$30 off During Our Annual Pro Sale. View Details »

AIサービス利用ガイドライン策定のすすめ

Yoshiki Eguchi
July 10, 2023
Technology
0
790

 AIサービス利用ガイドライン策定のすすめ

「DevelopersIO 2023(https://event.classmethod.jp/developers-io/2023)」登壇時の資料です

Yoshiki Eguchi

July 10, 2023
Tweet

More Decks by Yoshiki Eguchi

See All by Yoshiki Eguchi
社内でChatGPTを利用するためのガイドラインを整備した話
yoshikieguchi
1
1.9k
ビジネスライティング講座
yoshikieguchi
1
11k
Splunk Appのつくりかた / How to create Splunk App
yoshikieguchi
0
1.8k

Other Decks in Technology

See All in Technology
RealSense T265とD415とUFACTORY Lite 6で模倣学習の実験
hygradme
0
320
VS CodeとPostmanを活用した効率的なAPI開発 / Efficient API development using VS Code and Postman
yokawasa
3
260
DMMプラットフォームにおける GKE を利用した プラットフォームエンジニアリングへの 取り組み
pospome
1
160
SmartHRのマルチプロダクト戦略実行の苦悩と挑戦
h1kita
3
2.5k
エンタープライズSaaSへの挑戦〜顧客の事業を成長させるプロダクトマネジメントとは?〜 / pmconf2023
route06
2
410
負債と言わないことが負債と向き合うこと
kenchan
4
1.8k
異なる思想で書かれたコードの統一に動く -Terraformの場合-
coconala_engineer
0
200
EventStormingとRDRA2.0で大規模レガシーシステムのフルリニューアルPJに挑む
leveragestech
0
1.1k
非開発者のためのプロンプトエンジニアリング入門
seosoft
0
110
新卒エンジニアでも技術的負債に向き合いたい!
smasato
1
1.8k
LLMエンジニアリングを加速させるソフトウェアアーキテクチャ
tkikuchi1002
0
330
LINE WORKS 最新メジャーアップデート(v3.8)勉強会
lwug
0
130

Featured

See All Featured
Building a Modern Day 
E-commerce SEO Strategy
aleyda
13
5.9k
Intergalactic Javascript Robots from Outer Space
tanoku
264
26k
A Philosophy of Restraint
colly
194
15k
What the flash - Photography Introduction
edds
64
11k
Visualization
eitanlees
131
13k
How GitHub (no longer) Works
holman
299
140k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
eileencodes
123
31k
Designing for Performance
lara
601
66k
A designer walks into a library…
pauljervisheath
199
20k
Understanding Cognitive Biases in Performance Measurement
bluesmoon
5
740
Making the Leap to Tech Lead
cromwellryan
120
8.2k
Designing Dashboards & Data Visualisations in Web Apps
destraynor
225
51k

Transcript

  1. AIサービス利用ガイドライン策定のすすめ

    〜検討のポイントをクラスメソッド社内事例から解説します

    2023/7/7
    危機管理室 江口佳記

    1
    #devio2023


    View Slide

  2. About me
    江口 佳記
    クラスメソッド株式会社
    危機管理室 室長
    CISO
    2

    View Slide

  3. ※プロフィール画像はAIに生成してもらいました
 3
    image2image


    View Slide

  4. 4
    👉以後に時折出てくる挿絵もAI生成画像です

    (Midjourney使用)

    👉猫成分多めなのはただの趣味です

    ※ブログで挿絵生成時のプロンプト公開
    しています


    View Slide

  5. 最近AI周りのブログをそこそこ書いています

    https://dev.classmethod.jp/author/eguchi-yoshiki/


    5

    View Slide

  6. 社内のAIサービス利用のガイドラインもブログで公開しました
 6
    https://dev.classmethod.jp/articles/guideline-for-use-of-ai-services/


    ● クラスメソッドで策定したガイ
    ドラインの全文を掲載


    ● 「なぜこの項目を入れたか」
    の簡単な解説付き


    View Slide

  7. AIサービスガイドラインの策定が必要な背景

    7

    View Slide

  8. 8
    ● 昨今、ChatGPTを始めAIサービスが広く利用されるように
    なってきた

    ● 今後、ChatGPTなどのLLMだけでなく、それらを内部で利用
    したAIサービスも増えていく

    ● OSやオフィススイートへの組み込みも今後行われる見込み

    ➔否が応でも、今後はAIサービスを企業でどう利用するか考えざ
    るを得ない状況となる


    View Slide

  9. 管理する立場としての不安
 9
    ●機密データを好き勝手に入力されて、それが学
    習されるかも

    ●むやみに禁止してしまうとシャドーITで使われる
    かも

    ●AIの回答を真に受けて、誤った情報を拡散した
    り、誤った判断に利用されるかも

    ●etc..


