2023年3月31日、今週気になったサイバーセキュリティ関連ニュースまとめ。

サイバーセキュリティ セキュリティ/脆弱性

今回は、気になったサイバーセキュリティ関連ニュースがあったのでまとめてみました。この企画は不定期で配信するかもしれない。

news.yahoo.co.jp

公的機関や企業を狙ったランサムウェア攻撃は2022年以降、攻撃数や被害額が減少傾向にあり「儲からない犯罪」というニュース記事が公開されていた。そもそも、ハッキングを行う目的は何なのだろうかを考えると、そこには貧困問題も影響している。結局はお金が絡んでくる。なので、儲からない犯罪になったとしても多少でもお金がほしいヤバい人たちはランサムウェア攻撃などを続けるだろう。日本でもセキュリティには手を抜かず、しっかりと対策した方がよい。

 

atmarkit.itmedia.co.jp

経済産業省は「技術情報管理 自己チェックリスト(

https://www.meti.go.jp/press/2022/03/20230329001/20230329001-2.pdf

)」を無料で公開しているので、現在のセキュリティ対応状況を採点し、対応ができていないところは、事前に対策しておくことを推奨する。

 

gigazine.net

Cyber​​havenのハワード・ティンCEO氏がいうように、「ChatGPTのようなAIベースのサービスを生産性向上のためのツールとして利用する従業員が増えれば増えるほど、プライバシー情報が漏えいするリスクが増す」というのはまさに同意する。また完全にプライバシー情報が漏えいすることを防ぐのはほぼ無理ではないかと考えている。これは企業がどこまでの範囲の情報を「プライバシー情報」として扱うかにもよるのではないかと考えている。

 

 

職場でChatGPTのようなAIを使用していることを隠蔽している。

倫理

70% Of Workers Using ChatGPT At Work Are Not Telling Their Boss; Overall Usage Among Professionals Jumps To 43%(職場でChatGPTを利用している人の70%が上司に内緒で利用、社会人全体の利用率は43%に急上昇)

 

今回は上記の記事が興味深いものだったので紹介する。上記の記事では、ChatGPTやその他のAIツールの利用に関する調査が行われ、結果から「職場で利用している人の7割が上司に内緒で利用している」ということがわかったものだ。職場でChatGPTを禁止にしているところもあると考えているが、あくまで「職場」上では禁止であってプライベートではChatGPTを使用している人もいるだろう。そうなってくると、プライベートでChatGPTを使用し、使用して得た知識や情報を職場で活かそうとする人もいる。このようになってくると、職場でChatGPTを禁止にしたところで、ChatGPTによる影響は完全には消えないというのが私の意見だ。

次に、「職場でAIを使用していることを隠蔽した場合のリスクと懸念」についてどのようなものが挙げられるだろうかと考えた。そこでChatGPTに「職場でAIを使用していることを隠蔽した場合のリスクと懸念について書いてください。」と質問してみた。

AIを使用していることを隠蔽することには、多くのリスクや懸念があります。以下はその一例です。

  1. エンドユーザーの不信感:AIを使用していることを隠蔽することが発覚した場合、ユーザーはその企業や製品に対して不信感を持つことがあります。それは、企業が隠蔽することを何か他にも隠していると疑われるためです。
  2. 法的問題:AIを使用していることを隠蔽することは、法的な問題を引き起こす可能性があります。特に、企業が消費者に対して製品を販売する場合、その製品についての情報を隠すことは、消費者保護法違反になる可能性があります。
  3. イメージ問題:企業がAIを使用していることを隠蔽している場合、その企業のイメージに悪影響を与える可能性があります。特に、その企業がエシカルな問題に焦点を当てている場合、隠蔽はそのメッセージを弱めることがあります。
  4. 技術的問題:AIを使用していることを隠蔽することは、技術的な問題を引き起こす可能性があります。たとえば、AIが製品の品質管理に使用されている場合、それを隠していると、製品が不良品である可能性があります。

これらの問題を避けるためには、企業は透明性を重視する必要があります。AIが製品に使用されていることを明確に伝え、消費者や利用者が理解できるようにすることが重要です。

質問した結果、得られた回答が上記となる。この回答を私の方で読んでみたが、特に問題なさそうだったので情報として共有します。なお、結論としては、「AIが製品に使用されていることを明確に伝えて、消費者や利用者が納得、または理解できるようにした方が良い」ということ。

ChatGPTのような生成AIを法務実務で活用する場合のリスクと懸念

倫理 その他

ChatGPTのような生成AIを法務実務で活用する場合のリスクと懸念について書きます。

今回はChatGPTにて、「ChatGPTのような生成AIを法務実務で活用する場合のリスクと懸念について教えて下さい。英語で調べて日本語で回答してください。」という質問をしてみた。

