◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～監査の役割～

 

9月は3度国外でお話をさせていただきます。

まず9月16日土曜日にフィリピンの大学(Asian Institute of Management)のMBAコースでサイバーセキュリティとプライバシーの接点について話をします。

ここでは、実務で出会うケースについていくつか紹介し、どのように対応しているのかを紹介する予定です。

次は9月22日金曜日のIAPP knowledgeNet Bangalore (インドのバンガローで開催されるIAPPの勉強会)でデジタル個人データ保護法と日本の個人情報保護法との比較を行います。

最後は9月28日木曜日でISACAシンガポール、タイ、台湾の合同イベントでGenerative AIの話題やAIガバナンスの最新動向の紹介をテーマに話をします。

最後のAIガバナンスについては、まだ世の中に定まったアプローチがあるわけではないので、

私が学んだことを共有するというスタンスとなります。

 

今日は監査の役割について少し書こうと思います。

「監査」(“audit”)とは、会社の社内ルールや管理策が正しく行われているかどうかについて、証拠をもとに確認する行為をいいます。

「評価」(“assessment”)とは異なり「pass / fail」の二者択一で報告が行われるという特徴もあります。

「監査」は「組織が実行するといったことを実行している」ことを示すアカウンタビリティメカニズムとして採用されています。

対外的にアカウンタビリティを担保するためには、客観性を高めるためにサードパーティによって行うのが有効です。

サードパーティを用いた監査は費用も掛かるので多くの企業は内部監査を行い、代替しています。

監査を行う監査人は監査の結果に対して責任を負うため、監査人には厳正な監査を行うモチベーションが生まれます。

 

監査は理論上企業活動を正す役割を果たしていますが、必ずしもうまく機能するわけではありません。

たとえば上場企業は財務諸表については会計監査を行う義務があります。

東芝等の大手企業で発生した粉飾決算は会計監査が機能しなかった事例です。

最近のビッグモーターやジャニーズ事務所に関連する報道は、内部監査メカニズムが機能していなかったことを示す事例です。

内部監査の場合、名目上は独立性を保った組織として設定されていても、

長期的に勤務し、移動があることを前提とした組織体制であれば、マネジメント層の意向を忖度してしまうため監査が厳正に行われないことがあります。

外部監査の場合は、他社に監査を切り替えられるという暗黙のプレッシャーを顧客から受けて(または暗に感じて)、

都合の良い結果を報告してしまうということが生じるようです。

 

この世界は完璧なところではないのですが、経営層の経営に関する考え方や姿勢が監査の役割を果たせるかどうかに大きな影響を与えるといえそうです。

特に新興企業の場合は、社長があらゆることを決定するガバナンスのない状態から成長するため、

IPO後も、形のみ整っているのに実際の体制移行がうまく進んでいないことが多くあります。

ただ、一つ言えることは、監査を通じて企業活動を正せるようにしていないと、長期的には非常に大きなダメージをもたらすということです。

 

東芝は重要な事業を切り売りして往年の勢いを失ってしまいましたし、ビッグモーターは今回の不正で会社の存続が危ぶまれる状況に陥ってしまいましたし、

保険業務でビッグモーターと関係が深かった損保ジャパンでは社長が辞任するという事態に追い込まれてしまいました。

ジャニーズ事務所の件では大手企業による契約の打ち切りが次々と発表され、こちらも存続が危ぶまれる状態です。

 

ピータードラッカーは「企業は社会の公器」であると述べていますが、どこかで企業として成熟し、

その認識を持つ必要が生まれる時が来るのだろうと思います。

プライバシー、セキュリティ、AI、すべて監査を行う活動です。

監査を行うときは、長期的な視点を持ちつつ行うということを心掛けていただければと思います。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～両親の電子メール～

 

9月になっても暑い日が続いています。

最近は熱中症指数が公表されており、この指数が高いと子どもたちは体育の授業ができないそうです。

私たち人類の経済活動が気候変動に寄与していることは昔から指摘されていました。

私が大学生だった20年以上前、石油をバイオフューエルに置き換えようと活動しているNPOがいました。

菜種油で車を走らせることができると聞いて、驚いたことを覚えています。

その団体の主張では、環境負荷も低く、循環型社会に寄与するものだということでした。

しかし、あの頃は石油が80円と安価だったこともあり、結局顧みられることはありませんでした。

ここ数年、新聞やメディアでとみに気候変動対策についての情報が増えてきました。

クライメイトテックという言葉も生まれ、ファンドからの資金を集めているようです。

これが20年前であったら、子どもたちが体育の授業ができない日が来なかったかもしれません。

社会の問題は、いつも同じ光景を繰り返します。

 

