ChatGPTで情報漏洩は発生する？情報漏洩が起きる理由や対策を解説

ビジネスシーンでChatGPTの活用が急速に広がっていますが、情報セキュリティの観点から導入をちゅうちょする企業も少なくありません。実際に大手企業での情報漏洩事例も報告されており、適切な対策なしでの導入はリスクを伴います。本記事では、ChatGPTによる情報漏洩のリスクと具体的な対策について、分かりやすく解説します。

ChatGPTで情報漏洩は起こり得る？

多くの企業でChatGPT活用のニーズが高まっていますが、セキュリティ面での不安も同時に広がっています。

ChatGPTは便利なツールですが、使い方を間違えると企業の大切な情報が外部に漏れてしまう可能性があります。具体的なリスクと対策について詳しく見ていきましょう。

可能性はゼロではない

ChatGPTを利用する際に入力した内容は全てOpenAI社のサーバーに送られます。入力された情報は、AIの性能を向上させるために保存・利用される可能性があるのです。

つまり、企業の機密情報や顧客の個人情報を不用意に入力してしまうと、その情報が外部に漏れてしまうリスクが存在します。

特に無料版のChatGPTを使用する場合、入力情報の管理が十分にできないため、情報漏洩の危険性が高まります。このリスクは決して無視できるものではなく、企業としての適切な対応が必要です。

なぜ情報漏洩が起こるのか

情報漏洩が発生する主な原因は、大きく分けて二つあります。一つは、ChatGPTを利用する従業員の情報セキュリティに対する意識が十分でないことで、もう一つは、企業としての明確なルールやガイドラインが存在しないことが挙げられます。

例えば、営業資料の内容をそのまま入力してしまう、顧客の個人情報を含んだデータを質問文に使用する、複数の人でアカウントを共有するといった行為が、重大な情報漏洩につながる可能性があります。

また、ChatGPTが入力情報をどのように扱うのか、基本的な仕組みを理解しないまま使用を始めてしまうことも、リスクを高める原因となっています。

実際に情報漏洩が起こったサムスン電子の事例

2023年3月、韓国の大手企業サムスン電子において、ChatGPT利用に関する重大な情報漏洩事故が発生しました。導入からわずか20日という短期間で3件の情報漏洩インシデントが確認されたのです。

具体的には、エンジニアがプログラムの不具合を解決するためにソースコードを入力してしまったケースや、会議の議事録作成を効率化する目的で社内会議の録音内容をテキスト化してChatGPTに入力してしまったケースがありました。

この事態を重く見たサムスン電子は、直ちに緊急措置としてプロンプトの容量制限を実施し、最終的にはChatGPTの利用を全面的に禁止する判断を下しました。

この事例は、ChatGPTの利便性と情報セキュリティリスクの両面を企業に突き付ける重要な警鐘となったことで知られています。

情報漏洩を防ぐためのChatGPTの設定

ChatGPTを企業で安全に活用するためには、適切な設定と運用方法の確立が欠かせません。ここでは、具体的な設定方法とその効果について、実践的な視点から解説します。

Teamプランの利用

企業でChatGPTを使用する場合、基本的にはTeamプランの導入をおすすめします。

Teamプランでは、入力された情報の取り扱いについて詳細な設定が可能で、AIの学習に情報を使用されることを防ぐことができるためです。

また、企業全体でのユーザー管理や使用状況の確認が簡単にできるため、情報漏洩のリスクを大幅に減らすことができます。セキュリティ機能が強化されているため、企業での利用に適しているといえます。

設定から履歴を残さないよう変更する

ChatGPTには、会話の履歴を残さないように設定できる機能があります。この設定を有効にすることで、入力した情報がOpenAI社のサーバーに長期間保存されることを防ぎ、情報漏洩のリスクを抑えることができます。

具体的な設定方法は、アカウントの設定画面から「Data Controls」を選び、「Chat History & Training」という項目をオフにするだけです。

