Slide 1
Slide 1 text
AIサービス利用ガイドライン策定のすすめ
〜検討のポイントをクラスメソッド社内事例から解説します
2023/7/7
危機管理室 江口佳記
1
#devio2023
Slide 2
Slide 2 text
About me
江口 佳記
クラスメソッド株式会社
危機管理室 室長
CISO
2
Slide 3
Slide 3 text
※プロフィール画像はAIに生成してもらいました
3
image2image
Slide 4
Slide 4 text
4
👉以後に時折出てくる挿絵もAI生成画像です
(Midjourney使用)
👉猫成分多めなのはただの趣味です
※ブログで挿絵生成時のプロンプト公開
しています
Slide 5
Slide 5 text
最近AI周りのブログをそこそこ書いています
https://dev.classmethod.jp/author/eguchi-yoshiki/
5
Slide 6
Slide 6 text
社内のAIサービス利用のガイドラインもブログで公開しました
6
https://dev.classmethod.jp/articles/guideline-for-use-of-ai-services/
● クラスメソッドで策定したガイ
ドラインの全文を掲載
● 「なぜこの項目を入れたか」
の簡単な解説付き
Slide 7
Slide 7 text
AIサービスガイドラインの策定が必要な背景
7
Slide 8
Slide 8 text
8
● 昨今、ChatGPTを始めAIサービスが広く利用されるように
なってきた
● 今後、ChatGPTなどのLLMだけでなく、それらを内部で利用
したAIサービスも増えていく
● OSやオフィススイートへの組み込みも今後行われる見込み
➔否が応でも、今後はAIサービスを企業でどう利用するか考えざ
るを得ない状況となる
Slide 9
Slide 9 text
管理する立場としての不安
9
●機密データを好き勝手に入力されて、それが学
習されるかも
●むやみに禁止してしまうとシャドーITで使われる
かも
●AIの回答を真に受けて、誤った情報を拡散した
り、誤った判断に利用されるかも
●etc..
Slide 10
Slide 10 text
10
どうせなら、ルールを策定して、
きちんとAIを活用してもらいたい
Slide 11
Slide 11 text
11
→ ガイドライン策定が必要に
Slide 12
Slide 12 text
ということで、考えましょう!
12
Slide 13
Slide 13 text
AIサービスガイドラインの策定の手引
13
Slide 14
Slide 14 text
1.構成
14
Slide 15
Slide 15 text
ガイドラインの構成
15
● AIサービス全般の利用に関するルールと、サービスごとの細かいルールについて
は、レイヤーが違うため分けても良い
● クラスメソッドでは「AIサービス全般のガイドライン」を作ったうえで、サブセットとして
「文章生成系AI利用のガイドライン」を定めている
AIサービス全般のガイドライン
文章生成系AI利用のガイドライン
現状ではChatGPT
想定で記述
Slide 16
Slide 16 text
AIサービス利用ガイドラインのおもな項目
16
● サービス利用条件
● 入力情報の取り扱い
● 出力情報の取り扱い
Slide 17
Slide 17 text
2.策定
17
Slide 18
Slide 18 text
2-1.サービス利用条件
18
Slide 19
Slide 19 text
サービス利用条件
19
● AIサービスを利用するにあたっての基本的な条件を記述す
る
○ 承認はどう得ればよいか
○ サービスの選定にあたって確認すべきこと
Slide 20
Slide 20 text
考慮点
20
● 承認をどう得ればよいか
○ 基本的には通常のサービス利用のルールに従えばよい
○ その場合でもユーザー側が通常のルールに従えば良いのか迷っ
ていることがあるので、明記しておくと親切
● 選定にあたって確認すべきこと
○ 「入力が学習に利用されないか」「入力情報は保管されるか」「個
人情報の処理についてきちんと明記しているか」などが観点
○ ただしCMの現状のガイドラインでは詳しく書いていない(今後詳
細化を検討)
Slide 21
Slide 21 text
FYI : OpenAI社における規約情報
21
● 規約・ポリシー関連ドキュメントは以下に集約されている
○ https://openai.com/policies
● 入力情報の扱いについては、「API Usage Policies」の記
述が詳しい
○ https://openai.com/policies/api-data-usage-policies
Slide 22
Slide 22 text
FYI: OpenAI社のセキュリティ情報
22
● 「OpenAI Security Portal」というポータルサイトでセキュリティ情報を公開している
○ SOC報告書やペネトレーションテストレポートなど確認できる(要NDA締結)
https://trust.openai.com/
Slide 23
Slide 23 text
クラスメソッドガイドラインでの記述
23
● AIサービスを業務利用する場合は、原則として上長の許可を
得ること
● 検証目的で、業務に直接関連しない情報(テストデータなど)を