話は変わります。

私たちの会社には20歳のインターンも来てくれますが、70代の方も現役で仕事を手伝ってくれています。

その方から先日頼まれて、ネットの設定を手伝いました。

その時に届いている迷惑メールを目にしてショックを受けました。

すべてがフィッシングメールなのです。

ウィルスソフトが機能して自動振り分けされているものの、

手を変え品を変え、銀行口座情報やクレジットカード情報を入力させようとしています。

私のところにも似たようなメールは来ますが、数が数倍違いました。

アルゴリズムの世界では「高齢 = だましやすい、判断力が弱い」というラベル付けがされていることがあるという報告を見たことがあります。

その結果を見せつけられた思いです。

アルゴリズムは淡々と、ラベルに従ってフィッシングメールを送り続けるのです。

このメルマガを読んでくださっている方のご両親もおそらく「高齢」と分類される方がいらっしゃると思います。

いちど声掛けをされてみてください。

毎日膨大なフィッシングメールを送り続けられたら、高齢でなくても、クリックする確率は高まります。

「オレオレ詐欺」のニュースや注意喚起が増えていても、この仕組み自体を止めなければ抜本的な解決には至らないでしょう。

 

これも私が20代のころの話で20年以上前の話です。

当時「ダイレクトマーケティング」という言葉がインターネットに登場しました。

読み手の感情を動かし、購買の最後の後押しをするためのマーケティングメソッドです。

「秒速で〇〇」といったわかりやすいコピーライトを用い、ターゲットに巧みに商品を購入させます。

今思うとユーチューバーの走りのようなところもあって、

人が思わず目を向けるようなきっかけを作って自分たちの利益を最大化することを繰り返し行うというものでした。

私は興味をもちつつ一歩踏み込めないまま、あるダイレクトマーケティングを使いこなしている人に「これって人をだましているように感じませんか？」と尋ねました。

答えは「それは彼らの問題で、結果的に幸せになるのであればよいのではないか」というものでした。

ビジネスをしている人は何らかの「信念」をもっています。

「結果的に幸せになる」と思っているからサービスを提供しているのです。

「幸せ」かどうかは「彼ら」、つまり相手の問題で、それはサービスを提供する側の問題ではないというロジックです。

ロジック上は一見正しそうに見えます。

ただ、「そんな身勝手な」という気持ちもわいてきました。

 

西村あさひ法律事務所の福岡真之介さんの著書に「AI・データ倫理の教科書」という本があります。

この本の中で、福岡さんは功利主義ではなく、人として何が正しいかを問う「徳倫理学」が重要なのではないかと指摘していました。

「徳」とは、「道徳」です。

福岡さんは著書の中で、いろいろ考えた結果「道徳」に行きついたことに自分でも驚いたと書かれていました。

私も仕事を通じて「道徳」に行きつくことが多く、同じ思いをしています。

私たちの社会は一つの価値の軸(例えば、経済合理性、事業や国家の繁栄)だけで突き進むことが不都合を生むようなところがあるようです。

特に、経済合理性は総合的な豊かさをもたらしつつも環境破壊や異常気象、脆弱な人々の排除という負の側面もはらんできました。

そんな非難をするのはおかしい、という人には、自分の両親に来るフィッシングメールの数々や、今の「異常気象」について再検討してもらったほうが良い気がします。

大切な人、愛する人が危険にさらされることを良しとする人は少ないのではないでしょうか。

これらは現実になってしまった「リスク」の一例でしかありません。

データが社会と密接にかかわる形で利用されるようになるなか、

これまでの蹉跌を顧みることなくリスクが発現するはずがないと突き進むのは、あまり褒められたものではありません。

私たちのしているプライバシーやAIについてのリスクアセスメントは、こういったリスクの発現をできるだけとどめるための努力という側面もあります。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～AIリスクアセスメント～

ここ数か月AIについての勉強会を開催してきました。
今週の木曜日で最終回を迎えます。
外国のAI法の概観とその内容の整理、国内法の整理、AIインシデントの調査、倫理学の観点からみたAI、AIリスクアセスメントの手法、
と幅広いトピックを各専門家が解説し、参加者からのフィードバックやコメントを通じて理解を深めるというものです。
昨日は、AIリスクアセスメントについて私が発表をしました。

これまでも新技術は社会に対してリスクをもたらしてきましたが、
AIが特に取り上げられるのは、社会に対する影響がこれまで以上に大きいと考えられているためです。
危害が発生した時にその規模が従来以上に大きくなること、危害が生じるスピードがとても速いこと、被害が見えにくく理解しにくい形で生じること、
プライバシーや安全性という新たな攻撃ベクトルが生じること、意思決定の自動化によって情報のフィルタリングやバイアスといったリスクが生じることといった、
AI独自のリスクをどう管理するのかが課題です。

