オランダ データ保護局が注意喚起:AIチャットボットの使用はデータ漏洩につながる可能性がある
こんにちは、丸山満彦です。
オランダのデータ保護局 (Autoriteit Persoonsgegevens: AP) が「AIチャットボットの使用はデータ漏洩につながる可能性がある」という注意喚起を出していますね...
プロ向けというよりも、一般企業向けということですかね...
● Autoriteit Persoonsgegevens: AP
・2024.08.06 Caution: use of AI chatbot may lead to data breaches
Caution: use of AI chatbot may lead to data breaches | 注意:AIチャットボットの使用はデータ漏洩につながる可能性がある |
Recently, the Dutch Data Protection Authority (Dutch DPA) has received a number of notifications of data breaches caused by employees sharing personal data of, for example, patients or customers with a chatbot that uses artificial intelligence (AI). By entering personal data into AI chatbots, the companies that offer the chatbot may gain unauthorised access to those personal data. | 最近、オランダデータ保護局(DPA)は、従業員が例えば患者や顧客の個人データを人工知能(AI)を使用したチャットボットと共有することによって引き起こされたデータ漏洩に関する通知を多数受け取った。AIチャットボットに個人データを入力することで、チャットボットを提供する企業はそれらの個人データに不正アクセスする可能性がある。 |
The Dutch DPA notices that many people in the workplace use digital assistants, such as ChatGPT and Copilot, for answering questions from customers or summarising large files, for example. This may save time and take less pleasant work off the hands of employees, but it also entails high risks. | オランダのDPAは、職場の多くの人々が、例えば顧客からの質問に答えたり、大きなファイルを要約したりするために、ChatGPTやCopilotのようなデジタルアシスタントを使用していることに注目している。これは時間を節約し、従業員の手を煩わせないかもしれないが、高いリスクも伴う。 |
In the case of a data breach, personal data are accessed without this being permitted or intended. Often, employees use the chatbots on their own initiative and contrary to the agreements made with the employer. If personal data have been entered in the process, this means there is a data breach. Sometimes, the use of AI chatbots is part of the policy of organisations. In this case, it is not a data breach, but often not permitted by law. Organisations need to prevent both situations. | データ漏洩の場合、許可されていない、あるいは意図していない個人データにアクセスされてしまう。多くの場合、従業員は自分の意思で、雇用主との契約に反してチャットボットを使用する。その過程で個人情報が入力された場合、これはデータ侵害を意味する。AIチャットボットの利用が組織の方針の一部になっていることもある。この場合、データ侵害ではないが、法律で認められていないことが多い。組織は両方の状況を防ぐ必要がある。 |
Most companies behind the chatbots store all data entered. As a result, these data end up on the servers of those tech companies, often without the person who entered the data realising and without that person knowing exactly what that company will do with those data. Moreover, the person whose data it concerns will not know either. | チャットボットの背後にあるほとんどの企業は、入力されたすべてのデータを保存する。その結果、これらのデータは、多くの場合、データを入力した本人が気づかないまま、また、その企業がこれらのデータをどう扱うかを本人が正確に知らないまま、技術企業のサーバーに保管されることになる。さらに、そのデータが関係している本人も知らない。 |
Medical data and addresses of customers | 医療データと顧客の住所 |
In the case of one of the data breaches notified to the Dutch DPA, an employee of a GP practice had entered medical data of patients into an AI chatbot, contrary to the agreements. Medical data are highly sensitive data and are given extra protection by the law for a reason. Sharing those data with a tech company without a good reason is a major violation of the privacy of the people concerned. | オランダのDPAに通知されたデータ漏えいのケースでは、開業医の従業員が契約に反して患者の医療データをAIチャットボットに入力していた。医療データは非常にセンシティブなデータであり、法律で特別に保護されているのには理由がある。これらのデータを正当な理由なくテック企業と共有することは、関係者のプライバシーを大きく侵害することになる。 |
The Dutch DPA also received a notification from a telecom company, where an employee had entered a file with addresses of customers, among other things, into an AI chatbot. | オランダのDPAはまた、従業員が顧客の住所などを含むファイルをAIチャットボットに入力したという通告を通信会社から受けた。 |
Make agreements | 協定を結ぶ |
It is important that organisations make clear agreements with their employees about the use of AI chatbots. Are employees allowed to use chatbots, or preferably not? If organisations allow this, they have to make clear to employees which data they are and are not allowed to enter. Organisations could also arrange with the provider of a chatbot that this provider will not store the data entered. | 組織は、AIチャットボットの使用について従業員と明確な合意を結ぶことが重要である。従業員はチャットボットの使用を許可されているのか、それともできれば許可したくないのか。もし組織がこれを許可するのであれば、従業員に対して、どのデータへの入力が許可され、どのデータへの入力が許可されないかを明確にしなければならない。また、組織はチャットボットの提供者と、この提供者が入力されたデータを保存しないよう取り決めることもできる。 |
Notify data breaches | データ漏洩を通知する |
Have things gone wrong nonetheless, and has an employee leaked personal data by using a chatbot contrary to the agreements made? Then notifying the Dutch DPA and the victims is mandatory in many cases. | それにもかかわらず、物事がうまくいかず、従業員が合意に反してチャットボットを使用して個人データを漏洩してしまったのだろうか?その場合、オランダのDPAと被害者に通知することが多くのケースで義務付けられている。 |
Comments