情シスはChatGPTのセキュリティ対策をどう考えていくべきか？

責任者は悲観的に考えざるを得ない

「ChatGPTのセキュリティ対策について相談したい」

最近、どの現場でもChatGPTの話題が増えています。

私もかなり使っていますが、非常に便利です。利用が拡大するのは当然だとも感じてしまいます。

一方で、利用拡大に伴い、セキュリティを心配する声も大きくなっています。

いろいろな利用シーンがあるため、ついつい会社の「機密情報」や「個人情報」をそのまま投稿してしまうかもしれません。

それらの情報がAIの学習に使われ、他社への回答に使われてしまうと、立派な「情報漏洩」となってしまいます。

一応、公式的にはそのような機密情報や個人情報は、蓄積したり学習したりする仕組みはないと言われています。

ChatGPT「本人」に聞いても、そのような回答が返ってきます。

しかし、ブラックボックスで証拠もなく、契約で縛れないのであれば、そのまま放置するのは難しいでしょう。

セキュリティ事故が発生した場合を考えると、責任者が二の足を踏むのは当然です。

その結果として、いったんChatGPTの利用を全面禁止する現場も少なくありません。

その上で「セキュリティ対策を考えろ」と情シスに指令が降りてきます。

情シスとして、どう考えていけばよいのでしょうか？

待つという選択肢

セキュリティ対策には、バリエーションがあります。

まずは、ChatGPTのURLをブロックして、全面禁止にする方法。

「そんなの当たり前すぎるでしょう？」と思われるかもしれません。

ですが、私は密かにこれが現時点ではかなり有効な策だと考えています。

なぜなら、より実用的なサービスの登場が今後期待されているからです。

例えば、Windows11に搭載される「Windows Copilot」というサービス。

これはChatGPTを直接使うのではなく「プラグイン」として間にCopilotが入るというもの。

Copilotは、法人向けに安全設計されており、情報漏洩などを防ぐことが期待されています。

他にもいろいろと有力なサービスが予定されており、「今は待つ」というのも戦略的な判断といえます。

プラグインという選択肢

一方で、もっと積極的な利用を考えたいのであれば、その他の「プラグイン」を検討していくことになります。

基本的な考え方としては、「ChatGPTというコアエンジンに何かをかぶせる」ということ。

ChatGPTを直接使うのではなく「プラグイン」を間に挟み、間接的に使うことで足りない機能を補完するという考え方です。

あるプラグインを使うと、ChatGPTに投稿する前に機密情報や個人情報がないかをチェックできます。もし含まれていたら、警告を出して修正を促したり、連携できない制御をいれたりします。

別のプラグインでは、社員のアカウントを管理し、利用状況を分析できたりします。

このようなプラグインは、現在急速に増えていて、常に新しいサービスが登場しています。

これらの数多くのプラグインを検討したい場合に参考となるのが「ビジネス活用向けChatGPT連携サービスカオスマップ」です。

2023年4月27日公開時点で184サービスが掲載されています。

「こんなにサービスが出ているんだ！」と驚きつつ、いろいろな使い方の視点も得られます。

プラグインには、それぞれ特徴があります。

目の前の1つのサービスだけを検討するのではなく、幅広い選択肢の中から目的に沿ったサービスを選定していくことが重要です。

選択肢は流動的に変化する

ChatGPTについては、現状はまだ事例が少なく、どの企業も模索しているフェーズです。

投資体力のある企業は、いろいろ実験して試験導入していくのもいいでしょう。先行者利益を享受できるかもしれません。

そうではない企業は、時代の動向をウォッチしつつ、焦らずに待つのも選択肢ではないでしょうか。他社事例を待ったり、プラグインをトライアルしたり、費用をかけずに模索することもできるでしょう。

また、既にSASEなどのセキュリティサービスを導入しているのであれば、ChatGPTの利用状況を監視したり、不正なアクセスをブロックしたりすることで、安全性を高めることもできます。

さらに、ChatGPTの利用ガイドラインも総務省や経済産業省などから続々と公開されています。

これらを参考にしながら、自社の運用ルールも合わせて検討していくとよいでしょう。

貴社のIT部門・情報システム部門は、ChatGPTの取り扱い方針を策定しましたでしょうか？