたオープンデータの運用。生成AIの登場が現状を打開するきっかけとなる可能性があるという。
自治体の「DX推進計画」が失敗するのはなぜ? 評価指標を生成AIで正しく設定する方法
プロンプトの悩み不要 自治体で使うべき「ChatGPT Plus」の機能とは?
生成AIを業務に導入する自治体が増える一方で、依然として活用に二の足を踏む自治体も。何がハードルになっているのか。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR注目記事ランキング
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。