「GDPR」カテゴリーアーカイブ

2023/10/4★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~AIの講義、中国の越境移転の新動向、国内の状況~

 

9月28日木曜日にISACAとIAPPのknowledgeNetシンガポール、バンコクが共同開催したウェビナーでお話しさせていただく機会をいただきました。

今回いただいたお題は”Privacy Issues around Generative AI”でした。

当初3名のスピーカーがいる予定が急遽私一人となってしまったため、90分間話をすることとなりました。

せっかくの機会なので、生成AIに関するリスクに限定せず、AIガバナンス全般について、どのようなリスクを想定し、AI倫理をどのように実装するのか、

アルゴリズムのリスクアセスメントやバイアスのテストをどのように行うのか、といったことをお伝えしました。

もちろん、ここでお話しした内容は「定式化」されているものではなく、現在進行形でディスカッションが行われているものです。

私は幸い、その議論の中心に関わることができていることもあり、比較的精度の高い情報をご提供できたのではないかと思っています。

80人を超す参加者が90分間離脱することなく聞いてくれ、講義の後には数名から非常に好意的なフィードバックをいただけました。

私としても、2023年1月から学んできたことをアウトプットするいい機会となり、非常に充実した時間を過ごすことができたと思っています。

 

AIに関しては、10月8日から京都でIGF2023が開催され、国連での最新の議論が日本で聞ける貴重な機会となっています。

興味のある方は、ぜひ足をお運びください。

 

話は変わって、同じ9月28日に、中国から非常に大切なニュースが届きました。

越境移転の安全性評価、標準契約、認証の要否について、どのようなケースで必要となり、

どのようなケースで不要であるかを明確にするガイドラインの草案が出されたのです。(当社の会員サイトでも全訳を紹介しています。)

現地法人がある企業や越境ECを営む企業にとっては良いニュースとなったことでしょう。

データローカライゼーションや政府によるデータへのアクセスと、負のイメージが強かった中国ですが、

ビジネスの利便性について合理的な判断を優先した印象があります。

 

標準契約に関しては、人事データを除き、年間1万人以上100万人未満の個人情報を越境移転する場合に必要となり、

且つ当局への提出が必要であるという点は変わりません。

該当する場合は引き続き対応する必要があるので注意してください。

 

ところで、越境移転に関しては国内でも少し議論が活発になってきています。

国内の弁護士の方々が個人情報保護への関心を高めていることが一因のようです。

最近私が教えていただいた話では、個人情報保護法の外部委託との関連で、

クラウドサービスの利用について外部提供となるかどうかについて再度議論が行われているということです。

個人情報保護法が明確に記載していないところが従来とは異なる解釈の余地を生んでいるようです。

ただ、テキストの解釈をめぐる議論という雰囲気も色濃く、私のような実務寄りの人間は、

何を護ろうとしているのかがぶれている、或いは希薄なような印象を受けました。

欧州のような、「個人データ保護 = 人権の保護」が人々の願いとして生じた地域で行われる議論と、

制度としての個人情報保護という文脈が強い国とでは、議論のされ方が異なります。

AIもそうですが、法規制への対応を行う際には、議論される国や地域の文化が大きな影響を及ぼしていることがしばしばあります。

実務家は、法律事務所の行う法律の解釈に加え、大局を理解しながら適切な選択肢を見つける必要があります。

また、法律に加えてそういった文面に現れないオペレーションの部分についても理解を深めておきたいものです。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/9/26★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~インドのknowledgeNetの報告~

 

9月22日金曜日はインド、バンガローのknowledgeNetでお話しさせていただく機会をいただきました。

日本のknowledgeNetとの共同開催としたこともあり、80人を超える参加者が90分間聞いてくれていました。

内容的にも充実したものとなったのではないかと思います。

私は日本法の簡単な紹介とインドのデジタル個人データ保護法との関係を紹介しました。

 

インドのデジタル個人データ保護法については以前このメルマガでも紹介しました。

インド法は2017年にプライバシー権を人権と認めてから検討が始まり、2020年に法案が一度廃案となるという経緯がありましたが、

最終的にビジネスフレンドリーな内容へと変容しました。

越境移転規制をブラックリスト化し、原則移転を許容する姿勢となったことは特に企業から評価されているようです。また、データローカライゼーションがなくなったことも大きなポイントです。

