Kopiointi-liittämis-ongelma
77 % yrityksen tekoälykäyttäjistä kopioi ja liittää dataa chatbot-kyselyihin. Tämä ei ole marginaalinen käyttäytyminen. Se on oletustapa, jolla työntekijät käyttävät tekoälytyökaluja töissä.
Kaava on yksinkertainen. Työntekijä kohtaa tehtävän. Hän avaa asiakirjan, kopioi asiaankuuluvan tekstin ja liittää sen ChatGPT:hen. Hän saa hyödyllisen vastauksen.
Mikään tässä työnkulussa ei suodata henkilötietoja. Liittäminen tapahtuu ennen kuin hän kysyy: "sisältääkö tämä PII:tä?" Siihen mennessä, kun hän lukee tekoälyn vastauksen, lähetys on valmis.
Cybehavenin tutkimus havaitsi, että lähes 40 % tekoälytyökaluihin ladatuista tiedostoista sisältää PII- tai PCI-dataa. Useimmat noista latauksista eivät ole holtittomia. Työntekijät työskentelevät hänelle määrätyn tiedoston parissa. Asiakasdata siinä on sivutuote.
Miksi koulutus ei skaalaudu
Poliittinen koulutus kohtaa rakenteellisen rajoituksen. Se yrittää muuttaa tapakäyttäytymistä jaksottaisen koulutuksen avulla.
Koulutusistuntojen välinen kuilu on ongelma. Useimmat yritysten ohjelmat järjestetään vuosittain. Tammikuussa tekoälyn tietojenkäsittelystä koulutettu työntekijä toimii tottumuksesta lokakuuhun mennessä. Muistaminen heikkenee. Tavat pysyvät.
Maaliskuussa 2025 ehdotettu HIPAA:n tietoturvasäännön päivitys heijastaa tätä. Se edellyttää vuosittaisia salauksen auditointeja — ei pelkästään vuosittaista koulutusta. Sääntelyviranomaiset odottavat teknisten kontrollien olevan ensisijainen suojatoimenpide. Koulutus on täydennys.
Tekoälytyökalut tekevät koulutusongelmin pahemmaksi. Käyttäytyminen on uutta. Työntekijät eivät kehittäneet tekoälyn tietojenkäsittelytottumuksia kymmenen vuotta sitten samalla tavalla kuin sähköpostissa. Ja vuoto on näkymätön. Työntekijä näkee hyödyllisen vastauksen. Ei virheilmoitusta. Ei välitöntä negatiivista palautetta.
Ilman palautetta käyttäytyminen ei korjaannu itsestään.
Kuinka Chrome-laajennus sieppaa liittämisen
Chrome-laajennus toimii leikepöytätasolla. Se istuu kopiointitoiminnon ja tekoälytyökalun syöttökentän välissä.
Sieppaus toimii näin. Työntekijä kopioi tekstin työsovelluksestaan. Hän vaihtaa ChatGPT-välilehteen ja liittää. Laajennus havaitsee PII:n leikepöydän sisällössä liittämishetkellä — ennen kuin sisältö näkyy syöttökentässä.
Esikatselumodaali ilmestyy. Se näyttää tarkalleen, mitä muuttuu:
"Asiakkaan nimi 'Maria Schmidt' → '[PERSON_1]'; Sähköposti 'maria.schmidt@company.de' → '[EMAIL_1]'"
Työntekijä voi jatkaa anonymisoidun version kanssa. Hän voi myös peruuttaa, jos korvaus ei toimi hänen tehtävänsä kannalta.
Tämä rakenne tekee kaksi asiaa. Ensinnäkin se on läpinäkyvä. Työntekijät näkevät, mitä työkalu tekee. Se rakentaa luottamusta ja välttää tunteen, että tietosuojakontrollit ovat valvontaa. Toiseksi se tekee luokittelupäätöksen eksplisiittiseksi. Ihminen vahvistaa jokaisen anonymisointiasteen. Päätöstä ei automatisoida pois.
Käytännön esimerkki
Harkitse eurooppalaisen verkkokauppayrityksen asiakaspalvelutiimiä. Agentit käyttävät ChatGPT:tä vastausten luonnoksiin. He liittävät asiakassähköposteja, jotka sisältävät nimiä, tilausnumeroita ja osoitteita.
Laajennuksen ollessa aktiivinen jokainen liittäminen käynnistää anonymisointitarkistuksen. Agentti lähettää anonymisoidun kehotteen. ChatGPT:n vastaus viittaa anonymisoituihin tunnuksiin. Agentti lukee ehdotukset ja sisällyttää ne todelliseen vastaukseen.
Tuen laatu pysyy korkeana. GDPR:n 5. artiklan tietojen minimointi toteutuu. Asiakkaan henkilötiedot eivät koskaan saavuta OpenAI:n palvelimia.
Poliittinen koulutus ei voi tuottaa tätä tulosta. Tekninen kontrolli leikepöytätasolla voi.
Politiikka täydennyksenä, ei ensisijaisena kontrollina
Poliittisella koulutuksella on paikkansa. Se asettaa odotuksia. Se rakentaa perustietoisuuden. Mutta se ei voi siepata liittämistä reaaliajassa.
HIPAA:n säännön päivitys signaloi, mihin vaatimustenmukaisuus on menossa. Auditoitavat tekniset kontrollit, ei vain dokumentoidut koulutusohjeet. Yritykset, jotka tukeutuvat pelkästään koulutukseen, kohtaavat auditointivajeen, jonka voi täyttää vain tekninen taso.
Katso myös: