AIデータ漏洩防止とは、従業員やシステムが人工知能ツールと対話する際に、機密ビジネス情報が漏洩、保持、または悪用されることを阻止するポリシー、技術的制御、組織的慣行を指します。これは、従来の予防ツールが捕捉するように設計されていなかったデータ損失のカテゴリーに対処するものです。
この問題は、そのメカニズムにおいて欺瞞的に単純であり、その発生において欺瞞的に広範に及んでいます。従業員がクライアントとの契約書をAIツールに貼り付けて要約を取得します。開発者が独自のソースコードをコーディングアシスタントに入力してバグを修正します。財務チームのメンバーが収益報告書の草案をAI執筆ツールに送って洗練させます。それぞれのケースで、従業員は有用なことを達成しました。それぞれのケースで、機密の組織データが、組織が制御していないインフラに、従業員が読んだことのない利用規約の下で、そのコンテンツでのモデル訓練を含む可能性のある保持・利用慣行とともに移動しました。どのファイアウォールもこれにフラグを立てませんでした。どのDLPアラートも発火しませんでした。どの監査ログも、コンプライアンスチームが対処できる形でこれを捕捉しませんでした。これがAIデータ漏洩問題であり、あらゆる規模および業界の組織で、ほとんどのセキュリティプログラムがまだ追いついていない規模で展開されています。本ガイドでは、AIデータ漏洩を引き起こすもの、最も深刻な漏洩を生み出す場所、そしてそれを防ぐために組織が整備すべきものについて説明します。
AIツールがそれ自体のデータ漏洩カテゴリーを生み出す理由を理解する
既存の制御を回避するチャネル
従来のデータ損失防止ツールは、既知のデータチャネルを監視し、それらを通過する機密コンテンツを検出するためのルールを適用することで機能します。電子メールの添付ファイルがスキャンされます。クラウドストレージへのファイル転送がレビューされます。USBデバイスへの書き込みがログに記録されます。これらの制御は、AIツールが職場の標準的な部分となる前に正確であったデータ移動のモデルを反映しています。
AIツールは、ほとんどの既存のDLPアーキテクチャが正しく分類または監視しないデータチャネルを表しています。ネットワークトラフィックの観点から、機密文書をAIツールに送信する従業員は、他のWebアプリケーションを使用している従業員と同一に見えます。AIツールのサーバーへのHTTPSリクエストは、ネットワーク層では生産性アプリケーション、研究データベース、またはニュースサイトへのリクエストと区別がつきません。DLPツールは許可されたWebトラフィックを認識します。セキュリティチームは何も見えません。機密データは建物を出ました。
このアーキテクチャ上のギャップは、AIデータ漏洩防止が、既存の制御がそれをカバーするという仮定ではなく、専用の注意を必要とする理由です。脅威モデルが異なり、データチャネルが異なり、それに対処するために必要な制御は、従来のデータ損失シナリオを処理するものとは異なります。
データがAIツールに入った後に何が起こるか
特定のデータ漏洩リスクは、AIベンダーがシステムに送信されたデータで何をするかによって異なり、これはベンダー、製品、ティアによって大きく異なります。慣行の範囲を理解することは、組織が一般化された懸念ではなく実際のリスクを中心に予防努力を調整するのに役立ちます。
モデル訓練の使用は、データ漏洩イベントを永続的な漏洩問題に最も直接的に変換するリスクです。ベンダーの利用規約が、送信されたコンテンツをモデルの改善に使用することを許可している場合、データは単にシステムを一時的に通過するだけではありません。それらは、その情報の断片を他のユーザーへの応答に表面化させる方法で、モデルの将来の出力に潜在的に影響を与えます。主要なベンダーとのエンタープライズ契約はこれを標準条項として禁止していますが、コンシューマーおよび無料ティアは一般的にこれを許可し、業務タスクに個人アカウントを使用する従業員は通常、コンシューマー条件下で運用しています。
