コワーキングスペース 代表 鶴田 賢太 こんにちは、春日井コワーキングスペースRoom8オーナーの鶴田です!
最近、AIに関する相談でやたら聞かれるんですよね。
「ChatGPTって、情報漏れたりしませんか?」って。
うん、わかる。怖いよね、なんかこう、クラウドに吸い込まれていく感じ?
でもね、正直に言うと——
そんな簡単に漏れたら、今ごろ世界はとっくに燃えてる。
ChatGPTとかGeminiとかが勝手に内部データを学習して社外に漏らす確率って、
ほぼ宝くじ1等レベル。確率で言うと、となりにいたOLが実はスパイだったくらい低い。
(ちなみに僕はそれより“となりのOLがChatGPTで恋文書いてる”方がまだ現実的だと思ってる)
とはいえ、「じゃあ安心安全」って思ってAIを使い倒すと、
本当にヤバいのは、そっちじゃない方向から静かにやってくるんです。
そう、漏れるのは“入力”じゃない。
君が気づかないうちに、“出力”の中に前の誰かの情報が忍び込んでくる。
今回はそのあたり、ピンクの象とか出しながらちゃんと話します。
「書くなよ?絶対書くなよ?」って言うと、書くヤツ、いるよね。
AIです。はい、そいつです。
セキュリティって、どのへんが気になるの?
AI使うときにみんなが一番ビクビクしてるのが、「情報漏れないかな?」ってやつ。
いや、気持ちはわかる。「上司の名前入れたらバレるんじゃないか」とか、「顧客名入れたら海外に送られるんじゃ」みたいなやつね。
でも、ちょっと冷静になろ?
君がChatGPTに「株式会社〇〇の営業資料を添削して」と入れた瞬間、OpenAIの社員がそれを見てTwitterでバズらせる確率って、
ほぼ “雷に打たれながら当選宝くじを握りしめて宇宙人に遭遇する”レベル だから。
もちろん利用規約的には「個人情報入れんなよ」って書いてあるし、
大人として最低限のマナーではある。
でもそのへんの話、今どきのAI活用セミナーで“よくある話”としてもう擦られすぎてる。
なのに、そこばっかりに注目しすぎて、ほんとにやばい“別口の漏れ”に誰も気づいてないの、
逆に怖くない?
ヒント出すとしたら、
「え、これ誰の名前?」「あれ、この会社、前にやってた案件じゃ…」みたいなやつ。
そう、情報って、君が入力しなくても出てくるんだよ。勝手に。生成物として。AIの口から。お上手に。
ほら、なんか背筋が寒くなってきたでしょ?
次でちゃんと説明するから、ちょっとだけ震えて待ってて。
本当に怖いのは“出力から漏れる”リスク
さて、本題です。
僕が「セキュリティ的に一番やばい」と思ってるのは、入力内容が漏れる話じゃない。
もっと陰湿で、もっとバレにくくて、でも確実にやらかすのがこちら:
出力に“前の誰かの情報”が混ざってくるパターン
たとえば、あるあるなケース。
💀 ケース1:お詫びメールの地獄
君:「前回のお客さん向けに作ったお詫びメールを参考にして、新しいお客さん向けの文面つくって」
AI:「了解です!『〇〇株式会社 御中』…」
……〇〇株式会社って誰!?
その名前、今の案件と全然関係ないじゃん?いやむしろ“過去のクライアント名”じゃん?
💀 ケース2:「触れないで」が触れるスイッチ
君:「今回は○○については触れず、XXXの内容だけで書いて」
AI:「今回は○○については触れずに、XXXを中心に解説します」
おい。
冒頭から触れとるがな。しかも自白してるがな。
これ、ピンクの象なんですよ。
「ピンクの象を想像しないでください」って言われたら、脳内が象まみれになるやつ。
AIもそれと同じ。「これは言わないでね」って情報を“重要文脈”として認識しちゃって、逆にしっかり盛ってくる。
💀 ケース3:チームアカウントの闇
- 複数人で使ってるChatGPTアカウント
- 前の人が入れた情報を、次の人が知らずにプロンプト再利用
- 結果、「誰かの顧客」が「全然関係ない記事」に登場
これもう、データ漏洩っていうか、自作自演型の情報テロ。
自分で仕掛けて、自分で踏んで、誰も気づかないまま公開してるっていう。
冗談みたいだけど、全部現実にあり得る話だし、僕自身も相談で何度か似た話を聞いてる。
怖いのは、「誰も悪気がない」ってところ。
入力してないのに漏れる。それ、事故ってよりも“仕様”寄りの現象なんです。
このへんで一度、「あ、出力にも責任あるんだ」って認識、持ち直したほうがいい。
なぜ混入する?構造的リスクの正体
さっきの出力混入問題、「うっかりAIがやっちゃったのかな〜」くらいに思ってる人、
ちょっと目を覚ましてほしい。
これはAIがバカだから起きてるんじゃない。
君のプロンプトの書き方と、AIの仕組みの“悪いところ同士が手を組んだ結果”なんだよ。
📌 理由1:「触れるな」が“伏線”になる
