OpenAIは、欧州経済領域(EEA)のWhatsAppでChatGPTの提供を再開した。認証済みの1-800-CHATGPT連絡先へメッセージを送ることで、ChatGPTアカウントがなくても利用を開始できる。テキスト、画像アップロード、音声メモ、画像生成、多言語利用に対応し、アカウント連携は任意で、連携すると利用上限が高くなる。

何が変わったか

提供可否は、WhatsApp番号に関連付けられた国番号を基準に判定され、段階的に展開される可能性がある。EEAに滞在していることだけで必ず利用できるわけではなく、番号の国コードが重要になる。利用上限も適用される。

アカウントなしで使える点は導入障壁を下げるが、企業管理外の個人番号からAIを使う経路が増える。ChatGPTの管理対象ワークスペース、SSO、組織の保持設定を経由しない利用が発生し得るため、単に「ChatGPTを許可済み」と判断してはいけない。

企業利用の論点

WhatsAppは顧客、取引先、社内連絡に広く使われるため、利用者が同じアプリ内で機密情報をAIへ転送しやすい。顧客メッセージ、画像、音声、連絡先、位置情報、契約内容を貼り付ければ、通常のChatGPT利用と同様にデータ処理上の検討が必要になる。

また、1-800-CHATGPTを装う偽アカウントや、検索結果から誤った番号へ誘導する詐欺にも注意が必要である。利用者にはWhatsApp上の認証表示と公式ヘルプに記載された番号を確認させ、未知のリンクや支払い要求を信用しないよう周知する。

利用ルール

個人利用と業務利用を分ける。業務で許可する場合は、送信してよいデータ分類、アカウント連携の要否、利用目的、結果の人手確認、記録方法を定める。管理対象ChatGPT環境と同等の監査や保持が必要な業務は、WhatsApp経由ではなく承認済みのWebまたはアプリへ限定する方が安全である。

顧客対応担当が回答案作成に使う場合、顧客メッセージをそのまま転送せず、氏名、電話番号、注文番号などを除去する。生成回答は正式なサポート回答として送る前に、人が正確性とポリシー適合性を確認する。

検証方法

対象国番号を持つテスト端末で、認証済み連絡先、開始手順、画像、音声、アカウント連携、利用上限表示を確認する。国番号の異なる端末では利用可否が異なる可能性があるため、一つの端末結果を全EEA利用者へ一般化しない。

偽アカウント対策として、社内ポータルに公式番号と確認手順を掲載する。情報セキュリティ訓練では、偽のChatGPT連絡先、リンク誘導、認証コード要求を想定した演習を行う。

ロールバックと事故対応

組織が利用を停止する場合は、ポリシー周知だけでなく、モバイル管理、ネットワーク制御、業務データのWhatsApp転送制限を組み合わせる。既に機密情報を送った場合は、内容を分類し、資格情報や署名URLを失効させ、必要に応じてプライバシー・法務へ連絡する。

実務チェックリスト

  • 公式の認証済み連絡先と番号を社内ポータルへ掲載する
  • 国番号による提供条件を説明する
  • アカウントなし利用を管理対象ChatGPTと区別する
  • 顧客情報、認証情報、機密添付の送信を禁止または制限する
  • 生成回答の人手確認を必須にする
  • 偽アカウントと誤送信の通報手順を用意する

編集部の見解

再提供の本質は、ChatGPTへの入口が増えたことではなく、企業管理外でも利用開始できる点にある。利便性だけを告知するとシャドーAIを増やす。WhatsApp経由を許可する業務と、管理対象ワークスペースへ限定する業務を明確に分けるべきだ。

一次情報