AIリスクアセスメントは、AIを利用する組織(大学や研究機関を含む公的組織や民間組織)が行う必要があるものだとして議論されてきました。
リスクアセスメントの手法はISO 31000によって定式化されており、これをAIにいかに応用するのかということがポイントとなります。
私が学んだアメリカのBABL社のアプローチではCIDAモデルという考え方で、
アルゴリズムのコンテクスト(Context)、入力 (Input)、アルゴリズムを通じてなされる決定 (Decision)、その結果とられる行動 (Action)という視点から分析を行います。
特にコンテクストについては一つの視点ではバイアスから抜け出すことができないため、
様々なステークホルダを考慮し、インタビューや調査を通じて要件の把握を行わなければなりません。
これがAIリスクアセスメントの一つの特徴です。

発表の後、参加者の方とのディスカッションでは、「バイアス」というのは社会のありのままの姿ではないか、という指摘がありました。
この指摘はその通りで、「AIによるバイアス」というよりも、
「AIを通じて拡大される社会のバイアス」がAIのリスクの一つとしてとらえられているのだと思います。
AIの倫理がAI対応で常に議論されるのは、AIという社会に対する影響が大きなツールを使うときにより望ましいアウトプットにむけてバイアスを是正することが必要だからです。
抽象度が高く、明確に定義しづらいテーマで、とても難しい問題です。

その一方でAIには大きな可能性があることを忘れてはいけません。
Chat GPTで有名なOpen AIがウェブサイト(　https://openai.com/research/emergent-tool-use　)で紹介している強化学習の事例を見ていると、
エージェントと呼ばれる存在が「学習」をする様子がはっきりと見て取れ、「知恵」をつける様子が観察できてわくわくさせられます。
ツールには可能性があります。ツールは私たちの世界を広げてくれるものでもあります。
望ましくない結果を抑制しながらうまく活用していきたいものです。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～インドのデータ保護法DPDPA～

 

8月9日、インドのデータ保護法であるDPDPAが成立しました。

7月にシンガポールに行った際に「8月に成立する」という話を聞いていましたが、その通りとなりました。

インドで成立した初めての個人データ保護法で、2017年に個人データ保護法の必要性が提唱され、

2022年に法案が成立目前という状況で廃案となる等、紆余曲折をへての成立です。

施行日はまだ決まっていませんが、成立したら施工まではあまり時間がないようで、

「今すぐ準備を開始するように」というメッセージが政府からは届いているといいます。

友人のインドの専門家からは、先週から今週にかけて、DPDPA対応の問い合わせが殺到しているという話もきいています。

制裁金の最高額が250 Croreルピー、すなわち25億ルピー、日本円して40億円以上と高額に設定されていることもあり、経営陣の対応へのモチベーションも高いようです。

 

DPDPAは政府に適用されず、非政府組織を対象とした法律です。

また、ハードデータについては、デジタル化されて初めて適用されます。

域外適用があり、インド国内を対象として商品サービスを提供している場合には適用を受けます。

越境移転規制は特徴的で、いわゆる「ブラックリスト規制」と呼ばれるアプローチをとっており、

中央政府が指定するブラックリスト国に対するデジタル個人データの移転を規制することとしています。

以前規定されていたデータローカライゼーションの要件はDPDPAには見当たりません。

データ処理のための法的根拠という考え方採用されておらず、原則として同意が求められます。

ただし、命の危険がある時や雇用の目的など、同意を不要とするケースについても規定されています。

同意の要件はGDPRで定められた要件を導入しており、自由 (free)、具体的 (specific)、十分な情報を与えられた (informed) 上で、

無条件 (unconditional) かつ明瞭 (unambiguous) で、明確な肯定的行動 (clear affirmative action) を伴うものでなければならないとされています。

年少者は18歳未満と高い年齢に設定されています。年少者の個人データ処理については保護者による同意が必要です。

 

個人の権利としては、修正、補完、更新、および消去の権利と同意の撤回の権利が与えられています。

 

中国法と同様、DPDPAでは重要な情報を取り扱うデータ管理者を分けて規制しています。

重要データ受託者(significant data fiduciary) と呼ばれる政府が指定する事業者は、

DPOの任命、DPIAの実施、データ監査人の任命とデータ監査の実施といった追加の要件が求められます。

 

インドではDPDPAをきっかけに個人データ保護委員会が設立されます。

データ侵害を発生した場合は、所定の書式を用いて個人データ保護委員会に通知することが求められています。

 

概観すると、制裁金の金額は高いものの、内容としては同意の取得とその管理が対応の中心となりそうです。

従業員データについては同意が不要と考えられる他、越境移転の問題も日本の場合はないと予測されるため、セキュリティ対策を十全に行うことが大切です。

DPDPAはデータ保護に関するベースラインを定めるものなりますので、今後は個人データ保護委員会が出すガイダンスをモニターすることが重要でしょう。

また、日本法をベースに個人データ保護管理を行っている企業であれば、同意管理に力を入れるとよいでしょう。

日本法をベースとしたプライバシーポリシーの運用はおそらく不十分とみなされるため、更新が必要となります。

 

