生成AI利用時の個人情報流出対策 「Fortra DLP」
Fortra DLP
企業における生成AIの活用は急速に広がり、業務効率化に大きく寄与しています。その一方で、プロンプトへの個人情報や機密情報の誤入力による情報流出が深刻なリスクとして顕在化しています。
当社では、生成AI利用時の個人情報流出を未然に防止するため、Fortra DLP ※1(旧製品名:Digital Guardian)を提供しています。
生成AI利用の急増と潜在的な個人情報流出リスク
生成AIの利用は、文章作成・分析・要約など多岐にわたり、業務への浸透が進んでいます。しかし、
- 従業員が誤って個人情報をそのまま入力してしまう
- 業務データをコピー&ペーストしてプロンプトに貼り付ける
- 利用する生成AIサービスのデータ保存方針が不透明
といった理由から、企業の重要データが外部に送信されるリスクが高まっています。
生成AIサービスへの「入力」という行為は、利用者の意図にかかわらず、情報が即座に外部環境へ送信されるため、もっとも事故が発生しやすいポイントです。
生成AIを安全に利用するためには、「入力してはいけない情報」「利用して良いAI」「許容できる業務範囲」「技術的な情報保護手段」を明確にし、システム的にも従業員的にも"ミスが起きても事故にならない仕組み"を整えることが不可欠です。
個人情報流出が起こる典型的なシナリオ
ー生成AI利用時に個人情報が流出し悪用されるまでの流れー
ー生成AI利用時に個人情報が
生成AIへの誤入力をきっかけに個人情報が流出し、悪用されるまでの流れを段階的に説明します。
- 1
生成AIプロンプトに個人情報を入力 -
- 2
外部への情報送信(クラウド上で処理) -
- 3
個人情報が流出するリスク -
- 4
悪意のある第三者が情報を取得し標的を特定 -
- 5
ランサムウェア攻撃者に情報が渡る -
1.個人情報をプロンプトに入力してしまう
多くの企業では、以下のようなシーンで生成AIを活用し、業務効率化をはかっています。
- 議事録の要約
- メールの翻訳
- 社内FAQの自動応答
- マニュアル作成支援
- コードレビューや開発補助
- システム障害やアクセスログの解析
- マーケティング文書の生成
このとき、意図せず個人情報が含まれた文章のコピー&ペーストやファイルのアップロードなど、プロンプトに入力してしまうケースが増えています。
2.外部サーバーへ送信され、モデル学習に利用されるリスク
多くの生成AIサービスはクラウド上の外部サーバーで動作し、入力情報がそのままオンラインで送信される仕組みになっています。設定によっては、入力データが以下に利用される可能性があります。
- モデルの学習データ
- サービス改善用途
- データ保持・ログ記録
企業が意図しない形で重要データが外部に保存されたり、モデルの学習や品質改善に利用されてしまうリスクがここで発生します。
3.クラウド環境設定ミスや脆弱性による情報流出リスク
生成AIサービス側・企業側のどちらかに以下の問題があると、情報が外部に漏れる可能性があります。
- クラウド環境の設定不備
- 認証・アクセス制御の甘さ
- 外部ストレージの公開設定ミス
- サーバー側の脆弱性・ゼロデイ攻撃
"入力した情報が外部に送られた時点で、企業のセキュリティコントロール外に出てしまう" という構造が根本的リスクです。
4.悪意のある第三者が漏洩情報を取得し、標的として特定
流出した情報から悪意のある第三者は、企業の重要情報である以下を把握します。
- 組織名や担当者名など個人情報
- システム構成や導入ツールの脆弱性情報
- 業務フローと重要資産の所在
これにより攻撃対象としての価値が高いと判断されると、ダークウェブなどで不正に売買され、攻撃者の標的対象となります。
5.特定された企業はランサムウェア攻撃などの深刻な被害に発展
標的として特定された企業は、ランサムウェア攻撃やBEC(標的型メール攻撃)など脅威のリスクが急激に高まります。一度攻撃を受けると、情報資産の喪失だけでなく、顧客信用の失墜、取引停止、法的責任など甚大な影響が出ます。
生成AIの発展とともに、企業の利用による情報漏洩事故も年々増加しています。
- 生成AI利用による情報漏洩事故事例
-
-
- ケース 1.
