Chat GPTによる個人情報漏洩のリスクと生成AIの未来 - ペンタPRO：ペンタセキュリティが提供するセキュリティ情報まとめサイト

2022年11月30日にリリースされ、わずか2ヶ月で利用者数が1億人になったChatGPT。人間のように自然な言語処理が可能であり、個人だけでなく、企業や自治体でも導入が進んでいます。

ChatGPTの利用者数が増えるにつれ、個人情報漏洩の懸念が示唆されています。そのため、企業は重要な個人情報が流出し、信頼を失わないためにも、セキュリティについて考慮する必要があるのです。

本記事では、現在懸念されているChatGPTの個人情報漏洩問題について解説します。ChatGPT利用における世界各国の対応も紹介しますので、自社で利用を検討する際の参考にしてください。

ChatGPTの利用における個人情報漏洩問題

ChatGPTとは、利用者の質問に対して人間のように自然な対話形式で答えられるチャット型AIです。大量のテキストデータ学習により、自然な会話が可能です。

ChatGPTは、即座な反応ができ便利である反面、個人情報漏洩のリスクが示唆されています。利用者からの回答データを蓄積して学習しているため、個人情報や機密情報を入力した場合、重要な情報を記録されるデメリットがあるためです。それにより、情報が流出したり、誰かに使用されたりするリスクがあります。

ChatGPTのプライバシー侵害の懸念を考慮し、2023年6月2日に、個人情報保護委員会がChatGPTを提供するOpenAIに対し、個人情報保護法147条（委員会が個人情報取扱事業者に対し、個人情報等の取扱いに関し必要な指導ができる）に基づく注意喚起を行ったと発表しました。

（1）収集する情報に要配慮個人情報が含まれないよう必要な取り組みをすること。（2）利用者が機械学習に利用されないことを選択してプロンプトに入力した要配慮個人情報について、正当な理由がない限り、取り扱わないこと。

引用：OpenAI に対する注意喚起の概要 | 個人情報保護委員会

同じく個人情報保護委員会の、「生成 AI サービスの利用に関する注意喚起等」によると、個人情報取扱事業者に対しても、応答結果を得る範囲内であれば、生成AIサービスに個人情報を含む内容を入力することが可能であると記載しています。

参考：生成 AI サービスの利用に関する注意喚起等 | 個人情報保護委員会

ChatGPTのプライバシーポリシー

ChatGPTにおいて、プライバシー侵害の観点から、セキュリティ対策をどうするべきかといった点が議論されています。それでは、OpenAIは個人情報漏洩についてどのような点を考慮しているのでしょうか。

ここでは、ChatGPTにおけるプライバシーポリシーの内容として、「取得する情報」と「個人情報の利用方法」を解説します。

ChatGPTが取得する情報

ChatGPTを提供しているOpenAIによると、ChatGPTで取得する情報は、「顧客によるサービスの使用によりOpenAIが自動的に受け取る個人情報」とされています。具体的には以下の情報が取得されます。

ログイン情報
デバイス情報
cookie

ログイン情報は、IPアドレスやブラウザ設定などの情報であり、デバイス情報はPCやスマートフォンのデバイス名といった情報です。そしてcookie（訪問した Web サイトからブラウザに送信される情報）は、cookieの許可の有無により収集されるかどうかが決まります。

このような情報は、個人を特定できる可能性のある情報です。そのため、世界各国でChatGPT利用におけるセキュリティ上の懸念が示唆されているのです。

個人情報の利用方法

ChatGPTで取得した個人情報を利用する目的は、サービスの管理や保守、改善、悪用防止のためです。

利用方法として、ChatGPTによって得られた情報を集約または匿名化して、サービスの効果分析や機能改善、調査などを行うことが挙げられています。

その他にも、事業運営に役立てるために、ChatGPT利用に関連する業者に個人情報を提供する場合があると述べられています。

ここまで解説したように、ChatGPTの個人情報の利用は、事業の運営に関わるものであり、意図的に情報が漏れるといった事態は少ないでしょう。しかし、意図せずに個人情報が漏れてしまう可能性があるため、セキュリティ面を考慮して利用する点が求められます。