推論ログの保持は、永続的な訓練リスクではなく、時間制限のある漏洩ウィンドウを作成します。ほとんどのAIベンダーは、デバッグ、品質保証、法的コンプライアンスの目的で、定義された期間クエリと応答のログを保持します。その保持期間中、これらのクエリで送信された機密データはベンダーのインフラ上に存在し、ベンダーのスタッフが潜在的にアクセス可能で、ベンダー自身のセキュリティ制御の対象となり、ベンダーに向けられた法的プロセスに潜在的に対応します。
国境を越えたデータ転送は、AI推論インフラがデータを送信する組織とは異なる管轄にある場合に発生します。データレジデンシー義務を持つ組織にとって、これはセキュリティの失敗とは無関係なコンプライアンスの漏洩を生み出します。データは、ベンダーのインフラ上で技術的に安全である一方で、処理できる場所に関する規制要件に同時に違反している可能性があります。
AIセキュリティフレームワークがこれらの特定のデータ処理リスクカテゴリーのそれぞれにどのように対処するかを理解することは、組織がAIツールの状況によって作成される実際のリスクを対象とする予防プログラムを構築するのに役立ちます。
AIデータ漏洩が最も深刻な漏洩を生み出す場所
最高リスクの規制された機密データカテゴリー
すべての組織データが等しい漏洩リスクを持つわけではありません。許可されていないAIシステムに入ったときに最も深刻な漏洩を生み出すデータカテゴリーは、共通の特徴を共有しています。それらの取り扱いは、法的義務、契約上のコミットメント、または競争上の機密性によって支配されており、これにより許可されていない開示が、即時の情報損失を超える方法で高くつきます。
GDPR、HIPAA、または同等のフレームワークの対象となる個人データは、それらのフレームワークが要求する法的根拠、ベンダー契約、技術的保護策なしにAIツールを通じて処理された場合、規制上の漏洩を生み出します。データクレンジングのためにコンシューマーAIツールに顧客の個人情報のスプレッドシートを送信する単一の従業員は、チャットウィンドウにコンテンツを貼り付けるのにかかる時間で、GDPR下の報告可能なデータ侵害、HIPAA下のビジネスアソシエイト契約違反、および任意の数のセクター固有の規制下のコンプライアンスインシデントを潜在的に作成しました。
AIツールに送信された法的特権コンテンツは、ほとんどの組織の法務チームがまだ完全に解決していない弁護士-クライアント特権の懸念を生み出します。AIツール処理が特権を放棄する開示を構成するかどうかは、ほとんどの管轄で進化する法的問題であり、最も安全な組織的姿勢は、その取り扱いが法的セクター要件に特別に設計および契約されていないAIツールに特権コンテンツが届かないようにすることです。
ソースコード、製品仕様、アルゴリズム、研究データを含む独自の技術情報は、組織が保護するために多額の投資を行っている競争上の知性を表しています。AIコーディングアシスタントとドキュメント分析ツールは、テクノロジーおよび研究組織で最も一般的に使用されているAIツールの一つであり、組織が外部システムに到達させたくないと最も望むデータカテゴリーで最も頻繁に使用されるツールでもあります。
| データカテゴリー | AI漏洩からの主なリスク | 規制上または法的な結果 |
|---|---|---|
| 顧客の個人データ | 許可されていない第三者処理 | GDPR侵害通知、HIPAA違反、セクター固有の罰則 |
| 従業員の個人データ | AI HRツールによるHRデータの漏洩 | 雇用法およびデータ保護違反 |
| 法的特権コンテンツ | 開示による潜在的な特権放棄 | 機密事項に対する法的保護の喪失 |
| 独自のソースコード | 競争上の知性の漏洩 | 知的財産の喪失、クライアントとの契約違反 |
| 財務草案情報 | 開示前の重要な非公開情報 | 証券法の漏洩、選択的開示リスク |
| クライアントの機密情報 | 専門的な機密性義務の違反 | 顧客関係の損傷、専門的責任 |