質問し得られた回答が上記になる。「英語で調べて日本語で回答してください。」と質問しているのに、なぜか英語の文章だったので、DeepL翻訳で翻訳し情報を共有します。

ChatGPTのような生成型AIを法律実務で使用する場合、いくつかのリスクと懸念があります。

 

1.不正確な情報を生成する。 テキストを生成するAIシステムは、学習するために膨大な量のデータに依存しています。しかし、そのデータに不正確なものが含まれている場合、AIが生成する情報も不正確なものになる可能性があります。

 

2.法的責任。AIが生成した文書やアドバイスが不正確で損害を与えた場合、法的責任の問題を考慮する必要があるかもしれません。AIが生成する情報の正確性を確保することは重要です。

 

3.プライバシーに関する懸念。膨大な量のデータから学習するAIシステムは、特に個人データを対象に学習させる場合、プライバシーに関する懸念をもたらす可能性があります。個人データの取り扱いに関する法的・倫理的な規制を遵守することが重要です。

 

4.バイアスの問題。AIシステムは、学習するデータが偏っている場合、バイアスを永続させる可能性があります。つまり、AIが生成した情報には、差別的な意見や偏見が含まれている可能性があります。適切なデータセットを使用し、アルゴリズムによるバイアスを補正することが重要です。

 

5.セキュリティの問題。AIシステムが機密情報を生成する場合、セキュリティ侵害の危険性があります。AIが生成した情報を保護するために、適切なセキュリティ対策を実施することが重要です。

 

以上、ChatGPTのような生成型AIを法律実務に活用する際のリスクや懸念事項を挙げてきました。これらの問題に対処するためには、AIシステムを慎重に設計し、法的・倫理的要件を遵守することが肝要です。また、AIシステムを導入する前に、徹底したリスク評価を行うことも重要です。

翻訳した結果がこちらです。この結果から、ChatGPTに「AIシステムを導入する前に、徹底したリスク評価を行う手順について教えて下さい。英語で調べて日本語で回答してください。」と質問してみた。

 

AIシステムを導入する前に徹底的なリスク評価を行うためには、以下の手順があります。

  1. 目的の明確化:AIシステムの導入目的を明確にすることが重要です。どのような問題を解決するためにAIを使用するのか、何を期待するのかを明確にする必要があります。
  2. リスクの特定:AIシステムの導入により引き起こされる可能性のあるリスクを特定します。これには、技術的、法的、倫理的なリスクが含まれます。
  3. リスクの評価:特定されたリスクについて、その重大性や発生確率を評価します。これにより、どのリスクに最も優先して対応する必要があるかを判断できます。
  4. 対策の検討:リスク評価に基づき、どのような対策を講じる必要があるかを検討します。これには、技術的、法的、倫理的な対策が含まれます。
  5. リスク管理計画の策定:対策を実施するために必要な手順や責任分担、スケジュールなどをまとめたリスク管理計画を策定します。
  6. 監視と改善:AIシステムを導入した後も、リスクの監視と改善を行うことが重要です。システムの状態を定期的に監視し、必要に応じて改善を行います。

これらの手順を踏むことにより、AIシステムの導入前にリスク評価を徹底的に行うことができます。また、AIシステムの導入後もリスク管理を継続的に行うことが重要です。

質問後、得られた回答が上記となる。今回は日本語で生成された。この文章を読んでみたが問題なさそうだと判断し、情報として公開します。

これ以外にもネットの情報でこれは参考になるというものを掲載しておきます。ご参考になれば幸いです。

clp.law.harvard.edu

 

「The Implications of ChatGPT for Legal Services and Society(ChatGPTが法律サービスと社会に与える影響)」では「Challenges and ethical considerations(課題と倫理的配慮)」の項目で、「ChatGPTは大量のテキストデータでトレーニングされているため、特定の法律トピックに関する最新情報や関連情報が常に提供されるわけではない」ことが書かれており、やはり法的責任の問題を考慮する必要がある。また「法律のニュアンスや複雑さを必ずしも考慮できない可能性がある」とも書かれているので、これはまだ人間の弁護士などが行う仕事であると考える。

 

 

ECサイトの構築・運用者、そして消費者のセキュリティ対策 - 個人情報及びクレジットカード情報の流出

フィッシング詐欺 倫理的ハッカー サイバーセキュリティ

www.ipa.go.jp

情報処理推進機構IPA)はECサイトを構築・運用するときに気を付けるセキュリティ対策のガイドラインを無料で公開した。無料で公開している理由は、ECサイトからの個人情報及びクレジットカード情報の流出事件が、近年多数発生していることが挙げられる。ECサイトの構築・運用に携わっている方は一度目を通しておいた方が良い。

