生成AI、社内ルールなしで使い続けてて大丈夫？

Xのタイムラインに流れてきた記事を読んで、ちょっとゾッとした。
「生成AIの社内安全対策10選」みたいなやつで、公的ガイドに基づいてまとめられたもの。
自分はフリーランスだから「社内」って関係ないかな、と思ってスルーしかけたんだけど、読み進めたら普通に自分ごとだった。

記事の中で特に刺さったのが「DLPとマスキングで機密情報・個人情報の入力を抑止する」という対策。
DLPって要は情報漏えい防止の仕組みのことなんだけど、自分、案件の資料とかをそのままChatGPTに貼り付けて要約させること、正直めちゃくちゃある。
クライアントから受け取った未公開の製品情報とかも混じってたりして、今さら冷や汗が出てきた。

「ルールがない」は個人でも危ない

もう一個気になったのが「生成物の外部送信と二次利用を統制する」という項目。
AIが出力した文章をそのままYouTubeのスクリプトに使ったり、Xに投稿したりしてるんだけど、それが学習データに使われる条件とかちゃんと確認したことなかった。
ベンダーの契約内容によっては、自分が出力させた文章がモデルの改善に使われてる可能性もある。
海外ではその点を問題視する声がけっこう大きくなってきてるのに、日本のクリエイター界隈ではまだあんまり話題になってない気がする。

記事ではSSO＋MFAで認証を企業アカウントに集約するという話も出てきた。
個人だとそこまでやらないにしても、複数のAIツールのアカウントをパスワード使い回しで管理してるのは普通にアウトだな、と気づいた。
毎日5〜6個のツールを試してる自分、パスワードマネージャーすら使ってないやつがいくつかある。

フリーランスこそ自分でルール作らないといけない

企業向けの話として書かれてるんだけど、フリーランスって社内規程もなければ情シスも存在しない。
つまり全部自分で決めないといけないし、何かあったときに守ってくれる組織もない。
むしろ企業より無防備な状態で毎日AIを使ってるかもしれない。

記事の中で「利用ルールを短文で固定する」というのが対策の最初に来てたのが印象的だった。
長い規程じゃなくて、箇条書き数行でいいから「これはAIに入れない」「これはAIの出力をそのまま使わない」みたいなマイルールを作るだけで全然違う。

自分がとりあえず決めようと思ったのはこの3つ。

• クライアントから受け取った未公開情報はAIに入力しない
• AIの出力をそのままSNSに貼らず、必ず自分の言葉で書き直す
• 使ってるAIツールの学習利用ポリシーを月1で確認する

たったこれだけでも、今の自分よりはだいぶマシになる。
案件収入を守るためにも、信頼を守るためにも、最低限ここから始めないといけないと思った。

あなたは普段、AIに何をどこまで入力してる？ちょっと振り返ってみてほしい。