[登壇レポート]DevelopersIO 2023で、「AIサービス利用ガイドライン策定のすすめ」というセッションで登壇しました #devio2023
危機管理室 江口です。
タイトルの通りですが、DevelopersIO 2023で登壇し、「AIサービス利用ガイドライン策定のすすめ」というテーマでお話させていただきました。
登壇資料はこちら
ちなみにスライド内にも説明がありますが、スライド内にちりばめた挿絵(趣味によりネコチャン画像)は画像生成AIであるMidjourneyで生成したものです。 これについては、別の記事でプロンプト付きで別途紹介しているので、興味ある方はご確認ください。
また、当社のAIサービス利用のガイドラインは以下の記事で全文を紹介しています。
内容
以前投稿した、「クラスメソッド社内のAIサービス利用のガイドラインを策定しました」というブログ記事をベースに、AIサービス利用のガイドラインをどう作れば良いか、どんな検討事項があるかをお話させていただきました。
結果的にスライドが50枚にもなってしまったので、メインの話だけかいつまんで書いておきます。
ガイドラインに記載すべき主なトピックは、以下の3つと考えています。
- サービス利用条件:AIサービスを利用するうえでの条件(承認や確認事項)
- 入力情報の取り扱い:どんな情報をどんな条件なら許容するかのポリシー
- 出力情報の取り扱い:AIが出力した情報をどのように扱うかのポリシー
これらについて、どのようなことを書くべきか・検討すべきかを紹介しました。
サービス利用条件
サービス利用条件は、利用するにあたっての基本的な条件を検討・記述します。ポイントは - 承認をどう得ればよいか - 選定にあたって何を確認すべきか
となります。
承認をどう得ればいいかについては通常のサービス利用のルールに従えばよくて、AIサービスだからと特別なルールはいらないのではないかな、と考えます。
特別なルールがいらないなら書かなくてもいいのかもしれませんが、新しく出てきたものなので、ユーザー側が「どうお伺い立てれば使っていいものかどうか」で迷ってたりします。なので、ちゃんと「こうすれば使っていいんだよ」と改めて書いてあげることで利用していいのだ、というポジティブな意識をもってもらえるかな、と思って私はガイドラインに入れまてます。まあ、積極的に利用してもらいたいかは企業様によると思うので、あくまで当社のスタンスの話です。
選定にあたって確認すべきことも、既存のサービス選定基準があればそれに照らして考えれば良いですが、ポイントを書いておくと良いかと思います。いちばん重要なのは入力情報の取り扱いで、上のスライドに挙げたようなポイントが重要な観点になるかと思います。ただ、実際のところ、このあたりは当社のガイドラインでもいまあまり細かく書けてないところではあります。今後改善していきたいところですね。
参考情報として、ChatGPTについて、利用規約やセキュリティ体制について確認できるページを紹介しました。
- 利用規約やポリシー関連のドキュメント: 下記URLに集約されています。
- https://openai.com/policies
- セキュリティに関する詳しい情報: 以下のセキュリティポータルにて公開されています(閲覧にはNDA締結が必要)
- https://trust.openai.com/
なおこれらの情報についても、以前私が解説ブログを書いているので、よければ参考にしてください。
入力情報の取り扱い
「入力情報の取り扱い」は、どういった条件であればどういったデータの入力を許容するかを検討・記述します。
これはAIサービス全般を考える場合と、細かいサービスごとのポリシーで粒度が違いますが、それぞれの場合についてお話をしました。
前提として機密レベルを定義すること、その機密レベルごとに許容条件を定義すること。 ChatGPTなど、細かいサービスにフォーカスして考える場合は、利用形態を考え、上記の機密レベルの許容条件とマッピングすることでマトリクスが作ることができます。
このマトリクス表が、ガイドラインに載せる表になると思います。 ちなみに、CMのガイドラインでは、この情報を図示するポンチ絵を作って掲示していて、従業員が一目でわかりやすいように工夫しています。
出力情報の取り扱い
「出力情報の取り扱い」では、AIが出力したデータをどう取り扱うべきかを記述します。記述としては、リテラシーや倫理的な注意点を記載することが中心となるかな、と思います。
記載する点としてはスライドに挙げた通り、 「AIが出す回答は必ずしも正しいとは限らないので注意しましょう」というリテラシー面の注意、AIの出力をただ貼り付けるような形でブログのようなコンテンツを粗製乱造しない、お客様にAIの出力をそのまま提供する場合はAI製と明示する、といった倫理面での注意点などです。
特に、コンテンツがAI製であることの明示は、OpenAI社のポリシーでも「自動的なシステムを提供する場合はAIシステムを利用していることを公開すること」と記載があるので、遵守事項として留意が必要です。
講演では、このほかガイドラインの階層化、OpenAI社とのDPA(データ処理補遺)の話、コード生成AI周りのポリシーの話などもさせていただきました。スライドにはこれらの説明も含まれていますので、読んでいただければと思います。
終わりに
講演の終了後、多くの方から実際にガイドラインの策定に悩んでいる、というご相談をいただきました。私としてもやはりみなさん苦慮されているのだなぁ、ということを実感することができました。この講演がみなさんのガイドライン策定に少しでもお役に立てば幸いです。
ではでは。