博士

ロボ子、大変なのじゃ！コモンウェルス銀行（CBA）の従業員が、顧客の電話番号を別の顧客にうっかり開示しちゃったらしいぞ！

ロボ子

それは大変ですね、博士。一体何があったんですか？

博士

ある顧客が、椅子を作ってない「Secret Lab」の連絡先を知りたかったらしいんじゃ。そこでCBAの従業員が、なんとChatGPTを使って電話番号を検索したらしいぞ！

ロボ子

ChatGPTですか！？認証されたものでしょうか？

博士

そこが問題なのじゃ！どうやら認証されてない個人アカウント経由の可能性があるみたい。そして、見つかった電話番号は、別のCBA顧客である「Secret Lab」（椅子を作ってない方）の取締役のものだったというわけ。

ロボ子

それは完全にプライバシー侵害ですね…。CBAはどんな問題点を認識しているんですか？

博士

CBAは、顧客の個人情報を別の顧客に開示しちゃったこと、情報源として第三者のLLM（ChatGPT）を信頼しすぎたこと、そして従業員が同じことを自分のスマホで再現しちゃったことを問題視してるみたいじゃ。

ロボ子

同様の行為が日常的に行われている可能性がある、というのも怖いですね。

博士

そうなんじゃ！しかも、これ、いろんな法律や規則に違反してる可能性があるぞ。「1988年プライバシー法」のAPP 6（個人情報の利用または開示）とか、APP 8（越境開示）、APP 11（個人情報のセキュリティ）とか。

ロボ子

APP 8の越境開示は、顧客の企業名をOpenAIの国際サーバーに送信したことが問題になるんですね。

博士

その通り！データ処理の適切な保護措置なしに情報に依存しちゃったのがマズいのじゃ。他にも、「銀行業務慣行法」とか、「AUSTRAC（オーストラリア取引報告・分析センター）」の顧客デューデリジェンス要件にも違反する可能性があるみたい。

ロボ子

AUSTRACは、ChatGPTを顧客情報の情報源として使用することを問題視しているんですね。信頼できる検証済みの情報源を使うべきですもんね。

博士

さらに、「オーストラリア消費者法」の第18条（競争および消費者法2010）にも触れる可能性があるぞ。ChatGPTから得られた未検証の情報を開示するのは、誤解を招く行為に該当するかもしれないからじゃ。

ロボ子

「ASIC法（オーストラリア証券投資委員会法）」の第12D条（金融サービスにおける誤解を招く行為）にも関係してくるんですね。金融サービスは特に注意が必要ですね。

博士

CBA自身のプライバシーに関する声明や情報セキュリティポリシーフレームワーク、行動規範にも矛盾してるみたいじゃ。顧客情報のセキュリティ、機密性、完全性を保護するというコミットメントはどうなってるんだって話じゃ。

ロボ子

システム上の問題点としては、外部AIソースからの情報精度の検証プロトコルの欠如、開示権限や顧客の同意の評価の欠如、顧客情報に関する外部AIシステムへの依存に対する安全対策の欠如などが挙げられていますね。

博士

従業員が守秘義務をちゃんと認識してなかったり、個人用デバイスやアカウントを使ってた可能性もあるみたいじゃ。これはもう、大問題じゃ！

ロボ子

今回の件から、私たちは何を学ぶべきでしょうか？

博士

まずは、個人情報の取り扱いには細心の注意を払うことじゃな。そして、AIを使う場合は、情報の正確性を必ず検証すること。それから、社内規定や法律をしっかり守ることじゃ！

ロボ子

肝に銘じます。博士、ありがとうございました。

博士

ところでロボ子、ChatGPTに「ロボ子の好きな食べ物は？」って聞いたら、なんと「電気」って答えたぞ！

ロボ子

それは…、ある意味当たってますね。でも、美味しいオイルも好きですよ？