データローカライゼーションは企業活動にとってコスト増の要因となるため、一般に歓迎されません。

その一方で、消費者や企業に対する一部の調査ではデータローカライゼーションが安心感につながるという調査結果もあり、相反する意見が混在する状況です。

 

インドは今後具体的なデータ保護制度を定める規則類が整備される見込みです。

私が聞いた話ではまもなく最初の規則が公表されるということです。

規則への違反は数十億円の罰金の対象となるため、適用を受ける企業は規則の交付に注意をしておくとよいでしょう。

 

kNetで私が面白いと思ったのは、フィリピンの専門家が規制当局とのコミュニケーションを密にとることを推奨していたことです。

GDPRが施行されたときにも当局からコミュニケーションの重要性が指摘されていました。

新しい分野ゆえに、民間の状況を適切に把握したいというニーズが当局にあるのではないかと思います。

フィリピンは実際、当局が積極的に民間部門の人々と交流しています。

シンガポールでの国際会議でも、フィリピンの当局の人々はフレンドリーです。

 

私は今9月28日のAIのウェビナーに向けて準備をしていますが、

新たな分野というのは、官と民が協力して規制を整備するという姿勢が重要なのだと感じます。

AIでは、日本はアジャイルガバナンスといって、民間主体でのルール整備を推進しています。

これも、新しい分野、変化のスピードが速い故のアプローチと言えます。

 

不確実性の大きな時代故の制度整備の在り方なのでしょう。

とはいえ、規制がなければ「責任あるAI」という考え方の実現が心許無いという意見もあります。

今後のデジタル世界の動向については予断を許さない状況と感じます。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/9/21★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~Foundation training~

 

9月16日のAsian Institute of Managementで行ったオンラインでのセッションはとても高い関心を以て迎えられました。

MBAクラスであったことも理由の一つかと思います。

質問やコメントも多く、話をしている方にとっても実りの多い時間でした。

こういった対外的なセミナーや講演が仕事に結びつくことはほとんどないのですが、

知りたい、学びたいという意欲のある方がたと出会うことができるというのがモチベーションの一つとなります。

また、話す内容を準備する中で新たな気付きが生まれるのも良いところです。

私たちは教えながら学んでいるという部分が数多くあります。

 

当社では8月の末から9月の上旬にかけて、IAPPのFoundation trainingの準備に追われていました。

Foundation trainingとは、プライバシーの認証(CIPP、CIPM、CIPT)を取るつもりはないけれども、

プライバシーが業務に関わるという人を対象としたトレーニングです。

現場でずっと必要とされていた領域を網羅するトレーニングとして今年導入されました。

嬉しいことに、今月からこのトレーニングを社内トレーニングとして導入してくれるお客様が数社出てきました。

IAPPも当社も喜んでいます。

準備はそのためのものでした。

 

当社のIAPPのトレーニングは、IAPPが提供する教材の他にIAPPが提供する教材を日本語に直した資料もご提供します。

また、トレーニングの内容を日本語で解説するという点も、トレーニングパートナーを介して受講していただく皆様への特典として行っています。

社内トレーニングとして開催する際には、お客様の業界や慣行にあわせた内容となるよう微調整も行います。

こういった準備はとても手はかかります。

それでも、内容を正しく理解した専門家が増えることが、長期的にプライバシー業界の成功につながるはずです。

講義に参加してくださる方は、概して意欲のある方が多いので、それもモチベーションの一つとなります。

 

Foundation trainingは、名前とは裏腹にかなり高度な内容を取り上げるトレーニングとなっています。

200ページ弱あるメインのテキストに60ページものケーススタディテキストまで用意されています。

1日でできるボリュームではないのですが、1日でこれだけの情報を詰め込むのですから、受講生は本当に密度の高い時間を過ごすことになります。

今回準備をしていて私が感心したのは、ケーススタディです。

用意されているケーススタディが実務に即したものとなっているため、

具体的な業務に結びつけながら、自分だったら、自分たちだったら、と考えることができるのではないかと思っています。

また、構成がケーススタディとの関連を持たせながら作られているので、私たちトレーナーが独自にケースを準備することもやりやすい内容となっています。

つまり、よりテーラーメイドなトレーニングにすることが可能なトレーニングとなっているように感じました。

 

