「ChatGPTをこっそり業務に利用」増加中 注意すべきサイバーリスクは？：Cybersecurity Dive

ある調査によると、ChatGPTのようなAIツールを業務に利用している人の3分の2以上は上司に報告していない。「サイバーリスクにも注意すべきだ」とBlackBerryのCISOは警鐘を鳴らす。

[Cybersecurity Dive]

　世界中の企業がChatGPTのビジネスでの活用を模索し、試行錯誤が続く中、カナダの通信機器メーカーでセキュリティ製品を提供しているBlackBerryのCISO（最高情報セキュリティ責任者）のアルヴィンド・ラマン氏は「サイバーリスクにも注意すべきだ」と警鐘を鳴らす。

（原注）本稿は、BlackBerryのシニア・バイスプレジデント兼CISOであるアルヴィンド・ラマン氏による「Cybersecurity Dive」への寄稿記事です。

ChatGPTの業務利用で注意すべきサイバーリスクとは

　ラマン氏によると、OpenAIが提供するチャットbot「ChatGPT」の利用は企業ポリシーや著作権、顧客の機密性に関する懸念があるばかりでなく、国際的なプライバシー法規に違反する可能性もある。

　従業員が仕事でChatGPTを使用しないように規制する対策を世界中の企業が講じている。全ての新しい技術と同様に、ChatGPTのような生成AI（人工知能）モデルは利益とリスクの両方を生み出す。

　業界のベストプラクティスを調査した結果、一部の企業は少なくとも現時点では「リスクが利益を上回る」と判断している。それらの企業は適切なサポートと指針が確立されるまでChatGPTの使用を禁止し、企業ネットワークからのアクセスをブロックするだろう。

　調査会社のGartnerによると、人事担当者の約半数が従業員によるChatGPTの使用に関するガイダンスの策定に取り組んでいる。業務にチャットbotの使用を認めている人の数を考慮すれば、これに驚きはない。

　専門家同士をつなぐソーシャルプラットフォームであるFishbowlが実施した調査によると（注1）、専門家の43％がChatGPTのようなAIツールを使って業務上のタスクをこなしたことがある。AIツールを用いて業務を遂行していることを上司に報告していない人は回答者の3分の2以上に上った。

1億人以上のユーザーを獲得したChatGPT

　ChatGPTは史上最速で成長するデジタルプラットフォームだ（注2）。公開から2カ月で1億人以上のユーザーを獲得した。同じユーザー数1億人に達するまでに「WhatsApp」は3年半、「Facebook」は4年半かかっている。

　ChatGPTはAIによる自然言語処理チャットbotとして広く利用されるようになった最初のツールだ。人間のように会話できて電子メールや本、歌詞、アプリケーションコードなどのコンテンツを生成できる。今日、あなたの会社の従業員の一部がChatGPTを使っている可能性は高い。

　しかし、ChatGPTや同様のAI搭載チャットbotの活用はあなたの会社にとって安全だろうか。セキュリティやプライバシー、責任にどのような影響があるだろうか。

著作権に関する複雑なリスク

　このAIツールに関して、便利さとトレードオフの関係にある潜在的なリスクを全て把握するにはまだ早過ぎる。しかし、ChatGPTや増え続ける類似のツールを利用するに当たっては、企業が考慮すべきいくつかのリスクが存在する。

　例えば、第三者や社内に関する機密情報がChatGPTに入力されると、その情報はチャットbotのデータモデルの一部となり、関連する質問をする他者と共有される。その結果、情報漏えいが起きる。ChatGPT、またはオンラインの任意の情報源に対して機密情報を無許可で開示することは、組織のセキュリティポリシーに違反する可能性がある。

　ChatGPTのセキュリティが侵害された場合、企業が契約上、あるいは法律上保護すべきコンテンツが流出し、評判に影響を与える可能性がある。

　ChatGPTはデータに情報を取り込むサードパーティーシステムだ。AIbotのセキュリティが侵害されていなくても、契約上または法律上、顧客やパートナーに関する機密情報を守る必要がある以上、それらの情報をAIbotに共有することは契約違反になるだろう。

　また、ChatGPTが生成するコードの所有者が誰になるかについても複雑な問題がある。利用規約では（注3）、ChatGPTから出力された情報は入力した人やサービスの財産となる。複雑な問題が発生するのは、他の情報源から収集されたデータの中に、法的に保護されたデータが含まれていた場合だ。

　ChatGPTが文章を生成するために、著作権で保護された文章やライセンスを受けたオープンソースの素材を使用した場合、著作権に関する懸念がある。

　例えば、ChatGPTがオープンソースライブラリを用いて学習し、質問に答える際にそのコードを「再生」し、開発者がそのコードを企業の製品に組み込んだ場合、企業はオープンソースソフトウェア（OSS）のライセンスに違反することになる。

　利用規約では、ChatGPTは他のAIの開発に使用できないことになっている。ここまで述べたような方法でChatGPTを使用すると、あなたの会社がAI開発に携わっている場合、将来のAI開発が危険にさらされる恐れがあるのだ。

個人データがどのように管理されているかは不明

　ChatGPTは現在、ユーザーに対して名前やメールアドレスといった機密性の高い個人情報を提供、入力しないように警告している。ただし、ChatGPTの開発者がどのようにして国際プライバシー法を順守しているか、あるいは個人データを保護して個人データに対する権利を尊重するための適切な管理が行われているかどうかは不明だ。　

　生成AIシステムへの個人情報の提供は、そのデータが新たな目的のために再利用される恐れがある。誤用や風評被害をもたらす恐れもある。

　承認されていない目的のために個人データを使用することは、情報を提供した個人の信頼を裏切り、従業員や顧客およびパートナーに対するプライバシーに関する義務に違反する恐れがある。

　企業はChatGPTやそれに続く多くのAIツールが安全に使用できるかどうかを評価する必要がある。最先端技術の導入はビジネスにとって確かに有効だが、新しいプラットフォームは潜在的なサイバーセキュリティや法律、プライバシーリスクの観点から常に評価されるべきだ。

（注1）70% Of Workers Using ChatGPT At Work Are Not Telling Their Boss; Overall Usage Among Professionals Jumps To 43%（Fishbowl）
（注2）ChatGPT sets record for fastest-growing user base - analyst note（Reuters）
（注3）Terms of use（OpenAI）

（初出）ChatGPT at work: What’s the cyber risk for employers?

原文へのリンク