入力して試すことは問題ない。
● サービス利用前に、データの取り扱いの規約を必ず確認するこ
と
Slide 24
Slide 24 text
2-2.入力情報の取り扱い
24
Slide 25
Slide 25 text
入力情報の扱い
25
● どういった条件であればどういったデータの入力を許容す
るか
● サービスによって条件が変わってくるところ
○ CMの場合、「AIサービス全般のガイドライン」では大まかな方針のみ
記載し、「文章生成系AI利用のガイドライン」で細かい入力ルールを規
定している
文章生成系AI利用のガイドライン
AIサービス全般のガイドライン
Slide 26
Slide 26 text
入力情報の扱い
26
● どういった条件であればどういったデータの入力を許容す
るか
● サービスによって条件が変わってくるところ
○ CMの場合、「AIサービス全般のガイドライン」では大まかな方針のみ
記載し、「文章生成系AI利用のガイドライン」で細かい入力ルールを規
定している
文章生成系AI利用のガイドライン
AIサービス全般のガイドライン
これが重要なきめごと
Slide 27
Slide 27 text
許容する入力情報の検討の流れ
27
Slide 28
Slide 28 text
前提:データの機密レベルの定義
28
機密レベル
概要
レベル3
重要機密情報
(漏洩すると企業に大きな損害が発生)
レベル2 機密情報
(社内でのみ知られるべき情報)
レベル1
公開情報
(自社以外に知られても問題ない)
● 前提として、データの機密レベルを定義することをおすすめします
● 3〜4段階が一般的
● ISMSなどで定義済みであればそれを流用して問題ありません
例
Slide 29
Slide 29 text
機密レベルごとの許容条件の定義
29
機密レベル
許容条件
レベル3
・入力は一切許容しない
レベル2 ・入力した情報が学習されないこと
(厳し目の場合の例)
・入力した情報が保持される場合、適切なセキュリティ体制で管理さ
れること
・閉域網でのみサービスにアクセスできること
レベル1
・特に考慮は不要(外部に露出しても問題がない)
● 定義された機密レベルごとに、「どういった条件なら入力が許容できるか」を定義する
例
Slide 30
Slide 30 text
30
● 前ページの機密レベルごとの許容条件が、AIサービス全般
のガイドラインに書く「大まかな方針」となる
○ ChatGPTなどサービスごとの細かい利用ルールを書きたい場合
は、利用形態の整理を行うのが良い(後述)
● 例:
○ 重要機密情報(レベル3)の入力は許可しない。
○ 機密情報(レベル2)の入力については、入力が学習されない環境で
あれば許可する。
Slide 31
Slide 31 text
クラスメソッドガイドラインでの記述
31
● 業務情報を用いる場合は、機密情報の扱いに問題がないサービス・
プランを利用すること
● 入力した情報を学習するサービスを業務利用する場合は、業務情報
の入力は避けること
● 入力した情報がサービス全体での学習に利用されないサービス・プラ
ンを利用する場合でも、重大な機密や個人情報の入力は極力避ける
こと
※AIサービス全般のガイドラインでの記述
Slide 32
Slide 32 text
32
もう少し細かいルール作り
(ChatGPTの場合)
Slide 33
Slide 33 text
サービスの利用形態の整理
33
● 対象AIサービスの利用形態をリストアップする
● それぞれの特徴も整理
ベンダ
サービス形態
概要
補足
OpenAI
Webサービス
ChatGPTをWebブラウザ上で利用
API
APIを経由し、プログラムからChatGPT
を利用
APIを利用するシステムの用意
が別途必要
Azure OpenAI
API
Azure経由APIを経由し、プログラムか
らChatGPTを利用
プレイグラウンドでブラウザから
の利用も可能
Slide 34
Slide 34 text
各利用形態のセキュリティ仕様を整理
34
ベンダ
サービス形態
入力データの
学習利用
入力データの保持
セキュリティ体制
追加可能な対応策
OpenAI
Webサービス
デフォルトは学習利用さ
れる。設定によりオプト
アウト可能
明記なし
SOC2 Type2取得
DPA(データ処理補
遺条項)締結
API
学習利用されない
30日保持。 30日経
過後自動削除
Azure
OpenAI
API
学習利用されない
30日保持。 30日経
過後自動削除。オプ
トアウト可
MS基準のセキュリ
ティ
プライベートエンドポ
イントによる閉域網
利用等
Slide 35
Slide 35 text
FYI: OpenAI社での個人情報に関する規約
35
● Terms of Use(利用規約)に記載
○ https://openai.com/policies/terms-of-use
If you will be using the OpenAI API for the
processing of “personal data” as defined in
the GDPR or “Personal Information” as
defined in CCPA, please fill out this form to
request to execute our Data Processing
Addendum.