GDPRをベースとした個人データ保護管理を行っている企業であれば、データ処理目録の更新と同意管理の再調整を行うことが有効です。

データ侵害の通知先と様式の整理もしておくと良いでしょう。

越境移転規制の今後については注意を払っておくことが重要です。

データガバナンスを行えるようにデータ管理の在り方を見直す必要が生じる可能性があります。

 

私は9月22日インドバンガローのknowledgeNetでインド法について、国外の専門家という立場からお話しすることとなっています。

DPDPAについてのインド専門家による解説の他、インド国外の専門家がどういう対策を行うべきかについてディスカッションを行う場所となりますのでぜひご参加ください。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～タイパと農場の法則と便利なツール～

 

今年から当社ではインターンを迎え入れるようになりました。

当社には周辺業務やリサーチ業務を手伝ってもらえるという良さがあり、インターンにとっても当社の扱う最新の情報や現場の雰囲気を実感できるとともに仕事の基礎を学べるという良さがあります。

1月にはイリノイ大学からMarkさんが、6月にはプリンストン大学からYさん(日本人)が来てくれました。お二人ともとても優秀で、期待値をはるかに超える水準で助けてもらえました。

二人とも当社でのインターンを楽しんでくれたようです。

当社のスタッフも、若い方が入ってくれることで新しい風が社内に吹き、インターンのいる仕事場を楽しんでいました。

 

最近、日本の若者の間ではタイパという言葉がはやっているようです。

とにかくテンポよく次々に物事をこなし、重要なことにのみ焦点を当てるというスタイルのようです。

私が仕事について学んだ時には「農場の法則」というものを教えられ、春に種を蒔き、夏に雑草を刈り、秋に収穫し、冬に土地を休ませるというプロセスの大切さを学びました。

「当たり前のことを馬鹿になってちゃんとやる」、という当社の価値観の一つはここからきています。

「タイパ」と「農場の法則」は反対のアプローチのように思えます。

前者は大量生産大量放棄の考え方で後者は循環の考え方だからです。

今年当社に来てくれたインターンたちは、少なくとも仕事については「農場の法則」を共有できる人たちだったので、

すべての若者が「タイパ」のみを基準とし、コミュニケーションができないというわけではないと思います。

また、タイパは最新のデジタル技術に対応した生態の一側面で、人としての成熟については若者も昔若者だった人も同じ土俵で測れるような気がしています。

人として成熟している若者もいますし、人として未熟な昔若者だった人もいます。

レッテルをはって人を評価するのはよくありません。

 

タイパの若者たちが活用するのがスマホ等のデジタルツールです。

効率よく大量の情報を処理することで、回転率を高めます。

AIツールでそのスピードはさらに加速します。

スピードが速いということは悪いことではありません。

必要以上に時間がかかることには悪弊のほうが目立つため、決して褒められたものではありません。

スピードが速いことの問題は、車の教習で習うように、視野が狭くなることです。

限られた視野の中でつじつまを合わせていくことが主眼となるため、一つひとつの作業が雑にならざるを得ません。

深みが欠けてしまいます。

皮肉なことに、良い仕事は丁寧な仕事から生まれることが多いため、悪弊を取り除くつもりの高速回転は、いつの間にか品質そのものを劣化させるサイクルへと変化してしまうケースが多いのです。

また、そのような仕事をする組織は殺伐とした雰囲気になることも多い気がします。

 

デジタル社会では、個人データに限らず様々なデータをとにかく分析し、集積し、推論します。

データを応用することで新たな価値を見出すことは推奨すべきことです。

デジタル化のおかげで私たちの生活は多くの面で改善しています。

その一方で、急速に進むゆえにサイドエフェクトへのチェックが甘いことも問題となっています。

データプライバシーの問題も、AIによる偏見の問題も、急ぎすぎた故に生まれました。

振り返れば人類は、石油採掘、森林伐採、核技術の利用、灌漑、鉱物の採掘、と様々な分野で急速に技術や産業を加速し、そのバックラッシュに苦しんできています。

今年の熾烈な暑さのように体感できる段階になって、問題に気付くことが多いようにも思います。

 

あとで振り返れば、バランスをとることができる点がみつかることがあります。

先見の明のある一部の人々があらかじめ声を上げていたということもわかります。

ただ、そういった人たちは少数で、悲観的な人とみなされ、黙殺されます。

その重要性に気が付いた時には既に遅いので、対処療法に追われることになります。

 

人の営みを扱うガバナンスも似たところがあります。

ルールやプロセスがブレーキとして機能しすぎると弊害が生まれます。

その一方で、形骸化したルールやプロセスのみを採用して高速回転させると、骨密度が低いもろく危険な組織が生まれます。

私たちガバナンスの専門家は、常に先見の明があるわけではないのですが、仕事柄「坑道のオウム」のように組織の中の問題を早い段階でかぎつけ騒いで退避する(是正する)よう声を上げます。