-
- 企業・業種:
- 複数の大手製造業
- 事象:
- 社員が許可なくChatGPTなどの生成AIを業務で使用し、顧客情報・業務データ・技術情報をプロンプトに入力。
- インシデント内容:
-
顧客情報・業務データ・技術情報が漏洩する状態となった。
- 「シャドーAI」(無許可利用)が直接原因
- 情報管理の統制不足で大量の情報が入力される危険性が顕在化
-
- ケース 2.
-
- 企業・業種:
- 顧客対応企業
- 事象:
- 顧客からの問い合わせ対応にChatGPTを活用し、個人情報を含む内容を入力。
- インシデント内容:
- 調査の結果、数百件の顧客情報が意図せず外部に保存されていることが判明。
-
- ケース 3.
-
- 企業・業種:
- 某大手電機メーカー
- 事象:
- エンジニアが開発中の製品ソースコードの修正依頼をChatGPTに送信。送信内容は、ソースコード、製品の構造や設計方針など、本来社外に一切出してはならない高度な機密情報が含まれていた。
- インシデント内容:
- 機密コードがAIの学習データに含まれ、第三者への再出力リスクが発生。
-
- ケース 4.
-
- 企業・業種:
- OpenAI(ChatGPT)
- 事象:
- ChatGPTの有料版であるChatGPT Plusにおいて、インメモリデータベースの不具合により深刻な個人情報漏洩バグが発生。
- インシデント内容:
- システム障害により、約10時間にわたって会員の氏名、住所、クレジットカードの下4桁などの機密性の高い個人情報が、他のユーザーの画面に誤って表示される事態が発生。
-
貴社は生成AIを安全に
プロンプト入力時の
生成AIの安全利用については、
企業が取り組むべき情報流出防止対策
ーFortra DLPを活用したプロンプト入力制御ー
ーFortra DLPを活用した
生成AI利用のリスクをゼロにすることは困難ですが、「入力段階で個人情報を自動ブロックする仕組み」があれば、事故は大幅に抑止できます。
当社は、その仕組みを持つFortra DLPをプロンプト入力制御に活用し、企業の生成AIの安心安全な利用の実現を支援します。
Fortra DLPとは
Fortra DLPは、米国Fortra社が提供する、データ中心型の情報漏洩対策(DLP)ソリューションです。
特に機密情報の保護に強みを持ち、エンドポイント・ネットワーク・クラウド環境におけるデータの流出を防止することが可能な製品です。
Fortra DLPは、高度なデータプロテクションを実現するエンドポイント・セキュリティソリューションであり、エンドポイント上のデータに関わるあらゆるアクティビティ(コピー、外部送信など)やプロセスを把握し、リスクを可視化することができます。
さらに、導入直後からエンドポイント上の多様なイベントやプロセスを自動的に把握し、ユーザーアクティビティを適切に制御できる点も特長です。
これにより、ポリシー設定の有無にかかわらず機密データの不正持ち出しや外部流出を確実に抑止できる、実効性の高い次世代データプロテクション・プラットフォームとしてご活用いただけます。
プロンプト入力制御の仕組み
Fortra DLPを活用したプロンプト入力制御の仕組みは以下の通りです。
-
- ① 機密情報ポリシー設定
- 個人情報だけではなく、企業独自のルール(入力禁止ワードや許可AIサービスなど)をポリシーとして設定、管理することで統一された安全運用が可能になり、ガバナンスの強化もはかれます。
-
- ② リアルタイム検知・判定
- 個人情報や機密情報がプロンプトに入力された瞬間に検知され、ポリシーの判定をおこないます。
-
- ③ 送信ブロック・警告・記録
-
ポップアップ通知画面イメージ 入力禁止情報が含まれる場合は、送信前にポップアップ通知でブロックします。利用者が意図しない情報流出を防止することができます。また、すべての操作はログに記録されているため、管理者が利用状況を把握しルール改善にも役立ちます。
Fortra DLP導入により期待できる効果
- 重大インシデントにつながる「誤入力」を技術的に防止
- ガバナンス強化と従業員負担の軽減
- セキュリティ教育のばらつきを技術で補完
- コンプライアンス・個人情報保護法対応の強化
- 生成AIの安全利用促進による業務効率化の加速
プロンプト入力制御の仕組みを
お気軽にお問い合わせください。
生成AIのプロンプト入力制御だけではない、Fortra DLPの機能
-
- エンドポイントの可視化・監視
-
- システム、ユーザー、データレベルの全アクティビティを可視化
- エンドポイントの行動を継続監視し異常を検知
