クラウドリスク評価「Assured」、ChatGPT API等を利用したAIサービスをセキュリティ評価する際の留意点を公開

ChatGPTを筆頭とした生成AIに注目が集まるなか、各社の業務利用に関する方針発表や、新たなAIサービスが続々と誕生するなど、AIを取り巻く状況が目まぐるしいスピードで変化しています。企業のセキュリティ担当の方々は、こうした動向を参考にしながら、セキュリティ面を考慮した業務利用方針を定めていく必要がありますが、刻一刻と変化する動向をすべて把握し続けるのは非常に困難です。

そこでAssuredは、企業が先端技術と正しく向き合い、ビジネスに取り入れていくためのルールメイクを支援する取り組みの一環として、ChatGPTなどの新たな技術やサービスの情報セキュリティ関連のトピックスを、Assuredのセキュリティ評価専門チームが解説するコラムを公開しています。

今回は、ChatGPTの業務利用に関する各社の動向およびChatGPT APIを利用したAIサービスのセキュリティ評価を実施する上での留意点をまとめています。最新AI技術を安心・安全に活用し、業務の効率化や新たなビジネスチャンスに繋げていただくため、本コラムをぜひお役立てください。

• コラムリンク

  https://assured.jp/column/2

  ※今後も情報をアップデートして参ります。

  上記リンクよりメールアドレスをご登録いただきましたら、更新時お知らせをお送りいたしますので、ご活用ください。

  ※前回公開した「セキュリティ担当者がChatGPTの業務利用方針を検討するうえでの留意点（2023年4月10日更新）」はこちら→https://assured.jp/column/1

コラム概要・一部抜粋

• ChatGPTの業務利用に関する動向

  〜Azure OpenAI ServiceおよびChatGPT APIを利用した企業独自の環境を構築するケースが続々と公表される〜

ChatGPT Web版で、入力情報が学習データとして利用されることによる情報漏えいリスクを回避するために、Azure OpenAI ServiceまたはChatGPTのAPIを利用して企業独自の環境を構築するケースが大多数を占めています。

・Azure OpenAI Serviceを利用するケース

入力情報は、学習モデルのトレーニングに使われず、OpenAI社にデータは送信されません。プロンプトと完了データは最大30日間一時的に保存される場合があり、障害が発生した場合のデバック目的および規約違反の調査のためにMicrosoft社の従業員によってアクセスされます。プロンプトと完了データが保存されないようにするためには、Microsoft社に不正使用の監視を変更する申請を行う必要があります。

・ChatGPT APIを利用するケース

APIを利用して入力データを送信することでモデルが生成したメッセージを受け取ることができます。APIを利用して入力したデータは、Web版と違い学習モデルのトレーニングに使われず、OpenAI社のサービス提供の改善には利用されません。

• ChatGPTのAPI等を利用したAIサービスをセキュリティ評価する際の留意点

  〜ChatGPTの学習モデルに利用されることはないが、AIサービス事業者に情報が蓄積され、データにアクセスされる可能性がある点に注意〜

AIサービスに関わらず、SaaS/ASPなどのクラウドサービスを利用する際の責任は利用者側にあります。安心安全な業務利用をしていくうえで、以下の情報セキュリティ上の留意点を認識する必要があります。

・AI機能の性質や構成

出力結果の精度や利用上の留意点が利用規約やSLA、サービス仕様書等に明記されていることを確認しましょう。また、将来的にChatGPTの仕様が変更になった際のサービス事業者側の対応についても事前の確認は必須です。

・データの利用、利用終了時の削除、所在地

サービス事業者に蓄積されるデータが適切に取り扱われるかどうかを確認するため、データの保管場所、取得される内容、削除規定などについて明確にすることを推奨します。

・外部からの不正アクセス対策

利用するAIサービスに秘密情報を保存する可能性があるため、サービス事業者における、外部からの不正アクセス対策の実施状況を確認する必要があります。

上記の具体的な解説は下記コラム記事をご覧ください。

https://assured.jp/column/2

クラウドリスク評価「Assured」は、ChatGPTを含めた、SaaS/ASPなどのクラウドサービスのセキュリティリスク（安全性）の第三者評価情報を集約したプラットフォームです。

ChatGPTをはじめ、安心・安全なクラウド活用に向けたご支援をしていますので、お気軽にご相談ください。

▶Assured利用に関するお問い合わせ先

https://assured.jp/contact

• 株式会社アシュアード 代表取締役社長　大森 厚志　コメント

前回、ChatGPT Web版の業務利用方針を検討する際の留意点を記事として公開したところ、想像を超える反響をいただき、改めてChatGPTをはじめとするAI技術の世の中における注目度の高さを感じています。

公開後の反響として「ChatGPTのAPIを活用したクラウドサービスを利用する際の留意点を知りたい」とのリクエストを多くいただきましたので、このたび第2弾となるコラム記事を公開いたしました。

Assuredでは引き続きChatGPTをはじめ世の中の技術トレンドを追いながら、全ての企業の皆さまの安心・安全なテクノロジー活用をご支援してまいります。

【クラウドリスク評価「Assured（アシュアード）」について】

Assuredは、国内外のクラウドリスク評価情報を一元化したデータベースです。セキュリティの専門資格を保有するリスク評価チームが、主要なセキュリティガイドラインやフレームワークに基づき調査した最新のセキュリティリスク評価情報を提供します。各社が独自で行ってきたクラウドリスク評価業務を効率化するとともに、シャドーITの検知、利用サービス管理により、リスクの把握から評価、管理の運用をサポートし、企業の安全なクラウド活用を実現します。

URL：https://assured.jp/

【Visionalについて】

「新しい可能性を、次々と。」をグループミッションとし、HR Tech領域を中心に、産業のデジタルトランスフォーメーション（DX）を推進するさまざまな事業を展開。「ビズリーチ」をはじめとした採用プラットフォームや、人財活用プラットフォーム「HRMOS」シリーズを中心に、企業の人材活用・人材戦略（HCM）エコシステムの構築を目指す。また、M&A、物流Tech、サイバーセキュリティ、Sales Techの領域においても、新規事業を次々に立ち上げている。

URL：https://www.visional.inc/