ChatGPT に企業データを投げ込むという行為：潜在的なリスクについて考えよう

The risk of pasting confidential company data into ChatGPT

2023/03/13 SecurityAffairs — Cyberhaven Labs の研究者たちが、各企業で働く 160万人の従業員による ChatGPT の利用状況を分析した。その結果として、発売以来人気のチャットボット・モデルを、彼らの 5.6％ が職場で使用し、4.9％ が企業データを提供していることが判明した。この種のデータを用いて、ChatGPT のナレッジベースは構築され、さらに、構築された情報は一般に公開されていく。

ChatGPT の利用は、重要な機密データの潜在的に漏洩を引き起こしかねないため、ワークスペースにおける深刻な問題になり始めている。そのため、JP Morgan や Verizon などの企業は、データ漏洩への懸念から、このチャットボットへのアクセスをブロックしているという。 

専門家たちの報告によると、このチャットボットに企業データを貼り付けたことによる漏洩の 80% は、1% 未満 (0.9%) の従業員の行動に起因しているとのことだ。この割合は、ChatGPT API の利用などの、複数のサービスにおけるで技術の統合により、今後の数ヶ月で急速に増加する可能性があるという。

それらの従業員たちは、OpenAI が開発した人工知能チャットボットにより、生産性を大幅に向上されると考えている。

その一方で、専門家たちは、企業のセキュリティ・ソフトウェアでは、従業員による ChatGPT 利用の監視は困難であり、また、機密データの漏洩を防ぐことは不可能だと警告している。

Cyberhaven Labs が発表したレポートには、「ChatGPT の公開が始まって以来、ナレッジワーカーの 5.6％ が、職場で一度は使ってみたと回答している。さらに、2.3％ の従業員が企業の機密データを ChatGPT に入れたことがあるとしている。ChatGPT へのアクセスを、完全にブロックする企業が増えているが、その使用量は飛躍的に増加し続けている。当社のモニタリングによると、ChatGPT に企業データを貼り付けようとする試みは、3月1日の時点で、従業員 10万人あたり 3,381件の試行という記録的なデータが検出された」と記されている。

さらに、研究者が気づいた現象の中には、ChatGPT から得られたデータをコピーし、企業の電子メール／Google ドキュメント／ソースコードエディタなどにペーストという施行もある。研究者たちは、従業員が ChatGPT に企業データを貼り付けるよりも、チャットボットから得られたデータをコピーする方が、ほぼ２対１の割合で多いとしている。

平均的な企業では、機密データの ChatGPT への漏洩が、１週間で何百回も生じていると、研究者たちは指摘している。たえば、2月26日〜3月4日の１週間で、従業員10万人あたりの比率として、機密文書は 199回／顧客データは 173回／ソースコードは 159回のペースで、このチャットボットへのデータ提供が行われているという。

この人気のプラットフォームを、職場で利用することは悪だと断定はできないが、このようなテクノロジーの不適切な使用によるリスクについて、認識を広めることが不可欠である

最後に、私がチャットボットにした、この質問で締めてみよう。

Prompt ⇒ ChatGPT に企業データを提供することに、どの程度リスクがあるのだろうか？

Response ⇒ 大規模言語モデルである ChatGPT には、企業や個人のデータを保存／取得する機能は存在しない。つまり、ChatGPT を使って一般的な問題を議論したり、知識に関する質問をしたりすることに、本質的なリスクは存在しない。

しかし、企業や個人に関する秘密／機密の情報を提供した場合には、その情報はオンライン・コミュニケーションに関連する、潜在的なセキュリティ／プライバシーの脅威に対して脆弱になる可能性がある。一般的に、オンラインで機密情報を議論する際には、常に十分な注意を払うことが重要だ。

要約すると、ChatGPT 自体が、企業データのセキュリティに対するリスクになるわけではないが、オンラインのプライバシー／セキュリティに留意し、このチャットボットのプラットフォームにおいて、どのような情報であれば共有しても問題がないのかを、慎重に検討する必要があるだろう。

ChatGPT に限定された話ではありませんが、この種のチャットボットに渡しても構わない情報と、渡してはならない情報があるはずです。以前に、ChatGPT に対して、「○○についてロイターは何を言っている？」という質問を投げたことがあります。そのときには「ロイターを参照してほしい」という答えが返ってきたので、知財に関するブレーキが働いているのだろうと思いました。しかし、何らかのビジネス・データを質問に含めても、「これは受け取れない」とは答えないはずです。便利なものであることは確かですが、質問に含めるデータに関しては、慎重に考えるべきでしょう。