GDPRで定義される「個人データ」または
CCPAで定義される「個人情報」の処理のた
めにOpenAI APIを使用する場合は、この(=
指定の)フォームに必要事項を記入し、当
社のデータ処理補遺条項(DPA)の締結を申
請してください。
※前段で、「法的に適切な通知を提供し、データの処理に必要な同意を得る必要があ
る」旨も記載されている
Slide 36
Slide 36 text
利用形態x機密レベルのマトリックス
36
● サービスの利用形態ごとのセキュリティ仕様と、機密レベルごとの許容条件をマッピン
グ
● ガイドラインにこの表を載せるのが分かりやすい
ベンダ
サービス形態
機密レベル1
(公開情報)
機密レベル2
(機密情報)
機密レベル3
(機密情報)
OpenAI
Webサービス
○ × ×
API
○ ○ ×
Slide 37
Slide 37 text
社外向けサービスを提供する場合の注意点
37
● 利用する顧客とは別の顧客の情報は、入力(システム内で
の情報参照含む)されるべきではない
※次スライドにあるような、インデックスを参照するシステムを提供する場合
● CMでは、社外サービス提供を意識して、この旨もガイドライ
ンに記載している
Slide 38
Slide 38 text
FYI: APIを利用したシステムについて
38
● APIを利用してシステムを提供する場合、ChatGPTに業務情報でQ&Aさせ
るため、インデックスに情報を格納、質問に応じて必要な情報を参照・入力
する形がよく検討される
● お客様にこうしたサービスを提供する場合は、インデックスに別のお客様の
情報が混じってはならない
Slide 39
Slide 39 text
39
「文章生成系AIガイドライン」では前掲のマトリクス+以下の図でわかりや
すく伝えている ※参考イメージ
クラスメソッドガイドラインでの記述
Slide 40
Slide 40 text
2-3.出力情報の取り扱い
40
Slide 41
Slide 41 text
出力情報の取り扱い
41
● AIが出力したデータをどう取り扱うべきかの記述
● おもにリテラシーや倫理的な注意点を記載することとなる
Slide 42
Slide 42 text
出力情報の取り扱い
42
● リテラシーに関する注意点:
○ AIの出力する回答が必ずしも正しいとは限らないことを認識する
● 倫理的な注意点:
○ コンテンツの粗製乱造を避ける
○ 外部にAIが生成したコンテンツをそのまま提供する場合には、AI
が生成した旨を明示する
Slide 43
Slide 43 text
FYI: AI出力の明示に関するOpenAIの規約
43
○ OpenAIのUsage policiesでは、自動化されたシステムでAI出力
を提供する場合、AIを利用している旨を明示することを求めてい
る
■ https://openai.com/policies/usage-policies
■ “Automated systems (including conversational AI and chatbots) must
disclose to users that they are interacting with an AI system.”
(https://openai.com/policies/usage-policies)
Slide 44
Slide 44 text
クラスメソッドガイドラインでの記述
44
● 文章生成AIが生成する文章は、内容が正しくない場合があるこ
とを認識して利用すること
● 文章コンテンツの粗製乱造をしないこと。(ブログ記事を文章生
成AIで乱造するなどの行為は避ける)
● サービスとしてAIが生成するコンテンツを提供する場合は、AI
が生成したものであることを明記し、内容については参考程度
にする断りを入れること。
Slide 45
Slide 45 text
それ以外の記述:
コード生成AIについて
45
Slide 46
Slide 46 text
CMにおけるコード生成AIの利用に関する記述
46
●コードの情報をサービス側で学習されない形で利用できることが
望ましい
●利用範囲については必ずチーム内で合意のうえで利用すること
(汎用的な処理における利用のみ許容するなど)
Slide 47
Slide 47 text
コード生成AIの利用に関して
47
● コード生成AIについては、意図せずライセンス違反のコード
が紛れることも懸念点
● ガイドラインの記載のほか、以下のような対策を社内に提
案している
○ 公開コードとマッチする候補をサジェストしない機能などを有効に
する
○ 経験のあるエンジニアがコードをレビューする
○ お客様案件で利用する場合はお客様の了解を得る
Slide 48
Slide 48 text
まとめ
48
Slide 49
Slide 49 text
まとめ
49
● ガイドラインの主な項目は下記
○ サービス利用条件: 承認や選定にあたって確認すべきことを記述
○ 入力情報の扱い: 情報の機密レベルを定義、利用形態とのマトリ
クスを作って検討
○ 出力情報の扱い: リテラシー・倫理的な注意事項を主に記載
● サービスごとに細かいルールを規定したい場合はガイドラ
インの階層化を検討する
Slide 50
Slide 50 text
だいじなこと
50
ガイドラインは継続的なメンテナンスを行うこと
●日進月歩で新機能・新サービスが出てくるので、前提
が大きく変わる可能性がある
●実際の運用を行っていくなかで、課題や新しく検討すべ
き点も出てくることもある
Slide 51
Slide 51 text
クラスメソッドのガイドラインについても、よりよ
くするため今後もメンテナンスを行っていきます
51
Slide 52
Slide 52 text
ご清聴ありがとうございました!
52
Slide 53
Slide 53 text
セッションアンケート DAY1 53
満足度上位のセッションを後日ブログで公開予定!