なぜChatGPTで情報漏洩が起きる?事例と効果的な4つの対策

「ChatGPTを使うと、重要情報が漏洩するリスクはある?」

「ChatGPTの情報漏洩を防ぐには、どんな対策が効果的?」

ChatGPTをはじめとする生成AIの活用は、現代のビジネスや日常生活において不可欠となっています。ChatGPTを業務に活用すれば、データ分析の支援や顧客対応の自動化など、さまざまな面で生産性を向上させられるでしょう。しかし、便利さの陰に潜む情報漏洩のリスクも見過ごせません。

そこで本記事では、ChatGPTの情報漏洩に関する以下の内容を詳しく解説します。

  • ChatGPTの現状
  • 情報漏洩が発生した具体的な事例
  • ChatGPT利用時に実施すべき対策
  • より安全な活用方法

生成AIの恩恵を最大限に享受しつつ、リスクを最小限に抑えるためのポイントをお伝えします。ChatGPTを業務で利用している方、導入を検討している方は、ぜひご一読ください。

ChatGPTなどのAI技術活用をご検討中の方、必見!

ChatGPTの情報漏洩を防ぐには、どんな対策が効果的?

ChatGPTをはじめとするAI技術の利便性の裏側には情報漏洩リスクが潜んでおり、適切な対策の実施が重要です。また、安心して生成AIを業務に取り入れるには、セキュリティに配慮したツールを導入するのも近道です。一例として、サイバーセキュリティにおけるAI活用事例を掲載した資料をご用意しておりますので、こちらもぜひご覧ください。

ChatGPTの急速な進化と今後の展望

ChatGPTは2022年11月のリリース以来、卓越した性能で世界中の注目を集めています。OpenAIによって開発されたChatGPTは、2023年の「GPT-4」、2024年の「GPT-4o」と、驚異的な速さで進化を遂げてきました。

現在、ChatGPTの利用は産業界や教育分野など、幅広い領域で本格化しつつあります。自然な対話能力や高度な文章生成力は、多くの業務や学習プロセスに革新をもたらしています。

ChatGPTをはじめとする生成AIは、多くの組織にとって不可欠な存在といえるでしょう。今後も、さらなる技術の向上と社会への浸透が期待されています。

一方で、急速な普及に伴い、情報セキュリティの観点から新たな課題も浮上しています。ChatGPTの活用が進む中、利点を最大限に活かしつつ、潜在的なリスクにも適切に対処することが重要です。

AIを用いて高度化するサイバー攻撃

AIの進化に伴い、サイバー攻撃も高度化しています。例えば、ChatGPTをはじめとした生成AIを悪用すると、ターゲットに適した自然な日本語のフィッシングメールを作成可能です。実在する企業を装ったメールを送信し、偽サイトに誘導して情報を盗む手口が散見されています。

このようなAI活用型の攻撃に対応するため、企業には従来以上に高度なセキュリティ対策が求められます。既存の対策をAIを悪用した攻撃にも対応できるよう、既存の対策をアップデートする必要があるでしょう。また、AIの進化スピードは速いため、人手に頼らない自動化された対策の導入も重要です。

企業は新しい脅威を認識し、常に最新の対策を講じることが欠かせません。AIの利点を活かしつつ、リスクにも十分に備えることが、今後のサイバーセキュリティの鍵となります。

ChatGPTで情報漏洩が発生した事例

ChatGPTを開発・運営するOpenAIは、個人情報保護のために以下の対策を実施していると公表しています。

安全性と高水準なコンプライアンスを維持したツール開発の実施多要素認証によるアカウントセキュリティの強化保存時・転送中におけるすべての顧客データの暗号化データ侵害が発生した際の通知送信定期的な監視とアクセス制御
※参照:OpenAI「セキュリティポータル

しかし、実際は複数の情報セキュリティインシデントが報告されています。具体的な事例としては、企業の機密情報漏洩、システムのバグによるチャット履歴の漏洩、個人情報の流出が挙げられます。

企業の機密情報漏洩

ChatGPTでは、AIへの指示文であるプロンプトの記載内容を学習し、回答生成に活用します。そのため、プロンプトに機密情報を含めるとAIに学習され、他のユーザーの回答に転用されるおそれがあります。

実際に2023年3月、韓国の大手電子製品メーカーで情報セキュリティインシデントが発生しました。ChatGPTにソースコードを入力してプログラムのエラー解消を図ったことや、機密情報を含む社内会議の録音内容を入力したことが原因でした。

