このページの本文へ

ChatGPTに機密情報を安易に入力してはいけない

2023年04月14日 09時00分更新

文● せきゅラボ編集部

  • この記事をはてなブックマークに追加
  • 本文印刷

AIが利用者のデータを収集するケースがある

 「ChatGPT」が話題になっている。AI開発大手のOpenAIが開発した会話系AIだ。まるで人間が対応しているような、自然な反応ができるとあって、開発者だけでなく、多くの人から注目されている。

 2023年3月には開発者向けにAPI(アプリケーション・プログラミング・インターフェイス。プログラムやサービスが外部とやり取りするための仕様)を公開しており、このAPIを利用することで、開発者は自社のアプリやサービスにChatGPTを組み込める。これにより、ChatGPTの利用がますます盛んになるかもしれない。

 一方、AIにデータを収集させることを危惧する声もある。

 OpenAIは3月24日(現地時間)、有料プラン「ChatGPT Plus」加入者の支払い関連情報などが、一部流出した可能性があるという声明を発表(March 20 ChatGPT outage: Here’s what happened)。

 また、3月31日(現地時間)、イタリアのデータ保護当局は、OpenAIによる同国ユーザーのデータ処理に一時的な制限を課す命令を出した。当局は、AIがアルゴリズムを学習する際、個人データを収集、保存することに法的根拠が欠如しているなどと主張。OpenAIは、イタリアからのChatGPTへのアクセスをブロックした。

 さらに、韓国メディア「이코노미스트(Economist)」は3月30日、サムスン電子の一部署がChatGPTの使用を許可したところ、機密性の高い社内情報をChatGPTに入力してしまう事案が3件発生したと報道している。サムスン電子側は、社内情報セキュリティに注意するように呼びかけていたもの、プログラムのソースコードや会議内容などを入力した従業員がいたという。

 OpenAIの規約では、ユーザーが同社の非APIコンシューマーサービスであるChatGPT、またはDALL-E(デジタル画像を生成する深層学習モデル)を利用する場合、ユーザーから提供されたデータを同社のモデルを改善するために使用することがあるとしている(How your data is used to improve model performance | OpenAI Help Center)。

 なお、その際には「個人を特定できる情報を削除する」「ユーザーごとに少量のデータサンプリングのみを使用する」という対策は取られているという。

 一方、API経由での利用の場合は、組織がオプトイン(ユーザーが情報を受け取る際や、自らに関する情報を利用される際などに、許可の意思を示すこと)しない限り、サービスの改善には使用されなくなっているとしている(Introducing ChatGPT and Whisper APIs)。

 なお、入力したデータを使用されたくない場合は「オプトアウトフォーム」が用意されている(OpenAI Data Opt Out Request (ChatGPT, DALL-E))。メールアドレスとID、法人の場合なら会社名を入力し、送信する。

 このように、ChatGPTを利用するにあたって、データを収集されたくない場合には情報の提供を許可しない方法もある。

 ただ、ChatGPTに限らず、一般的なセキュリティの常識として、パスワードや財務データといった個人情報、あるいは機密情報をネットサービスにみだりに入力しないほうがよいということを、念頭に置いたほうがいいだろう。

大切なのはセキュリティのリテラシーを高めること

 新しいテクノロジーが出現すると、よくも悪くも、その脅威が語られがちになる。もちろん、リスクを理解することは大事だ。しかし、まず、自身のセキュリティのリテラシーを高めることも重要といえる。

 韓国での報道では、社内情報セキュリティに注意するように呼びかけていながら、機密情報を入力してしまったことが問題となっている。この事件に関していえば、AIが機密情報を漏らしたわけではなく、人間側がミスをしてしまったということになる。

 ChatGPTに機密情報を安易に入力してはいけない理由は、「ChatGPTが疑わしいから」というわけではない。どんなネットサービスであっても、重要な情報の扱いには細心の注意を払うことが重要なのだ。