Foundation trainingの内容を理解した人は、おそらく1か月試験勉強をすれば認証試験にも対応できるくらいの力を身に着けられるのではないかと感じます。

データプライバシーのポイントが網羅され、適切な深度で整理されているという意味では、「プライバシーの教科書」として活用してもらいたいと感じるトレーニングです。

 

Foundation trainingは、内容やケースを考えると社内トレーニングとして開催することがより効果的ではないかと感じています。

5名以上であればオンサイトでの開催が可能ですので、ご関心がある方はぜひお声がけいただければ幸いです。

 

****Foundation Trainingをご検討の企業様へ****

 

上記でご案内しましたFoundation Trainingにつきまして、

ご検討の際はこちら( info@technica-zen.com )までお問合せください。

 

社内研修として5名以上の参加者様が見込める場合、当社専属講師が出向き、対面でのトレーニングが可能となります。

ご希望の日程で調整も可能となりますので、ぜひお気軽にご相談ください。

**********************************************

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/9/13★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~監査の役割~

 

9月は3度国外でお話をさせていただきます。

まず9月16日土曜日にフィリピンの大学(Asian Institute of Management)のMBAコースでサイバーセキュリティとプライバシーの接点について話をします。

ここでは、実務で出会うケースについていくつか紹介し、どのように対応しているのかを紹介する予定です。

次は9月22日金曜日のIAPP knowledgeNet Bangalore (インドのバンガローで開催されるIAPPの勉強会)でデジタル個人データ保護法と日本の個人情報保護法との比較を行います。

最後は9月28日木曜日でISACAシンガポール、タイ、台湾の合同イベントでGenerative AIの話題やAIガバナンスの最新動向の紹介をテーマに話をします。

最後のAIガバナンスについては、まだ世の中に定まったアプローチがあるわけではないので、

私が学んだことを共有するというスタンスとなります。

 

今日は監査の役割について少し書こうと思います。

「監査」(“audit”)とは、会社の社内ルールや管理策が正しく行われているかどうかについて、証拠をもとに確認する行為をいいます。

「評価」(“assessment”)とは異なり「pass / fail」の二者択一で報告が行われるという特徴もあります。

「監査」は「組織が実行するといったことを実行している」ことを示すアカウンタビリティメカニズムとして採用されています。

対外的にアカウンタビリティを担保するためには、客観性を高めるためにサードパーティによって行うのが有効です。

サードパーティを用いた監査は費用も掛かるので多くの企業は内部監査を行い、代替しています。

監査を行う監査人は監査の結果に対して責任を負うため、監査人には厳正な監査を行うモチベーションが生まれます。

 

監査は理論上企業活動を正す役割を果たしていますが、必ずしもうまく機能するわけではありません。

たとえば上場企業は財務諸表については会計監査を行う義務があります。

東芝等の大手企業で発生した粉飾決算は会計監査が機能しなかった事例です。

最近のビッグモーターやジャニーズ事務所に関連する報道は、内部監査メカニズムが機能していなかったことを示す事例です。

内部監査の場合、名目上は独立性を保った組織として設定されていても、

長期的に勤務し、移動があることを前提とした組織体制であれば、マネジメント層の意向を忖度してしまうため監査が厳正に行われないことがあります。

外部監査の場合は、他社に監査を切り替えられるという暗黙のプレッシャーを顧客から受けて(または暗に感じて)、

都合の良い結果を報告してしまうということが生じるようです。

 

この世界は完璧なところではないのですが、経営層の経営に関する考え方や姿勢が監査の役割を果たせるかどうかに大きな影響を与えるといえそうです。

特に新興企業の場合は、社長があらゆることを決定するガバナンスのない状態から成長するため、

IPO後も、形のみ整っているのに実際の体制移行がうまく進んでいないことが多くあります。

ただ、一つ言えることは、監査を通じて企業活動を正せるようにしていないと、長期的には非常に大きなダメージをもたらすということです。

 

