ChatGPTのセキュリティ・リスクを分かりやすく解説

ChatGPTは極めて高性能な対話型AIです。

そんなChatGPTを活用すれば生産性が急上昇するとの声も少なくありません。

しかし一方でセキュリティ上のリスクが高いと耳にしたことのある人も多いのではないでしょうか。

そこで今回はChatGPTのセキュリティ・リスクについて分かりやすく解説していきます。

ChatGPTはセキュリティリスクに注意

ChatGPTは機密情報が外部に漏れるセキュリティリスクがあります。

ChatGPTは事前学習済みの膨大なデータのほか、ユーザーとのやり取りも将来的に学習リソースになると思われます。

もちろん、開発元のオープンAIは機密情報の取り扱いに慎重な姿勢を取っています。

しかしそれでも、入力済みの機密情報が将来的に外部へ漏洩するリスクは残ります。

また、そうでなくともChatGPTのセキュリティが突破されれば結果として機密が外部に漏れてしまいます。

ビジネスでChatGPTを利用するときは機密にかかわる情報は入力しないに越したことはないでしょう。

要するに、考え方としては昨今の一般的なクラウドサービスと同じです。

Chat形式であることからつい重要情報も漏らしがちですが、そこはむしろふだん以上に注意しておくべきでしょう。

ChatGPTのセキュリティ・リスク対策

ChatGPTをビジネスで利用するときのセキュリティ・リスク対策は、今のところ手探りといったところです。

個人的には一般的なクラウドサービスのセキュリティと同様の考え方をベースにして、プラスアルファが必要ではないかと思います。

まず大前提として、クラウドサービス同様に機密情報は入力しないこと。

これは先ほど触れたとおりです。

そのうえで、ChatGPTならではのリスク対策も必要と思われます。

それはChatGPTの回答を鵜呑みにしないことです。

言ってしまえば、ChatGPTは膨大なデータ群をもとにそれらしい回答をするだけのサービスです。その回答の正確性までは担保されていません。

それを勘違いして百科事典のように使っていると、誤った情報をもとに意思決定していまいかねません。

これは直接的なセキュリティリスクではないものの、致命的なミスに繋がることがあるのは間違いないはずです。

仮に顧客へ間違った情報を提供した場合は大きな信用問題ともなることもあるでしょう。

ChatGPTを業務で導入する際はそうした特性は把握・周知しておくようにしましょう。

ChatGPTのセキュリティ・リスクの実用性

ChatGPTのセキュリティやリスクを考えると業務での実用性は限定的と思われます。

昨今、多くの人がChatGPTで生産性が急上昇するというような発言をしています。

しかし、先に解説したとおり、その回答の正確性にはかなりの疑問符が付きます。

かなりそれらしい回答をすることから、誤った情報を鵜呑みにするリスクも従来の検索エンジンとは段違いです。

ファクトチェックの手間を考えると、すでにその分野をある程度熟知している人でなければ活用は難しいと思われます。

ビジネスで運用するならば、それらを加味したChatGPTの利用ポリシー策定が必須になるでしょう。

総じて、セキュリティリスクとメリットを天秤にかけると組織として見切り発車で導入するのはおすすめできません。

とはいえ、うまく個人が活用すれば噂通りに生産性を上げられるのもまた事実。

そのため、個人が私的に使うのを防ぐのは難しいと思われます。

組織的にChatGPTを導入しないとしても、なんらかのセキュリティ対策は検討しておくべきかもしれません。

ChatGPTのセキュリティ・リスクは組み込みサービスにも要注意

Microsoft社のBingを皮切りに、今後、ChatGPTは単体というよりは外部のサービスへ組み込まれる使い方が主流になると思われます。

そうなると、見えないところに組み込まれたChatGPTへのセキュリティ・リスク対策が必要になってきます。

たとえば、いずれオフィスソフトにChatGPTが組み込まれるのも時間の問題でしょう。

そうなったときを見越すと、やはりセキュリティ部門は今のうちからChatGPTに対するリスク計画を策定しておく必要があるのではないでしょうか。

ちなみに、ChatGPTばかりが騒がれていますが、同様のサービスはGoogleはもとよりLINE(ライン)なども開発中です。

今後はChatGPTを前提にするのではなく「対話型AI」という括りでセキュリティを考えておくべきかと思います。

ChatGPTのセキュリティリスク対策の参考情報

ChatGPTのセキュリティ・リスク対策を策定する際にはいろいろな情報を当たる必要があるかと思います。

最近はいち早くガイドラインを策定した企業が内容を公表しているケースも少なくありません。

そうした事例ももちろん有用ですが、やはり一次情報には叶いません。

個人的には、ChatGPTの開発元であるオープンAI社のブログがまず第一。

次いで、ChatGPT自身の公表しているドキュメントをもとにセキュリティ・リスク対策を考えるべきかと思います。

たとえば、プライバシーポリシーはまずおさえておくべきです。

あるいは、教育機関でのChatGPT利用を前提にしたドキュメントもありますが、そちらは従業員レクチャー向けにかなり参考になると思われます。

基本的には英語ですが、いまは翻訳ソフトで簡単に日本語化もできます。

セキュリティ担当者は、なるべくならば二次情報ではなくChatGPT自身のリリースしている一次情報を当たるようにしましょう。

ChatGPTのセキュリティ・リスク対策はキャッチアップも重要

ChatGPTのようなAIの技術は飛躍的に発展しているように見えます。

現にChatGPT自身もすでにGPT-4へとアップグレードしています。

それにともない、セキュリティ・リスク対策もまた日々情報を更新していく必要があります。

日々新しい使い方が発見されるのと同じように、ChatGPTを悪用する方法も無数に生み出されるはずだからです。

残念ながら、オープンAI社自身もそのような悪用を未然にすべて防ぐのは不可能としています。

情報セキュリティ担当者としては、それでもできるだけ最新の情報を追いつつリスクヘッジしていくように努めましょう。