この簡単な設定変更だけでも、情報セキュリティを大きく向上させることができます。

API連携を利用する

より高度なセキュリティ対策として、ChatGPT APIを使用した独自のシステム構築という選択肢があります。

APIを使用すると、会社の機密情報を自動的にフィルタリングしたり、誰がいつどのような情報を入力したのかを詳しく記録したりすることができます。

また、特定の用途に限定した使い方を強制することもできるため、より安全な環境でChatGPTを活用することが可能になります。

ChatGPTで情報漏洩を発生させない社内施策

システム面での対策に加えて、組織としての取り組みも重要です。ここでは、効果的な社内の取り組みについて具体的に解説します。

ChatGPTに関する社内ルールを設ける

企業でChatGPTを安全に活用するためには、明確なルール作りが不可欠です。ChatGPTに入力してよい情報の範囲、禁止事項、利用前の承認手続きなどを分かりやすく文書化し、全ての従業員に周知する必要があります。

特に重要なのは、個人情報や企業の機密情報の取り扱いについて、具体的な例を示しながら詳しく説明することです。また、定期的な研修や勉強会を開催し、従業員の理解を深めることも効果的な施策となります。

アカウントが流出しない対策を行う

ChatGPTのアカウント管理は、情報漏洩を防ぐための基本となります。8文字以上の複雑なパスワードを設定する、定期的にパスワードを変更する、二段階認証を導入するといった基本的なセキュリティ対策を確実に実施しましょう。

また、アカウントの共有は絶対に行わず、必ず個人単位での利用を徹底することが重要です。不正アクセスや情報漏洩のリスクを最小限に抑えるためには、これらの基本的な対策の徹底が欠かせません。

ログの監視

定期的なログ監視は、システムの不適切な使用や潜在的なリスクを早期に発見するために不可欠です。特に、ChatGPTの利用状況に関しては、誰がどのような目的で使用しているか、どのような情報が入力されているかを定期的に確認することで、情報漏洩のリスクを未然に防ぐことができます。

また、異常な利用パターンや不適切な入力内容を検出した際には、迅速に対応できる体制を整えることが重要です。

このようなログ監視と情報漏洩対策を効果的に行うためのツールとして、「Watchy」の活用が有効です。Watchyは、ログやWebアクセスの監視など、パソコンの使用履歴やアクセスを監視することができるため、不審な操作があった場合にはすぐに気付くことができます。必要な機能だけを選んで導入・運用できるため、無駄な機能を契約することなく低価格でスモールスタートが可能です。 

Watchyを活用することで、効果的なログ監視と情報漏洩対策を実現し、組織のセキュリティ強化に寄与することが期待できます。

Watchyについてもっと詳しく知りたい方はこちらから

情報へのアクセスを制限する

ChatGPTを利用する際は、使用者に対しアクセスできる制限を設けることが重要です。具体的には、業務上必要最小限の情報のみにアクセスできるよう権限を設定し、機密性の高い情報への不必要なアクセスを防ぐことで、重大な情報が漏洩するリスクを減らすことができます。

また、部署や役職に応じてChatGPTの使用権限を細かく設定することで、情報漏洩のリスクを効果的に管理することができるようになるでしょう。

ChatGPTに限らず、従業員ごとのアクセス権限は、セキュリティ管理者にとって重要なタスクといえます。社内の従業員だけでなく、退職者や取引先を含め、しっかりとした管理が求められます。

社内でChatGPTの利用を制限するなら

社内で検討の末、ChatGPTの利用を制限することになった場合、どのような対策が考えられるでしょうか。

「Watchy」では、Web操作監視機能を活用して、事前に指定したサイト（今回の場合はChatGPT）へのアクセスを検知し、アラートを発する仕組みを導入できます。

ChatGPTに限らず、転職サイトやゲームサイト、さらにはセキュリティリスクのあるサイトへのアクセスを監視することが可能です。

1台あたり1機能100円から導入できるため、ChatGPTを含む特定サイトへのアクセス制限や検知体制を構築する際には、「Watchy」のWeb操作監視機能がおすすめです。

Web操作監視機能の詳細はこちら

ChatGPTは便利だが情報漏洩に注意

ChatGPTは確かに革新的なツールであり、業務効率の大幅な向上が期待できます。しかし、適切な対策を講じないまま導入すると、重大な情報漏洩リスクにつながる可能性があります。

本記事で解説した対策を参考に、自社の状況に合わせた適切なセキュリティ対策を実施することで、ChatGPTを安全かつ効果的に活用することが可能です。まずは小規模な範囲から試験的に導入し、段階的に利用範囲を広げていくアプローチを行いましょう。

また、重要な情報についてはそもそも入力をしない、情報についてアクセス制限を設けるといった基本的なセキュリティ対策も、情報漏洩を防ぐことにつながります。