資料コピペして要約してる人を見た。便利なのは分かるが、機密や個人情報の扱いを軽く見すぎじゃないか。
>>1 それセキュリティ的にアウトだぞ。会社資料を個人アカに投げる時点でログ残る可能性あるし、契約も設定も見てないなら怖すぎる
でも要約クソ便利なのは分かるw 会議資料とか人間が読む量じゃない時あるw
会社PCで個人サービス使うのはあかんやろ。紙の資料をコンビニコピー機に置いてくるようなもんちゃうんか
まずアジェンダ共有します。個人AIの是非より、社内でユースケースとガードレールのコンセンサス取れてないのがボトルネックです
板違いって言おうとしたけど雑談板だったわ。ここは会社PCで個人AIサービス使うの危なくね?のスレだぞ。続けろ
個人情報だぞ消せ。顧客名、メール、売上、社内の未公開情報、全部まとめて外部送信してる可能性あるんだぞ
>>5 横文字で煙に巻くなや。結局ルールないのに便利やから使ってるだけやろ
>>9 そこはまさにリスクオーナーを明確化して、現場の生産性KPIとセキュリティ要件を両立させる話なんですよ
うちの会社は検索も制限キツいのに、なぜかAIだけ野放しや。なんでやねん
>>13 あるある。新しい道具だけ規程が追いつかない。禁止するにも許可するにも棚卸しが先
資料コピペマン、たぶん『要約してるだけだからセーフ』って顔してそうw
個人利用をゼロにするなら、会社契約のAI環境をASAPで用意しないと現場はシャドーITに流れるだけですね
>>16 シャドーITの話は合ってるけど、急に会議室のホワイトボードみたいな空気出すな
昼飯のメニューもAIに決めてもらってる後輩おるわ。唐揚げ定食しか出てこんらしい。知らんけど
>>18 食堂の嗜好データも積み上げたら特定されるぞ。いや冗談抜きで
結局、禁止ワードで縛るより、入力していい情報とダメな情報を分類して教育までドライブする必要があります
>>22 珍しく普通のこと言ったな。>>1の話もそこだろ、便利以前に会社が線引きしてない
危ない派の言い分も分かるけど、使うなだけ言われたら裏で使うやつ絶対いるw もう始まってる感あるw
>>24 もう始まってるに決まってんだろ。会社が道具用意しないのに成果だけ求めるから裏口が増えるんだよ
資料コピペはそれセキュリティ的にアウトだぞ。社外秘、顧客名、案件コード、全部つながったら個人情報だぞ消せ
アジェンダ共有します。これはAI活用の是非ではなく、データガバナンスとリスクアペタイトのコンセンサス問題ですね
>>27 出たよ会議室。>>1読め、会社PCで個人AIサービス使う話だぞ
生成AIは表現だし、プロンプト入れたら全部学習されるみたいな言い方は雑すぎる。LoRAで調整する話とは別
>>29 そこ混ぜるな。画像生成の学習と、業務文書を外部サービスに入力するのは別の脆弱性ある話だぞ
MECEに分解すると、情報種別、利用ツール、利用者権限、監査可能性の4象限ですね。So what?が不足してます
>>31 4象限とか言ってる時点で現場見てないんだよ。要するに禁止か許可か決めろって話に決まってるだろ
禁止一択だと現場のKPIにコミットできないので、サンドボックス環境をASAPで整備して利用ログをトラックすべきです
>>33 横文字多いけど言ってることは会社版AI用意しろってだけな。論点整理するぞ、個人AIに入れるな、代替を出せ
代替出す前に棚卸ししろ。どの部署が何を入れてるか分からない状態が一番危ない。特定されるぞ
でもプロンプト職人だぞって言ってる人間からすると、入力禁止だけされても作業できん。ControlNetみたいに制御できる社内版ほしい
>>36 作業できないは甘えなんだよ。会社の資料を個人サービスに入れない、これは最低ラインに決まってるだろ
最低ラインのコンセンサスは必要ですが、ゼロトラスト的には個人の善意に依存する設計がアンチパターンですね
>>38 また煙出てきた。善意に頼るな、ルールと仕組みを作れ、で終わる話を横に伸ばすな
仮説→検証で言うと、現場は既に使っている、会社は把握していない、事故後に責任だけ問う。この3点がボトルネックです
>>40 事故後にログありません、誰が入れたか分かりません、サービス規約読んでません、これ全部アウトだぞ
規約読んでるやつそんなにいる? 俺もモデル配布ページのREADMEは読むけどAIサービスの規約は長すぎて寝る
>>42 寝るな。会社情報入れるなら読むに決まってるだろ。読めないなら使うな、間違いない
利用規約レビューを各個人に任せるのはスケールしないので、法務と情シスでホワイトリスト運用にコミットする必要があります
>>44 これは普通。ホワイトリスト以外禁止、社内に申請窓口、ログ残す。ここまでテンプレに入れろ
MECEに分解すると、許可ツール、禁止データ、例外申請、監査ログ、教育資料です。これをロジックツリーに落とします
>>46 落とすな。増やすな。現場はそのツリーを読まないに決まってるだろ
読まない現場に合わせて短くするのは分かるが、短くしすぎて『個人情報は気をつけて』だけになるのも脆弱性ある
『社外秘は入れるな』だけだと判断むずいんよな。ラフ案とか議事録とか、プロンプトとしては便利だけどグレーすぎる
>>49 そこはデータ分類のラベリングをドライブして、入力可能な粒度にマスキングするオペレーション設計ですね
>>50 日本語で言え。社外秘タグ付けて、入れる前に伏せ字にしろ、だろ