| 営業秘密 | モデル訓練を通じた競争上の知性 | 公開された場合の営業秘密保護の喪失 |
シャドーAIの次元
最も難しいAIデータ漏洩防止の課題は、組織がガバナンスフレームワークの下で承認して展開したツールではありません。それは、従業員が組織の知識または監視なしに使用しているツールです。シャドーAIは、承認されたプログラム外でのAIツールの使用であり、AIガバナンスプログラムが確立する制御の完全に外で動作するため、ほとんどの組織でAIデータ漏洩インシデントの大半を生み出します。
シャドーAIの使用は、主に悪意のあるアクターのコンプライアンスの失敗ではありません。これは、AIツールが自分の仕事に役立つことを発見し、明確なタイムラインがない可能性のある組織の承認プロセスを待つのではなく、アクセス可能なものを採用した従業員による生産性の応答です。その動機を理解することは、実際に漏洩を減らす予防アプローチを設計するために不可欠であり、使用をさらに地下に追いやることではありません。
最も効果的なシャドーAIの予防は、組織全体で使用されているAIツールへの可視性、従業員の実際のニーズを満たす明確でアクセス可能な承認されたツールプログラム、および承認されたプログラム外でツールを既に使用した従業員のための非懲罰的な開示チャネルを組み合わせます。シャドーAIに主に禁止で対応する組織は、根本的な生産性のニーズが徐々に目立たない手段を通じて満たされ続け、より少ない漏洩漏洩ではなくより多くを生み出すことを発見します。
承認されたAIツール展開に関するAIアーキテクチャの決定が、シャドー代替案の魅力にどのように影響するかを確認することは、組織が承認されたプログラムを、最大のコンプライアンス摩擦の道ではなく、最小の抵抗の道として設計するのに役立ちます。
実際に機能する技術的および組織的制御
AIデータ漏洩防止のための技術的制御
AIデータ漏洩防止のための技術的制御は、機密データがAIシステムに到達する方法のさまざまな側面に対処する複数の層で動作します。効果的なプログラムは、単一のアプローチに依存するのではなく、これらの制御を層化します。
ネットワークレベルの制御は、承認されたリストにないAIツールドメインへのトラフィックをブロックまたは監視することにより、組織のネットワークおよびデバイスから承認されていないAIサービスへのアクセスを制限できます。このアプローチは、従業員が個人ネットワークおよびデバイスを使用する可能性のあるリモートワーク環境よりも、管理された企業ネットワーク上でより効果的であり、新しいAIツールが出現し、既存のツールがドメインインフラストラクチャを変更するにつれて継続的なメンテナンスが必要です。
AIツールのアップロードパターンを認識し、AIインターフェースを通じて送信されたデータにコンテンツ検査を適用するように構成されたエンドポイントデータ損失防止は、レガシーDLPアーキテクチャが見逃すAIチャネルにDLPカバレッジを拡張します。これには、従来のエクスフィルトレーションチャネルだけでなく、AIツールトラフィックパターンに特別に構成されたDLPツールが必要です。
ブラウザ拡張機能とエージェントベースの制御は、送信時にデータ分類ポリシーを実施し、定義された機密性しきい値を超えて分類されたコンテンツが、承認されたプログラム外のAIツールに送信されることを防ぎ、ネットワークレベルのブロッキングよりも対象を絞ったアプローチを表しています。これらの制御は、超えた後にのみブロックするのではなく、ポリシー境界に近づくユーザーに警告するように構成でき、技術的制御とともに行動強化メカニズムを作成できます。
エンタープライズAIゲートウェイ製品は、すべての組織のAIトラフィックを集中型の検査およびポリシー実施層を通じてルーティングする専用の制御カテゴリーとして登場しました。これらの製品は、組織全体のAIツールの使用に対する可視性を提供し、すべてのAI送信にデータ分類とコンテンツ検査を適用し、承認されたツールポリシーを実施し、コンプライアンスおよびセキュリティチームが作業できる形式で監査ログを生成します。