バグが原因のチャット履歴漏洩

ChatGPTのシステムにバグが発生し、ユーザーのチャット履歴タイトルが他のユーザーの画面に表示されるインシデントが起きました。OpenAIはインシデント発生時、ユーザーからの報告を受けてすぐにChatGPTのサービスを一時停止しました。数時間後には不具合が解消され、サービスを再開しています。

幸いにも会話の本文は表示されませんでしたが、機密情報を含むタイトルが他者の目に触れる可能性があったため、大きな問題となりました。ユーザーは常にシステムの不具合のリスクを念頭に置き、機密情報の取り扱いには細心の注意を払う必要があるでしょう。

ユーザーの個人情報の流出

2023年3月、有料版であるChatGPT Plusのユーザーの個人情報が流出するインシデントが発生しました。インシデントの内容は、名前・住所・クレジットカード情報の一部といった機密性の高い情報が、他のユーザーのサブスクリプション管理画面に表示されるというものです。通常、個人情報は各ユーザーが自身のアカウントでのみ閲覧できるはずでした。

今回のインシデントでは、ChatGPT Plusに加入しているユーザーの約1.2%の情報が、約10時間にわたって流出しています。

※出典:ChatGPT「March 20 ChatGPT outage: Here’s what happened

ChatGPTを利用する際に実施すべき情報漏洩対策

ChatGPTを活用する際は、適切な情報漏洩対策を講じることが不可欠です。以下の対策を実施することで、情報漏洩のリスクを軽減できます。

  1. 個人情報や機密情報を入力しない
  2. チャット履歴を残さない設定にする
  3. API連携を活用する
  4. ChatGPTの企業向けプランを利用する

ChatGPTの活用にあたっては、対策を組み合わせて実施し、常にセキュリティ意識を持って利用しましょう。

1.個人情報や機密情報を入力しない

ChatGPTの情報漏洩リスクを減らすには、個人情報や機密情報を入力しないことが重要です。

ChatGPTはユーザーがプロンプトに入力した情報を学習し、他の質問への回答に活用する仕組みを持っています。入力した機密情報はサーバーに保存されるため、意図せず社外へ流出することも。さらに、保存された機密情報が他のユーザーへの回答に転用されるおそれもあります。

対策として、プロンプトに情報を入力する際は、機密情報に該当する部分をダミー情報に置き換える方法が有効です。実際の社名や数値を架空のものに変更してから入力すれば、情報の機密性を保ちつつChatGPTを有効活用できるでしょう。

2.チャット履歴を残さない設定にする

情報漏洩のリスクを減らすには、チャット履歴を残さない設定にするのが有効です。ChatGPTでは自動的に入力履歴を保存する仕様ですが、「Chat history & training」の設定をオフにすると、過去のやり取りを記録しない状態にできます。

チャット履歴を残さない設定にすれば、不要なデータ削除の手間が省けます。企業で複数の社員がChatGPTを活用する環境では、履歴管理が楽になるでしょう。また、アカウントが不正アクセスされても、過去の履歴を閲覧される心配が少なくなります。

ただし、履歴保存の設定をオフにしても、OpenAIでは不正利用監視を目的としてデータが30日間保存されます。さらに、チャット履歴を残さないと過去のやり取りを参照できなくなるため、頻繁に使用するプロンプトや必要な情報は、別途メモしておくなどの工夫が必要でしょう。

3.API連携を活用する

ChatGPTを安全に使用するには、API連携が有効です。APIとは、アプリケーション間の通信を可能にするインターフェースを指します。OpenAIが提供する「ChatGPT API」を利用すれば、自社のアプリケーションとChatGPTのAI技術を連携できます。

以前のChatGPTは、ブラウザから使用するWeb版のみでした。Web版のデータ利用規約は「オプトアウト形式」で、ユーザーがデータ利用を拒否しない限り、入力情報が学習される仕組みです。そのため、Web版ではプロンプトに入力した情報が他のユーザーの回答に転用されるおそれがあります。

一方で、ChatGPT APIを利用する際はデータの利用規約がオプトアウト形式から「オプトイン形式」に変更されます。オプトイン形式は、ユーザーがデータ利用を承諾しない限り、入力情報が利用されない仕組みです。つまり、API連携によって既存サービスにChatGPTの機能を組み込めば、他のユーザーに入力データが転用されません。機密情報の漏洩リスクを大幅に低減しつつ、自社の情報をAIに学習させて独自のChatGPTモデルを構築することも可能です。

