【個人情報漏洩リスク】チャットボットのセキュリティってどうなっているの?DX推進の観点から情報漏洩リスクを考える
チャットボットは業務効率化や担当者の負担軽減、利便性の向上などに役立つツールであることから、DXを推進している企業を中心に導入が進んでいます。
しかし、チャットボットのセキュリティに対して疑問や不安を感じている方もいらっしゃるのではないでしょうか。
今回はチャットボットにおけるセキュリティ上の懸念点を始め、情報漏洩が企業に及ぼす影響やセキュリティに強いチャットボットの選び方、企業で行うべきセキュリティ対策について解説します。
チャットボットのセキュリティ対策への理解を深めたいという方の参考になれば幸いです。
チャットボットにおけるセキュリティ上の懸念点
チャットボットはDX推進という観点からも非常にメリットの大きいツールですが、他のサービスと同様にセキュリティ上の懸念点があるのも事実です。主な懸念点としては以下のようなものがあげられます。
- データ漏洩のリスク
- フィッシング攻撃を受けるリスク
- サービス妨害をされるリスク
それぞれ詳しく解説します。
データ漏洩のリスク
チャットボットに提供した個人情報などの機密情報が、不正アクセスなどによって外部に漏洩してしまうリスクです。
具体的には個人の住所や個人識別情報(PII)、クレジットカードの情報など、ユーザーの情報が外部に流出してしまう可能性が考えられます。
フィッシング攻撃を受けるのリスク
フィッシング攻撃とはサーバー攻撃の一種であり、ユーザーを騙して機密情報を引き出されることを指します。
具体的にはチャットボットを通じて、銀行の暗証番号やログイン情報などを尋ねるメッセージをユーザーに送るなどといった手口が使われます。
サービス妨害をされるリスク
チャットボットサーバーに大量のリクエストを送るなどして負担をかけ、正常なサービスを妨害する、サービス妨害攻撃(DoS)や分散型サービス妨害攻撃(DDoS)を受けるリスクです。
これによりチャットボットは正常なサービスが提供できなくなり、サービスの遅延や停止が起きる可能性があります。
企業に及ぼす影響
前述の懸念点が現実に起きてしまった場合、企業には大きな影響が及ぶことになります。考えられる影響には以下のようなものがあげられます。
- 企業に対する信用が低下する
- 業績が悪化する
- 指導や罰則を受ける
- 損害賠償責任が発生する
- 事業の停止・廃業に追いやられる
それぞれ詳しく解説します。
企業に対する信用が低下する
情報が漏洩した場合、セキュリティ対策が不十分な企業と認識されてしまい、信頼が大きく低下してしまう恐れがあります。近年は個人情報の取り扱いが厳しくなっていることもあり、メディアやSNSで取り上げられる可能性も高く、世間が持つ企業イメージ悪化に繋がります。
業績が悪化する
企業の信頼が低下することにより、業績にも影響が出ると考えられます。自社商品の売上低下や取引先企業との契約終了など、さまざまなところに影響を及ぼし、業績が悪化する可能性があります。
指導や罰則を受ける
企業が個人情報保護法に違反する行為をしたとみなされると、個人情報保護委員会から指導や改善命令を受ける場合があります。もしも改善策を施さなかった場合、個人情報保護法第178条により「1年以下の懲役または100万円以下の刑事罰」が科される可能性もあります。
(引用:個人情報保護委員会公式HP)
以前は「6か月以下の懲役または30万円以下の罰金」だった罰則が見直され、より刑の重い処罰になっていることからも、セキュリティ対策に対する意識の高さが求められていると考えられます。
損害賠償責任が発生する
サイバー攻撃を受け情報を漏洩させてしまった場合、ユーザーへ大きな損害を被らせたとして損害賠償責任が発生する可能性があります。もしもクレジットカードが不正利用されていたとしたら、高額な料金を請求される場合もあり被害額は膨大なものとなります。
事業の停止・廃業に追いやられる
前述のような信用・業績の低下や損害賠償責任を問われる事態になった場合、事業を続けることが困難になり、最悪の場合は廃業を余儀なくされる場合があります。取り扱う情報の粒度に限らず、セキュリティ対策の重要性についてきちんと認識しておきましょう。
