関連インシデント
以下はレポートのエグゼクティブ サマリーのコピーです。レポートの全文をご覧になるには、OVIC が提供する PDF をダウンロードしてください。
エグゼクティブ サマリー
背景
2023 年 12 月、家族・公平・住宅省 (DFFH) は、情報コミッショナー事務所 (OVIC) にプライバシー インシデントを報告し、児童保護ワーカー (CPW1) が保護申請レポート (PA レポート) を作成する際に ChatGPT2 を使用していたことを説明しました。このレポートは、性犯罪に関連して両親が起訴された幼い子供に関する事件で児童裁判所に提出されました。
PA レポートは、安全、ニーズ、権利を確保するために裁判所命令による保護介入を必要とする脆弱な子供を保護するために不可欠です。これらのレポートには、子供のリスクとニーズ、および子供の安全と発達を提供する両親の能力に関する児童保護ワーカーの評価が含まれています。
ChatGPT などの生成型人工知能 (GenAI) ツールは人気がありますが、その使用にはさまざまなプライバシー リスクが伴います。現在の状況で最も関連しているのは、不正確な個人情報と個人情報の不正開示に関連するリスクです。
DFFH との予備調査を行った後、プライバシーおよびデータ保護副コミッショナーは、プライバシーおよびデータ保護 (PDP) 法のセクション 8C(2)(e) に基づいて調査を開始し、同法のセクション 78 に基づいて DFFH にコンプライアンス通知を発行するかどうかを決定することを目指しました。OVIC は、次のことを判断した場合にコンプライアンス通知を発行できます。
a. 組織が情報プライバシー原則 (IPP) の 1 つ以上に違反している。
b. 違反が深刻、反復的、または悪質である。
c. 組織は、IPP へのコンプライアンスを確保するために、指定された期間内に指定された措置を講じる必要があります。
調査結果
OVIC の調査により、DFFH の最初の調査結果 (CPW1 が PA レポートの作成に ChatGPT を使用し、その際に個人情報を入力した) が確認されました。
報告書全体を通じて、分析と報告書で使用されている言語の両方に関連して、ChatGPT の使用を示すさまざまな指標がありました。これには、従業員のトレーニングや児童保護ガイドラインに見合わない言語の使用や、不適切な文構造が含まれます。
さらに重要なのは、報告書の一部に正確でない個人情報が含まれていたことです。特に懸念されるのは、報告書では、子供の人形 (子供の父親が性的目的で使用していたと児童保護に報告された) が、子供の発達ニーズを「年齢相応のおもちゃ」でサポートしようとする両親の努力の顕著な強みとして説明されていたことです。
したがって、ChatGPT の使用は、子供に対する実際のまたは潜在的な危害の重大さを軽視する効果があり、子供の世話に関する決定に影響を与える可能性があります。幸いなことに、報告書の欠陥は、最終的に、子供に関する児童保護または裁判所の意思決定を変えることはありませんでした。
母親、父親、介護者、および子供に関する個人情報と機密情報を ChatGPT に入力することで、CPW1 は、この情報を OpenAI (ChatGPT を運営する会社) にも開示しました。この無許可の開示により、DFFH の管理下から情報が解放され、OpenAI は、その情報のさらなる使用や開示を判断できるようになりました。
調査の焦点は PA レポート事件でしたが、OVIC は CPW1 とその広範なチームによる ChatGPT のその他の潜在的な使用法も検討し、DFFH 全体での ChatGPT の一般的な使用法も調査しました。その結果、次のことが明らかになりました。
• CPW1 の広範な作業ユニットが 1 年間にわたって処理したすべての児童保護ケースに関する DFFH の内部調査で、児童保護関連の文書を作成するために ChatGPT が使用された可能性があることを示す兆候のあるケースが 100 件特定されました。
• 2023 年 7 月から 12 月の間に、DFFH 全体で約 900 人の従業員が ChatGPT Web サイトにアクセスしており、これは従業員のほぼ 13% に相当します。
IPP の違反
PA レポート インシデントには複数の IPP の違反が関与していた可能性がありますが、OVIC の調査では、DFFH による ChatGPT の使用に関連するリスクの管理を、次の 2 つの IPP の観点から特に検討しました。
• IPP 3.1 – 組織は、収集、使用、開示する個人情報が正確で完全かつ最新のものであることを確認するために合理的な措置を講じる必要があります。
• IPP 4.1 – 組織は、保有する個人情報を不正使用や紛失、不正アクセス、変更、開示から保護するために合理的な措置を講じる必要があります。
DFFH は、OVIC の調査に対し、PA レポート インシデント発生時に、既存のポリシー、手順、トレーニング マテリアル (テクノロジーの許容使用ポリシーやプライバシー、セキュリティ、人権に関する eLearning モジュールなど) の形でさまざまな管理策を講じていたと報告しました。
しかし、OVIC は、これらの管理は、児童保護問題における ChatGPT の使用に関連するプライバシー リスクを軽減するには十分ではないと判断しました。スタッフがこれらの一般的なガイダンス資料から、ChatGPT のような新しい GenAI ツールを適切に使用する方法を理解できるようになるとは期待できませんでした。