また、API連携によって既存のアプリケーションにChatGPTの機能を組み込めば、業務効率の向上や顧客サービスの改善も期待できます。

4.ChatGPTの企業向けプランを利用する

情報漏洩対策として効果的な方法の一つに、ChatGPTの企業向けプランの利用があります。

2023年8月に発表された「ChatGPT Enterprise」は、企業のセキュリティニーズに応えるプランです。ユーザーが入力した情報をAI学習に使用されないため、情報の安全性が向上します。さらに、すべての会話データが暗号化され、チャット履歴の漏洩リスクも最小限に抑えられます。

2024年1月には、小規模組織向けに「ChatGPT Team」の提供も開始されました。Enterpriseと同様、入力データは学習に利用されない設定となっています。

企業向けプランを利用すれば、ChatGPTの高度な機能を活用しつつ、情報セキュリティを強化できます。企業の規模や需要に応じて、適切なプランを選択しましょう。

ChatGPTをより安全に活用する方法

ChatGPTをより安全に活用するには、以下の3つ方法を実施するのが有効です。

  • 社内におけるChatGPTの利用ガイドラインを明確化する
  • アカウント管理を適切に行う
  • ChatGPTと連携できるセキュリティに配慮したツールを導入する

ChatGPTの動向にも注意を払いながら、安全かつ効果的に活用していきましょう。

社内におけるChatGPTの利用ガイドラインを明確化する

ChatGPTの情報漏洩リスクを最小限に抑えるには、社内での利用ルールを明確にし、社員に周知することが不可欠です。具体的なガイドラインを作成すれば、ChatGPT使用時の注意点を明確に示すことができます。ガイドラインには、ChatGPTの利用用途や入力禁止情報の指定、生成された文書の管理方法などを含めるとよいでしょう。

さらに、ガイドライン作成後は社員への教育も重要です。企業はルールの徹底を促すとともに、ChatGPTの安全な使用方法について定期的な研修を行うことが望ましいでしょう。

アカウント管理を適切に行う

ChatGPTでは過去にアカウント情報の漏洩が発生しているため、ユーザー側でも適切にアカウント管理を行う必要があります。アカウント情報が外部に漏れると、第三者が容易にログインし、不正利用するおそれがあります。

ChatGPTはID・パスワードでログインする仕組みを採用しているため、定期的なパスワード変更を習慣づけることが重要です。複雑で推測しにくいパスワードを設定し、定期的に更新することで、セキュリティレベルを高められます。

また、共有アカウントの使用は避け、個人ごとにアカウントを作成しましょう。万が一情報漏洩が起きた際、被害範囲を特定しやすくなります。

セキュリティに配慮したツールを導入する

このように、ChatGPTの活用にはセキュリティを意識した使い方が求められます。また、最近ではChatGPTを活用しながらも、セキュリティに配慮して開発されたツールも登場しています。

  • データ損失防止(DLP)ソリューション
  • ChatGPTを活用したツール

上記のツールを利用すれば、安心して生成AIを業務に取り入れることができるでしょう。

データ損失防止(DLP)ソリューションの導入

ChatGPTの情報漏洩リスクに対するシステム面での対策として、データ損失防止(DLP)ソリューションの導入が効果的です。DLPは、事前に設定した条件に基づいてデータを監視し、機密情報の不適切な送信やコピーを防止するシステムです。

DLPの主な機能には、以下のようなものがあります。

  • コンテンツの監視
  • デバイス制御
  • 印刷・コピーの制限
  • 特定のWebサイトへのアクセス制限
  • リスクの高いメール送信のブロック

ChatGPTと連携すると、機密情報や個人情報などの送信を試みた際に、警告を発して行動を制御します。ユーザーが意図しない情報漏洩を未然に防ぐことが可能です。

DLPの導入は、人為的ミスによる情報漏洩リスクを大幅に軽減し、ChatGPTの安全な利用を支援する強力なツールとなるでしょう。

ChatGPTを活用したツールの導入

ChatGPTを活用していても、セキュリティに配慮したツールなら安心して業務に取り入れられます。

例えば、ChatGPTを活用したクラウド型Webアプリケーション脆弱性診断ツール「AeyeScan」は、以下の認証を取得しており、高いセキュリティ基準を満たしています。

  • 情報セキュリティマネジメントシステム(ISMS)
  • ISMSクラウドセキュリティ認証

AeyeScanでは、ChatGPTの自然言語処理能力を利用し、巡回してほしい箇所をフリーフォーマットで指示できます。また、診断設定もフリーフォーマットで指示できるほか、診断結果をもとにしたエグゼクティブサマリの自動生成、手動でしか診断できなかった項目の自動化など、生成AI活用により、脆弱性診断の工程の大幅な自動化が可能です。

