Skip to main content

生成AIサービスにおける情報セキュリティ上の注意点と学内の各種生成AIサービスについて

publication date :

1.はじめに

近年、ChatGPTの出現を発端として、生成AI (Generative Artificial Intelligence)技術を活用した様々なサービスが社会的に急速に広まっています。当初はチャット型のテキスト生成サービスが中心でしたが、画像や動画、音声などデータの種別を超えたマルチモーダルな情報を統合的に扱うことができるように進化してきています。今後、こうした生成AIサービスは、研究、教育、学習、諸業務など大学においても必要不可欠なものになっていくことと予想されます。

生成AIサービスは便利である一方、その性質を理解した上で取り扱いに十分注意する必要があります。特に、情報セキュリティの観点においては、生成AIサービスを介した意図しない情報漏洩に注意を払うことが求められます。

  本稿は、情報セキュリティの観点から、本学における情報の取り扱いに関する一般的なルールをふまえつつ、生成AIサービスの利用にあたっての注意点や選定の原則を簡潔にまとめたものです。また最後に、現時点で本学環境において利用可能な主な生成AIサービスについて紹介します。

2.生成AIにおける情報の流れ

 生成AIにおいて扱われる情報の流れを理解する上で、文化庁から公開されている「AIと著作権」の資料で示される例が一般的な概念としてわかりやすく参考になります。ここでもその資料の図や用語に基づいて説明することとします。

生成AIは非常に高度で複雑な処理が行われているという印象がありますが、その他の様々な情報サービスと同様に、入力された情報に対して処理が行われ、処理された結果としての情報が出力される、という関係に一般化して整理することができます。高度化が進む生成AI技術も、基本的にはこの一般的な例を原則として整理することが起点となります。

 情報の機密性(公開情報か機密情報か)を意識した図に描きなおしたものを図1(「生成AIにおける情報処理プロセス」)に示しますが、生成AIにおける処理は、「AI開発・学習段階」と「生成・利用段階」の2段階に分けることができます。

図1:生成AIにおける情報処理プロセス

 

また、それぞれの段階において、情報の入力と出力が存在します。このように、生成AIにおいても、その処理は入力された情報に対して加工して出力する仕組みとして整理することができ、入力に機密情報が含まれていると、出力にも入力された情報に由来する機密情報を含む可能性があります。機密情報が含まれるかどうかを明確に判断できないのは、学習済みモデルやその取扱いが(利用者から見て)ブラックボックスであり、生成AIの処理の中で情報がどのように加工されるかという挙動を容易に予測することができないためです。このため、生成AIにおいては「可能性を持つ」という曖昧な特性を強く意識した取り扱いが求められます。なお、この図では、後半の「生成・利用段階」においても出力として学習済みモデルへの反映処理を含んでいるところが、文化庁の図より少し複雑になっています(後の説明に関連します)。

3.情報の取り扱いにおける一般的な注意点

まず最初に、生成AIに限らない、情報を取り扱う上での一般的な注意点について整理します。この整理は、生成AIサービスを分類する上での基本事項となるものです。

3.1 情報の格付け

 情報には、誰もが自由にアクセスすることが可能な公開情報と、関係者以外が自由にアクセスできてしまうと不都合な情報(非公開情報、機密情報)の区別があります。後者は要機密情報とも呼ばれますが、情報が関係者以外に公開されて(漏洩して)しまった場合に、どのような(どの程度の)損害が発生するのかについて、あらゆる状況を想定し(リスク評価)、それらを踏まえたうえで、情報を保護するためにどのような(どの程度厳しい)取り扱い方が必要かを定め、その取扱い方を徹底することが求められます。

 要機密情報を守るための手段としては、様々な取り扱い条件(ルール)が考えられますが、取り扱い条件が取り扱う情報ごとに多岐にわたると情報の取り扱いが煩雑になるため、組織としての標準的な要機密情報の分類と、分類に応じた取り扱い方法を定めることが一般的です。その標準は組織ごとの「情報格付け基準」として定められ、組織に所属する者が守るべき規程(ルール)となっています。

