AIに個人情報を入れまくってたら人生が終わりかけた話
転職活動が終わった。内定も出た。あとは退職届を出すだけだった。
そのはずだった。
事の発端だが、俺は中堅SIerで働く34歳のエンジニアだ。去年の秋くらいからChatGPTを業務でもプライベートでもガンガン使っていた。
使い方はまあ、みんなと同じだと思う。コードレビュー頼んだり、メールの文面考えてもらったり。ただ、俺にはひとつ悪い癖があった。
個人情報を一切マスクせずにそのまま突っ込んでいた。
いやいや、OpenAIだって学習に使わない設定あるじゃん
そう思うだろ?俺もそう思ってた。だからオプトアウトの設定だけして、あとは何も気にしてなかった。
具体的に何を入れていたか、正直に書く。
転職活動の職務経歴書。氏名、生年月日、住所、電話番号、勤務先の正式名称、部署名、プロジェクト名、上司の名前。全部いりのやつを「もっと良くして」ってそのまま張った。
確定申告の相談。源泉徴収票の数字を全部打ち込んで「ふるさと納税の上限額教えて」って聞いた。年収バレバレ。
嫁との喧嘩の相談。妻の○○(本名)が最近こういうことを言ってきて・・・みたいなやつ。夫婦生活に関することも。子供の名前も学校名も全部書いた。
健康診断の結果。この数値やばいですか?って画像ごと突っ込んだ。
転職先の内定通知書。「この条件って妥当ですか?」って、社名も年収も入社日も全部入れた。
一番まずかったのは、現職で関わっていた案件の情報だ。NDAバリバリの金融系プロジェクトの設計書の一部を「このアーキテクチャのレビューして」って貼った。クライアント名入りで。
・・・書いてて手が震えてきた。当時の自分をぶん殴りたい。
最初の異変は今年の1月。転職エージェントから連絡が来た。
増田さん(仮名)、ちょっと確認なんですが、現職の案件情報をSNSか何かに公開されてますか?
は?してないけど?
聞くと、転職先の企業が最終確認のために俺の名前で色々検索したら、とあるAIチャット共有サービスに俺のやり取りの一部が公開状態で残っていた、と。
血の気が引いた。
調べてみると、俺が使っていたのはChatGPTだけじゃなかった。比較のために何個か試してたマイナーなAIサービスの中に、デフォルトで会話が公開設定になっているものがあった。しかも無料プランでは会話ログが検索エンジンにインデックスされる仕様。
利用規約の一番下に小さく書いてあったらしい。読んでない。当然読んでない。
「増田 SIer 転職 年収」で検索すると、俺の職務経歴書がほぼまんまヒットする状態になっていた。
そこからの炎上と発覚の連鎖は、まさに地獄だった。時系列で書く。
1月15日 転職先から内定取り消しの連絡。理由は「機密情報の取り扱いに重大な懸念がある」。当然だ。NDAのある案件情報を外部サービスに入力した人間を雇う企業はない。
1月18日 現職の上司に呼び出される。転職先の人事から「御社の案件情報が外部に漏洩している可能性がある」と連絡があったらしい。上司の顔が般若だった。
1月20日 社内調査が始まる。情報システム部が俺のPC履歴を解析。AIサービスへのアクセスログが大量に出てくる。うわあって自分でも思った。
1月25日 クライアントの金融機関に報告が行く。先方のセキュリティ部門がガチギレ。損害賠償の可能性を示唆される。
2月1日 懲戒処分の通知。諭旨退職。要するに自分から辞めろ、さもなくば懲戒解雇だ。退職金は大幅減額。
2月3日 嫁にすべてを話す。嫁は最初、状況を理解できてなかった。理解した後、無言で実家に帰った。だって、嫁と子供の個人情報まで公開されてわけだから。嫁の実家から「娘と孫の情報を消せ。消せないなら弁護士を立てる」と電話が来た。
2月10日 例のAIサービスに削除依頼を出す。返事が来たのは3週間後。削除処理には通常30営業日を要します。その間もGoogleのキャッシュには残り続ける。
消えないデジタルタトゥーとして最も絶望的だったのは、一度インデックスされた情報の消去がほぼ不可能だったことだ。
Googleに削除依頼を出した。でも「公開されたURLのコンテンツがまだ存在するため対応できません」と返ってきた。元サービスのページが消えるまでキャッシュは残る。元サービスの削除は30営業日待ち。その間にアーカイブサービスにも魚拓が取られていた。
なぜ魚拓を取られていたか。
5chのセキュリティ板に「AIサービスから個人情報がダダ漏れになってるやつまとめ」というスレッドが立っていて、俺のケースが好例としてリンクされていたからだ。
俺の名前、年収、家族構成、健康診断の結果、転職活動の経緯が、見知らぬ人たちの間で面白おかしく語られていた。
俺の今の状況だが、3月。無職。実家で一人暮らし。嫁と子供は嫁の実家にいる。離婚届はまだ届いてないが、時間の問題だと思う。
前職のクライアントからの損害賠償は弁護士を通じて交渉中。金額はまだ確定していないが、弁護士の見立てでは「最悪、数百万円」。保険は効かない。
再就職のめども立たない。俺の名前で検索すると、いまだに色々出てくるからだ。面接で「何か懸念事項はありませんか」と聞かれて正直に話すと、その場の空気が凍る。
最後に伝えたいことは、「AIに個人情報を入れるな」。これだけだ。
学習に使われないから大丈夫じゃない。そもそもサービスの仕様やバグで公開されるリスクがある。設定を間違えるリスクがある。そのサービスがハッキングされるリスクがある。サービスが方針を変更するリスクがある。
俺が一番バカだったのは、便利だからというだけの理由で、個人情報のマスキングを一度もしなかったことだ。
名前をイニシャルにする。住所を市区町村まででとめる。社名をA社にする。年収をX万円にする。それだけでよかった。30秒の手間で済んだ。その30秒をケチった結果が、これだ。
多分これを読んでる人の中にも、職務経歴書をそのまま貼ってる人、社内文書をそのまま突っ込んでる人、たくさんいると思う。
頼むから、俺みたいになるな。
Bent my ear to hear the tune and closed my eyes to see