Upgrade to Pro — share decks privately, control downloads, hide ads and more …

AIサービス利用ガイドライン策定のすすめ

 AIサービス利用ガイドライン策定のすすめ

Yoshiki Eguchi

July 10, 2023
Tweet

More Decks by Yoshiki Eguchi

Other Decks in Technology

Transcript

  1. 考慮点
 20 • 承認をどう得ればよいか
 ◦ 基本的には通常のサービス利用のルールに従えばよい
 ◦ その場合でもユーザー側が通常のルールに従えば良いのか迷っ ていることがあるので、明記しておくと親切
 


    • 選定にあたって確認すべきこと
 ◦ 「入力が学習に利用されないか」「入力情報は保管されるか」「個 人情報の処理についてきちんと明記しているか」などが観点
 ◦ ただしCMの現状のガイドラインでは詳しく書いていない(今後詳 細化を検討)

  2. 前提:データの機密レベルの定義
 28 機密レベル
 概要
 レベル3
 重要機密情報
 (漏洩すると企業に大きな損害が発生)
 レベル2 機密情報
 (社内でのみ知られるべき情報)


    レベル1
 公開情報
 (自社以外に知られても問題ない)
 • 前提として、データの機密レベルを定義することをおすすめします
 • 3〜4段階が一般的
 • ISMSなどで定義済みであればそれを流用して問題ありません
 例

  3. 機密レベルごとの許容条件の定義
 29 機密レベル
 許容条件
 レベル3
 ・入力は一切許容しない
 レベル2 ・入力した情報が学習されないこと
 
 (厳し目の場合の例)


    ・入力した情報が保持される場合、適切なセキュリティ体制で管理さ れること
 ・閉域網でのみサービスにアクセスできること
 レベル1
 ・特に考慮は不要(外部に露出しても問題がない)
 • 定義された機密レベルごとに、「どういった条件なら入力が許容できるか」を定義する
 例

  4. クラスメソッドガイドラインでの記述
 31 • 業務情報を用いる場合は、機密情報の扱いに問題がないサービス・ プランを利用すること 
 • 入力した情報を学習するサービスを業務利用する場合は、業務情報 の入力は避けること •

    入力した情報がサービス全体での学習に利用されないサービス・プラ ンを利用する場合でも、重大な機密や個人情報の入力は極力避ける こと ※AIサービス全般のガイドラインでの記述

  5. サービスの利用形態の整理
 33 • 対象AIサービスの利用形態をリストアップする
 • それぞれの特徴も整理
 ベンダ
 サービス形態
 概要
 補足


    OpenAI
 Webサービス
 ChatGPTをWebブラウザ上で利用 
 
 API
 APIを経由し、プログラムからChatGPT を利用
 APIを利用するシステムの用意 が別途必要
 Azure OpenAI
 API
 Azure経由APIを経由し、プログラムか らChatGPTを利用
 プレイグラウンドでブラウザから の利用も可能

  6. 各利用形態のセキュリティ仕様を整理
 34 ベンダ
 サービス形態
 入力データの
 学習利用
 入力データの保持
 セキュリティ体制
 追加可能な対応策
 OpenAI


    Webサービス
 デフォルトは学習利用さ れる。設定によりオプト アウト可能
 明記なし
 SOC2 Type2取得
 DPA(データ処理補 遺条項)締結
 API
 学習利用されない
 30日保持。 30日経 過後自動削除
 Azure OpenAI
 API
 学習利用されない
 30日保持。 30日経 過後自動削除。オプ トアウト可
 MS基準のセキュリ ティ
 プライベートエンドポ イントによる閉域網 利用等

  7. FYI: OpenAI社での個人情報に関する規約
 35 • Terms of Use(利用規約)に記載
 ◦ https://openai.com/policies/terms-of-use
 If

    you will be using the OpenAI API for the processing of “personal data” as defined in the GDPR or “Personal Information” as defined in CCPA, please fill out this form to request to execute our Data Processing Addendum.
 GDPRで定義される「個人データ」または CCPAで定義される「個人情報」の処理のた めにOpenAI APIを使用する場合は、この(= 指定の)フォームに必要事項を記入し、当 社のデータ処理補遺条項(DPA)の締結を申 請してください。
 ※前段で、「法的に適切な通知を提供し、データの処理に必要な同意を得る必要があ る」旨も記載されている

  8. FYI: AI出力の明示に関するOpenAIの規約
 43 ◦ OpenAIのUsage policiesでは、自動化されたシステムでAI出力 を提供する場合、AIを利用している旨を明示することを求めてい る ▪ https://openai.com/policies/usage-policies

    ▪ “Automated systems (including conversational AI and chatbots) must disclose to users that they are interacting with an AI system.” (https://openai.com/policies/usage-policies)
  9. まとめ
 49 • ガイドラインの主な項目は下記
 ◦ サービス利用条件: 承認や選定にあたって確認すべきことを記述
 ◦ 入力情報の扱い: 情報の機密レベルを定義、利用形態とのマトリ

    クスを作って検討
 ◦ 出力情報の扱い: リテラシー・倫理的な注意事項を主に記載
 • サービスごとに細かいルールを規定したい場合はガイドラ インの階層化を検討する