ChatGPTを“本気”で活用したい企業がまずやるべきこと：CIO Dive

ChatGPTをはじめとした生成AIツールの利用が企業で拡大している。しかし従業員が好き勝手に使うと、機密情報の漏えいなどを引き起こす可能性がある。これを防ぐためにITリーダーが考慮すべきこととは。

[Lindsey Wilkinson，CIO Dive]

　「ChatGPT」は職場の生産性と効率性を高めるツールとして、その名を知られるようになった（注1）。しかし、もし企業の管理者やリーダーが、ChatGPTや市場にある類似の生成AI（人工知能）ツールの使用方法を従業員間で共有していなければ、セキュリティやデータプライバシーに関する懸念につながる可能性がある。

　OpenAIはChatGPTのAPIを提供し、このモデルに入力されたデータがトレーニング目的で使用されないようにしているが（注2）、これは広く活用されているわけではない。むしろ、個々の従業員が明確な許可を得ずにChatGPTを使用することの方が一般的だ（注3）。

　OpenAIはデータプライバシーのガイドラインを追加し（注4）、イタリアの規制当局を喜ばせたが（注5）、ツール内の保護に関して言えば、企業の指導に取って代わるものではない。

生成AIの利用ポリシー策定は急務　従業員に好き放題させないためには

　企業はChatGPTやその他の類似ツールの使用についてポリシーを作成し、従業員に伝えることが非常に重要だ。ガイダンスがなければ、従業員は意図しないうちに会社の機密情報をモデルに入れたり、生成されたコンテンツを再利用したりして自分自身が作成したものとして見せてしまうかもしれない。

　SAVVI AIの共同創業者であるマヤ・ミハイロフ氏は「こうしたAIモデルを使う従業員がいる限り、最優先事項として、すぐに使い方のガイダンスを周知する必要がある」と述べている。

　組織が方針を決める前に、CIO（最高情報責任者）や技術リーダーは他の事業部門のリーダーと連携し、関心度や想定される使用例、リスクなどを把握する必要がある。

　単純にChatGPTの使用を禁止するだけでも、今のところは一時的なポリシーとして機能するかもしれない。しかし企業がMicrosoftやGoogleの製品を使用している場合、これらのAIモデルはすでに購入したソフトウェアに組み込まれつつある、とミハイロフ氏は指摘する。

　「これらのツールが提供する利便性は非常に大きいので、組織は今すぐにでも情報セキュリティポリシーを考える必要がある」（ミハイロフ氏）

　専門家同士をつなぐソーシャルプラットフォームである「Fishbowl」のユーザー約1万1800人を対象にした調査によると、3分の2以上の労働者が上司に報告することなく生成AIツールを使用し始めたと回答している（注6）。

　Gartnerの調査によると、CIOは法務やコンプライアンス、IT、リスク管理、プライバシー、データ分析、セキュリティ、ビジネスラインの各チームと話し合い、ポリシーが組織のニーズと要件を示していることを確認する必要がある。

　Insight EnterprisesのCIOであるスーマー・ノーラパティー氏は「生成AIの導入を目指す企業は強力なガバナンスを発揮し、明確に定義されたガイドラインを順守する必要がある」と話す。

　「AIモデル内のプライバシーやデータセキュリティ、アルゴリズムの透明性を確立することは、倫理的かつ法的コンプライアンスに関連するリスクを軽減するために全て最優先事項でなければならない」（ノーラパティー氏）

　CIOや技術者は、技術チーム以外のメンバーにも生成AIツールでできることとできないことを伝え、期待値を設定する必要がある。Gartnerによれば、ChatGPTを使用するリスクとしては、捏造や事実誤認、偏った回答、的外れな回答、著作権侵害の可能性、機密データの漏えいなどが含まれるという。

　AIモデルが生成したものは全て“初稿”として扱うべきだと、Gartnerのアナリストであるアビバ・リタン氏は述べている。

　その上で同氏は「顧客やパートナー、あるいは他の従業員など、誰に対しても情報を送る前に、その分野の専門家が品質と正確性を確認する必要がある」と話す。

ChatGPTのユースケースは、3つのポイントを考慮せよ

　Info-Tech Research Groupのプリンシパルリサーチディレクターであるビル・ウォン氏は、企業において生成AIツールのユースケースが受け入れられるかどうかを評価するために、すでに確立された目標とリスク許容度に基づき、企業が順守できるフレームワークが必要だと主張する。

　予算やリソースの制約を受けない企業であればより余裕があるが、他に優先すべきことがある企業は、ユースケースを評価する際により慎重になる方が良いかもしれない。予算やリソースに制約がある場合、企業はまず、顧客に大きな影響を与える複雑性の低いユースケースから選ぶべきだと同氏は言う。

　ユースケースを考える際に企業のリーダーが問うべきことは以下の3つだ。

• このユースケースは、ビジネスと合致しているか
• このユースケースは、自社の責任ある倫理的なAIガイドラインに従っているか
• このユースケースは、自社で実現可能か

　経営幹部は、ユースケースが顧客に伝える価値提案に合致しているか、規制や法律に準拠しているか、組織が潜在的なリスクを引き受けられるかを評価する必要がある、とウォン氏は指摘する。

　Levi Straussのeコマース技術バイスプレジデントであるユリア・グローザ氏は、2023年4月に開催されたSAPのウェビナーで「企業は自社のブランドアイデンティティーにセーフガードをかけ、全てのリスクについて従業員教育を実施し、倫理的かつ責任ある方法でAI技術を活用すべきだ」と述べている。

　ユースケースが実現可能かどうかを判断する際、リーダーは成功の可能性や実装の複雑さ、時間的余裕を評価する必要があると、ウォン氏は言う。

　さらに、ユースケースがフレームワークから外れている場合、企業は立ち止まって再評価することも大事だと同氏は指摘している。従業員が仕事で生成AIを使用することに関して、その恩恵は組織ごとに異なるだろう。

（注1）How much will generative AI disrupt jobs?（CIO Dive）
（注2）OpenAI lowers ChatGPT API price（CIO Dive）
（注3）ChatGPT bug underlines need to limit shadow IT（CIO Dive）
（注4）OpenAI adds more data privacy guardrails for ChatGPT（CIO Dive）
（注5）ChatGPT accessible again in Italy（BBC）
（注6）Threat actors can use ChatGPT, too. Here’s what businesses should watch（CIO Dive）