NISC「DeepSeek 等の生成AIの業務利用に関する注意喚起」を発表 ~個人情報管理とセキュリティリスクに関する重要な指針~
デジタル庁のデジタル社会推進会議は、令和7年2月6日、DeepSeek社の生成AIサービスをはじめとする生成AIの業務利用に関する注意喚起を発表した。今回の発表では、特に個人情報の管理やサイバーセキュリティリスクに関して、政府機関や関連企業が留意すべきポイントが示されている。
DeepSeek社のサービス利用に伴うリスク
今回の発表では、個人情報保護委員会事務局より、DeepSeek社の生成AIサービスが中国に所在するサーバーを利用し、データが中国の法律に従う可能性があることが指摘された。これにより、国内での生成AI活用において、データの保護や適切な管理が求められる。
政府の統一基準では、機密情報を取り扱う業務において約款型クラウドサービスの利用を原則禁止している。さらに、生成AIの活用には慎重な判断が必要であり、業務利用の際には明確なルールのもとで適用範囲を定めることが推奨されている。
業務利用における厳格な管理体制の必要性
デジタル社会推進会議が公表した「ChatGPT等の生成AIの業務利用に関する申合せ」では、約款型クラウドサービスの利用に関して、以下のような原則が定められている。
- 機密情報の取り扱い不可:生成AIを活用する場合、要機密情報を取り扱う業務では利用を禁止。
- 利用範囲の明確化:機密情報を含まない業務であっても、利用可能な範囲を明確にし、事前承認が必要。
- 適切な監査と管理:利用状況を継続的に監視し、リスクを最小限に抑える。
これらの指針により、生成AIの利用が無秩序に拡大することを防ぎ、組織全体での適切なデータ管理を促進する狙いがある。
サイバーセキュリティリスクと統一基準の策定
政府機関等のサイバーセキュリティ対策では、国外にサーバーを設置しているサービスの利用時に、以下のリスクを考慮することが求められる。
- データの検閲や接収の可能性:海外の法律が適用され、政府によるアクセスが発生するリスク。
- セキュリティ管理の困難さ:データの不正アクセスや改ざんのリスクが高まる。
- サービス停止の影響:提供元の判断により、突如としてサービスが停止する可能性がある。
これらを踏まえ、政府機関や企業は、生成AIの利用において、利用範囲の厳格な管理とともに、情報セキュリティの確保を最優先にする必要がある。
IT調達とサプライチェーン・リスクへの対応
生成AIの導入に関しては、政府の「IT調達に係る国等の物品等又は役務の調達方針」においても、サプライチェーン・リスクの観点から十分な検討が求められている。特に、政府機関が利用する情報システムやクラウドサービスは、調達段階からセキュリティ基準を満たす必要があり、リスク評価の徹底が不可欠となる。
デジタル庁は、各政府機関に対し、生成AIの業務利用に際しては事前に内閣サイバーセキュリティセンターの助言を求めるよう推奨しており、安全なシステム運用の確立を目指している。
今後の展望
生成AIの進化と普及に伴い、業務利用の可能性は広がる一方で、データ管理やセキュリティの課題も増大している。デジタル庁の発表は、こうした状況を踏まえ、政府機関や企業が適切なルールのもとで生成AIを活用するための指針を示したものといえる。
今後、企業や行政機関は、生成AIの利便性を享受しながらも、情報管理のガイドラインを遵守し、安全な運用を実現するための対策を強化することが求められる。