AIってのは、入力された単語すべてを「何らかの意味がある」と仮定して処理する。
つまり「○○については触れないで」と書いた時点で、
それは「○○という要素が存在すること」をAIにしっかり認識させた上で、処理対象から除外させようとしているわけ。
でもAI的にはこうなる:
「ふむふむ、○○は“触れないで”ってわざわざ言われてるってことは……
これは重要な話題なのでは?????」
結果:盛り込みます。しっかり。
📌 理由2:「除外」は文脈処理のトリガーになる
AIが文章を生成するとき、文のトーン・構造・流れを“対比”で決めていることが多い。
つまり、「○○は除外」「XXXだけ書いて」と言われると、
AIは「○○とXXXは対立している」と認識し、わざわざ対比構造を冒頭で出してくる。
結果:
「今回は○○については触れず、XXXにフォーカスします」
→それ、もう触れてるのよ。イントロでがっつり紹介してるのよ。
📌 理由3:履歴・共有・無意識の連携プレイ
- ブラウザに残ってる前回プロンプト
- チームメンバーが使った直前の履歴
- 同じセッションで“参考”にした事例
これら全部が、君の知らぬ間に“生成元データ”として召喚されてくる。
特にEnterprise環境でもなく、プライベートモードでもない場合、
前回の入力がそのまま“サジェスト”っぽく混入することがある。
つまり、入力した覚えがなくても、出力には出る。
それってもう、ホラーだよね?でも、事実。
こういう挙動を知らずに
「プロンプトでちゃんと“書くな”って言ったのに出てきた!ChatGPTヤバい!」って言ってる人、
いやそれ、君の言い方がトリガーだったんですけど…って話なんだよね。
ここをわかってないと、また同じピンクの象が出てくる。
象ってしつこいんだよ。あとちょっとかわいい。
対策:ピンクの象を出さない技術(=最終的にはお前が見るしかない)
ここまでいろんなリスクの話をしてきたけど、
最終的にこういう結論に落ち着くんだよね:
一番安全なのは、AIじゃなくて君がちゃんと見張ること。
以下、実際にやるべきことを“幻想破壊順”で並べてみた。
✅ 禁止したい情報は最初からプロンプトに出すな
もうこれは基本中の基本。
言った瞬間、象が出る。それだけ。
✅ ChatGPTなら「メモリー参照」「履歴保存」を用途で切り替える
混入リスクを下げる手段として有効だけど、
OFFにしたからって油断すると、その油断が新しい象を呼ぶ。
OFFにしてるから大丈夫、は一番危ないフラグ。
履歴が残っていなくても、“確認作業をサボったら終わり”なのは変わらない。
✅ 全部“目で見る”。結局ここ。
これ。
ここができてない人が、一番AIと相性悪い。
・出力された文に知らない名前が入ってないか
・社名や数字が前の案件から流れてきてないか
・「今回は触れないで」と言ったはずの話題が、前振りとしてしっかり登場してないか
一文一文、ちゃんと読む。 それが一番安くて確実なセキュリティ対策です。
便利機能に頼るのはいい。環境を整えるのもいい。
でも、「チェックしないでAIを信じる」っていう甘えが一番のセキュリティホールになる。
「こいつ信じてもいいやつかな?」って慎重に見る。
それ、AIだけじゃなくて、君の人間関係にも使ってください。
まとめ:AIは優秀。でも口が軽い。
生成AIって、ほんとすごいんですよ。
文章もスラスラ書くし、構成も整ってるし、こっちの意図もだいたい汲んでくれる。
……でも、「これは言うなよ」って言ったことほど、なぜか一番大事そうに盛ってくる。
人間だったら空気読んで「了解っす」で済むところを、
AIは「触れないって言われたから、まずは触れない理由から説明しますね!」って
逆に紹介パート組んでくる。誰が頼んだ。
結局、どれだけAIが進化しても、
- 禁止ワードをプロンプトに書かない
- 履歴やメモリーの参照をちゃんとコントロールする
- 何より生成された内容を“目で”確認する
このあたりの人間の操作と注意力が最後の砦になる。
セキュリティって聞くと、「社外に漏れないか」とか「モデルに学習されないか」とか
つい遠くのリスクばかり見ちゃうけど、実は一番身近なところで君自身が事故を発生させてる可能性が高い。
便利さには、慢心がついてくる。
ChatGPTがいくら賢くても、最終的に「送信ボタンを押すのは君」なんだよね。
生成AIは優秀。でも、ちょっと口が軽い。
だから今日も、ちゃんと読んで、ちゃんと直す。
それが2025年のセキュリティリテラシーってことで、象も納得してくれるはず。
ちなみに、「○○には触れないでね」とプロンプトに書いたのに、
しっかり触れてくる生成物を見て思うのはこれです:
ダチョウ倶楽部の前振りじゃねぇんだぞ。
ではまた