生成AIを安心して活用するために──「情報セキュリティガイドライン」策定とポイント

Transcript

1. 生成AIを安心して活用するために 「情報セキュリティガイドライン」 策定とそのポイント グリーホールディングス株式会社 マネージャー 奥野緑

2. 奥野緑 新卒で文房具メーカーの内部監査業務に従事。 2012年にグリー株式会社（現：グリーホールディングス 株式会社）へ入社し、2015年にISMS取得のプロジェクト に参画したのを機に、情報セキュリティの分野へ進む。 現在、情報セキュリティガバナンス業務として情報セキュ リティルールの策定や相談対応、「情報セキュリティ報告 書」の作成などを担当する。 グリーホールディングス株式会社 マネージャー

   2

3. 目次・アジェンダ • ガイドライン策定の背景 • 生成AI利用ガイドラインの解説 • 利用可否の判断フローと遵守事項 • ガイドライン策定の流れと関連部門 •

   生成AIガイドラインの課題と工夫 3

4. ガイドライン策定の背景 4

5. 生成AIセキュリティガイドラインを策定した背景 • 急速な生成AI普及 ◦ 2023年、ChatGPTが数か月で利用者数1億人を突破 • 教育・ビジネス現場に急速に広が る ◦ 「AI元年」と呼ばれる社会的ブームに

   • 社内からの要望 ◦ 「安心して活用したい」 ◦ 「生成AI利用に伴う情報セキュリティリスクを理解したい」 5 生成AIの業務活用には明確なルールが必要であることが明らかになった

6. 「生成AI利用ガイドライン」の解説 6

7. ガイドラインの目的 • 生成AI活用による業務効率向上とアイデア創出の促進 • 情報漏洩リスクの回避 • 安全な活用のためのルール・手続きの明確化 7

8. ガイドラインの対象とする生成AIの定義 人間からの指示に基づき、テキスト、画像、音声といった新たなコンテンツを 生成するシステムを指します。 8 生成AIの主な種別とサービス例 テキスト生成：ChatGPT、Claude、Llama、Gemini　　　画像・動画生成：DALL ·E、Midjourney、Runway Gen-2 コード生成：GitHub Copilot、CodeWhisperer、Tabnine

9. 9 情報分類別で生成 AIへの入力可否を判断 情報の分類 生成AIへの入力可否 個人情報あり 個人情報なし 極秘情報 回復不可能な損害 NG

   NG 機密情報 容易に回復できない損害 OK 「サービスの安全性」 と「利 用時の遵守事項」が守れ たら 取扱注意 損害を与えるおそれが少ない 一般情報 すでに公知であるか又は社外に公 開することを意図したもの ⁻ OK 機密度 「サービスの安全性」 と「利用者遵守事項」 は後ほど説明させていただきます

10. 利用可否の判断フロー（概略図） 10 入力情報の 機密性区分 ・機密情報 ・取扱注意 ・個人情報 ・極秘情報 利用不可 利用可

    遵守可能 遵守不可 届出 セキュリティ部へ 相談 高リスク サービスの 安全性 確認 満たす 満たさな い 利用時の 遵守事項 確認 低リスク 一般情報

11. なぜ個人情報・極秘情報を安易に入力してはいけないのか • 極秘情報：法律上の規定なし • 個人情報：個人情報保護法に規定あり ◦ 第17条：利用目的を特定 ◦ 第18条：目的外利用はNG →

    通常の個人情報利用と同じルールが当てはまる ◦ 第27条：本人同意なく第三者提供は禁止 → 個人情報保護委員会は「プロンプト入力による応答出力以外の目的で取扱われること（機 械学習など）がなければ第三者提供に当たらない」と整理 → ただしAIの挙動や実際の取扱いは不透明、→ 社内ルールとしては同意取得が安心 11 法律上は生成AIへの入力を禁止はしてはいない。ただし、個人情報は「第三者提供」に該当する可能 性があるので、利用目的の明確化と本人同意の取得（必要に応じて）が必要

