ChatGPTは危ない⁉ChatGPTからの情報漏洩事例を紹介

ITセキュリティ
#セキュリティ

OpenAI社の提供するChatGPTはテキスト生成AIの一つで、日本国内で最も著名なAIサービスといえるでしょう。チャットボットとして質問に答えてくれるだけでなく、翻訳、プログラミング、類例の表示、アイデアの抽出など幅広い用途で利用が可能です。
しかし、ChatGPTを業務で利用する場合には注意すべき点もあります。その中でも、情報漏洩に関するリスクは重要なポイントです。機密情報や個人情報の漏洩は企業の事業活動に影響を及ぼす可能性もあります。

➡ChatGPTのそのほかの危険性も知りたい方はコチラ

本記事では、ChatGPTの国内の活用事例とリスク、その中でも情報漏洩についての注意点、事例、リスク回避策を紹介します。ChatGPT活用のヒントにして頂ければ幸いです。

ChatGPTの活用事例6選

ChatGPTからの情報漏洩に関して触れる前に、まずは国内企業のChatGPT活用事例を紹介します。

パナソニックコネクト

パナソニックグループの事業会社パナソニックコネクトでは、2023年2月にChatGPTをベースにした「ConnectAI」を開発し、業務に活用しています。その後、開始3カ月で26万回累計で利用され、パナソニックグループ内にも展開されるなど定着が進み、自社のデータと繋ぎ合わせてカスタマーサポートにも利用する予定が公開されています。

サイバーエージェント

サイバーエージェント社では広告事業にChatGPTを取り入れ、作業時間を大幅に削減するべく「ChatGPTオペレーション変革室」を設立しています。月間の広告オペレーションにかかる23万時間のうち30%にあたる7万時間の削減が目標です。

大和証券

大和証券では2023年4月に全従業員9,000人に対しChatGPTの利用を開始するとプレスリリースしています。情報の漏洩に注意してセキュアな「Azure OpenAI Service」を利用し、ChatGPTのアウトプットの正確性を確認することを前提にあらゆる業務への活用を行います。

GMOパペポ

GMOパペポ株式会社では3つのEC関連サービス(「カラーミーショップ byGMOペパボ」、「minne(ミンネ) byGMOペパボ」および「SUZURI(スズリ) byGMOペパボ」)において、ChatGPTを活用したSNSの集客に利用可能なPR文や商品説明文を自動生成する機能を提供開始しています。利便性を高める機能としてプロダクトに組み込まれており、ユーザーが利用できるサービスの形態です。

ファインディ

エンジニア向けの転職サービスなどを手掛けるFindyは、エンジニア向けの職務経歴書の自動作成サービスとして「ChatGPTエンジニアキャリアまとめ(β)」を提供しています。エンジニアがGithub、Qiita、Zenn、自分のブログなどに記載している技術情報や過去の履歴をワンクリックでまとめてくれるサービスです。

みんがく

オンライン自習室サービス「みんがく」を提供するみんがく株式会社は、ChatGPTを利用した学習塾支援サービス「小論文・作文添削専門 国語先生のBUKA」のリリースを発表しています。塾講師の小論文、作文添削をサポートし、先生の負荷を軽減するサービスです。

ChatGPTのリスクとは?

様々なシーンで活用が広がっているChatGPTですが、利用にはリスクが伴うことに注意しましょう。以下、ChatGPTの利用によるリスクを4つ紹介します。

不適切な生成結果

「賢いAIが出力した内容だから、生成物は正確性の高い内容である」とは限りません。そもそも、ChatGPTを始めとした生成AIの生成物の正確性は保証されていません。習した中で最適と思われる内容を生成するのみにすぎず、正確でない回答を返してくることもあります。正確か不正確で割り切れない内容についても注意が必要です。

2023年12月時点でChatGPTが学習している情報は2021年9月時点までの情報です。拡張版を利用しない限りは2021年9月以降の情報は学習していないため、最新の情報は得られないことがあります。

