こんにちは。SmartHR 情報セキュリティグループ所属の @sasakki- と申します。 最近何かと話題の多い大規模言語モデルをはじめとしたAIサービスに関して、先月クラスメソッドさんから利用ガイドラインが公開されましたが、SmartHRでも利用方針を作成したので内容をご紹介します。
*弊社のAI活用方針は、「SmartHR AI活用ポリシー(https://smarthr.co.jp/ai-application-policy/)」をご確認ください。
背景
3月初旬にChatGPT APIが公開されて以降、社内から利用にまつわる会社としての考え方を求める声が高まってきたことから、利用方針をとりまとめることにしました。
利用方針
考え方
情報ごとの取り扱いを定めた”基本方針”と、基本方針内で使う上で”注意してほしいこと”の2つのパートで構成しました。
基本方針は、元々社内で定義していた情報区分表を用い、社内外の活用案や事例を踏まえつつ区分ごとに取り扱い可否を定めました。その上で、取り扱い可否の判断を個人に委ねないようにすることとリスクを明確にすることを目的に、公開情報を除き取り扱い可とした情報も申請に基づいて許可することにしました。
また、実際に使う上で注意してほしいこととして、クラスメソッドさんのガイドラインを大部分参考にさせていただきつつ想定されるユースケースごと(共通、業務利用、開発、サービス利用)に注意点をまとめました。加えて、ある程度利用者が多いサービス(OpenAIとGitHub Copilot)は、誤用を防ぐことを目的にサービス特有の注意点や管理方法などをまとめました。
実際の利用方針
以下は実際の内容です。
基本方針
AIサービスは、入力する情報の種類に応じて利用可否を定めています。 重要な秘密情報、特定個人情報(マイナンバー)はAIサービスで扱わないようにお願いします。 公開情報以外は学習に使用されないサービスのみ利用可能です。また、新規サービス利用申請をお願いします。 申請は、リスクを把握することと可否の判断を組織として行うことを目的としています。セキュリティリスクが高いとみなした場合は、却下することもありますのでご留意ください。
扱う情報 | 利用可否 | 利用申請 | 例 |
---|---|---|---|
公開情報 | 可 | 不要 | ChatGPTをWeb経由で利用する |
業務情報/秘密情報 | 可 | 必要 | ChatGPTをAPI経由等で利用する |
重要な秘密情報 | 不可 | - | - |
特定個人情報 | 不可 | - | - |
個人情報 | 可 | 必要 | ChatGPTをAPI経由等で利用する |
詳細は、情報の機密レベルと閲覧可能者の分類表をご確認ください。
注意してほしいこと
以下、利用にあたり守ってほしいことを記載します。
共通
- 以下のデータを入力しないでください。
- 重要な秘密情報
- 許可を得ていないデータ
- チームやグループの成果物
- 業務情報
- お客様が入力したデータ
- 利用規約/ポリシー、モラル、既存著作物に反する使い方をしないでください。
- 問題のあるケースの例
- 生成された内容やコードをそのまま利用すること
- 自動生成したコンテンツをノールックで大量に作成すること
- 問題のあるケースの例
- インプットしたデータの用途に問題ないか利用規約を確認してください。問題がある場合は非公開情報を入力しないでください。
- 問題のあるケースの例
- インプットが改善(オプトイン)に使用される
- インプットの取り扱いについて定めがない
- インプットを研究で使用することが書かれている
- 問題のないケースの例
- 改善に使用されない、かつオプトアウトされている
- インプットの取り扱いについて定められており、用途も不正監視などリスクが低い
- 問題のあるケースの例
業務利用する場合
- 共通と同様の対応をお願いします
コード生成に使用する場合
コード生成に使用する場合は、以下の点に留意してください。
- 共通ケースと同様の対応をお願いします
- 生成されたコードやスニペットを使用する場合は十分にチームでレビューを行い、本当に取り込んで良いか検討してください
- 「安全ではないコーディングパターン、誤ったコードの提示、バグ」が含まれたりするため
- 意図しない「ライセンス違反」や「権利侵害」の可能性も否定できないため
- 社内コードをサービス側に転送/保存される利用形態の場合、以下を遵守してください
- 業務上機密性の高い処理で利用する場合は、適切にリスクアセスメントを実施すること
- 例えばデータベースのテーブルやカラムにつながるような業務機密などでの利用は避け、汎用的な処理に絞るなど
- 汎用的な処理は、テストデータの作成やコード補完(code completion)、コード提案(code suggestions)など
- 例えばデータベースのテーブルやカラムにつながるような業務機密などでの利用は避け、汎用的な処理に絞るなど
- 利用する場合は、極力当社専用の隔離された状態で利用できること
- 状況に応じて、この内容は変更の可能性有り
- 業務上機密性の高い処理で利用する場合は、適切にリスクアセスメントを実施すること
サービスとして提供する場合
弊社が提供する各種サービス(サービスサイトなど含む)にAIサービスを組み込む場合は、以下の点に留意してください。
- AI活用ポリシーに準拠してください。
- APIキーや管理画面へのアカウントは、グループ/チームで適切に管理してください
- 但し、プロダクトTに関しては、システム全体の統制管理やリスクマネージメントを考慮し、SOC2同様の対応のAPIキーや管理画面へのアカウント管理をお願いします
主要サービスの注意点等
OpenAI
- 規約
- ChatGPT
- 基本的にインプットが改善に用いられますので、公開しても問題のない情報(= 一般公開されている情報)のみ入力して、業務利用してください
- API
- 不正利用監視を目的に30日間保存のみのため、業務利用は問題ありません
- サービスに組み込む場合は、「Safety best practices」に可能な限り遵守してください
GitHub Copilot
- 規約
- For business
- セキュリティ的には利用OKです。
- 利用については、 申請チャンネルで上長承認を得てから利用してください。
- For Indivisuals
- 収集情報と学習利用が個人の設定に依存してしまうため、Indivisualsでは無くBusinessを利用してください。
- すでに利用している場合で、会社(For business)で有効にした場合はBusinessに切り替わります。その場合、未使用分は返金されるそうです。
- 収集情報と学習利用が個人の設定に依存してしまうため、Indivisualsでは無くBusinessを利用してください。
参考にしたサイト
https://dev.classmethod.jp/articles/guideline-for-use-of-ai-services
https://www.ncsc.gov.uk/blog-post/chatgpt-and-large-language-models-what
最後に
上記の通り社内で利用方針を定めましたが、大規模言語モデルを始めとするAIサービスは日々変化しており、今後も状況に応じて最適化していく予定です。 また、利用者としてもAIサービスは身近な存在になりつつあり、安全に使用するための意識形成も今後は行っていきたいと考えています。
なお、今回策定にあたり、クラスメソッドさんのガイドラインはとても参考にさせていただきました。 素晴らしいガイドラインを公開してくださったことに、この場を借りて心からお礼申し上げます。
この記事もAIサービスの利用方針を検討される方の参考になれば幸いです。