セキュリティ方針を決め、目的を検討し、マネジメント層と握る　ChatGPT導入時に大手企業や中堅企業がやるべき3つのこと

EVENT

ChatGPTの時代に「コーポレートIT部門」はどう生きるべきか——変化をチャンスに変える方法とは

2023年04月26日に開催

ChatGPTはコーポレートITの仕事をどう変えるのか、どんな向き不向きがあるのか、ChatGPTを織り込んだ上での組織戦略をどう考えればいいのかを考える、Darsana・AnityA主催の「ChatGPTの時代に『コーポレートIT部門』はどう生きるべきか——変化をチャンスに変える方法とは」。ここでアルプ株式会社の山下氏が登壇。さらに、ChatGPT導入時にやるべきこと、ChatGPT使用時に考慮することについて話します。前回はこちらから。

スピーカー

山下鎮寛

アルプ株式会社共同創業者

ChatGPT導入時にエンタープライズ企業・ミドルレンジ企業がやるべき3つのこと

山下鎮寛氏：「ここまではわかったよ」「ChatGPTの仕組みはわかった」「実際にこういったかたちで生産性を上げることができるようなものなんじゃないか」と感じてもらえた方もいるかもしれません。

「いよいよChatGPTを導入しよう」「試していこう」と思った時に、エンタープライズの企業の方やミドルレンジの企業の方々がどういったことをやる必要があるのかもまとめました。

なかなかユースケースの紹介まで時間がかかっているんですが、もう少しです。ここ（の話）がユースケースの紹介までの最後のフェーズになっています。

「じゃあ、ChatGPTを使っていきましょう」となった時に、一番大事ですぐにやるべきことが、1番に書いた「セキュリティに対する方針を定めて周知する」というところです。

これは非常に重要で、会社の中では禁止もされていないし「どんどん使いましょう」というルールも定められていない状態で正しい周知を行わないと、ある意味で個人が好き勝手に利用して（しまうことになり）、それが会社のリスクになり得る。例えば機密情報を出してしまったり、本来入力してはいけないプロンプトを入力してしまうというようなリスクがあります。ここは非常に重要なので、この後に別枠で話します。

「セキュリティに対する方針を定めて周知することはできました」となった際に、次に何をしようかというところなんですが、ユースケースと目的の言語化を行うことを推奨しています。

これは何かというと、ChatGPTはできることや相談できることの幅が非常に広くて、いろいろなことを試したいと思うかと思います。

実際に業務として導入をしていこうとするなら、そもそも検証期間だったり導入期間においてどのような目的を達成するのか。どんな領域でどんなユースケースを実行するのかは、事前に検討しておくことをお勧めします。

これがないと、実際に触ってみて「すごかったね」とはなるんですが、自社で使うメリットなどが説明できなくて、本当に一過性のブームとして終わってしまって、社内の中でうまく定着しないということがあり得るかなと思っています。

3つ目です。おそらくDarsanaのセミナーを聞いているみなさんは、本当にいつもここで苦労されていると思うのですが、マネジメント層との握りという部分が非常に重要かなと思っています。

今、ChatGPTに対して興味や関心を持っている経営者の方が非常に多い状況かなとは思っています。（ただ一方で）どのように活用できるのか、自社に対してどのようなメリットがあるのかはまだわかっていない方も非常に多い状況かなと思っています。

検証や導入を進めるには予算が必要になってくるかなと思っています。ChatGPTはUIもAPIに関しても非常に安価で使うこと自体はできるんですが、例えばどれぐらいの人数で、どのぐらいの期間を試すのか。そしてマネジメント層としてはどういった結果が欲しいのかを握る必要があるかなと思っています。

先ほど（の話）にちょっと近いんですが、これが握れていないと、「いろいろ試しておもしろそうだ」「わかった」というかたちにはなるんですが、結局「次はどうしようか？」というところで止まってしまう。場合によっては、けっこうムチャぶりをされてしまう。「いいから、とにかくChatGPTを使った新しいサービスを出すんだ」というような号令が出てしまったり。

