ブログ

, 2025年04月10日

PII Sanitization – LLMやAIエージェントにおける個人情報保護がより容易に

英語によるオリジナルはこちらでご覧いただけます。

個人情報保護はLLMやAIエージェントのユースケースにとって不可欠であり、より効率的な方法をご提供します。

大規模言語モデル(LLM)やAIエージェントに対する期待の高まりは当然のことです。これらのシステムは、要約、生成、推論、さらにはAPIを介したアクションの実行まで、すべて最小限の人的介入で実行することができます。しかし、企業がLLMを現実のワークフローに統合しようと急ぐ中、特に規制環境下で業務を行っている場合や、機密データを扱っている場合、根本的な疑問が浮かび上がります。

これらのシステムから個人を特定できる情報(PII)が漏洩、公開、悪用されないように保護するにはどうすればよいのか?

LLMは強力ながらプライバシーには無防備

LLMは、非常に優れた非決定論的なパターン照合機として動作します。しかし、プライバシーに関する2つの重大な課題があります。

  • 機密データと非機密データを自動的に区別しない
  • 基本的に忘却や監査の機能を持たない

ユーザーの生の入力、内部ログ、構造化されたデータを何の保護策も講じずにLLMに直接渡した場合、氏名、Eメール、クレジットカード、健康情報などが漏洩するリスクがあります。

さらに懸念されるのは、LLMがこのデータを記憶し、関連のない文脈で再現する可能性があることです。特に、そのデータがプロンプトやエージェントのメモリに頻繁に表示される場合、その可能性は高くなります。

数週間後に、まったく異なる問い合わせに顧客の社会保障番号が表示されることを想像してみてください。このようなことは実際に起こります。少なくとも起こり得ます。この可能性は、消費者向け製品または社内生産性エンジンとして、実際に実用レベルのAIサービスを展開しようとしているあらゆる組織にとって、即座にNGとなり、妨げとなる可能性があります。

AIエージェントの活用が広がる前に問題を解決しておかなければならない

AIエージェント(LLMとメモリ、API、意思決定を組み合わせたシステム)には、このリスクをさらに広げる危険性があります。

  • ツールの使用:エージェントが機密性の高いパラメータでAPIに問い合わせを行う可能性がある。
  • 複数回のやり取り:PIIが長時間のセッションにわたって持続する可能性がある。
  • 自律性:エージェントがログを書き込んだり、メッセージを保存したり、下流に情報を共有したりする可能性がある。これらはすべて明確な境界やデータ契約なしに行われる。

その結果、PIIの行き先を制御できなくなり、モデルが何を見たり言ったりしたかを簡単に追跡できなくなります。これは企業環境にとってコンプライアンスとセキュリティの悪夢となります。

最も根本的な対応は個人情報の除去

LLMやエージェントと安全に構築するには、PIIのサニタイズ処理をフローに組み込む必要があります。後付けで追加するのではなく、組み込むのです。

つまり、入力(リクエスト)、生成(レスポンス)、およびインタラクション(プロンプト/記憶)のポイントでデータを傍受し、管理する必要があります。次のことを確実にしたい場合です。

  • 安全な編集済みのデータのみがLLMに到達する
  • 生成中に機密トークンやコンテキストが漏洩しない
  • 下流の消費者およびログには生PIIが含まれない

PIIのサニタイズは単に名前を隠すことだけではありません。特に、エージェントワークフローやインタラクションによってインタラクションの表面が大幅に拡大される場合には、AIのインタラクション表面全体にわたるコンテキストデータの制御が重要となります。

個人情報保護の現状

今日、多くのチームがこのリスクを管理するために、臨機応変なソリューションを構築しようとしています。具体的には、正規表現ベースの削除ライブラリを組み込んだり、迅速なエンジニアリングのベストプラクティスを活用したり、入出力から機密データを削除するための前処理および後処理レイヤーを追加したりしています。場合によっては、開発者がフィルターをハードコードしたり、外部のデータ損失防止(DLP)ツールを使用して潜在的な漏洩を警告したりすることもあります。