AeyeScanのようなセキュリティツール以外にも、さまざまなツールにChatGPTが活用されはじめています。ツールの導入を検討する際は、セキュリティに配慮して開発されているか確認しましょう。

まとめ|ChatGPTの情報漏洩リスクを理解して適切な対策をしよう

ChatGPTをはじめとするAI技術の活用は、現代のビジネス環境において欠かせないものとなっています。しかし、その利便性の裏側には情報漏洩のリスクも潜んでいるため、適切な対策の実施が重要です。

ChatGPTを安全に活用するには、以下の対策が効果的です。

  • 個人情報や機密情報を入力しない
  • チャット履歴を残さない設定にする
  • API連携を活用する
  • ChatGPTの企業向けプランを利用する

また、以下を実施すれば、ChatGPTをより安全に利用できます。

  • 社内におけるChatGPTの利用ガイドラインを明確化する
  • アカウント管理を適切に行う
  • セキュリティに配慮したツールを導入する

本記事で紹介した対策を適切に実施することで、ChatGPTの情報漏洩リスクを最小限に抑えつつ、革新的な機能を最大限に活用できます。生成AIの恩恵を享受しながら、常にセキュリティ意識を持って利用しましょう。

セキュリティ課題の解決に役立つコンテンツを配信!

脆弱性に関する最新情報やイベント・セミナーのご案内など、様々な情報をお届けします。ぜひご登録ください。

メルマガ登録はこちら
エーアイスキャン編集部

エーアイスキャン編集部

クラウド型Webアプリケーション診断ツールAeyeScanなどを提供している、株式会社エーアイセキュリティラボのオウンドメディアを運営しています。セキュリティや脆弱性に関する情報について、わかりやすさと正確さをモットーに発信していきます!

FAQ

  • ChatGPTには情報漏洩のリスクがありますか?

    ChatGPTでは、情報漏洩に関する事例が主に3つ報告されています。

    企業の機密情報漏洩
    ChatGPTに入力した機密情報がAIの学習データとして保存され、他のユーザーの回答に使用された

    バグが原因のチャット履歴漏洩
    システムのバグにより、チャット履歴のタイトルが他のユーザー画面に表示された

    ユーザーの個人情報の流出
    有料版のChatGPT Plusで、ユーザーの名前・住所・クレジットカード情報の一部などの個人情報が他のユーザー画面に表示された

    ChatGPTを利用する際は、リスクを踏まえて適切な対策を講じることが重要です。個人情報や機密情報の入力を避け、セキュリティ設定を確認するなど、慎重な利用が求められます。

    詳しい内容は「ChatGPTで情報漏洩が発生した事例」をご覧ください。

  • ChatGPTを利用する際に実施すべき情報漏洩対策を教えてください。

    ChatGPTを安全に利用するために、以下の4つの対策を実施することをおすすめします。

    個人情報や機密情報を入力しない
    ChatGPTは入力情報を学習し、他の回答に利用する可能性があるため、個人情報や機密情報は絶対に入力しないようにする

    チャット履歴を残さない設定にする
    「Chat history & training」をオフにして、過去のチャット履歴を保存しない設定にする

    API連携を活用する
    APIを介してChatGPTと通信し、入力情報がAIの学習データに利用されることを防ぐ

    ChatGPTの企業向けプランを利用する
    入力データがAI学習に利用されない企業向けプランに加入し、データの安全性を高める

    対策は複数組み合わせ、ChatGPTの情報漏洩リスクを軽減しましょう。

    詳しい対策方法は「ChatGPTを利用する際に実施すべき情報漏洩対策」をご覧ください。

AeyeScan

AeyeScanの導入を検討してみませんか?

操作性の確認、
実際に利用してみたい方へ

「AeyeScan」の無料トライアル

トライアルにかかる費用は不要。実際の操作性はどうなの?またどのように脆弱性が発見されるのか?などの疑問は無料トライアルで解消しましょう。

無料トライアルの申し込み

サービスをより詳しく
知りたい方へ

「AeyeScan」のサービス紹介資料

改めてサービスの特長や導入効果、企業の導入実績などAeyeScanについてより詳しく知りたい方はぜひサービス紹介資料をご覧ください。

サービス紹介資料を読む

お見積もりの希望・導入を
ご検討している方へ

「AeyeScan」へのお問い合わせ

お見積りの希望・導入をご検討してくださっている方はお問い合わせフォームよりご連絡ください。当日もしくは遅くとも翌営業日にはご連絡を差し上げます。

お問い合わせフォーム