組織がそれをくみ上げるかは組織次第です。

声を上げた場所の先に金鉱があれば、組織はそのまま前に進んでしまうこともありますし、金鉱とは別の価値観を持つ組織であれば、そこでとどまり、別の道を探ります。

 

ガバナンスを仕事にするということは、こういった人間的な側面を理解した上で仕事を行うということだと思います。

タイパも大切、農場の法則も大切、便利なツールは使うべき、だけど後で後悔しないようにしたい。

その時、何を選べるか、何を選ばないかが、ガバナンスの専門家としての腕の見せ所ではないかなと思います。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～IAPPのAPF23のご報告～

 

今年もシンガポールでIAPPの主催するAsia Privacy Forumが開催されました。

毎年7月、アジア全域からプライバシーの専門家が集まる貴重な機会です。

IAPPが毎年ワシントンで開催しているサミットほどは大規模ではなく、その分参加者同士が交流する機会も恵まれています。

私はシンガポールの会の距離感が気に入っていますので、毎年楽しみにしています。

 

今年はパネルディスカッションのパネリストとして話をする機会もいただけました。

プライバシーツールを利用する時の検討事項について話をするというものでした。

シンガポール、フィリピン、日本と、異なる視点からツールを導入する時に考えるべきことをディスカッションし、概ね好評だったようです。

シンガポールのパネリストはROIが重要と言い、フィリピンのパネリストはコストが重要と言い、私は「使いこなせるかどうか」が重要と言い、国によって重きの置く場所が異なるところが私は面白かったです。

 

今年はやはり、AIの話が多く取り上げられていました。

私はG7やEU、OECDが先導する取り組みを追うことが多かったので、特にシンガポールをはじめとするアジア各国の取り組みを知ることができたのが収穫でした。

シンガポールは日本と同様、法律を定めてレッドラインを明示するハードローではなくアジャイルなソフトローアプローチを検討しているようです。

ソフトローアプローチというのは、当局がガイダンスを出し、産業界が自らルールを形成することで産業の発展を妨げない形で新技術をコントロールする方法です。

少しずつ議論は煮詰まりつつあるので、ハイレベルなポリシーとしての法整備と方針は少しずつ固まってくるのではないかと感じています。

 

その他、データ越境移転についての議論も行われました。

IAPPのイベントと同時開催されていたPDPCウィークでは、様々な規制当局や国際組織が提供する越境移転ツールをどう考え、どう活用すべきかについての議論もされていて面白かったです。

もちろん明確な指針が出るわけではないですが、「ツールがある」ことを出発点としてこの困難な時代を進む必要があるということは確認できました。

とはいえ、本質的に何かが解決されているわけではありません。

データの移転については延々とジレンマを抱えながら進むしかないように思えます。

 

今回のAPFでも多くの出会いがありました。

私たちプライバシーの専門家はLinkedInを通じてつながっています。

国際会議は「あなたがあの〇〇ですね！」という出会いの連続でもあり、これも楽しいところの一つです。

今回も、インド、アメリカ、フィリピン、タイと、いろいろな国のLinkedIn仲間とお会いでき、楽しい時間を過ごせました。

 

実は今回はパネリストが友人であったこともあり、パネルディスカッションの当日私の誕生日を祝ってくれました。

友人たちの計らいのお陰で会場にいた方が誕生日の歌を歌い、壇上でケーキのろうそくを消すというお祝いもしていただけるという特別な時間をプレゼントしてもらいました。

お祝いしていただきながら私が感じたのは、この瞬間は私の誕生日を祝っているのではなく、プライバシーの専門家たちの連帯を祝っているのだということです。

イベントを通じ、私たちはともにこの新しい分野で、専門家としてすべきことを悩み、迷いながら助け合う、そういう存在だということを確認したと思っています。

プライバシーの仲間は、インクルーシブでお互いをケアし、プライドをもって仕事をしている方がたくさんいます。

データを扱う難しさが、コミュニティのつながりの深さを育んでいるようにも感じます。

 

会議の2日目、古くからのプライバシーの専門家4人で話をしているときに、一人の専門家が「最近はプライバシーのコースが大学にできているそうだよ」と言っていました。

あと数年すると、大学でプライバシーを学んでいましたという優秀な若い人に出会える日が来るのかもしれません。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～EU-US DPFとデータの問題～

 

この原稿はシンガポールに向かう飛行機で書いています。

毎年7月にはIAPPのシンガポールでアジアプライバシーフォーラムが開催されます。

アジア各国のプライバシーの専門家が集まりネットワーキングを行うことができるイベントです。

コロナで中断していたのが昨年から再開されました。

今年は日本から参加される方も多いようです。

 

今年の話題は何といってもAIです。

AI技術は、そのスピードと影響力の大きさゆえに多くの関心を集めています。

何らかの対処が必要ということでは意見が一致していますが、”how”がまだまだはっきりしないという状況です。

今回、どのようなアップデートがあるのか注目したいところです。

IAPPはAIについてわざわざ新たな認証を作り、この秋からトレーニングとテストを実施するそうです。

 