| 制御の種類 | 対処するもの | 制限 |
|---|---|---|
| ネットワークブロッキング | 企業ネットワーク上で承認されていないAIツールへのアクセスを防ぎます | 個人ネットワークおよび管理されていないデバイスでは効果がありません |
| AI用エンドポイントDLP | AIインターフェースを通じて送信されたコンテンツを検査します | 標準のDLPを超えるAI固有の構成が必要 |
| ブラウザ拡張制御 | AI送信時のポリシー実施 | カバレッジは管理されたブラウザ環境に制限されます |
| エンタープライズAIゲートウェイ | 集中型の可視性、検査、ポリシー実施 | ゲートウェイインフラストラクチャを通じてすべてのAIトラフィックをルーティングする必要があります |
| データ分類ラベル | AIツールの適切性に関する従業員の決定を導きます | 技術的実施ではなく、従業員のコンプライアンスに依存します |
| ゼロトラストアクセス制御 | 定義されたコンテキスト内の承認されたユーザーにAIツールアクセスを制限します | 承認された送信のコンテンツには対処しません |
技術的予防を補完する組織的制御
技術的制御は、自動化された実施を通じて漏洩を減らします。組織的制御は、技術的制御がバイパス、回避、または仕事の実行方法に真に統合されるかどうかを決定する従業員の判断と行動を通じて漏洩を減らします。
機密性レベルを許可されたAI処理環境にマッピングする明確なデータ分類ポリシーは、従業員にすべてのタスクのポリシー文書を参照することなく一貫して適用できる決定ルールを提供します。従業員が、機密として分類されたデータが署名されたデータ契約を持つオンプレミスAIツールまたはエンタープライズティアのクラウドツールでのみ処理できることを知っている場合、彼らは注意するという曖昧な指示ではなく、実行可能なガイドを持っています。
汎用的なデータ保護啓発コンテンツではなく、具体的で役割固有のシナリオを使用する訓練は、抽象的な訓練では生み出されない行動変化を生み出します。デフォルトの利用規約の下で人気のあるコーディングアシスタントに送信されたソースコードに何が起こるかを説明できるエンジニアは、その行動を変える実践的な知識を持っています。データ保護原則に関する訓練に参加したエンジニアは、利用可能な最速のツールを使用するための締め切りが圧力を生み出すときに異なる行動に変換される場合と変換されない場合の認識を持っています。
過去のシャドーAIの使用の初回開示をコンプライアンス違反ではなく学習の機会として扱うインシデント開示プロセスは、既存の漏洩を隠すのではなく表面化させるよう従業員を奨励する心理的安全を作成します。未知の漏洩の組織的コストは、評価および対処できる既知の漏洩のコストよりも高くなります。
承認されたエンタープライズAIツールのAI機能がデータ処理慣行をユーザーにどのように伝えるかを理解することは、組織がポリシーとツールの関係を従業員が独立して把握すべきものとして扱うのではなく、ポリシー要件を従業員が実際に遭遇する特定のツール動作に結び付ける訓練を構築するのに役立ちます。
AIデータ漏洩防止プログラムの構築
インベントリと評価の基盤
機能するAIデータ漏洩防止プログラムは、公式に承認されたツールだけでなく、組織全体で使用されているAIツールの正確な全体像から始まります。これら2つのインベントリ間のギャップが、即時の予防プログラムの範囲を定義します。
実際のAIツールインベントリを構築するには、単一のソースが全体像を捕捉しないため、複数のデータソースを組み合わせる必要があります。IT管理のソフトウェアインベントリは、公式に調達されたツールを捕捉します。ネットワークトラフィック分析は、AIツールトラフィックが組織全体で到達しているドメインを表面化させます。従業員調査と部門面接は、IT調達が決して見ない従業員が使用しているツールを明らかにします。ブラウザ拡張機能とエンドポイントインベントリは、個々のデバイスレベルでインストールされているAIツールを特定します。完全なインベントリはこれらすべてのソースの統合であり、ほとんどの場合、演習を行う前に組織が予想するよりも大きく多様です。