これらのアプローチは管理された環境では効果的ですが、一貫性、可視性、拡張性に欠けることが多く、動的なマルチモデルアーキテクチャ全体でコンプライアンスを確保し、信頼を維持することは困難です。

これは、組織が多くの異なるモデルを使用しており、それらのモデル内のデータへのアクセスを望む多くの異なるクライアントや消費者を持つ場合に特に当てはまります。ユースケースが発生するたびに、開発者は別のアドホックなサニタイズメカニズムを構築し、実装することになります。単発のアドホックな API 認証の問題と同様に、これはガバナンスとセキュリティの悪夢を招く結果となります。

もし組織が拡張可能な一貫した PII サニタイズの実施に関心がある場合、最善の方法は実際の PII サニタイズを可能な限り開発者から抽象化することです。プラットフォームチームは、組織内のあらゆる(または潜在的にあらゆる)LLM エクスポージャーのユースケースに適用できる標準ポリシーとして、一貫した PII サニタイズを可能にする AI インフラストラクチャに投資すべきです。

ここで登場するのが、AI ゲートウェイ、そして Kong の AI Gateway PII サニタイズポリシーです。

AIの実験段階を終え、実用可能なAIシステムに移行する方法についてもっと詳しく知りたいですか? 最新ウェビナーで、最先端のAIインフラストラクチャで真のAI価値を創出する方法をご覧ください

スケーラブルな個人情報漏洩防御手段としてのAI Gateway

APIゲートウェイがAPIトラフィックを管理、保護、変換し(また、このために必要なロジックをバックエンドのAPIレイヤーから抽象化する)、AIゲートウェイがLLMトラフィックの制御、可視性、ポリシーの適用を実現するのと同様に、AIゲートウェイはLLMトラフィックの制御、可視性、ポリシーの適用を実現します。理想的には、PIIのサニタイズ機能が組み込まれており、PIIのサニタイズロジックをLLMレイヤーやアプリケーションレイヤーから抽象化します。

ちょうど今、私たちはまさにこのことを可能にするまったく新しいPII サニタイズポリシーをリリースしたところです。

実際の動作は次の通りです。

1. ポリシー設定:プロデューサーは、特定の種類のPIIのすべてのインバウンドリクエストを自動的にサニタイズするサニタイズプラグインを設定します。

2. インバウンド:クライアントアプリがユーザーリクエストをAIゲートウェイに送信します。ゲートウェイは、LLMに転送する前に、PII(名前、メールアドレスなど)を検出し、削除します。

3. LLM とのやりとり: 機密情報がモデルに到達しないよう、クリーンアップされたデータでプロンプトが処理されます。

これにより、AI ゲートウェイはアプリケーションとモデル間の信頼できるポリシー施行ポイントとなります。しかし、それで十分でしょうか?

AI Sanitizer プラグインを使用してPII のクリーンアップを開始する方法について、さらに詳しく学んでください。

グローバルポリシー、Control Plane Group、およびAPIOpsによるPIIのサニタイズとAIセキュリティの構築

実際この機能を持つAIゲートウェイを導入するだけでは、適切なAIセキュリティとPIIの大量のデータにおけるサニタイズを徹底するには不十分です。

AIセキュリティの他のレイヤーについてもプラクティスを構築する必要があります。つまり、AIゲートウェイのPIIサニタイズ機能と、コンテンツの安全性、迅速な保護、レート制限などの他のレイヤーの保護機能を組み合わせる必要があります。そして、AIのガバナンスとセキュリティを大規模に推進するには、マルチレイヤーの保護機能と、AIゲートウェイインフラストラクチャのプロビジョニングとガバナンスに対するフェデレーションプラットフォームアプローチから得られる機能とを組み合わせる必要があります。

Kongは、業界で最も堅牢なAIゲートウェイと、Kong KonnectのControl Plane Group、グローバルポリシー、API運用のプラットフォームパワーを統合することで、これらすべてを実現します。 どのように機能するのでしょうか?