 また、AIに限らず、さまざまなネットサービスを利用するにあたって、オンラインになることは多い。そのことをしっかり意識することも大切だ。

 たとえば、セキュリティ関連のソフトを入れたといっても、使う人間が無警戒では意味がない。また、パスワードを「123456」などの安易なものにしたり、自分の誕生日などの推測されやすいものにしていたりするのもNGだ。パスワードの使い回しも、リスクがあるので控えよう。

 パスワードを複雑にするのはもちろんだが、生態認証、多要素認証などのテクノロジーを採り入れたパスワードソリューションも利用するといいだろう。

 また、SNS上でも、安全を保つ意識を持っておきたい。自分自身や、家族、友人などの個人情報の取り扱いに関しても注意が必要。生年月日、住所、仕事、本名などをみだりに公開しすぎないことは基本といえる。

 これからAIがどのように進化していくのか、我々の生活に浸透していくのかは、まだまだ未知の部分が大きい。過剰に怯えるのではなく、個人情報・機密情報を不必要に入力しない、身の回りのセキュリティにしっかりと気を配る……といった、基本的な対策を心がけていこう。

 今回は、McAfee Blogの「オンライン上で安全を保つための10のヒント」を紹介しよう。(せきゅラボ)

※以下はMcAfee Blogからの転載となります。

オンライン上で安全を保つための10のヒント:McAfee Blog

1. 複雑なパスワードを設定する

 個人情報や金融情報を安全に保つためには、まず重要なアカウントに対して強力なパスワードを設定することが一番の方法であるということは以前からよく言われてます。これは1度のデータ侵害で、何万ものユーザーパスワードが外部に漏れてしまうといった企業のハッキングが拡大している現代には、必要不可欠なルールといっても過言ではないでしょう。もし、SNSやオンライン銀行口座など、インターネット上の様々なサイトでパスワードを使い回していると、ハッカーはたった1つのSNSなどへの攻撃で流出したログイン情報データ等を利用し、他のサービスにもログインしてしまいます。そうならないためには、パスワードマネージャーを使って、すべてのアカウントに強力なパスワードを作成し、保存することをお勧めします。

 また、それぞれのオンラインアカウントに多要素認証機能が備わっているかどうかを確認しましょう。これは、本人確認の際に複数の情報を必要とする機能です。例えば、あるアカウントにログインする際、パスワードやパスフレーズに加えて、携帯電話に送信されるコードを入力する必要がある場合など、通常のパスワードを1回のみ入力するログイン方法よりも、よりセキュリティが厳重になっています。

2. ネットワークセキュリティの強化

 ログインの安全性が向上したら、接続の安全性を確認しましょう。おそらく自宅や職場ではデータを暗号化するパスワード保護されたルーターを使っていることと思います。しかし、外出先では、公共の無料Wi-Fiを利用したくなるかもしれません。しかし、公共のWi-Fiの問題点は、その多くがセキュリティの確保がされていないことです。つまり、ハッカーが比較的簡単にあなたのデバイスにアクセスし、情報を盗むことができてしまいます。その解決策として、VPN(Virtual Private Network)を使用することを検討してみてはいかがでしょうか。VPNとは、インターネット上に安全な接続を構築するソフトウェアで、どこからでも安全に接続することができます。

3. ファイアウォールの使用

 ネットワークが安全になった場合でも、より安全を確保するためにはファイアウォールを使用する必要があります。ファイアウォールとは、コンピュータやデバイスへの不正アクセスを防ぐための電子バリアで、しばしば包括的なセキュリティ対策ソフトに付属されています。ファイアウォールを使用すると、スマートサーモスタットやWebカメラのようなIoT(Internet of Things)デバイス含め、ネットワークに接続されているすべてのデバイスのセキュリティが確保されます。しかし、多くのIoTデバイスには、セキュリティ対策が搭載されていないため、ハッカーがネットワーク全体に侵入するための脆弱なポイントとなってしまうという点は注意が必要です。