セキュリティ対策の観点から考えるチャットボットの選び方
チャットボットから情報漏洩させないためには、セキュリティ対策が施されているチャットボットを選定することが重要です。セキュリティに強いチャットボットを選ぶためのチェックポイントは以下のようなものがあります。
- IP制限や暗号化などの対策がされている
- ベンダーが情報セキュリティ認証を取得している
- セキュリティレベルが自社にマッチしている
- 大企業への導入実績がある
それぞれ詳しく解説します。
IP制限や暗号化などの対策がされている
IP制限やデータの暗号化などのセキュリティ対策が施されているチャットボットであるかを確認するようにしましょう。主に以下のような機能やサービスがあるかをチェックしてみてください。
- IPアドレスによるアクセス制限機能
- 通信データ・保存データの暗号化機能
- 不正アクセスなどの異常検知機能
- ログ管理機能
- 安全性の高いサーバー・データベースの利用
- 技術者によるシステム・サーバーの監視
それぞれ詳しく解説します。
IPアドレスによるアクセス制限機能
特定のIPアドレスからのアクセスのみを許可する機能です。不特定多数や第三者によるアクセスを制限することで、不正アクセスを防止する役目があります。
通信データ・保存データの暗号化機能
通信データや保存データを暗号化することで、不正アクセスや情報漏洩を防止する機能です。また、万が一データが盗まれてしまったとしても、解読されにくくする役割があります。
不正アクセスなどの異常検知機能
不正アクセスなどの異常があった場合、即座に検知することで情報漏洩を防ぐことに繋がります。具体的には不正アクセス検知システム(IDS)や異常検知システム(ADS)が導入されているかを確認するようにしましょう。
ログ管理機能
チャットボットの対応履歴などをログとして管理することで、問題や異常が発生した場合の原因究明と対処を即座に行うことが出来るようになります。ログは定期的にチェックするようにしましょう。
安全性の高いサーバー・データベースの利用
ベンダーが安全性の高いサーバーやデータベースを利用していれば、不正アクセスや情報漏洩のリスクを下げる効果が期待できます。チャットボットを選定する際は、ベンダーが利用しているサーバーやデータベースについても確認するようにしましょう。
技術者によるシステム・サーバーの監視
日々変化する不正アクセスの手口に対処するためには、日々の監視が欠かせません。専門の技術者がシステムやサーバーの監視を行ってるベンダーのチャットボットであれば、より高い安全性が期待できます。
ベンダーが情報セキュリティ認証を取得している
情報セキュリティ認証とは「企業や組織が情報資産を正しく取り扱っていることを第三者機関が証明する制度」であり、まずはチャットボットのベンダーがこの認証を取得しているかを確認するようにしましょう。情報セキュリティ認証には以下のような種類があります。
| 種類 | 概要 |
Pマーク(プライバシーマーク) | 個人情報を適切に管理しているという日本産業規格認証 |
ISO/IEC27001 | 情報マネジメントシステムに関する国際規格認証 |
ISO/IEC27017 | クラウドサービスの情報セキュリティに関する国際規格認証 |
JISQ15001 | 個人情報保護法に関する日本産業規格認証 |
これらの認証を取得している企業は、セキュリティ対策の意識を高く持っていると判断して良いでしょう。チャットボットを選定する際は、ベンダーについてもきちんと調べることをおすすめいたします。
セキュリティレベルが自社にマッチしている
セキュリティ対策として求めるレベルは企業によっても異なるため、提供される対策レベルが自社とマッチしているかを確認するようにしましょう。具体的にはログの保存期間や技術者による監視頻度など、求めるレベルによっては有料オプションになることも考えられますので、あらかじめ確認しておくことをおすすめいたします。
大企業への導入実績がある