東芝は重要な事業を切り売りして往年の勢いを失ってしまいましたし、ビッグモーターは今回の不正で会社の存続が危ぶまれる状況に陥ってしまいましたし、

保険業務でビッグモーターと関係が深かった損保ジャパンでは社長が辞任するという事態に追い込まれてしまいました。

ジャニーズ事務所の件では大手企業による契約の打ち切りが次々と発表され、こちらも存続が危ぶまれる状態です。

 

ピータードラッカーは「企業は社会の公器」であると述べていますが、どこかで企業として成熟し、

その認識を持つ必要が生まれる時が来るのだろうと思います。

プライバシー、セキュリティ、AI、すべて監査を行う活動です。

監査を行うときは、長期的な視点を持ちつつ行うということを心掛けていただければと思います。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/9/6★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~両親の電子メール~

 

9月になっても暑い日が続いています。

最近は熱中症指数が公表されており、この指数が高いと子どもたちは体育の授業ができないそうです。

私たち人類の経済活動が気候変動に寄与していることは昔から指摘されていました。

私が大学生だった20年以上前、石油をバイオフューエルに置き換えようと活動しているNPOがいました。

菜種油で車を走らせることができると聞いて、驚いたことを覚えています。

その団体の主張では、環境負荷も低く、循環型社会に寄与するものだということでした。

しかし、あの頃は石油が80円と安価だったこともあり、結局顧みられることはありませんでした。

ここ数年、新聞やメディアでとみに気候変動対策についての情報が増えてきました。

クライメイトテックという言葉も生まれ、ファンドからの資金を集めているようです。

これが20年前であったら、子どもたちが体育の授業ができない日が来なかったかもしれません。

社会の問題は、いつも同じ光景を繰り返します。

 

話は変わります。

私たちの会社には20歳のインターンも来てくれますが、70代の方も現役で仕事を手伝ってくれています。

その方から先日頼まれて、ネットの設定を手伝いました。

その時に届いている迷惑メールを目にしてショックを受けました。

すべてがフィッシングメールなのです。

ウィルスソフトが機能して自動振り分けされているものの、

手を変え品を変え、銀行口座情報やクレジットカード情報を入力させようとしています。

私のところにも似たようなメールは来ますが、数が数倍違いました。

アルゴリズムの世界では「高齢 = だましやすい、判断力が弱い」というラベル付けがされていることがあるという報告を見たことがあります。

その結果を見せつけられた思いです。

アルゴリズムは淡々と、ラベルに従ってフィッシングメールを送り続けるのです。

このメルマガを読んでくださっている方のご両親もおそらく「高齢」と分類される方がいらっしゃると思います。

いちど声掛けをされてみてください。

毎日膨大なフィッシングメールを送り続けられたら、高齢でなくても、クリックする確率は高まります。

「オレオレ詐欺」のニュースや注意喚起が増えていても、この仕組み自体を止めなければ抜本的な解決には至らないでしょう。

 

これも私が20代のころの話で20年以上前の話です。

当時「ダイレクトマーケティング」という言葉がインターネットに登場しました。

読み手の感情を動かし、購買の最後の後押しをするためのマーケティングメソッドです。

「秒速で〇〇」といったわかりやすいコピーライトを用い、ターゲットに巧みに商品を購入させます。

今思うとユーチューバーの走りのようなところもあって、

人が思わず目を向けるようなきっかけを作って自分たちの利益を最大化することを繰り返し行うというものでした。

私は興味をもちつつ一歩踏み込めないまま、あるダイレクトマーケティングを使いこなしている人に「これって人をだましているように感じませんか?」と尋ねました。

答えは「それは彼らの問題で、結果的に幸せになるのであればよいのではないか」というものでした。

ビジネスをしている人は何らかの「信念」をもっています。

「結果的に幸せになる」と思っているからサービスを提供しているのです。

「幸せ」かどうかは「彼ら」、つまり相手の問題で、それはサービスを提供する側の問題ではないというロジックです。

ロジック上は一見正しそうに見えます。

ただ、「そんな身勝手な」という気持ちもわいてきました。

 