情報の内容や重要度に応じて、取り扱い条件を標準に基づき分類を行うことを情報の「格付け」と呼び、京都大学において教職員等は、情報を作成または入手する際に格付けを行うものとされています(「京都大学情報セキュリティ対策基準」第62条)。また、その情報に触れる者は、指定された格付けに対応した取り扱いを行うことを徹底するものとされています(同基準第66条)。情報の格付けの具体的な分類や取り扱い、各種情報の標準的な内容に応じた格付けの例は、「京都大学情報格付け基準」にて示されており、実際の手順等は部局ごとに決定し周知徹底することが求められています。

 本学においては、「機密性1情報」は要機密情報でない情報のことを指し、機密情報は「機密性2情報」または「機密性3情報」に分類されます。

 例えば、公表されている天気予報の情報、公共施設の住所や営業時間などであれば、取り扱いに気を遣うことはないと思いますが、これらは機密性1情報にあたります。一方、家族や友人の住所や氏名となれば、ある程度気を遣い他人に伝えるときは慎重に判断すると思います。金融機関のIDやパスワードとなれば、他人に漏れないように厳重に扱っているのではないかと思います。これらは機密性2情報(パスワードは場合によっては機密性3情報)にあたります。こうした、皆さんの日常的な感覚に基づく情報の取り扱いと同様に、組織の中の情報についても、組織として関係者が協力しながら慎重に扱うことが求められています。

前述の情報格付けに基づく情報の取り扱いの徹底は、当然のことながら生成AIの利用においても求められます。生成AIにおいて、入力された情報がどのように扱われる可能性があるかを確認し、情報格付けで求められる取り扱いに違反するような意図しない情報漏洩が発生しないよう注意しながら利用する必要があります。

3.2 クラウド型サービスの利用

 近年、Google WorkspaceやMicrosoft 365をはじめとするクラウド型サービスの普及が急速に進んでおり、クラウド型サービスを利用しない日はないほどの状況となっています。このようなクラウド型サービスに代表されるような、他者(他組織)が運用管理するシステムは外部サービスとも呼ばれますが、クラウド型サービスを利用する場合には、そのシステムに入力した情報がどのように扱われる可能性があるかについて意識しておく必要があります。具体的には、システムのおおまかな構成やサービス内容を理解した上で、構成要素のどの部分が自分や自組織専用として扱われ、どの部分が他者(多組織)と共用されるのかを確認しておくことが重要です。特に生成AIにおいては「学習」という仕組みを持つことから、どのような情報(データ)が学習に利用され、その学習結果を誰が利用しうるのかを意識する必要があります。自分が入力した情報をもとに学習が行われ、その学習結果が他者の生成AI利用において使用される可能性があるならば、そこから情報漏洩が発生する可能性があります。

3.3 外部サービスとの契約形態

 生成AIやクラウド型サービスに限らず、自分が入力する情報を他者の管理下に置く形となる外部サービスを利用する場合、そのような情報の取り扱いは「第三者提供」と「業務委託」の2つにおおまかに分類されます。第三者提供では、他者に情報を提供した場合、他者は受け取った情報を自由に利用することができます(他者への情報提供の際に可否の判断が必要となります)。一方、業務委託では、あくまでも提供された情報に関する権利は委託元(提供元)にあり、委託する作業を委託元の代理として委託先が行うという関係になります(委託先が情報を自由に扱うことはできません)が、そのような関係を実現するためには、委託元と委託先の間で何らかの(業務委託)契約を交わしておくことが必要です。委託先がどのように情報を取り扱うべきかは契約において明示することになりますが、たとえ契約が存在してもその内容が不十分であれば、(一部であっても)第三者提供と同様に見做される要因が含まれてしまうことになり、情報漏洩につながる可能性が生じます。