12. なぜ個人情報・極秘情報を安易に入力してはいけないのか 12 理由①：外部送信＝制御不能 • 入力情報は外部に送信される • 完全な追跡・削除は難しい • サービス提供者側で一時保存される可能性 理由②：運用・バグリスク

    • サービス不具合で情報が第三者に露出 　 例：会話履歴の誤表示 理由③：検知策の未成熟 • 不適切な利用を検知するツールが未成熟 • 監査ログを備えるAIサービスが少ない 理由④：信頼性評価の難しさ • 生成AI特有のセキュリティ基準に基づき、 審査・認証する公的制度は整備途上

13. 利用可否の判断フロー（概略図） 13 入力情報の 機密性区分 ・機密情報 ・取扱注意 ・個人情報 ・極秘情報 利用不可 利用可

    遵守可能 遵守不可 届出 セキュリティ部へ 相談 高リスク サービスの 安全性 確認 満たす 満たさな い 利用時の 遵守事項 確認 低リスク 一般情報

14. サービスの安全性確認 14 認証取得 ISMS / Pマーク等の情報セキュリティ認証 を取得している インシデント歴 過去に重大なセキュリティインシデントが ない

    監査ログ 利用履歴や操作ログが適切に記録・保存 されている 秘密保持規約 利用者の秘密を保護する明確な規約が 存在する データ保護 学習しない、もしくは利用者で学習しない 設定にできる 問い合わせ対応 セキュリティに関する問い合わせ窓口が 整備されている

15. 利用時の遵守事項 15 個人情報/極秘情報は入力禁止 会社のアカウントで利用 生成コードのレビュー必須 グリーグループのサービスに組み込む場合 APIキーや管理画面へのアカウントは、利用部署内で適切に管理 agent機能がある場合 設定・利用前 •

    agentの操作範囲／許可される内容／対象ファイルの確認 • 「都度確認」設定とし、「常時承認」設定は使わない 　　利用中 • agentが生成・提案するコマンドは必ず内容を確認 • 削除・構成変更などリスクの高い操作は原則人手で実行 • 重要データ（顧客情報、契約書、APIキー等）はagentの 操作対象外ディレクトリに保管する

16. 策定の流れ 16

17. ガイドラインができるまで 17 関わる主な部門 法務部門 著作権、利用規約、契約関係の法的リスク評価とアドバ イス 個人情報管理部門 個人情報保護法やプライバシーに関するリスク評価と対 策 リスクマネジメント部門

    事業全体のリスク統括、潜在的なビジネスリスクの洗い 出しと評価 セキュリティ部 情報漏洩、サイバー攻撃など技術的なセキュリティリスクの分析と対策立案 情報システム・インフラ部門 全社的なサービス導入、システム要件の検討、運用体制の構築 決定の流れ セキュリティ部で方針案を作成 方針案・発生しうるリスクの洗い出し・リスク 低減策を策定 関連部門との連携 方針案を各部門の視点で確認 委員会での検討 情報セキュリティ委員会にて方針案を検討 ・承認 経営会議での決定 「事業に大きく関わる事項」として、最終的 に経営会議で承認され、全社的な利用方 針として決定

18. 課題及び工夫 18

19. 生成AIガイドラインの課題 19 技術進化への対応 他サービスと連携するタイプ、agentタイプ、 自社サービスへの組み込みなど複雑技術の 急速な進化が激しい 利便性と安全性の両立 現場からの「もっと柔軟に使いたい」という要 望と、セキュリティ確保のバランスが難しい 検知策の未成熟

    不適切な利用を検知するセキュリティ ツールが未成熟で、監査ログを備えてい る生成AIサービスも少ない 公的認証の未整備 生成AI特有の公的な認証制度がまだ整備さ れていない 相談対応の負荷 相談が大量に寄せられ、対応工数が増大。 ルールの複雑化・利用者の理解不足 ルールや手続きにそわない利用