    View Slide

  10. 10
    どうせなら、ルールを策定して、

    きちんとAIを活用してもらいたい


    View Slide

  11. 11
    → ガイドライン策定が必要に


    View Slide

  12. ということで、考えましょう!

    12

    View Slide

  13. AIサービスガイドラインの策定の手引

    13

    View Slide

  14. 1.構成

    14

    View Slide

  15. ガイドラインの構成
 15
    ● AIサービス全般の利用に関するルールと、サービスごとの細かいルールについて
    は、レイヤーが違うため分けても良い
    ● クラスメソッドでは「AIサービス全般のガイドライン」を作ったうえで、サブセットとして
    「文章生成系AI利用のガイドライン」を定めている
    AIサービス全般のガイドライン

    文章生成系AI利用のガイドライン

    現状ではChatGPT
    想定で記述


    View Slide

  16. AIサービス利用ガイドラインのおもな項目
 16
    ● サービス利用条件

    ● 入力情報の取り扱い

    ● 出力情報の取り扱い


    View Slide

  17. 2.策定

    17

    View Slide

  18. 2-1.サービス利用条件

    18

    View Slide

  19. サービス利用条件
 19
    ● AIサービスを利用するにあたっての基本的な条件を記述す
    る

    ○ 承認はどう得ればよいか 

    ○ サービスの選定にあたって確認すべきこと

    View Slide

  20. 考慮点
 20
    ● 承認をどう得ればよいか

    ○ 基本的には通常のサービス利用のルールに従えばよい

    ○ その場合でもユーザー側が通常のルールに従えば良いのか迷っ
    ていることがあるので、明記しておくと親切


    ● 選定にあたって確認すべきこと

    ○ 「入力が学習に利用されないか」「入力情報は保管されるか」「個
    人情報の処理についてきちんと明記しているか」などが観点

    ○ ただしCMの現状のガイドラインでは詳しく書いていない(今後詳
    細化を検討)


    View Slide

  21. FYI : OpenAI社における規約情報
 21
    ● 規約・ポリシー関連ドキュメントは以下に集約されている
    ○ https://openai.com/policies
    ● 入力情報の扱いについては、「API Usage Policies」の記
    述が詳しい
    ○ https://openai.com/policies/api-data-usage-policies

    View Slide

  22. FYI: OpenAI社のセキュリティ情報
 22
    ● 「OpenAI Security Portal」というポータルサイトでセキュリティ情報を公開している

    ○ SOC報告書やペネトレーションテストレポートなど確認できる(要NDA締結)

    https://trust.openai.com/


    View Slide

  23. クラスメソッドガイドラインでの記述
 23
    ● AIサービスを業務利用する場合は、原則として上長の許可を
    得ること
    ● 検証目的で、業務に直接関連しない情報(テストデータなど)を
    入力して試すことは問題ない。
    ● サービス利用前に、データの取り扱いの規約を必ず確認するこ

    View Slide

  24. 2-2.入力情報の取り扱い

    24

    View Slide

  25. 入力情報の扱い
 25
    ● どういった条件であればどういったデータの入力を許容す
    るか
    ● サービスによって条件が変わってくるところ
    ○ CMの場合、「AIサービス全般のガイドライン」では大まかな方針のみ
    記載し、「文章生成系AI利用のガイドライン」で細かい入力ルールを規
    定している
    文章生成系AI利用のガイドライン

    AIサービス全般のガイドライン


    View Slide

  26. 入力情報の扱い
 26
    ● どういった条件であればどういったデータの入力を許容す
    るか
    ● サービスによって条件が変わってくるところ
    ○ CMの場合、「AIサービス全般のガイドライン」では大まかな方針のみ
    記載し、「文章生成系AI利用のガイドライン」で細かい入力ルールを規
    定している
    文章生成系AI利用のガイドライン

    AIサービス全般のガイドライン

    これが重要なきめごと


    View Slide

  27. 許容する入力情報の検討の流れ

    27

    View Slide

  28. 前提:データの機密レベルの定義
 28
    機密レベル
 概要

    レベル3
 重要機密情報

    (漏洩すると企業に大きな損害が発生)

    レベル2 機密情報

    (社内でのみ知られるべき情報)