インベントリが存在すると、各ツールは、ベンダーのデータ処理慣行、認証ステータス、契約上の保護の可用性、および従業員が実際に使用しているデータカテゴリーをカバーするデータセキュリティ要件に対する評価が必要です。評価出力は、インベントリ内のすべてのAIツールのリスク階層化分類であり、すべてのデータカテゴリーで承認されたものから、制限付きで承認されたもの、レビュー保留で禁止されているもの、完全に禁止されているものまでです。
ベンダーおよび契約上の保護
対応する契約上の保護なしに行動的および技術的制御のみに依存する予防プログラムは、その基盤で不完全なガバナンス構造を作成します。技術的制御は、許可されていないツールを通じた漏洩の可能性を減らします。契約上の保護は、許可されたツールが使用されるときに適用される保護と、それらの保護が尊重されない場合に組織が持つ救済を定義します。
ツールが最低の機密性層を超える組織データを処理するすべてのAIベンダーは、訓練データの使用を明示的に禁止し、保持の制限を定義し、必要な期間内の侵害通知を約束し、組織データに適用されるセキュリティ制御を文書化する署名されたデータ処理契約を必要とします。ヘルスケア組織にとって、特定のAI製品をカバーするビジネスアソシエイト契約は、契約上の好みではなく、法的前提条件です。
契約上の保護プログラムは、技術的制御と同様にメンテナンスを必要とします。ベンダーは利用規約を更新します。1つの契約の下でカバーされていた製品は、製品ポートフォリオの変更によってそれから分離される可能性があります。認証期間は期限切れになります。プログラムに年次のベンダー契約レビューサイクルを構築することで、組織データがベンダーの実際の慣行をもはや反映していない契約の下で処理される状況を防ぎます。
インベントリと評価から技術的制御とベンダー管理を通じてAIデータ漏洩防止プログラムを構成することに関する包括的なAIガイドは、組織がその最も見える部分ではなく、完全な予防の課題に対処するプログラムを構築するのに役立ちます。
知っておくべきこと
組織がプログラムを構築するときに一貫して遭遇するAIデータ漏洩防止に関するいくつかの重要な現実:
エンタープライズAIベンダーのコンシューマーティア製品は、エンタープライズ製品とは異なるデータ処理慣行を持っており、時には劇的に異なります。個人アカウントを通じてアクセスされる同じ基礎となるAI機能と、エンタープライズアカウントを通じてアクセスされる機能は、完全に異なる訓練データポリシー、保持慣行、および契約上の保護の可用性を持つ可能性があります。組織アカウントが承認を必要とするか費用がかかるために、個人アカウントを通じてエンタープライズAIツールにアクセスする従業員は、違いを認識せずに業務データにコンシューマーティアの保護を使用しています。
AIの30%ルールは、データ漏洩防止プログラム設計に有用に適用されます。自動化された技術的制御は、特に自動化がスケールで一貫して処理する高頻度のポリシー実施タスクである予防作業の約30%を処理する必要があります。人間の判断と組織のガバナンスは、リスク評価、ベンダー評価、インシデント対応、および技術的制御が実際の仕事の実行方法に統合されるか、または回避する障害として扱われるかを決定する訓練と文化構築を含む残りの70%をカバーします。
ブラウザベースのAIツールの使用は、ネットワークレベルのブロックだけで制御するのが最も困難なカテゴリーです。個人ネットワークでリモートで作業し、業務タスクに個人デバイスを使用し、または一般的なウェブ使用に似たブラウザインターフェースを通じてAIツールにアクセスする従業員は、エンドポイントベースのアプローチがネットワークベースのアプローチよりもうまく対処する制御の課題を提示します。
