先日、業務で使っているAIツール関連のリリース情報を眺めていたら、ちょっと気になる記述を見つけた。
LiteLLMというAI連携ツールのv1.83.14というバージョンのリリースノートに、Dockerイメージの署名検証の手順が丁寧に書いてあった。cosignというツールを使って、コミットハッシュという変更不可能なIDで「このソフトウェアは確かに本物ですよ」と証明する仕組みだ。技術的な話は専門外だけど、要するに「改ざんされていないかどうかを確認してね」という話だ。
正直に言うと、最初は「自分には関係ない話かな」と思って読み飛ばそうとした。でもちょっと待てよ、と。
私が日常的に扱っているのは、30社分の給与データや雇用契約書、社員の健康診断結果だったりする。最近は助成金の申請書類を作るときにAIを補助的に使うこともある。そのAIツールが「ちゃんと安全なものかどうか」を、自分はどこまで確認しているだろうか。
LiteLLMのリリースノートでは、タグではなくコミットハッシュで検証する方法が「推奨」と明記されていた。理由は「コミットハッシュは暗号学的に変更不可能だから」だそうだ。つまり、タグは後から書き換えられる可能性があるけれど、ハッシュはそうじゃない。ソフトウェアの世界ではそこまで考えてセキュリティを設計している。
これを読んで、自分の業務を振り返った。e-Govでの電子申請はなんとか使えているけど、AIツールの選び方や使い方については「なんとなく有名だから大丈夫だろう」で済ませていた部分があった。
別に自分でコードを書く必要はない。ただ、顧問先の社長から「このAIツール、うちの会社で使っても大丈夫ですか?」と聞かれたとき、何も答えられないのはまずい。
実際、最近の採用支援の場面でAIを使いたいという話が顧問先から増えてきた。求人票の文面をAIに作らせたいとか、面接評価シートの項目を整理したいとか。そのたびに「どのツールを選ぶか」「どこまでの情報を入力していいか」という判断を求められる。
私が意識するようになったのは、こんな点だ。
3つ目は今回のLiteLLMの話から気づいたことだ。リリースのたびに署名検証の手順を丁寧に公開しているような開発元は、それだけセキュリティを真剣に考えている。逆に言えば、そういう情報をまったく出していないツールは少し慎重に使うべきかもしれない。
労働法の改正情報は毎年チェックしているのに、使っているツールの安全性については後回しにしがちだった。でも顧問先の大切な情報を預かっている以上、同じくらい気を配るべき話だと思う。
自分は来週、今使っているAIツールの利用規約とプライバシーポリシーをもう一度読み直してみるつもりだ。難しい技術の話は分からなくても、「誰がデータを持つか」「どう使われるか」くらいは確認できる。そこからで十分だと思っている。
LiteLLMというAI連携ツールのv1.83.14というバージョンのリリースノートに、Dockerイメージの署名検証の手順が丁寧に書いてあった。cosignというツールを使って、コミットハッシュという変更不可能なIDで「このソフトウェアは確かに本物ですよ」と証明する仕組みだ。技術的な話は専門外だけど、要するに「改ざんされていないかどうかを確認してね」という話だ。
正直に言うと、最初は「自分には関係ない話かな」と思って読み飛ばそうとした。でもちょっと待てよ、と。
顧問先のデータを扱うとき、セキュリティは自分の問題だ
私が日常的に扱っているのは、30社分の給与データや雇用契約書、社員の健康診断結果だったりする。最近は助成金の申請書類を作るときにAIを補助的に使うこともある。そのAIツールが「ちゃんと安全なものかどうか」を、自分はどこまで確認しているだろうか。
LiteLLMのリリースノートでは、タグではなくコミットハッシュで検証する方法が「推奨」と明記されていた。理由は「コミットハッシュは暗号学的に変更不可能だから」だそうだ。つまり、タグは後から書き換えられる可能性があるけれど、ハッシュはそうじゃない。ソフトウェアの世界ではそこまで考えてセキュリティを設計している。
これを読んで、自分の業務を振り返った。e-Govでの電子申請はなんとか使えているけど、AIツールの選び方や使い方については「なんとなく有名だから大丈夫だろう」で済ませていた部分があった。
社労士が「セキュリティを考える」とはどういうことか
別に自分でコードを書く必要はない。ただ、顧問先の社長から「このAIツール、うちの会社で使っても大丈夫ですか?」と聞かれたとき、何も答えられないのはまずい。
実際、最近の採用支援の場面でAIを使いたいという話が顧問先から増えてきた。求人票の文面をAIに作らせたいとか、面接評価シートの項目を整理したいとか。そのたびに「どのツールを選ぶか」「どこまでの情報を入力していいか」という判断を求められる。
私が意識するようになったのは、こんな点だ。
- 個人情報や給与情報をそのままAIに入力しない
- 無料ツールでも利用規約でデータの扱いを確認する
- ツールの提供元が定期的にセキュリティ情報を出しているか見る
3つ目は今回のLiteLLMの話から気づいたことだ。リリースのたびに署名検証の手順を丁寧に公開しているような開発元は、それだけセキュリティを真剣に考えている。逆に言えば、そういう情報をまったく出していないツールは少し慎重に使うべきかもしれない。
労働法の改正情報は毎年チェックしているのに、使っているツールの安全性については後回しにしがちだった。でも顧問先の大切な情報を預かっている以上、同じくらい気を配るべき話だと思う。
自分は来週、今使っているAIツールの利用規約とプライバシーポリシーをもう一度読み直してみるつもりだ。難しい技術の話は分からなくても、「誰がデータを持つか」「どう使われるか」くらいは確認できる。そこからで十分だと思っている。