西村あさひ法律事務所の福岡真之介さんの著書に「AI・データ倫理の教科書」という本があります。

この本の中で、福岡さんは功利主義ではなく、人として何が正しいかを問う「徳倫理学」が重要なのではないかと指摘していました。

「徳」とは、「道徳」です。

福岡さんは著書の中で、いろいろ考えた結果「道徳」に行きついたことに自分でも驚いたと書かれていました。

私も仕事を通じて「道徳」に行きつくことが多く、同じ思いをしています。

私たちの社会は一つの価値の軸(例えば、経済合理性、事業や国家の繁栄)だけで突き進むことが不都合を生むようなところがあるようです。

特に、経済合理性は総合的な豊かさをもたらしつつも環境破壊や異常気象、脆弱な人々の排除という負の側面もはらんできました。

そんな非難をするのはおかしい、という人には、自分の両親に来るフィッシングメールの数々や、今の「異常気象」について再検討してもらったほうが良い気がします。

大切な人、愛する人が危険にさらされることを良しとする人は少ないのではないでしょうか。

これらは現実になってしまった「リスク」の一例でしかありません。

データが社会と密接にかかわる形で利用されるようになるなか、

これまでの蹉跌を顧みることなくリスクが発現するはずがないと突き進むのは、あまり褒められたものではありません。

私たちのしているプライバシーやAIについてのリスクアセスメントは、こういったリスクの発現をできるだけとどめるための努力という側面もあります。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/8/25★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~AIリスクアセスメント~

ここ数か月AIについての勉強会を開催してきました。
今週の木曜日で最終回を迎えます。
外国のAI法の概観とその内容の整理、国内法の整理、AIインシデントの調査、倫理学の観点からみたAI、AIリスクアセスメントの手法、
と幅広いトピックを各専門家が解説し、参加者からのフィードバックやコメントを通じて理解を深めるというものです。
昨日は、AIリスクアセスメントについて私が発表をしました。

これまでも新技術は社会に対してリスクをもたらしてきましたが、
AIが特に取り上げられるのは、社会に対する影響がこれまで以上に大きいと考えられているためです。
危害が発生した時にその規模が従来以上に大きくなること、危害が生じるスピードがとても速いこと、被害が見えにくく理解しにくい形で生じること、
プライバシーや安全性という新たな攻撃ベクトルが生じること、意思決定の自動化によって情報のフィルタリングやバイアスといったリスクが生じることといった、
AI独自のリスクをどう管理するのかが課題です。

AIリスクアセスメントは、AIを利用する組織(大学や研究機関を含む公的組織や民間組織)が行う必要があるものだとして議論されてきました。
リスクアセスメントの手法はISO 31000によって定式化されており、これをAIにいかに応用するのかということがポイントとなります。
私が学んだアメリカのBABL社のアプローチではCIDAモデルという考え方で、
アルゴリズムのコンテクスト(Context)、入力 (Input)、アルゴリズムを通じてなされる決定 (Decision)、その結果とられる行動 (Action)という視点から分析を行います。
特にコンテクストについては一つの視点ではバイアスから抜け出すことができないため、
様々なステークホルダを考慮し、インタビューや調査を通じて要件の把握を行わなければなりません。
これがAIリスクアセスメントの一つの特徴です。

発表の後、参加者の方とのディスカッションでは、「バイアス」というのは社会のありのままの姿ではないか、という指摘がありました。
この指摘はその通りで、「AIによるバイアス」というよりも、
「AIを通じて拡大される社会のバイアス」がAIのリスクの一つとしてとらえられているのだと思います。
AIの倫理がAI対応で常に議論されるのは、AIという社会に対する影響が大きなツールを使うときにより望ましいアウトプットにむけてバイアスを是正することが必要だからです。
抽象度が高く、明確に定義しづらいテーマで、とても難しい問題です。

その一方でAIには大きな可能性があることを忘れてはいけません。
Chat GPTで有名なOpen AIがウェブサイト( https://openai.com/research/emergent-tool-use )で紹介している強化学習の事例を見ていると、
エージェントと呼ばれる存在が「学習」をする様子がはっきりと見て取れ、「知恵」をつける様子が観察できてわくわくさせられます。
ツールには可能性があります。ツールは私たちの世界を広げてくれるものでもあります。
望ましくない結果を抑制しながらうまく活用していきたいものです。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/8/17★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~インドのデータ保護法DPDPA~