外部委託については、委託先において情報の不適切利用や漏洩が生じぬよう、適切に委託仕様を定めるとともに、随時委託先における情報の取り扱い状況を定期的に確認し、最終的に情報の返却や消去が確実に行われるようにすることが求められます(「京都大学情報セキュリティ対策基準」第56条~第58条)。しかしながら、契約の形態としては、アカウント作成時にサービス提供者が事前に定めた約款(利用規約等)に同意する形で契約行為を行う約款型サービスも存在し、そのような契約形態においては、情報の取り扱い方法について細かく調整することは困難です。また、たとえ個別の契約書が存在する場合であっても、特にGoogleやMicrosoftのような国際的な巨大企業が提供する組織向けサービスの利用では、契約書の内容を修正してより厳しい情報の取り扱いを求めるような対応は容易でないことが多いため、約款型サービスと同様に、外部サービスにおける情報の取り扱い方針を確認した上で、入力しようとする情報の格付けと突き合わせて、意図しない情報漏洩が発生しないよう、入力するデータに配慮することが求められます(「京都大学情報セキュリティ対策基準」第59条)。

 なお、上述に沿って外部サービスにおける契約上の情報の取り扱いについて注意を払ったとしても、必ずしも万全ということはありません。不慮の事故(システムトラブル、操作ミス、不正アクセス等による侵入、マルウェア感染、内部犯による情報の持ち出しなど)による意図せぬ情報漏洩が発生する可能性についても想定し、それらも見込んだリスク評価を行った上で、取り扱う情報に対して許容しうるかどうかを判断する必要があります。

つまり「契約上、情報が守られることになっている」としても、「どのような事態においても情報が守られる」ことを保証するものではないことに注意する必要があります。情報の利活用とその保護は、利便性と秘匿性の天秤であるともいえます。もしその情報が、利便性より秘匿性を重視すべき情報であったなら、外部サービス(クラウド型サービス)での利用は控えることが適切です。

4.生成AIサービスの利用

4.1 生成AIサービスの分類

 前述の生成AIにおける情報の流れや外部サービスの利用等の説明を踏まえると、生成AIサービスは、その特徴から次の表のように大まかに4つに分類することができます。

 

サービス種別

データの

保存場所

他者向け

学習利用

クラウド利用リスク

備考

  1.  

個人向けクラウド型サービス

学外

あり

(原則)

有償であっても学習利用されるケースがある

  1.  

組織向けクラウド型サービス

学外

なし

(原則)

契約で保護されるとしても、絶対に漏洩しないとは限らない(意図しない漏洩や外部攻撃)

  1.  

クラウド独自環境構築型サービス

学外

なし

IaasSで専用環境を構築となると、アクセス者やネットワーク範囲を限定しやすい

  1.  

ローカル独自環境構築

(ローカルLLM)

学内

なし

なし

LLMやライブラリ自体の汚染に注意(サプライチェーンリスク)

 以下では、この4つのそれぞれの特徴を順に見ていきます。

  1. 個人向けクラウド型生成AIサービス

  • 個人としての利用を想定しており、原則として約款に基づく契約の形態を採る。

  • 約款の内容はサービス提供側の都合で勝手に変更されることがあるため、定期的に約款の内容を確認する必要がある。

  • 無償で提供されているものが多いが、有償オプションとしてより高機能なサービスを提供するものもある。

  • 基本的に、入力した情報は生成AIの学習に用いられる(学習結果を他者も利用する)とされているが、中にはオプションにより学習に利用させないように設定を変更することが可能なものもある(オプトアウト)。

  • 有償オプションを契約することで、同一クラウドサービス内のストレージ機能と連携した生成AI機能の利用が可能なものがある。(さらに、他社のクラウドストレージサービス等と連携させて利用することが可能な場合があるが、組織契約のクラウドストレージサービスと連携させる場合には、そのような形での情報の取り扱いが認められているかどうかの確認が必要である。)

