ただ、生成AIのこうした「学習」機能は設定により「オフ」にすることもできる。また、「有料版」や法人向けプランの多くは、前提として(履歴ややり取りを)学習には使わないことが明記されているという。
「企業ポリシーとして、従業員にこうした学習が無効化された生成AIを利用させるなど、利用時の制限(利用サービスの限定や事前の許可制など)を設けるケースは多い。企業が注意すべきは、会社が許可していない学習が有効化されたシステムやアプリを社員が勝手に使うケースでしょう。利用する個人の管理が緩ければ、そこから機密が漏れてしまうことがあります」
ここまでは“注意していれば大丈夫”という話だが、今後は企業側が個人の管理を徹底し、学習設定がない生成AIを使っていても脅威が残るという。それが、生成AIへの「不正ログイン」だ。
「社員のChatGPTなどのアカウントが不正ログインされてしまうと、入力した情報を含め、過去の履歴はすべて見られてしまいます」
シンガポールのセキュリティ企業の発表によると、すでに2023年にはハッカー集団などが情報を売買する闇サイト(ダークウェブ)の市場で、ChatGPTのアカウント10万件超が売買されていた。いずれも詐欺メールを通じたマルウェア(コンピュータ・ウイルス)感染により盗まれたものだったという。
「アカウントに入るための二要素認証やオフィス内でのみ使える設定などを導入することで、不正ログインされにくくする対策が必要です」
* * *
関連記事【《危険な生成AI》中国企業に情報流出の懸念 AIによる“剽窃”に気づかず著作権法違反に問われれば事態収拾に莫大なコスト 高性能化ゆえに“過ち”に気づきにくい現実】では、企業がAIを活用することに伴う、さまざまなリスクについて詳しく説明する。
【プロフィール】
徳丸浩(とくまる・ひろし)/EGセキュアソリューションズ株式会社取締役CTO。京セラに入社後ソフトウェア開発に従事し、2008年にWebセキュリティ専門のHASHコンサルティング(現EGセキュアソリューションズ)を設立。脆弱性診断やセキュリティ教育に取り組み、書籍執筆や講演でも知られる情報セキュリティの第一人者。
※週刊ポスト2026年1月30日号