    レベル1
 公開情報

    (自社以外に知られても問題ない)

    ● 前提として、データの機密レベルを定義することをおすすめします

    ● 3〜4段階が一般的

    ● ISMSなどで定義済みであればそれを流用して問題ありません

    例


    View Slide

  29. 機密レベルごとの許容条件の定義
 29
    機密レベル
 許容条件

    レベル3
 ・入力は一切許容しない

    レベル2 ・入力した情報が学習されないこと


    (厳し目の場合の例)

    ・入力した情報が保持される場合、適切なセキュリティ体制で管理さ
    れること

    ・閉域網でのみサービスにアクセスできること

    レベル1
 ・特に考慮は不要(外部に露出しても問題がない)

    ● 定義された機密レベルごとに、「どういった条件なら入力が許容できるか」を定義する

    例


    View Slide

  30. 30
    ● 前ページの機密レベルごとの許容条件が、AIサービス全般
    のガイドラインに書く「大まかな方針」となる
    ○ ChatGPTなどサービスごとの細かい利用ルールを書きたい場合
    は、利用形態の整理を行うのが良い(後述)
    ● 例:
    ○ 重要機密情報(レベル3)の入力は許可しない。
    ○ 機密情報(レベル2)の入力については、入力が学習されない環境で
    あれば許可する。

    View Slide

  31. クラスメソッドガイドラインでの記述
 31
    ● 業務情報を用いる場合は、機密情報の扱いに問題がないサービス・
    プランを利用すること

    ● 入力した情報を学習するサービスを業務利用する場合は、業務情報
    の入力は避けること
    ● 入力した情報がサービス全体での学習に利用されないサービス・プラ
    ンを利用する場合でも、重大な機密や個人情報の入力は極力避ける
    こと
    ※AIサービス全般のガイドラインでの記述


    View Slide

  32. 32
    もう少し細かいルール作り
    (ChatGPTの場合)

    View Slide

  33. サービスの利用形態の整理
 33
    ● 対象AIサービスの利用形態をリストアップする

    ● それぞれの特徴も整理

    ベンダ
 サービス形態
 概要
 補足

    OpenAI
 Webサービス
 ChatGPTをWebブラウザ上で利用 
 

    API
 APIを経由し、プログラムからChatGPT
    を利用

    APIを利用するシステムの用意
    が別途必要

    Azure OpenAI
 API
 Azure経由APIを経由し、プログラムか
    らChatGPTを利用

    プレイグラウンドでブラウザから
    の利用も可能


    View Slide

  34. 各利用形態のセキュリティ仕様を整理
 34
    ベンダ
 サービス形態

    入力データの

    学習利用

    入力データの保持
 セキュリティ体制
 追加可能な対応策

    OpenAI
 Webサービス
 デフォルトは学習利用さ
    れる。設定によりオプト
    アウト可能

    明記なし
 SOC2 Type2取得
 DPA(データ処理補
    遺条項)締結

    API
 学習利用されない
 30日保持。 30日経
    過後自動削除

    Azure
    OpenAI

    API
 学習利用されない
 30日保持。 30日経
    過後自動削除。オプ
    トアウト可

    MS基準のセキュリ
    ティ

    プライベートエンドポ
    イントによる閉域網
    利用等


    View Slide

  35. FYI: OpenAI社での個人情報に関する規約
 35
    ● Terms of Use(利用規約)に記載

    ○ https://openai.com/policies/terms-of-use

    If you will be using the OpenAI API for the
    processing of “personal data” as defined in
    the GDPR or “Personal Information” as
    defined in CCPA, please fill out this form to
    request to execute our Data Processing
    Addendum.

    GDPRで定義される「個人データ」または
    CCPAで定義される「個人情報」の処理のた
    めにOpenAI APIを使用する場合は、この(=
    指定の)フォームに必要事項を記入し、当
    社のデータ処理補遺条項(DPA)の締結を申
    請してください。

    ※前段で、「法的に適切な通知を提供し、データの処理に必要な同意を得る必要があ
    る」旨も記載されている


    View Slide

  36. 利用形態x機密レベルのマトリックス
 36
    ● サービスの利用形態ごとのセキュリティ仕様と、機密レベルごとの許容条件をマッピン
    グ

    ● ガイドラインにこの表を載せるのが分かりやすい

    ベンダ
 サービス形態

    機密レベル1

    (公開情報)

    機密レベル2

    (機密情報)

    機密レベル3

    (機密情報)