 

今回公開されたガイドライン以外に、海外ではどのようなセキュリティ対策が行われているのか、ヒントが書かれているページをまとめてみた。

 

www.motocms.com

 

「7 Proven Tips To Ensure E-Commerce Website Security(e コマース Web サイトのセキュリティを確保するための 7 つの実証済みのヒント)」という記事では、「強力なパスワードについて顧客を教育する」、「2 要素認証 (2FA) プロセスの追加を検討する」、「本物のハッカーのように考えるハッカーを雇う」などが書かれている。

www.outsourceaccelerator.com

「8 most significant e-commerce security issues and how to avoid them(最も重要な 8 つの e コマース セキュリティ問題とその回避方法)」という記事では、セキュリティ問題を回避するための重要なヒントとして、「ECサイトで買い物をした後にアカウントからログアウトし、安全でないサイトでは決してブラウザウィンドウを開いたままにしない」ことや、「ECサイトSSL(Secure Socket Layer)証明書を持ち、サーバーからクライアントに転送されるデータと、サーバー上のデータを暗号化し、ハッカーに盗まれないようにする」といったことが書かれている。

www.bankrate.com

「Ways your credit card info might be stolen and how to prevent it(クレジットカード情報が盗まれる可能性のある方法とその防止策)」という記事では、「不要なサイトや頻繁、またはたまに利用しているECサイトからクレジットカード情報を削除することで、リスクを減らすことはできる。チェックアウトを簡単にするために、クレジットカード情報をAmazonのアカウントに保存することがありますが、これは盗難の被害に遭いやすくなる可能性もあるので注意した方がいい」といったことが書かれている。

paymentcloudinc.com

「Credit Card Payment Tokenization Explained(クレジットカード決済のトークン化の説明)」という記事では、クレジットカードを「トークン化」することで、カード会員を詐欺やその他のデータ侵害から守ることができるというもの。暗号化は、アルゴリズムが実際の支払いデータを暗号化するが、トークン化では、データは無価値なトークンと交換されます。トークンには有用な情報が含まれていないため、情報漏えいの際に情報が盗まれるリスクもないという。これは便利だ。

 

www.fool.com

「Is It Safe to Store Your Credit Card Info on Amazon?(Amazonにクレジットカード情報を保存しても安全ですか?)」という記事では、「詐欺師やハッカーは、私たちの金融データを盗むための新しい方法を常に考案しています。」と書かれているので、これは念頭に置いておいた方が良い。消費者ができることは、ECサイトにクレジットカード情報を保存しておくと、非常に使いやすくはなるが、盗まれる危険性もあるため、手間だがクレジットカードの情報は常に削除しておいた方がいい。買い物する時だけ情報を入力する。

www.nytimes.com

「パスワード、お別れ。次に来るのは、これだ。(RIP, Passwords. Here’s What’s Coming Next.)」という記事では、「パスキー認証」について書かれている。このパスキー認証は最近ドコモの「dアカウント」や、Yahooでも採用し始めているもので、従来のパスワードによらない認証が可能であり、セキュアな運用が可能で、消費者はより安全にECサイトで買い物ができようになるかもしれない。

www.thankful.ai

また、小売および e コマース向けに構築されたカスタマー サービス用に構築されたAIを利用したソフトウェア「Thankful」は、ダッシュボードには、データ流出の可能性を検出する、お客様のアカウントへの重要な変更のためのセキュリティに焦点を当てた監査ログがあります。Google Cloudのデータセンターで99.99%の稼働率を維持するために、高可用性に重点を置いているので、これはセキュリティ対策として使える。

従業員がChatGPTを使用する場合、雇用主のリスクや懸念。

倫理 セキュリティ/脆弱性

従業員がChatGPTを使用する場合、雇用主のリスクや懸念について書きます。また、この記事は海外の記事を参照し気になるところをまとめたものである。

 

news.bloomberglaw.com

■「従業員がChatGPTを使用する場合、雇用主はこれらのリスクを考慮する必要があります(Employers Should Consider These Risks When Employees Use ChatGPT)」

・プライバシーと機密保持

上記の記事も書かれているが「ChatGPT はオンライン上の様々な情報でトレーニングされているため、従業員はツールから商標、著作権、または他の個人や団体の知的財産の情報を受け取って使用する可能性があり、雇用主に法的リスクが生じる恐れがあるので注意する。

