プライバシーの錯覚：データを削除しても実際にはデータが削除されていない場合

プライバシーの話をしましょう。特に”削除 “を押したときに、あなたが持っていると思っていたプライバシーについて。

OpenAIは裁判所命令により、削除した会話も含め、ChatGPTの全会話を保存するよう命じられました。もちろん、「仮に私が…だったら」で始まるような気まずい会話も例外ではありません。

なぜなら、ニューヨーク・タイムズ紙が著作権侵害でOpenAIを訴えているからです。そして今や、誰もが削除したチャットが潜在的な証拠となり得るのです。エンタープライズプランに加入していない場合、または（JPMorgan のような大企業のような）特別な契約を交わしていない場合、ログは OpenAI のサーバーに保存されます。

これは単なる一つの訴訟の問題ではありません。これは、私たちがプライバシーについて話す内容と、それが実際にそのプライバシーがどのように扱われているか、との間に生じているギャップについての話です。

「データを一切保持しないという神話

どのAI企業も、このような主張をしています：

“お客様のプライバシーに深く配慮しています”

そう、弁護士が現れるまでは、ですが。そしてあなたが「削除」したログは、「コンプライアンス目的のために一時的にアーカイブ」されたものになります——永遠に。

翻訳しましょう：

• 通常ユーザーの場合、チャットは保存されます。
  
• 法的責任がある場合も、チャットは保存されます。
  
• もしモデル改良に役立つデータなら？間違いなく保存されています。
  

法的な同意がない限り、LLMに言ったことはすべて裁判などで後から不利に使われる可能性があると考えておいた方がよいでしょう。

なぜ、これがセキュリティの悪夢なのか？

この裁判所命令により、OpenAIは、個人を特定できる情報（PII）、企業秘密、そして深夜2時に人々が入力した間抜けな事柄までもが集まる集中型ハニーポットと化します。消えることはありません。

以下のようなものを所有しています。

• 機密性の高いプロンプトの、膨大で検索可能なデータベース。
  
• 保持ポリシーはリスクではなく、法的発見により決定されます。
  
• “削除 “をクリックしても まだ安全だと思っている ユーザーベース。
  

さらに悪いことに、悪役はそれを知っているのです。

AIが合法的なものに出会うとどうなるか 

セキュリティ問題は技術的なものだけではありません。法的、手続き的、そして構造的な問題でもあります。この判決は先例となります。裁判所はAI企業に自社のプライバシーポリシー違反を強要でき、ユーザーはよほどよく読まない限り、知ることはありません。

「シフト・レフト」は忘れてください。今必要なのは「シフト・リーガル」です。セキュリティポリシーでは、裁判所命令がデータ保持の約束と衝突した場合の対応を明示的に定めるべきなのです。必ず衝突することになるのですから。

何をすべきか

AIを使い会社を経営する場合：

• プロンプトを送信する前に必ず精査してください。OpenAIが代わりにやってくれると期待してはいけません。
  
• ゼロ保持契約を交渉する。または独自のローカルLLMを構築する。
  
• 従業員に教育してください。『ChatGPTを友達だと思ってはいけない。入力した内容は、将来、会社を窮地に追い込む証拠になり得るのだ』と。
  

AIを構築している場合：

• デフォルトで一時的なメモリを構築する。あるいは、プライバシーを気にかけているふりをやめましょう。
  
• 継続利用を必須ではなく任意とし、課金プランと結びつけないこと。
  

セキュリティのために：法務チームに製品信頼に関する文書を書かせるのはやめましょう。

結論

未来が当然非公開であるとは思わないこと。交渉によって非公開となります。この事例がそれを証明しました。
そしてもしあなたのAIスタックが信頼に基づいて構築されているなら、「実際にログを管理しているのは誰なのか？」と問いかけてください。 

なぜなら「削除」はもうあなたが思っているような意味ではないからです。

Sumo Logicでは、調査のために全てのログを保持するよう常々述べていますが、このような意味ではありません。ログに対する適切な可視性、監視、セキュリティ対策は依然として必要です。次のステップは、これらのAIツールへのログ記録を実装し、セキュリティインシデントに直結する可能性のある不用意な操作に対してアラートを構築することです。

あなたのデータは消えていません。ですから、Sumo Logicで監視するようにしてください。