情報漏洩のリスクと対策
AIに入力した情報がどこへ行くのか、なぜ漏れる可能性があるのかを3つの経路で整理。入れていい情報・絶対に入れてはいけない情報の線引きと、今日からできる対策5つを、公的機関と各社公式情報をもとに超訳します。
ざっくり言うと
特に 顧客名・契約書・未公開の経営情報 をそのまま貼り付けるのは、紙にコピーして外のカフェに置き忘れるのと似た行為です。仕組みを知れば、ちゃんと安全に使えます。
イメージ
正確には
個人情報保護委員会は2023年6月、生成AIサービスの利用にあたって個人情報を含むプロンプト入力が個人情報保護法上の問題となる可能性があることを注意喚起しています(『生成AIサービスの利用に関する注意喚起等について』)。業務で顧客情報を扱う人は、まずこの公的アナウンスがある事実を押さえておきましょう。
IPA(独立行政法人情報処理推進機構)の『情報セキュリティ10大脅威 2024』でも、生成AIをめぐる情報漏洩リスクが組織向け脅威の一つとして取り上げられており、業務利用時のルール整備の必要性が指摘されています。
漏れる経路は大きく3つ
AIに入れた情報が外に出る可能性のあるルートは、ざっくり次の3つに整理できます。
| # | 経路 | 何が起きるか |
|---|---|---|
| 1 | 学習データへの再利用 | 入力内容がAIモデルの改善(学習)に使われる場合がある。設定でオフにできることが多い |
| 2 | 運営会社サーバーへの保存 | 規約に従ってログが一定期間保存される。安全管理されているが、外部攻撃・内部不正のリスクはゼロではない |
| 3 | 別用途への再利用・レビュー | 設定や契約によっては、改善・安全確認・品質レビューなどの対象になることがある。だから機密情報は最初から入れない |
OpenAI のプライバシーポリシー、Anthropic のプライバシーポリシーでも、入力データの取り扱い・保存期間・学習利用の有無について明記があります。各社で扱いが異なるため、使うサービスごとに必ず確認するのが原則です。
入れていい情報 vs 入れてはいけない情報
業務で迷ったら、この表で判定してください。
| 区分 | 例 | 判定 |
|---|---|---|
| 入れてよい | 一般公開された情報、自分だけの日記レベル、ダミーデータに置き換えた業務文書 | OK |
| 入れる前に要検討 | 自社の業務フロー、社内向けの研修資料、未公開の販促アイデア | 条件付き(法人プラン or オプトアウト前提) |
| 絶対に入れない | 顧客名・取引先名・契約書原文・個人情報(氏名/住所/電話/メール)・マイナンバー・医療情報・未公開の財務/M&A情報・他社の機密 | NG |
一度入れたら戻せない
対策5選
特に 5番目の「送信前3秒」 は、設定をいくら整えても結局は人の手で守るしかない最後の砦です。安いけれど効きます。
やってみよう
会社として複数人で使う場合は、別途「社内の生成AI利用ガイドライン」を1枚作っておくとトラブルを減らせます。これは別の記事で扱います。
参考ソース
- 個人情報保護委員会 - 生成AIサービスの利用に関する注意喚起等について(Tier 1)
- IPA(独立行政法人情報処理推進機構) - 情報セキュリティ10大脅威 2024(Tier 1)
- OpenAI - Privacy Policy(Tier 1)
- Anthropic - Privacy Policy(Tier 1)
UPDATES
新着レッスンをLINEでお届け
新着レッスンやAIの最新ニュース、仕事に役立つヒントをお届けします!
リンク先は、運営元の Nanoha AI Labo 公式LINEです。