-
- データ分類・識別
-
- 機密データの自動探索
- ファイルへのタグ付け/分類
-
- 制御
-
- 生成AIサイト、メール送信、USB接続ストレージへのコピー、クラウドアップロードなどに対し、ブロック/暗号化/理由入力などの制御が可能
-
- 脅威検知
-
- 内部不正/異常行動を検知
-
- 暗号化
-
- 外部へのメール送信/USB接続ストレージへのデータ移動時に自動暗号化
-
- 管理コンソール
-
- 直感的ダッシュボードで構成/展開管理、アラート確認、各種レポート確認などが可能
Fortra DLP導入の流れ
ークラウド・オンプレミス 選べる動作環境ー
Fortra DLPの導入の流れは以下の通りです。
PoCとして社内評価にも最適なクラウド版の「Fortra DLP SaaS」、本格的な運用や企業ポリシーでクラウドサービスが利用できない場合は「Fortra DLP オンプレミス」を導入いただけます。
Fortra DLP SaaS(クラウド)
-
- 1Step1:現状ヒアリング・課題整理・導入提案
-
- 現在の生成AI利用状況をヒアリングし、プロンプト入力における課題の洗い出し
- 個人情報、機密情報など社外秘情報を分類
- プロンプト入力の許可/禁止情報の整理
- 動作環境や運用イメージの共有
-
- 2Step2:ご契約
-
- 利用ユーザー数と導入スケジュールを確定し、ご契約
- ご契約完了後、約1~2ヵ月で運用開始
-
- 3Step3:環境構築・動作確認 ※2
-
- 「Fortra DLP SaaS」のプラットフォーム構築
- 正常性の確認
- 利用開始通知の送付
-
- 4Step4:導入 ※3, ※4
-
- Web管理画面にて初期設定
- プロンプト入力制御ポリシーの設定
- 利用ユーザーPCに「Fortra DLP Agent」を導入
- ポリシーの配布、適用
-
- 5Step5:運用開始・保守契約 ※4
-
- 管理者様と保守契約を結び、Fortra DLPに関する問い合わせ対応
Fortra DLP オンプレミス
-
- 1Step1:現状ヒアリング・課題整理・導入提案
-
- 現在の生成AI利用状況をヒアリングし、プロンプト入力における課題の洗い出し
- 個人情報、機密情報など社外秘情報を分類
- プロンプト入力の許可/禁止情報の整理
- 動作環境や運用イメージの共有
-
- 2Step2:ご契約
-
- 利用ユーザー数と導入スケジュールを確定し、ご契約
- ご契約完了後、約2~3ヵ月で運用開始
-
- 3Step3:設計 ※5
-
- ヒアリングシートをもとに要件整理
- 導入要件をもとに詳細設計書、パラメータシートの作成
- 動作確認用試験仕様書の作成
-
- 4Step4:構築 ※5
-
- 詳細設計書、パラメータシートをもとにFortra DLP サーバー構築 ※6
- 動作確認用PCへ「Fortra DLP Agent」をインストール ※7
-
- 5Step5:動作確認 ※5, ※8
-
- 試験仕様書にもとづき当社にて単体・結合試験を実施
- 当社試験完了後、お客様にて利用ユーザーPCに「Fortra DLP Agent」をインストール
- お客様にて動作確認、必要に応じてポリシーのチューニングを実施
-
- 6Step6:運用開始・保守契約
-
- 管理者様と保守契約を結び、Fortra DLPに関する問い合わせ対応
価格体系
Fortra DLP SaaS(クラウド)
- <必須契約>
-
-
- 利用端末数に応じたライセンス
- 年額サブスクリプション方式
-
- <任意契約>
-
-
- Fortra DLP Cloud導入支援サービス
- Fortra DLP Cloudの初期設定、ポリシー設定支援、「Fortra DLP Agent」の導入支援
-
- Fortra DLP管理者教育サービス
- Fortra DLP管理画面の基本操作、ポリシー配信方法など、管理者向けトレーニング
-
Fortra DLP オンプレミス
- <必須契約>
-
-
- 利用端末数に応じたライセンス
- 年額サブスクリプション方式
-
- Fortra DLP オンプレミスサーバー構築サービス
- Fortra DLPサーバーの構築・動作確認、ポリシー適用端末への「Fortra DLP Agent」導入支援
-
- <任意契約>
-
-
- Fortra DLP管理者教育サービス
- Fortra DLP管理画面の基本操作、ポリシー配信方法など、管理者向けトレーニング
-
よくあるご質問
貴社は生成AIを安全に
プロンプト入力時の
生成AIの安全利用については、