実際に何をしたかったのかだったり何をすべきものなのかを、マネジメント層と現場の中で握っておくことが非常に重要になるのかなと考えています。

そして最後の4番が安定稼働というところで、ここは具体的にAzureの「OpenAI Service」というサービス名を書いていますが、検証とか実験には正直ChatGPT本家を使ってもらってまったく問題ないかなと思っています。

ChatGPTは残念ながら時間帯によってレスポンスがとても遅くなってしまったり、止まってしまうことが正直まだまだある状況です。自社の社内の検証や実験という部分に関しては問題ないんですが、実際にオペレーションに導入したり、自社のサービスの中に組み込んだりするとなった場合に、やはり安定稼働は必須かなと考えています。

そのためのソリューションとして、Azureが提供しているOpenAI Serviceを使うのが、現時点においては最も有力な選択肢なのかなと考えています。こちらも非常に重要なので、この後説明できればと思っています。

利用規約に利用規約を読ませることを徹底する

重要だとお伝えした1番と4番について今からお話しするんですが、セキュリティに関する方針を定めて周知するというところです。こちらはまず前提条件として、自社がChatGPTのようなLLMのサービスを利用する側、逆にそのようなGPTのAPIなどを使って提供者側に回るどちら（の立場）になっても対応できるポリシーを最初に定めることをお勧めしています。

具体的に最初にやるべきことは、利用者に各生成系AIのサービスやそれらを搭載したSaaSの利用規約を、必ず確認させることを徹底したほうがいいかなと思っています。

これは、どこまで内容が学習されるのかだったり、入力したデータは保持されるのか。オプトアウトは可能なのかは、必ずこういった生成系AIのサービスには利用規約などに掲載されています。これを必ず見るほうがいいかなと思っているので、社内のメンバーの方に徹底させることがまず重要です。

もう1点注意事項として。今、この生成系AIやChatGPTを使った新機能を出したSaaSやシステムが非常に多くなっています。

ですが、彼らの実際の利用規約の中に、ちゃんとプロンプトの扱いだったり入力したデータの扱いが記載されているのかどうかは必ず確認してください。もしないようだったら、その機能をすぐに使うのは正直リスクが大きいので、提供企業側に「ここのプライバシーポリシーはどうなっていますか？」と問い合わせることをお勧めします。

「基本的に生成系AIを使う時は利用規約を読もうね」と言えばみなさんやってもらえると思いますが、盲点なのが、ふだん使っているサービス。生成系AIサービスだと思っていないものに今どんどん（生成系AIが）導入されているところがあって、それが非常にリスクを高めているので、そこも含めて周知させることが前提条件として非常に重要になってきます。

入力で考慮すべきリスク

（スライドを示して）入力編と出力編と書いているんですが、それぞれやはりリスクがあります。入力編で最も考慮すべきリスクは、やはり情報漏洩というところ。これはもちろん生成系AIに限らずではありますが、いろいろなサービスに対してデータを預けるとなった場合に、情報漏洩には非常に気をつける必要があります。

その上で、セキュリティの方針として社内で定めるべきと書いたものが、データの区分を定義すべきだと考えています。

例えば「この情報までは一般情報として公開している」「これはもう公開情報でそもそも公開しているよ」という情報であったり、あとは議事録だったり。そういった社外秘の内容、そして個人情報などを含む機密情報というかたちでデータを区分していく。「これらはこういった特徴があります」「機密情報は顧客情報が含まれたり、決算前に社内の業績に関する数字が含まれるもの」（など）と定義をしてあげましょう。

それらの区分に対して、生成系AIのサービスで入力してもいい条件。例えばChatGPTのAPI経由でオプトアウト可能ならば、社外秘情報までは入力していいけれど、機密情報は駄目ですと。一般公開はChat UIから入力しても大丈夫ですよというかたちで、それぞれデータの区分と、区分ごとの入力していい条件。もしくは入力したらいけない条件の両方をセットで作成して、方針として定める必要があるかなと思っています。