これらの事情から生成結果は不適切な場合もあります。ChatGPTの生成結果をチェック無しに情報拡散した場合、不適切な内容が拡散されてしまうため拡散した組織や人物の信頼は大きく損なわれてしまうでしょう。

他者の権利を侵す可能性

生成AIは学習した内容から生成を行うため、学習内容がアウトプットの出力に利用される仕組みです。学習した内容に他者の著作物や肖像などが含まれる場合、生成物が他者の著作権侵害などを引き起こす可能性があります。

さらに、今後生成AIがインターネット上などのデータを学習に利用した場合、生成AIのアウトプットを学習内容に利用することが起こるでしょう。権利関係はより複雑になるため、技術的な対応と法整備などのルール策定を注視しておきましょう。

サービスへの依存

ChatGPTを利用した業務を組み立てた場合、サービス提供に業務が依存する関係となります。他のITサービスやシステムへの依存と同様に、サービス提供停止、メンテナンス、利用価格上昇などが業務に大きな影響を与えるため注意が必要となります。

情報漏洩の危険性

ChatGPTの利用ではプロンプトから情報を入力しており、入力したデータはChatGPTに送信されて利用されます。Webサービスとして提供している以上、このデータの送信は避けられないところです。

ChatGPTを提供するOpenAI社にデータを預けることとなり、セキュリティ上の問題発生や悪意のある利用などが行われた場合には情報漏洩のリスクがあります。サービス提供者に信頼をおいていても、外部からの攻撃などによる漏洩・流出のリスクが存在することには変わりありません。

最新!ChatGPTからの情報漏洩事例

ChatGPTが一般化した後に発生した情報漏洩事例について紹介します。

①インフォスティーラーによるアカウント情報の流出

シンガポールのセキュリティ企業Group-IBは2023年6月に、ChatGPTの認証情報を格納し、スティーラーに感染したデバイス101,134台を特定したと報告しています。スティーラーとは情報を盗むマルウェアを示しており、違法なダークウェブで取引された情報窃取マルウェアのログ内においてこれらの認証情報が発見されたことが伝えられました。

ChatGPTのデフォルト設定では過去の質問の履歴を参照することができます。アカウント情報を悪用してChatGPTにアクセスした場合、過去に質問した内容に重要な情報が含まれていれば、そこから情報漏洩が発生します。

②ChatGPTの脆弱性による個人情報流出

2023年3月20日ChatGPTが短時間オフラインになりました。これはバグにより、ユーザー情報が他のユーザーに見えてしまう事象が発生したことが原因のメンテナンスであるとOpenA社が報告しています。一部ユーザーの個人情報の漏洩が発生した事例です。

③従業員による重要情報のChatGPTへの送信

金融テクノロジー企業ブルームバーグは、韓国サムスン電子でChatGPTの利用を禁止する指示が従業員に伝えられたことを報告しています。ChatGPTに従業員が自社の重要情報をアップロードし、情報のリークが発生したことがその背景にはあるとされており、ChatGPTの活用には利用者のリテラシーが求められる事例といえます。

新規CTA

ChatGPTから情報漏洩が発生する原因

ChatGPTから情報漏洩が発生する原因となりえるポイントについて説明します。

OpenAIの外部サーバーにデータが格納される可能性

ChatGPTを提供するOpenAI社はChatGPTに送信されたデータがどこに格納されるかは公表していません(一説にはMicrosoft社のAzure(米国内)を利用しているとも)。必ずしも万全のセキュリティが確保された環境に格納されているとは限らないのです。

学習により適切な情報を回答する仕組みであるため

生成AIという仕組み上、学習とインプットは生成物の作成に対して必要です。また、WebサービスとしてChatGPTを利用する場合には、Web通信で情報のやり取りが発生することも必然的です。現状、Webの仕組みにおいて情報漏洩が発生しないセキュリティ対策は確立されておらず、情報漏洩は起こり得るとゼロトラストに沿って考慮するべきでしょう。