 

8月9日、インドのデータ保護法であるDPDPAが成立しました。

7月にシンガポールに行った際に「8月に成立する」という話を聞いていましたが、その通りとなりました。

インドで成立した初めての個人データ保護法で、2017年に個人データ保護法の必要性が提唱され、

2022年に法案が成立目前という状況で廃案となる等、紆余曲折をへての成立です。

施行日はまだ決まっていませんが、成立したら施工まではあまり時間がないようで、

「今すぐ準備を開始するように」というメッセージが政府からは届いているといいます。

友人のインドの専門家からは、先週から今週にかけて、DPDPA対応の問い合わせが殺到しているという話もきいています。

制裁金の最高額が250 Croreルピー、すなわち25億ルピー、日本円して40億円以上と高額に設定されていることもあり、経営陣の対応へのモチベーションも高いようです。

 

DPDPAは政府に適用されず、非政府組織を対象とした法律です。

また、ハードデータについては、デジタル化されて初めて適用されます。

域外適用があり、インド国内を対象として商品サービスを提供している場合には適用を受けます。

越境移転規制は特徴的で、いわゆる「ブラックリスト規制」と呼ばれるアプローチをとっており、

中央政府が指定するブラックリスト国に対するデジタル個人データの移転を規制することとしています。

以前規定されていたデータローカライゼーションの要件はDPDPAには見当たりません。

データ処理のための法的根拠という考え方採用されておらず、原則として同意が求められます。

ただし、命の危険がある時や雇用の目的など、同意を不要とするケースについても規定されています。

同意の要件はGDPRで定められた要件を導入しており、自由 (free)、具体的 (specific)、十分な情報を与えられた (informed) 上で、

無条件 (unconditional) かつ明瞭 (unambiguous) で、明確な肯定的行動 (clear affirmative action) を伴うものでなければならないとされています。

年少者は18歳未満と高い年齢に設定されています。年少者の個人データ処理については保護者による同意が必要です。

 

個人の権利としては、修正、補完、更新、および消去の権利と同意の撤回の権利が与えられています。

 

中国法と同様、DPDPAでは重要な情報を取り扱うデータ管理者を分けて規制しています。

重要データ受託者(significant data fiduciary) と呼ばれる政府が指定する事業者は、

DPOの任命、DPIAの実施、データ監査人の任命とデータ監査の実施といった追加の要件が求められます。

 

インドではDPDPAをきっかけに個人データ保護委員会が設立されます。

データ侵害を発生した場合は、所定の書式を用いて個人データ保護委員会に通知することが求められています。

 

概観すると、制裁金の金額は高いものの、内容としては同意の取得とその管理が対応の中心となりそうです。

従業員データについては同意が不要と考えられる他、越境移転の問題も日本の場合はないと予測されるため、セキュリティ対策を十全に行うことが大切です。

DPDPAはデータ保護に関するベースラインを定めるものなりますので、今後は個人データ保護委員会が出すガイダンスをモニターすることが重要でしょう。

また、日本法をベースに個人データ保護管理を行っている企業であれば、同意管理に力を入れるとよいでしょう。

日本法をベースとしたプライバシーポリシーの運用はおそらく不十分とみなされるため、更新が必要となります。

 

GDPRをベースとした個人データ保護管理を行っている企業であれば、データ処理目録の更新と同意管理の再調整を行うことが有効です。

データ侵害の通知先と様式の整理もしておくと良いでしょう。

越境移転規制の今後については注意を払っておくことが重要です。

データガバナンスを行えるようにデータ管理の在り方を見直す必要が生じる可能性があります。

 

私は9月22日インドバンガローのknowledgeNetでインド法について、国外の専門家という立場からお話しすることとなっています。

DPDPAについてのインド専門家による解説の他、インド国外の専門家がどういう対策を行うべきかについてディスカッションを行う場所となりますのでぜひご参加ください。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/8/3★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~タイパと農場の法則と便利なツール~

 

今年から当社ではインターンを迎え入れるようになりました。

当社には周辺業務やリサーチ業務を手伝ってもらえるという良さがあり、インターンにとっても当社の扱う最新の情報や現場の雰囲気を実感できるとともに仕事の基礎を学べるという良さがあります。