ChatGPTの利用における世界各国の対応

ChatGPTは、海外でも規制が検討されています。ここでは、アメリカやイタリア、ドイツの対応を解説します。

アメリカ合衆国

アメリカ上院公聴会では、生成AIの開発は開発企業に対する登録やセキュリティリスクを防ぐ要件遵守を求める認可制にすべきとの意見が挙がりました。また、ChatGPTのような生成AIを監査できる機関設立やAIの安全利用に関する国際的な協力体制の構築といった意見も挙げられています。

さらに、アメリカではOpenAIに対して訴訟も起きています。アメリカ西部のカリフォルニア州では、ChatGPTの利用者が以下の理由から損害賠償請求をしました。

「本人に対する通知や正当な補償もなく、ChatGPTを利用している数億人の個人情報を収集している」

このように、ChatGPTにおけるプライバシー侵害の問題は、アメリカで慎重な議論がされているのです。

イタリア

GPDP（イタリアのデータ保護機関）は、2023年3月にイタリア人の利用者データ処理を一時的に制限すると発表しました。理由として、利用者本人に対する情報提供が明確でない点やChatGPTのアルゴリズム学習を目的とした個人情報取得が法律に基づいていない点を挙げています。

OpenAIは、GPDPからの制限を受け以下の対応を取りました。

データ学習のための個人情報の取得を拒否できる仕組み
法律に基づいたアルゴリズム学習
プライバシーポリシーの拡充

上記のOpenAIの対応により、イタリアのGPDPでは、利用者の権利やデータの透明性が確保されたとして制限を解除しました。イタリアでは、当初OpenAIによる個人情報の取り扱いに懸念をもち、利用制限を行っていましたが、対応が改善され制限解除にいたっています。

ドイツ

ドイツでは、GDPR（一般データ保護規則）に基づき、OpenAI側に回答を求めました。

①個人情報が取得される場合に拒否できる権利はあるのか
②個人情報取得時に通知されるのか
③どのようなデータ保護手法を行っているのか

ドイツでは、国民がデータ取得を拒否できるのかという点やデータ保護ができる仕組みがあるのかといった点を懸念しています。

生成AIの利用に関する法的観点と企業における今後の対応

ここまでChatGPTの利用におけるプライバシー侵害や世界各国の対応について解説してきました。それでは、生成AIを法的観点から捉えるとどのような点が考えられるのでしょうか。

企業における今後のChatGPTの利用方法も解説するため、参考にしてください。

法的な観点

ChatGPTの利用における法的な観点として、個人情報保護法17条（適切な取得）が挙げられます。仮に、ChatGPT利用時に、利用者が個人情報を取得してしまった際は、インターネットで観覧している場合、個人情報保護法17条で制限されている「取得」には当たらないとされています。

一方で、このような個人情報を検索可能な状態にしていたり、ダウンロードしてデータベース化したりした場合には取得しているとみなされます。個人情報保護法の観点からは、不正な目的で個人情報を取得しない点を考慮する必要があるのです。

企業における今後の対応

今後、企業がChatGPTの導入を行う際には、以下3点の方法を検討してみましょう。

ChatGPT利用に関するガイドラインの作成
不正な行動の制限
対話履歴の記録

ChatGPTにより自社の個人情報が漏洩しないためには、従業員に利用する際のガイドラインの提示を行うことで、セキュリティリスクの防止につなげられます。例えば、一部の業務以外はChatGPTの利用を禁止するといった方法が挙げられます。

また、ChatGPTに入力する内容をあらかじめ決める点も効果的です。例を挙げると、自社で管理している「個人の健康情報や病歴、犯罪歴」といった要個人情報は、入力禁止にする対応が求められます。

さらに、会話履歴の記録も必要です。ChatGPTのガイドラインを規定しても、ルールを破る従業員がいることも想定されます。そのため、ChatGPTに入力した情報を一定期間記録できるような仕組み作りが必要です。OpenAIは、ChatGPTとの会話履歴を管理できる機能を追加すると発表しているため、実装され次第利用することをおすすめします。

このように目覚ましい勢いで発展しているChatGPTのような生成AIの安全な利用に向けて、さまざまな情報を取り入れ、セキュリティ対策をとることが重要です。

具体的には、国家レベルで法的な問題を改善したり、企業レベルでは情報保護義務に関して徹底的に対策をとったりなど、安全なAI利用を図っていくことが求められます。