約10万件のChatGPTチャットがGoogle検索で公開、機密データ流出か

OpenAIのChatGPTで行われた約10万件の会話がGoogleやその他の検索エンジンによってインデックスされ、一般に検索可能になっていたという重大なプライバシー侵害が明らかになりました。この情報漏洩は、Fast Companyによって最初に報じられ、その後404Media.coによって詳細が明らかにされました。これは、ユーザーが自分の会話へのリンクを生成できるように設計された「共有機能」が原因で発生し、意図せずして機密性の高い個人データや専門的なデータを公開ウェブに晒してしまったものです。

この問題は、ユーザーがChatGPTの会話を共有する際に表示される「このチャットを検出可能にする」というチェックボックスから生じました。この機能には、チャットが検索結果に表示される可能性があることを示す注意書きが含まれていましたが、多くのユーザーが公開されることの意味を完全に理解せずにこのオプションをクリックしたと報じられています。その結果、研究者によってスクレイピングされた膨大な会話データセットが作成され、OpenAIもインデックスされたチャットが約10万件であるという事実を否定しませんでした。

流出したデータは驚くほど多様で機密性が高いものです。これには、機密保持契約のテキスト、機密契約に関する議論、個人的な関係の問題、メンタルヘルスに関する告白、職場での不満、薬物使用や性生活に関する詳細、さらには求職応募まで含まれていました。インデックスされたチャットの中には、氏名、所在地、連絡先情報、役職、会社名、内部プロセスが含まれているものもあり、プライベートなやり取りが悪意のある行為者や競合他社にとっての潜在的なオープンソースインテリジェンス（OSINT）の宝庫となっていました。

広範な懸念とメディアの注目に応え、OpenAIの最高情報セキュリティ責任者（CISO）であるデイン・スタッキーは、X（旧Twitter）上で、同社が「検出可能性機能」を完全に削除したと発表しました。OpenAIはこれを、ユーザーが役立つ会話を発見するのに役立つことを目的とした「短命な実験」であったと説明しています。同社は現在、検索エンジンと協力して共有されたチャットのインデックス解除を進めていますが、キャッシュされたバージョンはしばらくの間表示され続ける可能性があることを認めています。

この事件は、生成AIツールが日常のワークフローにますます統合されるにつれて、AIガバナンスとデータ衛生における重要な課題を浮き彫りにしています。意図しないデータ露出を防ぐための、明確で曖昧さのないユーザーインターフェース設計と堅牢なプライバシーデフォルト設定の重要性を強調しています。OpenAIがこの反発を受けて数時間以内に機能を撤回するという迅速な対応は、ユーザーの信頼に対する侵害の深刻さを認識していることを示唆しています。

データについて懸念があるユーザーは、「site:chatgpt.com/share」に続けて自分の名前やチャット内の固有の用語を使用してGoogle検索を実行することで、自分の会話がインデックスされているかどうかを確認することが推奨されます。ユーザーは、ChatGPTの設定に移動し、「データ管理」から「共有リンク」を選択することで、もはや公開したくない共有リンクを削除できます。さらに、この事件は、AIチャットボットと機密情報を共有する際には、それが恒久的なデジタル記録として残る可能性があることを常に念頭に置き、細心の注意を払うべきであるという厳しい警告にもなります。