  • 同様に、有償オプションを契約することで、クラウド型サービスとして一括して提供される一連のサービス(電子メール、オンラインミーティング、オフィス系文書作成ツール等)と連携した生成AI機能の利用が可能な場合がある。

  • あくまでも個人契約に基づく利用であり、組織(大学)としての情報の取り扱いにおいて、個人向けサービスを利用しても良いかどうかの判断は別途必要となる。

  1. 組織向けクラウド型生成AIサービス

    • 組織(大学)として契約されているサービス。組織としての情報のアクセス範囲の制限がある程度考慮されているため、①より組織外への情報漏洩のリスクは低いが、組織内での情報漏洩の可能性については別途確認が必要。

    • 入力した情報は生成AIの学習には用いないとされている場合が多いが、利用するサービスごとに確認が必要である。

    • 基本的に約款による契約でないとしても、契約に記載のない事項について、サービス提供側の都合でサービス内容が変更されることがある。約款に基づく契約の形態を採るものもある。

    • クラウド型サービスに含まれるストレージ機能等と連携し、組織の中で共有されるファイルを情報源に含めて生成AIの機能を利用することが可能な場合がある。

    • クラウド型サービスとして一括して提供される一連のサービス(電子メール、オンラインミーティング、オフィス系文書作成ツール等)の中のオプションの一つとして生成AI機能が提供される場合が多い(Microsoft 365やGoogle Workspaceなど)。生成AIオプション自体は無料であっても、クラウド型サービスの基本契約は原則として有償である。また、より高度な生成AI機能との連携機能が利用可能な有償オプションもある。

  2. クラウド独自環境構築型生成AIサービス

    • 汎用クラウド基盤(IaaS等)の上に専用の生成AI環境を構築して利用する形態。

    • 生成AI環境の構築や運用を支援するサービスもある(業務委託)。

    • 独自環境なので、情報源とするファイルの範囲やアクセス可能な利用者を限定しやすく、クラウドサービスそのものにアクセスさせる利用者が限定できるという点において、情報漏洩の可能性が②よりも低い。

    • 生成AIの大規模言語モデルの利用形態としては、次の2つがある:

      1. 既存の生成AIサービスの機能(API)を利用する方法

        • 原則として入力した情報は生成AIの学習には用いられない

      2. 公開されている生成AIの大規模言語モデル等を利用する方法(④に近い方式)

        • 入力した情報を生成AIの学習に利用することが可能な場合もある

        • 大規模言語モデルの定期的なアップデートが必要となる

  3. ローカル独自環境構築型生成AIシステム(ローカルLLM)

    • 学内にハードウェアを含めて独自の生成AI環境を構築して利用する形態。

    • 他者を関与させずに運用可能なので、機密性の高い情報を扱いやすい。

    • 公開されている生成AIの大規模言語モデルを利用する方法であるため、大規模言語モデルの定期的な更新が必要となる。

    • 入力した情報を生成AIの学習に利用することが可能な場合もある。

 以下に、生成AIサービスを利用する際の考慮点について補足します。

4.2 外部生成AIサービスに入力する情報に対する留意点

外部生成AIサービスの利用は、以下の通り、情報の取り扱いの一般ルールにおける、学外サービス利用時の注意をそのまま当てはめることにより、情報セキュリティ上の問題を回避することができると考えられます。

