生成AIリスク

ChatGPT業務利用の情報漏洩リスクと、安全に使うための対策

ChatGPTや生成AIを業務で使うときに起きやすい情報漏洩のパターンと、企業が最初に整えるべきルール・設定・運用体制を解説します。

ChatGPT業務利用の情報漏洩リスクと、安全に使うための対策

ChatGPTの業務利用で怖いのは、悪意ある攻撃だけではありません。多くの場合、社員は業務を早く進めるために、会議メモ、顧客情報、ソースコード、契約書などを何気なく入力してしまいます。

便利さが先に広がり、会社として利用範囲や入力禁止情報を決めていない状態が続くと、情報漏洩・契約違反・監査不備につながります。重要なのは、使わせないことではなく、安全に使える状態を設計することです。

情報漏洩が起きる3つのパターン

  • 社内資料の要約:議事録、契約書、提案書をそのまま貼り付ける
  • 開発相談:ソースコード、エラーログ、APIキーを含む設定情報を入力する
  • 営業・顧客対応:顧客名、取引条件、個人情報を含む文章を作らせる
生成AI利用時の安全な入力フロー図
入力前の分類・マスキング・人間レビューを挟むことで、AI利用時の漏洩リスクを下げます。

まず社内で決めるべきこと

最初に必要なのは、難しいセキュリティ製品ではなく「判断基準」です。社員が迷わず判断できるように、AIに入力してよい情報、禁止する情報、確認が必要な情報を分けます。

  • 入力禁止:個人情報、顧客情報、契約書、認証情報、APIキー、未公開財務情報
  • 要確認:社内資料、議事録、提案書、設計書、ソースコード、ログ
  • 利用可:公開済み情報、一般的な文章のたたき台、個人情報を含まないアイデア出し

技術的に確認するポイント

  • 利用プランとデータ学習設定を確認する
  • 個人アカウントではなく会社管理のアカウントに寄せる
  • 多要素認証を必須にする
  • APIキーや認証情報はSecrets Manager等で管理する
  • ログに機密情報を残さない設計にする
  • 社外送信前に個人情報や機密情報をマスキングする

禁止よりも「安全な導線」を作る

生成AIを全面禁止しても、現場は別の方法で使い続けることがあります。会社として使えるAI環境、相談窓口、簡単なルール、レビューの流れを用意する方が現実的です。

Liberta Structureで支援できること

ChatGPTや生成AIの利用ルール策定、社内説明資料、AI利用状況レビュー、ベンダー提案の確認、AWSやBedrockを使った安全なAI基盤設計まで支援できます。

生成AIの情報漏洩対策を相談する