ChatGPTに重要な情報を送っても安全か？ 自治体のネットワーク分離モデルから考える

（3）外部からファイルをダウンロードする際には、無害化処理を行うこと

（4）接続する外部サービスは、ISMAP等の外部認証を受けたサービスとすること

となっています。

　当社では、この条件の（1）から（3）までを満たす「サニタイザーAIゲートウェイ」という製品を開発しており、すでにいくつかの自治体に導入を進めています。外部サービスとの通信を中継するゲートウェイサーバと、専用ブラウザ、ファイル無害化エンジンで構成されています。これにより、職員が普段使用する端末でChatGPT専用のブラウザを起動しておき、ChatGPTをシームレスに使えるようになりました。

　また、OpenAI社のWebサイトでは、ChatGPTなど自社のサービスについて、外部監査や認証を受けている旨を公開しています。ISMAPなど国内の認証ではありませんが、EUのGDPR、米カリフォルニア州のCCPAの認証を受けていることで、ひとまず信頼できる外部サービスと考えてよいのではないかと思います。

　これらの対策を講じることで、α’モデルによる接続を通じてChatGPTをレベル2ネットワークと同等の安全性を持つものとして扱うことが可能となります。その結果、機密性レベル2までの情報をChatGPTで取り扱えるようになります。

　さらにOpenAI社からの約款やプライバシーポリシーを見てみましょう。約款はいくつかありますが、業務で使用する場合に重要なのは次の2つです。

・ChatGPT（ビジネス向け）の利用約款　

・プライバシーポリシー

　これらを簡単に表現すると「ChatGPTは自らのサービス改善のためにデータを利用することがある（利用者側でそれを拒否することはできる）。しかし、個人を特定する情報は利用者の同意なしには共有されない」と解釈することができます。

　したがって、自治体でChatGPTを利用するのならば、

・α’モデルでの接続、利用により、ChatGPTをレベル２ネットワーク相当とする

・ChatGPT利用における、情報セキュリティポリシーに基づく実施手順を作成し、順守させる

・ChatGPT内で「サービス改善のためのデータ利用を拒否する」設定を行い、入力した情報をChatGPTに取り込ませない

　という組み合わせがよいのではないかと思います。

　次回は、3番目の論点である「生成された文章に対する評価者側の問題：AIが生成した文章だからダメという理屈は通用するのか」について考えてみましょう。