    OpenAI
 Webサービス

    ○ × ×
    API
 ○ ○ ×

    View Slide

  37. 社外向けサービスを提供する場合の注意点
 37
    ● 利用する顧客とは別の顧客の情報は、入力(システム内で
    の情報参照含む)されるべきではない

    ※次スライドにあるような、インデックスを参照するシステムを提供する場合


    ● CMでは、社外サービス提供を意識して、この旨もガイドライ
    ンに記載している


    View Slide

  38. FYI: APIを利用したシステムについて
 38
    ● APIを利用してシステムを提供する場合、ChatGPTに業務情報でQ&Aさせ
    るため、インデックスに情報を格納、質問に応じて必要な情報を参照・入力
    する形がよく検討される
    ● お客様にこうしたサービスを提供する場合は、インデックスに別のお客様の
    情報が混じってはならない

    View Slide

  39. 39
    「文章生成系AIガイドライン」では前掲のマトリクス+以下の図でわかりや
    すく伝えている ※参考イメージ
    クラスメソッドガイドラインでの記述


    View Slide

  40. 2-3.出力情報の取り扱い

    40

    View Slide

  41. 出力情報の取り扱い
 41
    ● AIが出力したデータをどう取り扱うべきかの記述
    ● おもにリテラシーや倫理的な注意点を記載することとなる

    View Slide

  42. 出力情報の取り扱い
 42
    ● リテラシーに関する注意点:
    ○ AIの出力する回答が必ずしも正しいとは限らないことを認識する
    ● 倫理的な注意点:
    ○ コンテンツの粗製乱造を避ける
    ○ 外部にAIが生成したコンテンツをそのまま提供する場合には、AI
    が生成した旨を明示する

    View Slide

  43. FYI: AI出力の明示に関するOpenAIの規約
 43
    ○ OpenAIのUsage policiesでは、自動化されたシステムでAI出力
    を提供する場合、AIを利用している旨を明示することを求めてい

    ■ https://openai.com/policies/usage-policies
    ■ “Automated systems (including conversational AI and chatbots) must
    disclose to users that they are interacting with an AI system.”
    (https://openai.com/policies/usage-policies)

    View Slide

  44. クラスメソッドガイドラインでの記述
 44
    ● 文章生成AIが生成する文章は、内容が正しくない場合があるこ
    とを認識して利用すること
    ● 文章コンテンツの粗製乱造をしないこと。(ブログ記事を文章生
    成AIで乱造するなどの行為は避ける)
    ● サービスとしてAIが生成するコンテンツを提供する場合は、AI
    が生成したものであることを明記し、内容については参考程度
    にする断りを入れること。

    View Slide

  45. それ以外の記述:

    コード生成AIについて

    45

    View Slide

  46. CMにおけるコード生成AIの利用に関する記述
 46
    ●コードの情報をサービス側で学習されない形で利用できることが
    望ましい
    ●利用範囲については必ずチーム内で合意のうえで利用すること
    (汎用的な処理における利用のみ許容するなど)

    View Slide

  47. コード生成AIの利用に関して
 47
    ● コード生成AIについては、意図せずライセンス違反のコード
    が紛れることも懸念点
    ● ガイドラインの記載のほか、以下のような対策を社内に提
    案している
    ○ 公開コードとマッチする候補をサジェストしない機能などを有効に
    する
    ○ 経験のあるエンジニアがコードをレビューする
    ○ お客様案件で利用する場合はお客様の了解を得る

    View Slide

  48. まとめ

    48

    View Slide

  49. まとめ
 49
    ● ガイドラインの主な項目は下記

    ○ サービス利用条件: 承認や選定にあたって確認すべきことを記述

    ○ 入力情報の扱い: 情報の機密レベルを定義、利用形態とのマトリ
    クスを作って検討

    ○ 出力情報の扱い: リテラシー・倫理的な注意事項を主に記載

    ● サービスごとに細かいルールを規定したい場合はガイドラ
    インの階層化を検討する


    View Slide

  50. だいじなこと
 50
    ガイドラインは継続的なメンテナンスを行うこと
    ●日進月歩で新機能・新サービスが出てくるので、前提
    が大きく変わる可能性がある
    ●実際の運用を行っていくなかで、課題や新しく検討すべ
    き点も出てくることもある

    View Slide

  51. クラスメソッドのガイドラインについても、よりよ
    くするため今後もメンテナンスを行っていきます

    51

    View Slide

  52. ご清聴ありがとうございました!

    52

    View Slide

  53. セッションアンケート DAY1 53
    満足度上位のセッションを後日ブログで公開予定!

    View Slide