20. 課題：利便性と安全性の両立をどうするか 項目 保守案（現行） 中間案 積極案 活用度 低 中 高 リスク

    低 中 高 社内の個人情報 NG 条件付きで可 条件付きで可 社外の個人情報 NG NG 条件付きで可 条件：：匿名加工 / 特定サービスに限定 / 経営判断によるリスクテイク 活用度を高めつつ、生成 AIのセキュリティ面での安定、セキュリティ対策によりリスクを削減していくのが理想。

21. 課題：ルールの複雑化・利用者の理解不足 極秘/個人情報 利用時の 遵守事項 確認 利用不可 利用可 遵守可能 利用可 遵守不可

    利用届出 相談 利用届出 利用可 否認 遵守不可 存在する 存在しない 満たす 満たさない 利用時の 遵守事項 確認 承認 取り扱う情報 一般情報 ・取扱注意 ・機密情報 アプリ API API or アプリ 情報システム部 管理か確認 管理外 社内認証シス テム連携確認 管理内 サービスの 安全性確認 ホワイト リスト確認 連携可 連携不可 2要素認証 設定 利用可 遵守可能 社内認証シス テム連携確認 連携可 連携不可 2要素認証 設定 連携依頼 連携依頼 NGリスト 確認 存在する 存在しない

22. 生成AIガイドライン運用における工夫 ① • 利用者にとっての効率化 ◦ 公式導入済み生成AIは「ホワイトリスト」に登録し、個別の安全性確認を省略 ◦ 「確認中リスト」「NGリスト」を公開し、利用可否の自己判断を迅速化 ◦ 「届出」で遵守事項を自己確認とし、満たさない場合のみセキュリティ部への相談必須

    22 リスト名 リストの説明 メリット ホワイトリスト 会社として公式に導入 安全性確認・届出不要 セキュリティ部確 認済リスト 会社として公式導入はしていないが、安全性を確認済み 安全性確認不要 検討中リスト 他組織がセキュリティ部に相談中 他組織の相談結果を参考にできる NGリスト 安全性確認項目を満たさず、過去に利用不可とされた 無駄な確認手続きを省く

23. 生成AIガイドライン運用における工夫 ② • セキュリティ部による対応の効率化・一貫性 ◦ 相談対応にNotebookLMを活用し、過去相談の知見を再利用することで、一貫性とスピー ドを両立 23

24. 生成AIガイドライン運用における工夫 ③ • 理解者の理解向上 ◦ NotebookLMを用いた解説音声・動画を公開し、目的・ルール・注意点を短時間で把握で きるようにする 24

25. 生成AIガイドライン運用における工夫 ④ • 他社事例の収集 ◦ ガイドライン／利用状況の情報交換を継続し、利便性と安全性の最適バランスへ随時更新 ◦ 社外の利用動向・ベストプラクティスを定期的に経営陣へ共有し、意思決定を支援 25

26. まとめ：安全に生成AIを活用するために バランス • 利便性とリスクを正しく把握し、適切な均衡を保つ アップデート • 技術動向・他社事例・社内の利用状況を継続的に収集し、ルールへ迅速に反映する 啓発と利用者の負担削減 • 教育や社内ブログ等で継続発信し、理解と遵守意識を底上げする

    • ホワイトリスト／確認中／ NGリストを公開し、判断・申請の手間を最小化する 一貫した迅速対応 • NotebookLMなどの生成AIで相談知見を再利用し、判断のスピードと整合性を両立する 経営層の理解 • 情報セキュリティ委員会・経営会議等で定期的に報告し、技術的対策への投資理解を得る 26 グリーグループ　 セキュリティ オリジナルキャラクター 今日もAIと一緒に 学んだのじゃ～。 おつかれホー！

27. ご紹介_グリーグループの情報セキュリティ活動 27

28. ご清聴ありがとうございました 28

29. None