  • 高い機密性が求められ、学外に出してはならない情報は入力しない。

  • 外部サービスの利用が認められている情報であっても、契約や約款により、それが守られることを確認する。

  • 誤った生成を防ぐため、入出力双方において情報の正確性を確認する。

    高い機密性が求められ、学外に出してはならない情報は、生成AIサービスであろうと、それ以外のサービスであろうと、学外へ流れるようなことがあってはなりません。そうした情報は、学外者とのメールに添付することが認められないのと同様に、生成AIサービスに利用することも認められません。とりわけ格付けにおいて機密性3情報とされる情報が、誤って生成AIサービスに投入されることのないよう、注意する必要があります。(機密性3情報において暗号化した上で学外サービスを利用することが認められている場合、生成AIサービスにも暗号化された状態で入力することになりますが、暗号化された状態では生成AIの機能を活用することはできません。また、たとえ暗号化されている状態であっても、それが漏洩すると解読のリスクが高まるため、暗号化されたままの状態であっても安易に扱うべきではありません。)

4.3 機関内他者からの参照可能性について

前述のとおり、生成AIにおいて実際に入力した情報が学習に利用されるかどうかは、それぞれの生成AIとの契約内容を確認する必要があります。本学とサービス提供者との契約に基づいて提供される生成AIサービス(後述の「Google WorkspaceにおけるGemini」や「Microsoft365におけるCopilot Chat」など)の場合、Google社、Microsoft社より、入力内容がAIの学習に利用されない設定となっているとの説明を受けています。

Google Workspace の生成 AI に関するプライバシー ハブ

Microsoft 365 CopilotとMicrosoft 365 Copilot Chatでのエンタープライズ データ保護

 

しかしながら、クラウド上で提供されるサービスである以上、同一機関の利用者間で意図せず情報が共有・漏洩するリスクがゼロとは言えません。生成AIは発展途上の技術であり、その発展も日進月歩どころか、分進秒歩と言ってよいほど目覚ましいものとなっていますが、いずれにしても情報の取り扱いが不透明であることには変わりはありません。また、事前に問題がないと説明を受けていたとしても、不慮の事故や操作ミス、突然の仕様変更等で情報漏洩が発生してしまう可能性を考慮しておく必要があります。生成AIを利用する側に立てば、情報の取り扱いを始めとする各種ルールの整備にまだまだ課題があるというのが現状です。

したがって、たとえ機関契約であっても、入力してよい情報は「同一機関の他者の目に触れても差し支えない内容」に限定しておくことが望ましいでしょう。とりわけ、所属機関内でも限られた担当者のみが扱うべき要機密情報は、生成AIに入力すべきではありません。

 

4.4 クラウドサービス選定のための参考情報

 生成AIに限らず、クラウド型サービスの選定においては、政府情報システムのためのセキュリティ評価制度(ISMAP)で提供されているクラウドサービスリスト( https://www.ismap.go.jp/csm )や、国立情報学研究所の学認クラウド導入支援サービスで提供されているチェックリスト( https://cloud.gakunin.jp/foracademy/ )が参考になります。高い要件を満たすサービスほど費用も高くなる傾向があるため、不必要に高い要件を求めるのではなく、取り扱う機密情報の内容やサービスに求められる耐障害性等の品質等に見合うサービスを選定すると良いでしょう。

 

4.5 生成AIサービスと連携するストレージサービスの利用上の注意

生成AIサービスによっては、別のクラウドストレージに保存されているファイルを参照して生成AI機能を利用することができる場合があります。このような形で異なるクラウドサービスを連携させて利用するためには、参照される側のクラウドストレージサービスにおいて、他からのアクセスが許可されている必要があります。

前述の情報の格付けの項の説明にあるように、機密情報には情報の格付けと取り扱い制限が指定されることになっており、その指定は、一般に、機密情報(すなわちファイル)ごとに異なります。クラウドストレージにおいて機密情報を扱う場合、それぞれの機密情報に対して意図しない情報漏洩が発生しないようにするための継続的な管理が求められます。