もう1つは、前提条件にも書いたサービスの規約の確認ですね。先ほど（お話ししたように）、ふだん使っているSaaSが新しい機能を出したというケースもあるんですが、これは実際にあったケースで、議事録の書き起こしのために文章の音声の書き起こしサービスを使って、情報が思わず外部に出てしまったケース。

あとは翻訳サイト。「DeepL」とかいろいろありますが、翻訳サイトの中で自分たちの出してはいけないような機密情報を使って学習されてしまったというケースも存在しているので、ふだん使われているサービスの利用規約は、なるべく読むといいかなと思っています。

入力で考慮すべきリスク

次が出力編なんですが、考慮すべきというところ（で）は、情報の正確性とデータ提供者の同意が非常に重要になっています。

お客さまに対して直接表示する内容、例えばChatGPTなどのAPIを使って出した情報は、あくまでも補助的なツールとして使って人間が確定させることを推奨しています。現状はまだまだ嘘をついてしまう。正確じゃないような情報も書いてしまう状況もあるので、人間が最後に確定させることを推奨しています。

また、ユーザーのデータをプロンプトに使う場合に関しては、利用規約で目的や許可を得ているのかであったり、あとは法律で規制されている著作権、商標権、薬事法、金融商品取引法などについてのチェックは必須になっています。

あと、これもけっこう細かいところではあるんですが、よく犯しがちなミスとして、OpenAIは規約上、APIを使って対話システムを作った場合にAIが介在していることを明示するように指示をしているので、その部分も注意する必要があるかなと思っています。

OpenAI Serviceの概要

「サービスの利用規約もできてマネジメント層とも握れたよ」という時に、安定稼働をするという文脈で、少し触れたAzureのOpenAI Serviceというところの内容についてです。

先に伝えると、PDFの引用欄に記載しているAzureの中の方の発表の資料が非常にわかりやすく、かつ正確な情報なので、基本的にはこちらを見ることをお勧めして、今日は概要を軽く触れるだけにしておきます。

簡単に言うと、OpenAIが提供しているモデルを、Azureがクラウドサービスとして提供してくれています。能力はそのままなんですが、AzureさんがSLA（Service Level Agreement）だったりセキュリティ機能を併せて提供してくれています。なので、エンタープライズ企業も安心して活用することができる、非常に優れたサービスかなと考えています。

しかもなんと、発表時点において価格がOpenAIのAPIと同価格で出されていたということで、とても安価です。具体的な金額はおそらく個社の契約の関係などもあると思うので、担当営業の方に聞くのがいいのかなとは思っています。OpenAIのAPI自体が非常に低価格で、特に前のモデル、3とか3.5のモデルに関しては使えるので、すごく試しやすい価格になっているのかなと思っています。

かつ、彼らは「Azure OpenAI Studio ChatGPT Playground」という機能を提供していて、この中ではチャットの内容でシステムメッセージを出したり、あとはユーザーのロールごとに、できること・できないことを決めたり。

あとは、モデルやパラメーターを選択して選ぶことができるところだったり。回答例をあらかじめ記載しておくというような、よりChatGPTの機能を便利に使えるようなPlaygroundというようなサービスも提供されているので。単純にOpenAIが出しているChatGPTのUIから触ってもらうよりも、より便利に活用できるようになっています。

ここまで、ChatGPTを実際に導入するにはどうしたらいいのかという部分について触れました。実際にセキュリティポリシーを出して、かつ、その中にユースケースだったり目的を事前に定めて、それを経営者の方のところに行って、「じゃあ、Azureを導入しましょう」という導入までのハードルは、正直けっこう高いと思っています。

一定（数）存在してはいるんですが、ここは今回一緒にセミナーをしているAnityAさん、我々アルプの中でお手伝いすることができるかなと思っています。もし興味がある方、実際にやってみたいなと思う方は、アンケートやメールアドレスまでご連絡いただければ、ご相談にのることは可能ですので、ぜひお声掛けください。

（次回に続く）

Published at 2023-07-27 21:00