➡ゼロトラストとは

ChatGPTに重要情報を伝えてしまう可能性があるリスクが認識されていないため

ChatGPTを始めとした生成AIが登場し、一般的に普及してからまだ短い期間しか過ぎていません。その一方、Webサービスとして提供されているため、誰でも簡単に利用することが可能です。

ChatGPTを活用している人の中にはChatGPTに情報を渡す際のリスクを十分に理解していない方も多いのではないでしょうか。そのため、ChatGPTに重要な情報を送信し、その情報が流出することも起こり得ることを理解したうえでChatGPTを活用していくことが重要です。

その他、バグや不具合などの可能性

ChatGPTはOpenAI社が開発し、完成度の高さが広く評価されているサービスです。そのバックエンドには優秀なエンジニアが多数存在すると想定できます。しかし、それでもバグや不具合が存在しないとは限りません。現状で明らかになっていない脆弱性が新たに発見された場合には、ゼロデイと呼ばれる状態が発生する可能性があるでしょう。

リスク回避策

ChatGPTの利用については、リスクが存在していることをここまでご説明してきました。これらのリスクについて、知識を持ち対策を用意しておくと、安心してChatGPTを利用できます。

①ChatGPTに関する正しい認識の周知

ChatGPTおよび生成AIについて、仕組みを理解して正しい認識の元、利用するよう周知することが大切です。利用者にリテラシーがないことが原因で情報漏洩が発生することを避けましょう。

②明確な利用ルールの策定

企業や組織では、ChatGPTや生成AIを利用する際のルールを策定しておくこともリスクの回避策となります。例えば、質問時のインプットには個人情報や機密情報を入力しないことを定めておけば、情報の流出機会を減らすことができるでしょう。

③履歴Off機能

ChatGPTとのやり取りの履歴を残しておくと、アカウント情報が流出した場合に情報漏洩や流出する可能性があります。これについては、ChatGPTには履歴を残さない設定とすることが可能です。詳しくは下記の記事を参照ください。

ChatGPTでの情報漏洩を防ぐには?「履歴OFF設定」を紹介

④ツールの導入

様々な情報漏洩対策を行っても、サイバー犯罪者は次々と新たな攻撃の手立てを考えてくるため全てを防ぐことは簡単ではありません。もし、情報の漏洩・流出が起きた場合には、早い段階で検知し被害の拡大を食い止めることも重要です。情報の流出、漏洩の検知については、情報漏洩監視ツールの活用が一つの選択肢となります。

情報漏洩に対する備えに「ダークウェブアイ」

情報漏洩・流出は通常音もなく行われ、気づくのは簡単ではありません。知らぬ間に自社の情報が漏洩している可能性もゼロではないのです。そこで、情報漏洩、流出によりダークウェブなどに自社に関連する情報が流れていないかを監視しておけるツールが「ダークウェブアイ」です。

最初に自社の情報を設定しておけば、以降はダークウェブアイに監視を任せることができます。情報の漏洩、流出が確認された場合には、即時アラートをあげ通知するため、被害の拡大を防ぐことが可能です。

新規CTA

まとめ

ChatGPTによるテキスト生成は、利便性が高く、様々な活用方法が想定できます。事業に取り入れる企業も増えており、今後導入を検討しているケースも多いでしょう。しかしながら、ChatGPTの利用に関してはリスクも存在しています。特に、情報漏洩、情報流出につながる可能性があることは、利用に際して深く認識しておくことが大切です。

また、SMSデータテックはChatGPTの活用方法や情報漏洩に関するセミナーも開催しています。ChatGPTの安全な業務への活用に向けて、参考にしていただける内容です。セミナーが終了していても、アーカイブ動画の視聴も可能なため是非ご参照ください。

「必聴!10万件のアカウントが漏洩!?ChatGPTの漏洩リスクとは」

まずはお気軽にご相談ください
お問い合わせフォーム

おすすめイベント・セミナー 一覧へ