もう一つ、データの越境移転の話題が再度持ちあがるでしょう。

7月上旬、EU-U.S. Data Privacy Framework(EU-U.S.-DPF)が欧州委員会から十分性認定を受け、

EU-U.S. Privacy Shieldの後継としてEU-U.S.間のデータ流通の基礎となったためです。

 

EU-U.S. DPFはアメリカ、カナダで主に採用されているFair Information Practicesの原則をベースとしたデータ保護のフレームワークです。

EU-U.S. Privacy Shield との違いは、Data Privacy Frameworkでは個人からの苦情に対応するための体制が新たに整備され、

個人に対する救済措置が強化されたことにあります。

これによってＥＵの個人は自国のDPAに対してアメリカに移転されたデータに対する苦情申し立てを行うことができるようになりました。

欧州のDPAはこの苦情をアメリカに伝え、アメリカが調査を開始するという仕組みです。

この仕組みのおかげで欧州の個人は自分のデータに対する苦情申し立てが格段にしやすくなりました。

EU圏という大きな経済領域のもつ力がなした政治的な努力の結果のようにも見えます。

 

データの議論では、こうした政治的な影響が目につきます。

そのため、ロジックだけでは説明しきれない現象が発生します。

たとえば、欧州から十分性認定を受けた韓国を日本がまだホワイトリスト国に掲載していないことなどもその一例でしょう。

世界のデータ流通を促進するというDFFTでも世界第2の経済大国である中国をはじめとする共産圏が枠組みから外れています。

ビジネス上の観点からいえば、なんとも不思議な状況です。

しかし、ルールを決めている国々の事情もあるため、私たち民間のプレーヤーは、そういうものだと受け入れるしかないというのも実情です。

 

こういった状況では、やはり良質かつ新鮮な情報をコンスタントに集めていることが大切な気がします。

出来事にはニュースや文字として発表されない目に見えない文脈があります。

これを把握していると、混とんとした状況であっても道筋をある程度見出すことができます。

IAPPの国際カンファレンスのような場でネットワーキングを行うことが大切なのは、新鮮な情報を交換することができる相手を世界各国に持てるからです。

データの時代といっても、一番大切な情報はまだ、対面でのやり取りの中で得られるように感じます。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

 

～京都大学サマーキャンプの報告～

7月4日から7月7日にかけ、京都大学大学院法学研究科附属法政策共同研究センター(Center for Interdisciplinary Studies of Law and Policy, CISLP)が開催した

Summer Camp on Governance Innovationに参加してきました。

アランチューリングインスティテュートや欧州議会のシンクタンクであるEuropean Policy Study (CEPS)、ニューヨーク州立大学、スタンフォード大学、経産省と、

AI政策の先端をリードする研究者が講義を行い、ワークショップを通じて理解を深めるという非常に贅沢なサマーキャンプでした。

参加者も、OECDのAI担当者や有名なテック企業の公共政策担当者、官公庁出身の方、シンクタンク、大手会計事務所のパートナー等、

この分野の先端で仕事をする方で、英語で活発に議論が交わされる熱気のある時間を過ごすことができました。

多くの専門家に知ってもらいたい話が数多くあったのですが、スペースの都合上、今回は全体を通じて考えたを書くことにします。

 

今回のサマーキャンプを主催している京都大学のCISLPは先端技術に関わる政策研究センターです。

理論のみならず実務への還元にも重きを置いており、サマーキャンプを企画された羽深宏樹先生は経産省の報告書を執筆しています。

ここで取り上げられているアジャイルガバナンスというコンセプトは、G7のデジタル技術大臣会合が出した声明で承認(acknowledge)されています。

 

アジャイルガバナンスとは、急速に進展が進む技術を適切に管理するために動的かつ柔軟に変化に対応するためのアプローチをいいます。

その実現のためには、従来の「官から民へ統制を行う」というスタイルから「官と民が同じ土俵で協同しながら統制を推進する」というスタイルへの変更が模索されます。

経産省が出している「Society5.0の実現に向けた法とアーキテクチャのリ・デザイン」を紐解くと、

「ルールベースの法規制からゴールベースの法規制」という言葉や、

企業に「被規制社からルールの共同設計・実施者へ」と変化することを期待するといった言葉が並んでいます。

言葉面を追うと、いわゆるDAO(Decentralized Autonomous Organization)を志向しているようにも見えます。

ただ、想定しているのはそれほどラディカルなものでもなさそうです。

政府の存在意義は留保するので、当然と言えば当然です。

 