広く使用されている生産性ソフトウェアに埋め込まれた生成AIツールは、ほとんどの従業員にとってAIツールの使用には見えない漏洩漏洩を生み出します。ワードプロセッサがテキスト補完を提案するためにAIを使用するとき、スプレッドシートがデータ入力を解釈するためにAIを使用するとき、または電子メールクライアントが応答を起草するためにAIを使用するとき、従業員はデータ分類を考慮するように促す可能性のある意図的な意思決定なしにAIを使用しています。スタンドアロンのAIツールのみに対処するガバナンスプログラムは、ここに盲点があります。
スティーブン・ホーキングのAIに関する警告は、データ漏洩ではなく、超知能システムからの実存的リスクに焦点を当てていましたが、AI機能でAIガバナンスよりも速く動くことに関する彼のより広範な警告は、データ漏洩問題に直接翻訳されます。データ保護フレームワークが適応できるよりも速くAIツールを展開する組織は、不十分なAIガバナンスに関するホーキングの一般的な懸念が指し示していた管理されていない漏洩を正確に作成します。データ漏洩防止のための実践的な教訓は、ガバナンスインフラストラクチャが展開規模に追いつくのではなく、展開規模に先んじて発展する必要があるということです。
監査証跡の品質は、組織が発生したときに漏洩インシデントにどれだけよく対応できるかを決定します。従業員が機密データを許可されていないAIツールに送信したことを知ることは有用です。どの特定のデータが送信されたか、いつ、AIツールの応答は何であったか、従業員がその応答で何をしたかを知ることが、効果的なインシデント対応を可能にするものです。AIデータ漏洩防止のためのロギングインフラストラクチャは、コンプライアンスチェックボックスの満足のためだけでなく、インシデント調査のユーティリティのために構築する必要があります。
国際的な従業員とオフィスは、漏洩防止にデータレジデンシーの複雑さを追加します。ある管轄区域で非個人ビジネスデータでの使用が承認されたAIツールは、別の管轄区域で同じカテゴリーのデータで使用される場合、データレジデンシー違反を引き起こす可能性があります。多国籍組織は、地理的感度なしに統一されたグローバルポリシーを適用するのではなく、管轄区域のバリエーションを考慮するデータ漏洩防止プログラムを必要とします。
継続的な規律としてのAIデータ漏洩防止
AIデータ漏洩防止は、完了日のあるプロジェクトではありません。これは、AIツールの状況、規制環境、およびそれが統治する組織のAIフットプリントに合わせて進化する必要のある継続的な運用規律です。12ヶ月前には存在しなかったツールが、今日多くの従業員のワークフローの標準的な部分です。1年前に願望的だった規制は、現在執行可能な要件です。スタンドアロンのツールに限定されていたAI機能は、AIツールの使用と通常のシステム使用の境界をぼかす方法で運用インフラストラクチャに埋め込まれています。
可視性インフラストラクチャ、ガバナンスプロセス、および自己強化的にし執行依存ではない文化的基盤を備えた持続可能な運用プログラムとしてAIデータ漏洩防止を構築する組織は、時間とともに複利化する保護を構築しています。プログラムに追加されるすべての承認されたツールは、シャドー代替案の魅力を減らします。すべての訓練サイクルは、データ分類とツール選択に関する従業員の判断を改善します。すべてのベンダー契約レビューは、文書化された保護と実際の保護の間のドリフトを、検出されていない漏洩を作成する前に捕捉します。
組織のAIツールを通じて流れるデータは、ビジネスが生成する最も機密性の高い情報の一部であり、データ処理を統治する通常の制御が最も成熟していないコンテキストで処理されます。それを適切に保護する予防プログラムを構築することは、コンプライアンス演習ではありません。これは、組織がすでになりつつあるAI対応ビジネスへの基本的なセキュリティ投資です。
よくある質問
AIにおけるデータ漏洩とは何ですか?