大企業は一般的な企業と比較しコンプライアンスが厳しい傾向にあるため、大企業への導入実績があるチャットボットは優れたセキュリティ対策が施されている可能性が高いと判断できます。チャットボットを選定する際には導入している企業を確認することで、ある程度のセキュリティ対策レベルを判断する材料になると言えます。
セキュリティを強化するために自社で出来ること
セキュリティ対策が施されたチャットボットを導入するだけではなく、企業としても個人情報漏洩を防ぐために対策を行う必要があります。主な対策方法は以下のようなものがあります。
- 適切な運用
- 定期的なセキュリティ評価と更新
- 社員へのセキュリティ教育
それぞれ詳しく解説します。
適切な運用
チャットボットを適切に運用することが、個人情報漏洩などのリスク対策を行う上では大前提です。具体的には操作方法や注意点、問題発生時の対処方法などのマニュアルを遵守するようにしましょう。マニュアルに沿って適切に運用することで、不適切な利用や操作ミスを防ぎ、セキュリティリスクを下げることに繋がります。
定期的なセキュリティ評価と更新
セキュリティ対策は一度整備したら終わりではなく、対策内容を定期的に評価・更新をすることが重要です。サイバー攻撃の手口は日々変化しており、いつ自社のチャットボットが標的にされてしまってもおかしくありません。定期的にセキュリティ対策が十分なものであるかを評価し、更新が必要な場合は後回しにせずすぐに対処するなど、セキュリティ基準を維持し続ける努力が必要です。
社員へのセキュリティ教育
全社員のセキュリティ意識を高めることも重要なポイントです。一部の社員でセキュリティ対策に十分な配慮をしていても、そうではない社員によってチャットボットが外部の脅威に晒されてしまうリスクは十分にあります。個人情報漏洩のリスクについて全社員が共通の認識を持つよう、定期的にセキュリティ教育を実施するなどの対策を行うことをおすすめいたします。
セキュリティ対策について理解を深め、チャットボットを効果的に活用しよう
チャットボットはDX推進の観点からも、業務効率化など非常に沢山のメリットがあるツールですが、他のサービスと同様にセキュリティ上の懸念点も存在します。個人情報が漏洩してしまった場合、企業は大きな被害を被る可能性があります。
チャットボットのセキュリティ対策を万全にするには、セキュリティ対策が施されたチャットボットを選定すること、セキュリティ対策意識の高いベンダーを選ぶことが大切です。
また、企業としても適切な運用を心がけることや定期的にセキュリティを見直すこと、社員のセキュリティ教育を徹底するといった努力も必要です。
チャットボットのセキュリティ上の懸念や対策方法について十分理解し、安全に運用することでチャットボットを効果的に活用していきましょう。
トゥモロー・ネットではAI型チャットボットを提供しています
トゥモロー・ネットが提供するCAT.AIは、ボイスボット(音声対話AI)とチャットボット(テキスト対話AI)を同時に使用できる最新型の「ナビゲーション型」対話AIです。
ボイスボットの利点とチャットボットの利点を最大限に活かし、初めて使うユーザーにもわかりやすく「ナビゲーション」することで、AI対応の完了率を向上してくれます。
もちろん保存期間の設定等のセキュリティ対策も行っており、簡単にデモ体験も実施いただけますので、是非お問い合わせください。
この記事の筆者
株式会社トゥモロー・ネット
AIプラットフォーム本部
「CAT.AI」は「ヒトとAIの豊かな未来をデザイン」をビジョンに、コンタクトセンターや企業のAI対応を円滑化するAIコミュニケーションプラットフォームを開発、展開しています。プラットフォームにはボイスボットとチャットボットをオールインワンで提供する「CAT.AI CX-Bot」、生成AIと連携したサービス「CAT.AI GEN-Bot」を筆頭に6つのサービスが含まれ、独自開発のNLP(自然言語処理)技術と先進的なシナリオ、直感的でわかりやすいUIを自由にデザインし、ヒトを介しているような自然なコミュニケーションを実現します。独自のCX理論×高度なAI技術を以て開発されたCAT.AIは、金融、保険、飲食、官公庁を始め、コンタクトサービスや予約サービス、公式アプリ、バーチャルエージェントなど幅広い業種において様々なシーンで活用が可能です。