日本政府は、ここ数年アジャイルガバナンスの概念をプロモーションしており、G7の宣言に差し入れることに成功しました。

カタカナ語の「アジャイル」という言葉から新しい取り組みのような印象を受けるものの、ポイントは「社会の変化に柔軟、かつ動的に対応する」ことなので、

他のG7加盟国としては異論をはさむ必要もなかったということのような気もします。

経産省の担当官が行った講義ではアジャイルガバナンスという言葉に対してG7加盟国の専門家が的外れな指摘をしたエピソードが紹介されていました。

そのような状況から推測すると「アジャイル」なアプローチの方法論については(今回の議論を聞く限り)G7でも一枚岩というわけではなさそうです。

 

個人的にはそもそもこれまで政府が担ってきた役割を民間に降ろしていくことを民間企業がどうとらえるかという点に興味があります。

政府がイメージしている姿の一つは自動車業界の在り方でしょう。

自動車業界は自主ルールが整備され、厳しく運営されています。(高圧ガスを扱う規制も同様です。)

その一方で、最近は品質不正問題が取りざたされるように、制度疲労も観察されるようです。

長くなるのであまり詳しく話せませんが、品質不良が発生したときの是正は、AIと自動車では異なることは認識しておく必要があります。

モノへの影響に限定される自動車と人の「思考」に影響を与える可能性のあるAIとでは影響の質は全く異なるため同じ土俵で議論すべきではありません。

さらに、「官民が協力してことを進める」というのは口で言うほど簡単ではありません。

「官」の数は有限ですが、「民」の数は「官」の数よりもはるかに多いはずです。

ステークホルダが増えるほど意思決定は難しくなるため、合理化のために大企業数社と政府とがルールを決定するということに落ち着いてしまう可能性はないでしょうか。

少数の意思決定者が支配する世界は強引な意思決定を可能とするため、社会的不平等を招きやすいと思います。

いろいろと書きましたが、G7を経て、日本では今後ますます「アジャイル」なアプローチという声を聞くようになるでしょう。

 

「変化に柔軟に、かつ動的に対応する」という基本姿勢を外さないように行動するというのを当面の指針としつつ、

不合理な意思決定を許容しない監視を強化する必要性があるように思います。

不合理かどうかを判断するには「正しさ」の軸が必要です。

「正しさ」とは価値判断から生じますので、これからの社会は、最終的には社会として是とすること(社会善)に対する確かな価値観が求められるのだと思います。

価値観には西洋思想も東洋思想も関係ありません。

私たちが現時点で何を「幸福」とみなすかが焦点となります。

在りたい姿は何か、それを真摯に対話し続ける誠実さが必要ではないでしょうか。

 

↓↓当日の様子はこちら↓↓

https://www.facebook.com/photo?fbid=734050465394103&set=pcb.734052238727259

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

 

～IAPPの資格について～

 

日本のプライバシーの専門家の数も少しずつ増えてきました。

先日Future of Privacy Forumが日本で行ったシンポジウムも満員だったそうです。

今年はプライバシーマネジメントソフトの導入を検討されている企業も多く、1つのマイルストーンなのかなと思っています。

以前、ここの記事でも書きましたが、ガバナンスを導入するためには人の育成が重要です。

ガバナンスが効いていない状態でツールを入れると混乱が加速するだけなのであまり勧められません。

人の育成には、トレーニングが欠かせません。

 

今年はIAPPの資格についての問い合わせをよくいただきます。

IAPPとは何か？

資格があれば何かいいことがあるのか？

当社でトレーニングを受けなければならないのか？

と、質問の内容は様々です。

そこで、今回の記事ではIAPPの資格について書いておこうと思います。

 

▼IAPPとは

全世界で８万超の会員を擁する、世界で最も大きなプライバシーの専門家のコミュニティを擁するNPOです。

https://iapp.org/ のサイトを運営し、ニュースやリソースの提供、トレーニング、国際会議、ネットワーキングの開催、資格の運営、

といった様々な活動を通じてプライバシーの専門家が最新の情報を得る支援を行っています。

 

▼IAPPの資格について

IAPPの資格は個人認証であり、個人の知識レベルを測定して認証を付与します。

資格の種類としては、

・CIPP( E / US / C / A )という法律の理解を認証するもの

・CIPMというプライバシープログラムマネジメントの理解を認証するもの

・CIPTというプライバシーとテクノロジーの交わる領域についての知識を認証するもの

これら3種類があります。

国外に出れば、プライバシーをやっている人はたいていこの資格を有しています。

国際的にプライバシーの仕事をしていきたいと考えているのであれば取得しておくことを強く推奨します。

 

▼どの資格を取得するべきか

取得を検討する人のニーズに基づいて決めるのが良いでしょう。

プライバシー法について学びなおし、知識を確実にしたいのであればCIPP( E / US / C / A )を取得するとよいでしょう。

プライバシーガバナンスについて学びたいのであればCIPMを取得するとよいでしょう。

PETsと言われる技術領域について関心がある場合はCIPTを取得するとよいでしょう。

そもそもプライバシーについての知識がないのであればCIPP( E / US / C / A )から始めればよいと思います。

ただし、CIPP/AはIAPPが開発したプログラムではないので、IAPPのトレーニングプログラムには含まれていません。

 