PA レポート インシデントの時点で、DFFH が GenAI ツールの仕組みやそれに関連するプライバシー リスクについてスタッフを教育またはトレーニングするその他の試みを行ったという証拠はありませんでした。さらに、これらのツールをいつ、どのように使用すべきか、または使用すべきでないかについての部門規則はありませんでした。また、ChatGPT のようなツールへのアクセスを制限する技術的な管理もありませんでした。
基本的に、DFFH には、ChatGPT および GenAI ツール全般に関連する特定のプ��ライバシー リスクに対処することを目的とした管理はありませんでした。したがって、副長官は、DFFH が IPP 3.1 と IPP 4.1 の両方に違反していると判断し、PDP 法の第 78(1)(b)(i) 条の目的上、違反は「重大」であると判断しました。
コンプライアンス通知の発行
コンプライアンス通知を発行するかどうかの決定には、OVIC が現状を確認し、DFFH が現在 IPP 3.1 および IPP 4.1 の同様の違反を防ぐための適切な管理を実施しているかどうかを検討する必要がありました。
PA レポートの事件以降、DFFH は「従業員が ChatGPT などの GenAI ツールの使用に伴うリスク、制限、機会を理解できるように支援する」ための具体的な Generative Artificial Intelligence ガイダンスをリリースしました。また、意識向上活動を通じてこのガイダンスを推進してきました。
このガイダンスの内容は目的に概ね合っていますが、DFFH は GenAI ツールがスタッフによってどのように使用されているかについてほとんど把握していないことに注意する必要があります。DFFH 全体で GenAI ツールが広く使用されているにもかかわらず、個人情報がこれらのツールに入力されているかどうか、および GenAI によって生成されたコンテンツがどのように適用されているかを確認する方法はありません。
このような状況では、DFFH が実施している管理では、GenAI ツールの使用によって不正確な個人情報や個人情報の不正開示につながるリスクを軽減するには不十分です。これは特に児童保護の問題に当てはまります。児童保護の問題では、GenAI ツールの使用による危害のリスクが大きすぎて、ポリシーとガイダンスだけでは管理できません。
このことを踏まえ、OVIC は、DFFH の管理における大きな欠陥は、従業員の GenAI ツールへのアクセスを管理する技術的ソリューションの使用であると考えています。具体的には、副長官は、ChatGPT および同様の GenAI ツールを児童保護の従業員が使用することを禁止する必要があると考えています。そのため、OVIC は、DFFH が次の特定の措置を講じることを要求するコンプライアンス通知を発行しました。
1. 児童保護スタッフに、Web ベースまたは外部のアプリケーション プログラミング インターフェイス (API) ベースの GenAI テキスト ツール (ChatGPT など) を職務の一環として使用しないよう指示する。この指示は、2024 年 9 月 24 日までに発行する必要があります。
2. インターネット プロトコル ブロッキングおよび/またはドメイン ネーム サーバー ブロッキングを実施して維持し、児童保護スタッフが次の Web ベースまたは外部 API ベースの GenAI テキスト ツールを使用できないようにします: ChatGPT、ChatSonic、Claude、Copy.AI、Meta AI、Grammarly、HuggingChat、Jasper、NeuroFlash、Poe、ScribeHow、QuillBot、Wordtune、Gemini、および Copilot。このリストには、一般的に使用されている検索エンジンの機能として含まれている GenAI ツールは含まれていません。このアクションは、2024 年 11 月 5 日までに実施し、2026 年 11 月 5 日まで維持する必要があります。
3. アクション 2 で指定されたツールに類似した Web ベースまたは外部 API ベースの GenAI テキスト ツールが出現していないか定期的にスキャンするプログラムを実装して維持し、児童保護スタッフのアクセスを効果的にブロックできるようにしま��す。この措置は、2024 年 11 月 5 日までに実施し、2026 年 11 月 5 日まで維持する必要があります。
4. 児童保護スタッフが Microsoft365 Copilot を使用できないようにするための制御を実施および維持します。この措置は、2024 年 11 月 5 日までに実施し、2026 年 11 月 5 日まで維持する必要があります。
5. 指定措置 1 ~ 4 のそれぞれを実施する際は、それぞれの指定措置を実施するために講じた手順を説明する通知を OVIC に提供します。
6. 2025 年 3 月 3 日、2025 年 9 月 3 日、2026 年 3 月 3 日に、指定措置 1 ~ 4 の有効性の監視に関するレポートを OVIC に提供します。 2026 年 9 月 3 日まで。
DFFH の調査に対する回答
OVIC は、付録 B に示されているように、このレポートの調査結果と結論に対する DFFH の回答を歓迎します。
要約すると、DFFH は IPP 3.1 および 4.1 に違反したという調査結果を受け入れ、必要な時間枠内に準拠通知で指定された措置に対処することを約束します。
ただし、回答の中で DFFH は、レポートでは「スタッフが GenAI を使用して機密性の高い業務事項のコンテンツを生成したとは確認されていない」と主張しています。実際、レポートではその逆を示しています。副長官は、CPW1 が ChatGPT を使用して、非常に機密性の高い業務事項 (児童保護事件のために児童裁判所に提出された PA レポートの草稿作成) で使用されるコンテンツを生成した可能性が高いと判断しました。