4. クリックする際は慎重に

 高性能な技術的対策を実践した後は、不用意なクリックをして危険を招かないように気をつけましょう。今日のオンライン上には、フィッシングやソーシャルエンジニアリングを中心に多くの危険があります。ソーシャルエンジニアリングとはネットワークに侵入するために必要となるパスワードなどの重要な情報を盗み出す方法です。これらは明らかに詐欺目的のために、個人情報や機密情報を騙し取るものばかりです。スパムメール、「無料」と書かれた偽のサービスや商品、釣りタイトル、オンラインクイズなどこれらはすべて、危険なリンクをクリックさせるために誘導し、個人情報を盗むための手法です。仮にあまりにも条件が良すぎるサービスや、常識を超える範囲で多くの個人情報を求められた場合には注意してください。

5. 共有する前に考える

 最近ではオンラインやソーシャルメディアで個人が様々な情報を共有する機会が多いです。しかし、その中でも特に個人情報に関しては、共有する内容に注意するようにしましょう。そういった情報は、犯罪者があなたになりすましたり、パスワードやセキュリティ質問、ログイン情報を推測するために利用される可能性があるからです。

6. モバイルライフを守る

 モバイル機器はノートパソコンと同様に、オンライン上で危険にさらされる可能性があります。実際、タブレットや携帯電話は、危険なアプリやテキストメッセージで送られてくるリンクのような新たな危険に直面しています。クリックする際には細心の注意を払い、見知らぬ人からのメッセージは反応せずに無視してください。アプリを使用する際はまず、他のユーザーたちのレビューを読んで信頼性があるかどうかを確認し、ダウンロードする場合は必ず公式アプリストアから行ないましょう。また、すべてのデバイスでセキュリティ対策ソフトが有効になっていることを確認しましょう。

7 .安全にネットサーフィンとショッピングをするために

 オンラインショッピングをする時、クレジットカードや金融情報を入力する時、オンライン銀行やその他の機密性のある取引を行なうウェブサイトにアクセスする時は、必ずウェブサイトのアドレスを確認してください。アドレスは「http」ではなく、sがついた「https」で始まり、URL欄には南京錠のアイコンが表示されているかどうか確認しましょう。これはそのウェブサイトが安全かつ、個人情報を狙う泥棒が傍受できないようにデータを暗号化しているということを示しています。また、アドレスにスペルミスや文法的な間違いがあるウェブサイトは注意しましょう。これはこのウェブサイトを訪れた人を騙して情報を盗むために正規のウェブサイトを模倣している偽のウェブサイトの可能性があります。McAfee WebAdvisorなどの安全な検索ツールを使って、危険なサイトを避けるようにしましょう。

8. 常に最新の状態を保つ

 すべてのソフトウェアを更新して、セキュリティの欠陥を修正するプログラムであるセキュリティパッチの最新版を常に入手しておきましょう。コンピュータ、タブレット、携帯電話内のアプリやセキュリティ対策ソフトのアップデートを手動設定にしていると、ついつい更新するのを忘れがちになります。各デバイスが危険に遭わないためにも自動アップデートを有効にして、セキュリティ対策ソフトが定期的にスキャンを行うように設定しましょう。

9. 最新の詐欺には注意

 インターネット上にある詐欺やサイバー犯罪などの手口は常に進化し続けています。どんなことに注意しておくべきかを確認しておきましょう。現在、被害が増加傾向にあるのは「ランサムウェア」です。これはハッカーが会社のコンピュータに侵入し、ロックをかけて一時的に使用できなくさせ、多額の身代金を払わないとすべてを使えなくすると脅迫してくるという手口です。もし情報を盗まれた場合、このような大事件が起こりえるということを常に頭に入れておきましょう。

10. 警戒を高める<

 オンライン上での行動、閲覧するウェブサイト、SNSで共有する内容には常に細心の注意を払いましょう。包括的なセキュリティソフトを使用し、もし何かあったときのためにデータのバックアップを定期的に取るようにしましょう。また、インターネットを安全に使用するためにいくつかの基本的なルールを守るなど、前もって対策を講じることで、個人情報の盗難やマルウェアから身を守り、個人情報や財務情報を安全に保つことができるでしょう。

■関連サイト

カテゴリートップへ