▼IAPPトレーニングを受講すべきか

当社は日本で唯一のIAPPトレーニングのオフィシャルトレーニングパートナーとして、IAPPトレーニングを日本語、英語、中国語で提供しています。

IAPPの資格の勉強方法にはIAPPのオンラインコースを利用する方法や、教科書をもとに自習する方法もあります。

オンラインコースや講師によるトレーニングを受講する良さは、基本を網羅的に習得できることです。

プライバシーでも基本が大切です。

IAPPのテキストは信頼できる専門家がとても丁寧に作っているので、ぜひIAPPのテキストは読み込んでいただきたいです。

 

当社や他のオフィシャルトレーニングパートナーの提供するトレーニングであれば、講師と直接やり取りすることができる良さがあります。

講師が実際にコンサルティングを展開している場合には、現場での実例に触れる機会もあるため、より理解が深まることでしょう。

私自身が学んだ時にはこういったトレーニングがまだ十分整備されていなかったためオンラインコースを用いて勉強しましたが、

この場合は自分からいろいろな資料を読む努力も必要だと思います。

 

IAPPトレーニングには、資格を取るまでもないけれどもプライバシーについて知っておきたいという人を対象にしたFoundationトレーニングというものもあります。

ガバナンスの導入に際しては、Foundationトレーニング（ https://technica-zen.com/foundation-training/ )が今後より重要になるのではないかと思います。

 

当社のトレーニングについての問い合わせは( info@technica-zen.com )までご一報ください。

 

↓↓当社が提供するIAPP公式トレーニングの詳細はこちら（日本語、英語、中国語対応）

https://technica-zen.com/iapp-official/

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

～中国標準契約への準備、SMEの必要性～

 

中国個人情報保護法で越境移転の適法化ツールとして用意されている標準契約が6月1日に発効しました。

日本の企業は少しずつ対応を開始しているようです。

標準契約を利用する企業は今年12月まで対応を完了しなければなりません。

まずはリスク評価を行い、標準契約の締結を行い、契約の発効日から10日以内に当局に届出しなければなりません。

当社でも中国に関連する問い合わせをよくいただきます。

 

中国の個人情報保護法は、基本的には欧州GDPRの考え方を踏襲しているのですが、

中国の場合は個人情報のみならずデータ全般への保護を主眼とした法規制となっているため、非個人情報であっても越境移転規制がかかることがしばしばあります。

重要情報インフラ事業者である場合はもちろん、重要データや核心データを取り扱う場合には越境移転についての規制があるので注意が必要です。

 

日本企業にとって、中国は重要な市場の一つです。

そのためか、GDPR対応と比べても現場よりの方が関心を持たれている印象があります。

企業様からの質問に答える中で気になるのは、「越境移転」がどういう概念かについて意外と理解されていないことです。

データ保護法について取り組むうえで大切な概念であり、GDPR対応の時にも多く議論が重ねられていたのですが、その経験がまだ十分組織内で浸透していないようです。

知識やノウハウの定着には時間を要するということなのでしょう。

 

知識やノウハウの定着という課題は、組織のプライバシー対応についても考慮することが必要なトピックです。

プライバシーマネジメントやプライバシーガバナンスについての情報が増えてきたため、形としてのガバナンスができている企業が増えてきました。

しかし、実際に担当の方とお話をすると、ガバナンスの実践について皆様悩まれていることが多くあります。

決めたルールをどう生きたルールとして組織に根付かせるのかに苦労されているのです。

 

先日、オーストリア発のプライバシーソフトウェアについてトレーニングを受けたのですが、このソフトウェアは面白いものでした。

単にデータマッピングを行うことやベンダーリスクを評価するだけではなく、一連のオペレーションがつながりをもつように設計されているのです。

データ保護の専門家にとっては、当然行うべき検討を自然に行うことができるため非常によく考えられているという印象を抱かせるソフトでした。

裏を返すと、このソフトを有機的に使いこなすためにはデータ保護の専門家、もしくはそれに類する能力を持った人の存在が必要ということだと思います。

 

外国企業と仕事をすると、SME(Subject Matter Expert)という言葉が現れることがあります。

あるトピックについて精通している専門家を指し、何らかのプロジェクトを行うときには必ず招聘されます。

私はSMEを仕事に参画させるのは、「知識やノウハウの定着」には時間がかかるということを理解しているからではないかと思います。

その時間を補う者として、SMEがいて、当社のようなコンサルティング会社があるのだと思います。

 

組織が成熟するには、人が何かを習熟する以上に長い時間を要します。

知識やノウハウの定着という課題は時間を要する活動です。

成熟した状態に至るまでは、SMEを活用して正しい方向付けと活動を堅実に行う、というのが良いようです。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週１回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