Control Plane Groupの概念については、こちらの動画で説明していますが、簡単にまとめると次のようになります。

1. プラットフォームの所有者は、Konnect内でコントロールプレーングループを作成できます。通常は、事業部門や異なる開発環境にマッピングされます。

2. Control Plane Groupが作成されると、プラットフォームの所有者はそのグループに対してグローバルポリシーを設定することができます。この例では、このグループに属するすべてのAI Gatewayインフラストラクチャに対して、PIIの無害化ポリシーを譲歩の余地のないポリシーとして適用することができます。

3. 今後、この特定のチームの誰かが LLM のエクスポージャーのユースケース用に Gateway インフラストラクチャを立ち上げる際には、PII サニタイズポリシーが自動的に構成され、適用されます。

このアプローチが何を行うのかに注目してください。 すでに述べたように、AI Gateway は LLM またはクライアントアプリ層から PII サニタイズロジックを抽象化します。しかし、より大規模なプラットフォームが導入されると、プラットフォームのオーナーは、開発者からPII サニタイズポリシーの実際の設定を抽象化することもできます。これにより、ポリシー設定におけるヒューマンエラーの可能性が低減し、開発者のワークフローからさらに別のタスクが削除されるため、開発者はAI機能の構築に集中できるようになり、その機能の上にセキュリティロジックを構築する必要がなくなります。

1つ注意すべき点:上記のプロセスは手動で「クリック操作」中心でした。しかし、Kongで私たちが取り組んでいるすべてのものと同様に、このようなベストプラクティスを自動化とAPIOpsによって実施することが最善策であると信じています。最終的には、「コードとしてのAIガバナンス」プログラムを実現し、人的エラーの余地を可能な限り最小限に抑えることができるでしょう。

Kongは、以下のサポートにより、APIOpsをシンプルにします。

  • 完全に文書化された管理 API による命令型構成
  • decK CLI ツールおよび/または Terraform プロバイダーによる宣言型構成(Kubernetes 以外のチーム向け
  • Gateway Operator による Kubernetes チーム向けの宣言型構成

最後の考察と、この思想を組織上層部に伝えるために

API、ゲートウェイ、ゲートウェイポリシーなどについて話す場合、会話が技術的な細部にまで入り込んでしまうことがよくあります。しかし、こうした技術的な議論は必要不可欠ですが、そこで会話が始まり、終わるべきではありません。

AIとAPIの活用で最も成功を収めている企業は、ビジネス価値の観点からAIとAPIプラットフォーム戦略を考えることから始め、そこから話を進めています。これは理にかなっています。なぜなら、APIはAIのストーリーの主役だからです。そして、AIは多くの企業のイノベーションと破壊のストーリーの主役です。

PIIのサニタイズは、ビジネスへの影響に関する議論の領域に属するものです。 もしあなたがビジネスリーダーたちと会議室にいるときに、AI向けKong APIプラットフォームを導入することのビジネス価値を理解してもらう必要がある場合、AIのガバナンスとPIIのサニタイズがどれほど重要であるかを理解してもらうようにしてください。

  • デフォルトでのコンプライアンス:すべてのAI、LLM、エージェントのワークフローに、GDPR、HIPAAなどのコンプライアンスを自動的に組み込む
  • 信頼とブランドの評判:ユーザー、顧客、社内関係者から
  • クリーンなデータとイノベーション:クリーンなデータを確保しやすくなれば、そのデータをトレーニング、監査、より大規模なAIイノベーションの実践における再利用に利用する安全性が高まります
  • 市場投入までの時間の短縮:AIのコンプライアンスとPIIのサニタイズに対する現在の手動のアプローチを抽象化し自動化することで、AIの導入を促進しやすくなり、最終的にはより迅速にイノベーションを市場に投入できるようになります

LLMsやAIエージェントは、センシティブなデータに対して本質的に安全というわけではありませんが、そうすることは可能です。より大きなAPIプラットフォームの取り組みの一環として、PIIの消去機能を内蔵したAIゲートウェイのような適切なインフラストラクチャパターンを使用すれば、信頼性、コンプライアンス、安全性を損なうことなく、これらのシステムの能力を最大限に引き出すことができます。

未来のAIを構築しているのです。責任を持って構築していることを確認してください。お手伝いが必要な場合は、お気軽にご相談ください。