また法的問題に加えて、雇用主は、従業員が仕事に関連してChatGPTを使用できるようにする範囲を検討する必要がある。

 

www.debevoise.com

■「あなたの会社にはChatGPTポリシーが必要ですか?おそらく(Does Your Company Need a ChatGPT Policy? Probably.)」

この記事を読んで気になったところは「職場でChatGPTを使用するリスク」である。

リスクとしては、

・品質管理リスク(ChatGPT は不正確な結果を生成する可能性があり、ChatGPT の出力を確認する人がChatGPTの応答の「何が問題なのか (または欠けているのか)」 を簡単に特定できない場合、品質管理のリスクが高まる)

・契約上のリスク(顧客またはクライアントの機密情報を、ChatGPTを通じて OpenAI を含む第三者と共有する会社の能力に制限がある場合がある。また特定のクライアント データを ChatGPT と共有すると、データの使用目的に関するクライアントとの契約条項に違反する可能性がある)

・プライバシー リスク(顧客、クライアント、または従業員に関する個人情報を ChatGPTを介してOpenAIと共有すると、プライバシー リスクが生じる可能性がある)

・消費者保護のリスク(消費者がChatGPTとやり取りしていることに気付いていない場合、またはChatGPTによって生成されたドキュメントを受け取る(会社から明確にChatGPTによって生成されたと開示されていないもの)場合、消費者が動揺するリスクがある)

・知的財産のリスク(従業員が ChatGPT を使用してソフトウェアコードやその他のコンテンツを生成する場合、そのコンテンツは人間によって作成されたものではないため、多くの法域では著作権で保護できない可能性がある、またChatGPT およびそれが生成するコンテンツは、モデルのトレーニングに使用された著作権で保護された素材の派生物と見なされるリスク、さらには従業員が機密コード、財務データ、またはその他の企業秘密や機密情報を分析のためにChatGPTに送信する場合、ChatGPTを利用している他のユーザーが同じデータを引き出し機密性が損なわれるリスクがある)

・ベンダー(消費者に対して販売を行っている会社、販売供給元、製造元)のリスク(ベンダーから会社に提供される情報は、事前の同意なしにChatGPTによって生成できないことをベンダーとの契約で指定するかどうかを検討する必要がある)

 

conventuslaw.com

■US – ChatGPT, Bing And Bard – What Businesses Need To Be Thinking About.(米国 - ChatGPT、Bing、Bard - 企業が考えなければならないこと。)

どのような状況においても、プライバシー ポリシー、データ保護、守秘義務を順守する必要があることを、「従業員に思い出させる」ことを推奨する。また、AIツールを使用しない場合でも、悪意のある者に、より高度なマルウェアフィッシング詐欺が作成されることが予想されているので、攻撃の標的となる可能性が高い機能を担当する者は、リスクを認識し、防止するようにトレーニングする必要がある。

ChatGPTに法的判断をさせる場合のリスクと懸念

倫理

今回は「ChatGPTに法的判断をさせる場合のリスクと懸念」について書きます。

OpenAI社開発のAIチャットボット「ChatGPT」の無料版で「ChatGPTに法的判断をさせる場合のリスクと懸念について書いてください」と質問してみました。

ChatGPTは、一般的な情報提供を目的として作成されたAIツールであり、法的判断を下すために設計されたものではありません。ChatGPTが法的判断を下すことによって、正確性や完全性に関するリスクがあります。また、ChatGPTが法的判断を下すことによって、特定の状況に応じた正確な法的アドバイスが必要な場合は、専門的な法的アドバイスを求めることが必要です。

具体的には、以下のようなリスクや懸念が考えられます。

1.正確性に関するリスク: ChatGPTが提供する情報や回答には、時に間違いや誤解が含まれることがあります。法的判断を下すには、正確で正確な情報が必要ですが、ChatGPTが提供する情報は必ずしも正確で完全ではありません。

2.専門的知識の欠如によるリスク: ChatGPTは法的な専門的知識を持ち合わせていません。したがって、ChatGPTが提供する情報や回答は、一般的な情報提供を目的としてのものであり、専門的な法的アドバイスに代わるものではありません。

3.倫理的な問題: ChatGPTが提供する情報や回答には、倫理的な問題が含まれることがあります。例えば、ChatGPTが法的な判断を下すことによって、倫理的に問題のある行動を取ることがあるかもしれません。

4.法的責任: ChatGPTが提供する情報や回答に基づいて行動を起こした場合、その結果生じる可能性のある法的責任は、ユーザー自身にあります。したがって、ChatGPTが提供する情報や回答に基づいて行動を起こす前に、専門的な法的アドバイスを受けることが必要です。