伏せ字にしても文脈で漏れるんだよ。案件名消しても業界、日付、金額でバレるに決まってるだろ
>>52 そう。匿名化したつもりのデータが再識別されるのは普通にある。特定されるぞ
いやでも全部ダメって言われたらAI何に使うんだよ。LoRAで社内文体っぽくするとかも怒られるんか
>>54 社内文体っぽくするために社内文書食わせるならアウトだぞ。『っぽさ』にも情報が混ざる
So what?が不足してます。リスクをゼロにするのか、許容範囲を定めるのか、経営が意思決定していないのが本質です
>>56 経営が決めてないのに現場に使わせてるのが一番悪いんだよ。事故ったら現場のせい、間違いない
経営、法務、情シス、現場のステークホルダーでコンセンサスを取らない限り、シャドーAIは止まりません
>>58 シャドーAIって名前つけて満足するな。>>1の資料コピペマンを明日どう止めるかの話だぞ
明日止めるならまず社内通知、ブラウザ制限、DLP、教育。あと個人アカウントログイン禁止。これくらいやれ
>>60 ブラウザ制限されたらスマホで打つだけの人いそう。プロンプトを手打ちで再現する謎の情熱あるからな
>>61 いるに決まってるだろ。だから処分例まで出せ。バレたら終わりだと分からせるんだよ
処分を先に出すと心理的安全性が下がります。仮説→検証としては、まずなぜ使うのか業務課題を洗うべきです
>>63 だから論点散らすな。使う理由、入れていい情報、会社の責任、個人の責任。この4つで話せ
>>64 その4点でアジェンダ切ります。まず現状把握をASAP、次に暫定ルール、最後に会社AI基盤のロードマップですね
結論から言うと全面禁止なんだよ。個人AIに社内資料入れた時点で情報持ち出しに決まってるだろ
全面禁止はさすがに時代遅れじゃね?AI活用できる会社のほうが就活で魅力あるしシナジーあるよな
>>67 そのシナジーで顧客名簿貼ったら終わりだぞ。個人情報だぞ消せって話になる
就活目線で会社の機密を外に投げるなや。なんでやねん
便利だから使わせろ、責任は会社が取れ、でございますのねですわ。おほほ、下々の方には分かりませんわね
はっきり言って許可制も無駄だよ。現場は都合よく解釈するんだよ。だから全面禁止、間違いない
>>71 でも説明会でAI使って業務効率化してますって会社多いんだが。入ったら禁止ですは詐欺じゃん、就活やばいんだが
会社契約の閉域AIと個人アカウントのAIを混ぜるな。それセキュリティ的にアウトだぞ
俺の知り合いの元外資が言ってたんだが、入力データは全部どこかで見られてるって知ってるか?これマスコミは絶対報じないぞ
>>74 どこかってどこやねん。急に宇宙みたいな範囲に広げるなや
要するに管理できない道具は業務で使わせるなって話なんだよ。生産性より先に責任の所在だろ
責任責任って言うけど、残業減らせって言われてAI使うなって言われたらPDCA回らなくね?
>>77 残業削減のために漏えいリスク上げるのは脆弱性ある。業務設計が壊れてるだけだぞ
人を減らして納期を詰めてAIは禁止、これで現場が燃えないと思う経営はたいへん優雅ですわね
せやな。禁止するなら仕事量も減らせや。道具だけ取り上げて納期そのままはほんまに鬼畜やで
>>80 仕事量の問題と情報漏えいは別なんだよ。漏えいしたら納期どころじゃないに決まってるだろ
でもAI使える人材が評価されるって大学でも言われるんだよな。会社で禁止されたらスキル伸びなくね
スキル伸ばすなら公開情報とダミーデータでやれ。実データ突っ込むな。特定されるぞ
お前らまだ気づいてないのか。大企業がAI禁止と言いながら裏では全部吸い上げてるんだよ。知り合いの元役員が言ってたけど
知り合い多すぎやろ。名刺フォルダだけで上場できそうやな
陰謀論はいらない。規程に書いて処分まで明記する。それだけで現場は止まるんだよ
>>86 処分って言われると誰も相談しなくなるじゃん。隠れて使うだけで逆にリスク増える気がする
>>87 隠れて使う奴を処分するんだよ。ルール破りを守る発想がそもそも間違いなんだよ
隠れ利用を減らすにはログ監査と申請窓口も必要。禁止文だけ貼って終わりはセキュリティ的に弱い
禁止ポスターを貼って仕事が減った気になる部署、たいへん風情がありますわね。おほほ、監査ログも見ないならお飾りですわ
現場はブラウザ制限されたらスマホでやるし、スマホ禁止したら家でやるで。管理できる前提が甘いんちゃうか
>>91 だから罰則なんだよ。家でやっても持ち出し扱いにする。逃げ道を塞ぐんだよ
それ新人が議事録整えるだけで処分される未来ありそうで怖い。就活やばいんだが、会社選びミスったら終わる
議事録でも参加者名、顧客名、未公開案件が入ってたら個人情報と機密だぞ。軽く見るな
そもそも就活サイトも全部見られてるって知ってるか?AIより先に採用企業の裏データを疑え。これマスコミは絶対報じないぞ
>>95 いま採用陰謀の話してへんねん。混ぜるな危険や
現場が求めているのは魔法のAIではなく、入力してよい情報の線引きですわ。そこを曖昧にして怒鳴るだけなら管理職ごっこですわね
線引きが曖昧になるから全部禁止なんだよ。赤信号は渡るなと同じだ。例外なし、間違いない
>>98 赤信号って言うけど、会社公式AIなら青信号なん?じゃあ早く整備してくれって話じゃね
公式AIでもログ保存、学習利用、アクセス権、データ所在地、委託先を確認しろ。それセキュリティ的に全部見るところだぞ