1月にはイリノイ大学からMarkさんが、6月にはプリンストン大学からYさん(日本人)が来てくれました。お二人ともとても優秀で、期待値をはるかに超える水準で助けてもらえました。

二人とも当社でのインターンを楽しんでくれたようです。

当社のスタッフも、若い方が入ってくれることで新しい風が社内に吹き、インターンのいる仕事場を楽しんでいました。

 

最近、日本の若者の間ではタイパという言葉がはやっているようです。

とにかくテンポよく次々に物事をこなし、重要なことにのみ焦点を当てるというスタイルのようです。

私が仕事について学んだ時には「農場の法則」というものを教えられ、春に種を蒔き、夏に雑草を刈り、秋に収穫し、冬に土地を休ませるというプロセスの大切さを学びました。

「当たり前のことを馬鹿になってちゃんとやる」、という当社の価値観の一つはここからきています。

「タイパ」と「農場の法則」は反対のアプローチのように思えます。

前者は大量生産大量放棄の考え方で後者は循環の考え方だからです。

今年当社に来てくれたインターンたちは、少なくとも仕事については「農場の法則」を共有できる人たちだったので、

すべての若者が「タイパ」のみを基準とし、コミュニケーションができないというわけではないと思います。

また、タイパは最新のデジタル技術に対応した生態の一側面で、人としての成熟については若者も昔若者だった人も同じ土俵で測れるような気がしています。

人として成熟している若者もいますし、人として未熟な昔若者だった人もいます。

レッテルをはって人を評価するのはよくありません。

 

タイパの若者たちが活用するのがスマホ等のデジタルツールです。

効率よく大量の情報を処理することで、回転率を高めます。

AIツールでそのスピードはさらに加速します。

スピードが速いということは悪いことではありません。

必要以上に時間がかかることには悪弊のほうが目立つため、決して褒められたものではありません。

スピードが速いことの問題は、車の教習で習うように、視野が狭くなることです。

限られた視野の中でつじつまを合わせていくことが主眼となるため、一つひとつの作業が雑にならざるを得ません。

深みが欠けてしまいます。

皮肉なことに、良い仕事は丁寧な仕事から生まれることが多いため、悪弊を取り除くつもりの高速回転は、いつの間にか品質そのものを劣化させるサイクルへと変化してしまうケースが多いのです。

また、そのような仕事をする組織は殺伐とした雰囲気になることも多い気がします。

 

デジタル社会では、個人データに限らず様々なデータをとにかく分析し、集積し、推論します。

データを応用することで新たな価値を見出すことは推奨すべきことです。

デジタル化のおかげで私たちの生活は多くの面で改善しています。

その一方で、急速に進むゆえにサイドエフェクトへのチェックが甘いことも問題となっています。

データプライバシーの問題も、AIによる偏見の問題も、急ぎすぎた故に生まれました。

振り返れば人類は、石油採掘、森林伐採、核技術の利用、灌漑、鉱物の採掘、と様々な分野で急速に技術や産業を加速し、そのバックラッシュに苦しんできています。

今年の熾烈な暑さのように体感できる段階になって、問題に気付くことが多いようにも思います。

 

あとで振り返れば、バランスをとることができる点がみつかることがあります。

先見の明のある一部の人々があらかじめ声を上げていたということもわかります。

ただ、そういった人たちは少数で、悲観的な人とみなされ、黙殺されます。

その重要性に気が付いた時には既に遅いので、対処療法に追われることになります。

 

人の営みを扱うガバナンスも似たところがあります。

ルールやプロセスがブレーキとして機能しすぎると弊害が生まれます。

その一方で、形骸化したルールやプロセスのみを採用して高速回転させると、骨密度が低いもろく危険な組織が生まれます。

私たちガバナンスの専門家は、常に先見の明があるわけではないのですが、仕事柄「坑道のオウム」のように組織の中の問題を早い段階でかぎつけ騒いで退避する(是正する)よう声を上げます。

組織がそれをくみ上げるかは組織次第です。

声を上げた場所の先に金鉱があれば、組織はそのまま前に進んでしまうこともありますし、金鉱とは別の価値観を持つ組織であれば、そこでとどまり、別の道を探ります。

 