AIにおけるデータ漏洩とは、従業員がベンダーのデータ処理慣行、保持ポリシー、または訓練データの使用が意図された処理目的を超えた許可されていない開示を生み出すAIシステムに機密データを送信するときに発生する、AIツールの使用を通じた機密の組織情報の漏洩を指します。 既存のDLPツールが監視しないことが多いチャネルを通じて、過失または悪意のあるものではなく真に生産的な従業員の行動を通じて、また即時の漏洩だけでなく機密情報のベンダーモデルインフラストラクチャでの持続的なエンコードを含む可能性のある結果とともに発生するため、従来のデータ漏洩とは異なります。
AIの30%ルールとは何ですか?
AIの30%ルールは、AIシステムと自動化された制御がワークフローまたはプログラム機能の約30%、特に自動化が明確な効率と信頼性の利点を提供する高頻度で明確に定義され、一貫して実行可能なタスクを処理し、人間の判断とガバナンスが、文脈評価、リスクの決定、および自動化されたシステムではなく人々に置かれるべき責任を含む残りの70%をカバーするべきだという原則です。 AIデータ漏洩防止において特に、これは自動化された技術的制御が日常的なポリシー実施を処理し、人間のガバナンスがリスク評価、ベンダー評価、インシデント対応、および技術的制御が実際の行動に統合されるかどうかを決定する文化的および訓練的次元を所有することを意味します。
スティーブン・ホーキングのAIに関する警告は何でしたか?
スティーブン・ホーキングのAIに関する主な警告は、人間の認知能力を超え、人間の福祉と一致しない目標を追求する人工汎用知能からの潜在的な実存的リスクに関するものであり、人類が安全性とガバナンスに十分な注意を払うことなくAI機能の開発で急速に進んでいることへの懸念を表明していました。 彼の懸念は、短期的なビジネスデータセキュリティではなく、長期的な実存的リスクに向けられていましたが、基礎となるガバナンス原則は実用的なAI展開に直接翻訳されます。ガバナンスフレームワークが適応できるよりも速くAI機能を進める組織は、説明責任のない機能から生じる管理されていないリスクを作成します。
データを漏洩することなくAIを使用する方法は?
データを漏洩することなくAIを使用するには、一貫して適用される4つの慣行が必要です:各使用前にAIツールの承認されたデータカテゴリーに対して評価されたデータのみを送信すること、訓練データの使用を禁止する署名されたデータ処理契約を持つエンタープライズティアのAIツールのみに依存すること、生産性ソフトウェアに埋め込まれたものを含む業務タスクに使用されるすべてのAIツールの特定のデータ処理慣行を理解すること、およびどの機密性レベルがどのAIツールで許可されるかを定義する組織のデータ分類ポリシーに従うこと。 最も機密性の高いデータカテゴリーについては、唯一完全に漏洩防止のアプローチは、データが組織自身のネットワーク境界を決して離れないプライベートインフラストラクチャに展開されたAIツールを使用することです。
ChatGPTに何を言ってはいけませんか?
ChatGPTの標準的なコンシューマーインターフェースを通じて、従業員は顧客の個人情報、従業員記録、法的特権通信、独自のソースコードまたはアルゴリズム、財務開示の草案または重要な非公開情報、営業秘密、クライアントの機密情報、または組織にとって法的、規制上、競争上、または契約上の結果を生み出す許可されていない開示を引き起こす可能性のあるその他のデータを送信すべきではありません。 ChatGPTのコンシューマーバージョンは、エンタープライズティアのAIツールをビジネスデータに適切にするデータ処理契約、訓練データ禁止、および契約上の保護を含まない利用規約の下で動作します。これは、個人アカウントを通じて送信されたコンテンツが、組織が制御または発見できない方法で保持され、潜在的に使用される可能性があることを意味します。