はじめに
こんにちは!セキュリティ本部のyoshioです。
STORESでは、最近話題のAIサービスに関して、STORES社内で利用するときのガイドラインをリリースしました。
今日は、それをどんなポリシーや考え方で作成したのかをお話していこうと思います。
ガイドラインの概要
まず、ガイドラインの概要を説明します。 このガイドラインでは、対象となるAIサービスを「クラウドサービスがその機能に人工知能(AI)を用いて、サービス提供しているもの」と定義し、遵守事項を定めました。
AIサービス利用の遵守事項
AIサービスを利用する場合に、守ってほしいことは4つにしました。
➀社内で許可されたサービス以外利用しない
STORESでは、SaaSなどのクラウドサービスを利用する場合、事前に利用規約などに対するリーガルチェックおよびセキュリティチェックを行い、そのチェックを通過したサービスを社内で公式に利用OKとしています。 AIサービスにおいても、同一のプロセスを経たもののみが利用OKとなります。
➁重要情報を入力・保存しない
STORESでは、情報資産をその特性に応じて分類(例:Strictly Confidential、Confidential等)しています。 その分類の中でも、会社の中で重要情報に位置づけられるものについては、AIサービスへの入力・保存を禁止しています。
③利用規約に違反する行為はしない
サービスごとに違いはありますが、利用規約等に禁止事項が明記されています。 それら禁止事項に該当するような使い方は禁止しています。
➃サービスごとの個別利用ガイドラインを遵守する
今概要を説明しているAIサービス利用ガイドラインの他に、特定のAIサービスに特化した個別利用ガイドラインを作成しています。 各サービスの機能に応じて、個別の遵守事項や注意点があるため、個別利用ガイドラインの遵守を求めています。
ガイドライン作成のポリシー
次に、ガイドラインをどんなポリシー・考え方で作成したかをお話します。 ガイドラインをつくろうとしたときに、大切にしたポイントは下記の4点です。
1点目:重要情報の漏えいを招くような使い方を防ぐ
個人情報をはじめとした、機密性の高い重要な情報の漏えいを招くような使い方を防がなければなりません。 この考え方は、AIサービスだけでなくその他クラウドサービスでも同じです。ですが、特にChatGPTのようなサービスでは、気軽に情報を入力できるため、利用者本人も意識しないうちに重要情報の漏えいを招いてしまう可能性があります。 そのような事態を防ぐため、ガイドラインを作るときに重要視しました。
2点目:既存の管理フローと融合させる
1点目でも少し触れましたが、AIサービスだからといって、これまで利用していたその他のクラウドサービスと大きく考え方が変わるわけではない、と考えています。 サービスがサイバー攻撃等を受け、入力・保存された情報が漏えいするといったリスクは、AIサービスかどうかに関わらず、どんなクラウドサービスにも存在するからです。 STORESでは上記のようなリスクを考慮し、従来からそのサービス自体のセキュリティチェックや利用規約等のリーガルチェック等の管理フローを構築していました。 そのため、AIサービス用に新たな管理フローを構築するのではなく、既存の管理フローに取り込む方針でガイドラインを作成することができました。 こうすることで、新たな管理フローの構築・運用にリソースを割かなくてもよくなった、というメリットもありました。
3点目:AIサービスの利活用を促進させる
大前提、このガイドラインはAIサービスの利用を抑制する目的で作成したものではありません。 AIサービスを、安全な状態でガンガン利活用し、業務効率化やスピードアップをしてもらいたい一心で作成しました。 新しいサービスの利用を開始するとなった時には、どうしても躊躇して保守的になってしまいがちです。 そういった状態に陥らないように、安全な利用方法を提示することで、利活用の促進に寄与することが重要だと考えました。
4点目:これで完成!ではなく環境変化に合わせて進化(アップデート)する
AIサービスの進化・発展は、想像以上のスピードで進んでいます。 一度ガイドラインを作成したとしても、進化や新たなAIサービスの出現に合わせて絶えずアップデートを繰り返さないと、安全にガンガン利活用してもらえる状態を維持することができないかもしれません。 こういったガイドラインは、一度作成したらアップデートはするものの、その頻度は1年に1回など、頻度が低くなりがちです。 AIサービスの場合は、これまでと同様の頻度ではその進化スピードにとても追いつけないので、情報収集をし、環境変化に合わせてガイドラインも進化(アップデート)させていきます。
おわりに
今回は、STORES社内用のAIサービス利用ガイドライン初版リリース記念ということで、ガイドラインの概要とどんなポリシーや考え方で作成していったのか?をお話してきました。
先にお話した通り、このガイドラインは今回で完成!ではなく、今後も進化していきます。
機会があればまたブログ化しようと思いますので、ご期待ください。
最後です!
STORESでは会社のセキュリティを共によくしてくれる方を募集しています。
ご興味ある方は是非ご連絡お願いします!