別のクラウドストレージと連携させて生成AIサービスが利用できること(以下「連携利用」と表記。)は便利ではある一方、連携させることで生成AIから様々な機密情報にアクセスできるようにしてしまうことで、意図しない情報漏洩が発生するリスクが高くなります。そのため、大学として契約するGoogleやMicrosoft等のクラウドストレージでは、別の生成AIサービスからの連携利用は現時点では許可されていません。将来的に、ファイル単位等でのきめ細かなアクセス制御機能が充実してくれば許可される可能性がありますが、その場合でも、引き続き意図しない情報漏洩が発生しないよう生成AIの利用者自身も継続して最新の注意を払うことが求められます。

 

4.6 生成AIのローカル運用におけるリスク

クラウド型の生成AIサービス利用のように、サービス事業者側での学習、情報漏洩や窃取されるリスクを懸念する場合、学内のローカルPC等の専用環境で生成AIを動かし、そこに情報を入力するような運用(いわゆるローカルLLM)が考えられます。この場合、クラウド型サービス利用の観点からのリスクは軽減されますが、その他のリスクは依然として存在します。

利用する生成AI環境を完全に独自開発することは不可能ではありませんが、多くの場合、既存のソフトウェアや生成AIモデルを利用することになるため、それらの安全性についても注意を払う必要があります。信頼性の低いモデルや関連ライブラリをインターネットから入手し、組み込むことで、それらに仕込まれた悪意のあるコードや脆弱性が専用環境に持ち込まれるといったリスクがあります。このようなリスクは、サプライチェーンリスクと呼ばれます。例えば、以下のような可能性が考えられます。

 

【モデル自体の汚染】公開されている生成AIモデルを使用する場合、その中に機密情報を窃取するコード等が仕込まれている可能性

【開発環境の脆弱性】モデルの運用に必要なオープンソースソフトウェア (OSS) やライブラリに、意図的なバックドアや不注意によるセキュリティホール等が存在する可能性

 

 このように、サプライチェーンを構成するコンポーネントの安全性が欠如していれば、情報をローカルに閉じた専用環境で入力したとしても、不正なコードを通じて情報が外部に流出する危険性が残ります。

したがって、運用者側には、クラウドサービス利用時とは異なり、組織がモデルやソフトウェアの出所、およびその後の更新・修正が継続的に安全であるかを自ら担保する責任が生じることにも留意が必要です。

4.7 生成AIサービスにおけるその他のリスク

生成AIを利用する上で、情報セキュリティ(情報漏洩)以外の観点においても注意が必要です。例えば、以下のようなリスクに対する考慮も必要となります。

  • 既存の著作物と同一または類似した内容が出力される可能性

  • ハルシネーションによる誤った内容や根拠が不明な内容が出力される可能性

  • 社会的多数派に偏った回答、画一的な回答が出力される可能性

  • バイアスのある出力、差別や偏見等につながる内容が出力される可能性

  • 生成AIへの入力としてデータが扱われた際に、意図しない行動(例:直前の会話履歴に含まれる機密情報を出力するなど)をとるように仕向ける攻撃を受ける可能性(プロンプトインジェクション等と呼ばれる、生成AIが利用されることを想定したデータの作りこみ)

  • 自分自身の調査、研究、創作等の成果としてみなされない可能性

 ここでは、これ以上の詳細には触れませんが、生成AIを利用する場合には様々なリスクが存在することを踏まえたうえで利用する必要があります。

5.学内の各種生成AIサービス

ここでは、本学において教職員や学生が利用可能な生成AIサービスについて紹介します(2025年10月現在の情報)。

以下は、②の「組織向け生成AIサービス」に分類されるものです。

以下は、③のクラウド環境独自環境構築型生成AIサービスに分類されるものです。

これらは入力したデータが学習用に利用されないものとされていますが、前述の注意点のとおり、入力しようとする情報の取り扱いとして差し支えないかどうか適宜判断いただき、慎重に扱うべき要機密情報は入力しないようにしてください。 

 

(情報環境機構 情報基盤グループ)

info No.

No.33

Tag/Service

Google Workspace Microsoft 365
Shortcut
Inquiry Shortcut