投稿者 global-ai-media 
米国で発生した殺人事件の捜査において、容疑者のChatGPTへの質問履歴が焦点となりました。本記事ではこの事例を切り口に、日本企業が生成AIを社内導入・外部提供する際のログ管理やセーフガードの重要性について、AIガバナンスの観点から解説します。
生成AIの利用履歴が犯罪捜査の対象となる時代
米国で発生したサウスフロリダ大学の博士課程学生2名の殺害事件において、容疑者がChatGPTに対して「死体を処分したらどうなるか」といった趣旨の質問をしていたことが、検察の調べで明らかになりました。このニュースは痛ましい事件の報道であると同時に、生成AIの利用履歴が、検索エンジンの閲覧履歴やスマートフォンの位置情報と同様に、デジタル・フォレンジック(法的な証拠保全・調査)の対象として重要な意味を持つようになった事実を示しています。
プロンプト履歴の取り扱いと社内コンプライアンス
ユーザーが大規模言語モデル(LLM)に入力したプロンプト(指示や質問)は、AIプロバイダー側にログとして蓄積されるのが一般的です。今回のように重大な犯罪捜査が行われる場合、捜査機関はAIプロバイダーに対してデータの開示を求めることができます。これは企業が業務で生成AIを利用する際にも無関係な話ではありません。従業員がAIに対して「何を質問したか、どのようなデータを入力したか」は記録されており、情報漏洩や不正競争、ハラスメントなどの社内調査において、プロンプト履歴が決定的な証拠となる可能性があります。したがって、企業は社内向けにAIを導入する際、ログの取得目的や監査の可能性について規程を整備し、あらかじめ従業員へ透明性をもって周知しておく必要があります。
AIセーフガードの重要性とプロダクト実装のリスク
本件において、ChatGPTが容疑者の質問にどのように回答したかの詳細は不明ですが、主要なAIプロバイダーは、犯罪を助長するような有害なプロンプトに対して回答を拒否する「ガードレール(安全対策のための制御機構)」を実装しています。しかし、悪意のあるユーザーは言葉巧みにAIの制限を回避しようと試みます。日本企業が自社のサービスやプロダクトにLLMを組み込む際も、ユーザーからの不適切な入力に対してAIが犯罪を教唆したり、ブランドを毀損する発言を行ったりしないよう、入力と出力の両面で厳重なフィルタリングを施すことが求められます。
日本企業のAI活用への示唆
今回の米国の事例から、日本企業がAIを活用・提供する上で実務上考慮すべきポイントは以下の通りです。
第一に、社内AI環境におけるログ管理の徹底と就業規則のアップデートです。従業員のプロンプト履歴は業務効率化の分析に役立つだけでなく、不正行為の抑止や早期発見の糸口になります。ただし、監視を行う際は日本の労働法制やプライバシー保護に配慮し、利用ガイドラインを明確に定めることが不可欠です。
第二に、自社プロダクトにAIを実装する際の「レッドチーミング(あえてシステムに悪意ある入力を行い、脆弱性や不適切な挙動を洗い出すテスト)」の実施です。ユーザーが予期せぬ悪用を試みた場合でも、AIが倫理的かつ法的に適切な振る舞い(回答の拒否など)を維持できるよう、リリース前に十分なリスクシナリオを検証しておく必要があります。
第三に、捜査機関等からのデータ開示要請に対する対応方針の確立です。万が一、自社で提供するAI機能が犯罪や不正に利用された場合に備え、利用規約の整備と法的な開示手続きに関する社内プロセスを事前に構築しておくことが、企業の信頼とブランドを守るための強固なAIガバナンスへと繋がります。