以上のリスクや懸念から、ChatGPTに法的判断を下させることは避け、必要な場合は専門的な法的アドバイスを受けることをお勧めします。

質問した結果、上記が回答となる。この文章を私の方で確認してみたが特に問題はなさそうだったので、情報を共有する。またこの文章を読んで気になったことは、まず「ChatGPTは、AIツール(道具)である」こと。さらに「正確な法的アドバイスが必要な場合は、専門的な法的アドバイスを求める(法的アドバイスができる知識を有する人物)」ことが大事である。法的判断を下すための補助の1つとしてChatGPTのようなAIツールを用いることはできるが、最終的な判断は人間が行うべきだというのが私の意見だ。

銀行・保険・証券等金融機関が業務でChatGPTを使う場合のリスクと懸念

今回は、銀行・保険・証券等金融機関が業務でChatGPTを使う場合のリスクと懸念について書いてみます。OpenAI社が開発したAIチャットボット「ChatGPT」で「銀行・保険・証券等金融機関が業務でChatGPTを使う場合のリスクと懸念について書いてください」と質問してみた。

銀行、保険、証券等の金融機関がChatGPTを業務で使用する場合、以下のようなリスクや懸念があるかもしれません。

1.機密情報の漏洩リスク:ChatGPTは自然言語処理技術を使用しており、銀行や保険会社などの金融機関が扱うような機密情報が含まれる可能性があります。このような情報がChatGPTを介して漏洩すると、重大な影響を及ぼす可能性があります。

2.セキュリティ上の脆弱性:ChatGPTは、入力されたテキストに基づいて自動的に応答するため、悪意のあるユーザーによって悪用される可能性があります。これにより、金融機関のシステムに侵入したり、不正なアクションを起こしたりすることができます。

3.信頼性の問題:ChatGPTは、人工知能による自動応答システムであり、入力に基づいて自動的に応答するため、正確な情報を提供できない可能性があります。金融機関が顧客とのコミュニケーションにChatGPTを使用する場合、顧客の信頼性が損なわれる可能性があります。

4.偏見や人種差別の問題:ChatGPTは、訓練データに基づいて自動応答を生成するため、偏見や人種差別的な応答を生成する可能性があります。金融機関がChatGPTを使用する場合、このような問題が生じる可能性があります。

5.テキスト解析の限界:ChatGPTは、自然言語処理に基づく自動応答システムであり、テキスト情報に基づいて応答を生成します。しかし、テキストに含まれる情報だけでは、顧客のニーズや要望を完全に理解することはできません。金融機関がChatGPTを使用する場合、このような制限を考慮する必要があります。

以上のリスクや懸念を避けるためには、金融機関はChatGPTの訓練データを検証し、機密情報を適切に保護するためのセキュリティ対策を講じる必要があります。また、金融機関はChatGPTの使用にあたり、以下のような対策を講じることが望ましいです。

1.セキュリティ対策の強化:金融機関は、ChatGPTを介した顧客情報の漏洩を防止するために、セキュリティ対策を強化する必要があります。具体的には、データ暗号化、アクセス制御、セキュリティ監視などの対策を講じることが望ましいです。

2.機密情報の排除:金融機関は、ChatGPTを介してやり取りされる情報の中から機密情報を排除する必要があります。具体的には、機密情報を含む会話をChatGPTに入力しない、自動応答のテンプレートに機密情報を含めないなどの対策を講じることが望ましいです。

3.信頼性の確保:金融機関は、ChatGPTが生成する応答の正確性や適切性を確保するために、ChatGPTを運用するスタッフのトレーニングや監視、顧客からのフィードバックの収集などの対策を講じることが望ましいです。

4.テキスト解析の制限の考慮:金融機関は、ChatGPTが生成する応答の制限や限界を考慮し、適切な対応策を講じる必要があります。例えば、自動応答に加えて、人間のスタッフによる対応を用意することなどが考えられます。

5.偏見や人種差別の監視:金融機関は、ChatGPTが生成する応答に偏見や人種差別が含まれていないかを監視し、必要に応じて訓練データを改善することが望ましいです。

金融機関がこれらの対策を講じることで、ChatGPTを安全かつ適切に活用することができます。ただし、ChatGPTはあくまで自動応答システムであり、顧客からの問い合わせや要望に対する完全な解決策を提供するわけではありません。金融

質問後、得られた回答が上記となる。回答を私の方で確認してみたが何かおかしな文章になっているかと思えばそうでもないし、問題はなさそうだったので情報として共有します。なお、この文章には続きがありそうだったが、続きを生成してもらうと質問したが、エラーが発生してしまい、なぜか続きの文章を生成できなかった。そこで申し訳ない。