ガバナンスを仕事にするということは、こういった人間的な側面を理解した上で仕事を行うということだと思います。

タイパも大切、農場の法則も大切、便利なツールは使うべき、だけど後で後悔しないようにしたい。

その時、何を選べるか、何を選ばないかが、ガバナンスの専門家としての腕の見せ所ではないかなと思います。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/7/28★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~IAPPのAPF23のご報告~

 

今年もシンガポールでIAPPの主催するAsia Privacy Forumが開催されました。

毎年7月、アジア全域からプライバシーの専門家が集まる貴重な機会です。

IAPPが毎年ワシントンで開催しているサミットほどは大規模ではなく、その分参加者同士が交流する機会も恵まれています。

私はシンガポールの会の距離感が気に入っていますので、毎年楽しみにしています。

 

今年はパネルディスカッションのパネリストとして話をする機会もいただけました。

プライバシーツールを利用する時の検討事項について話をするというものでした。

シンガポール、フィリピン、日本と、異なる視点からツールを導入する時に考えるべきことをディスカッションし、概ね好評だったようです。

シンガポールのパネリストはROIが重要と言い、フィリピンのパネリストはコストが重要と言い、私は「使いこなせるかどうか」が重要と言い、国によって重きの置く場所が異なるところが私は面白かったです。

 

今年はやはり、AIの話が多く取り上げられていました。

私はG7やEU、OECDが先導する取り組みを追うことが多かったので、特にシンガポールをはじめとするアジア各国の取り組みを知ることができたのが収穫でした。

シンガポールは日本と同様、法律を定めてレッドラインを明示するハードローではなくアジャイルなソフトローアプローチを検討しているようです。

ソフトローアプローチというのは、当局がガイダンスを出し、産業界が自らルールを形成することで産業の発展を妨げない形で新技術をコントロールする方法です。

少しずつ議論は煮詰まりつつあるので、ハイレベルなポリシーとしての法整備と方針は少しずつ固まってくるのではないかと感じています。

 

その他、データ越境移転についての議論も行われました。

IAPPのイベントと同時開催されていたPDPCウィークでは、様々な規制当局や国際組織が提供する越境移転ツールをどう考え、どう活用すべきかについての議論もされていて面白かったです。

もちろん明確な指針が出るわけではないですが、「ツールがある」ことを出発点としてこの困難な時代を進む必要があるということは確認できました。

とはいえ、本質的に何かが解決されているわけではありません。

データの移転については延々とジレンマを抱えながら進むしかないように思えます。

 

今回のAPFでも多くの出会いがありました。

私たちプライバシーの専門家はLinkedInを通じてつながっています。

国際会議は「あなたがあの〇〇ですね!」という出会いの連続でもあり、これも楽しいところの一つです。

今回も、インド、アメリカ、フィリピン、タイと、いろいろな国のLinkedIn仲間とお会いでき、楽しい時間を過ごせました。

 

実は今回はパネリストが友人であったこともあり、パネルディスカッションの当日私の誕生日を祝ってくれました。

友人たちの計らいのお陰で会場にいた方が誕生日の歌を歌い、壇上でケーキのろうそくを消すというお祝いもしていただけるという特別な時間をプレゼントしてもらいました。

お祝いしていただきながら私が感じたのは、この瞬間は私の誕生日を祝っているのではなく、プライバシーの専門家たちの連帯を祝っているのだということです。

イベントを通じ、私たちはともにこの新しい分野で、専門家としてすべきことを悩み、迷いながら助け合う、そういう存在だということを確認したと思っています。

プライバシーの仲間は、インクルーシブでお互いをケアし、プライドをもって仕事をしている方がたくさんいます。

データを扱う難しさが、コミュニティのつながりの深さを育んでいるようにも感じます。

 

会議の2日目、古くからのプライバシーの専門家4人で話をしているときに、一人の専門家が「最近はプライバシーのコースが大学にできているそうだよ」と言っていました。

あと数年すると、大学でプライバシーを学んでいましたという優秀な若い人に出会える日が来るのかもしれません。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

2023/7/18★寺川貴也が注目する最新NEWS TOPIC★

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

▼当社無料メルマガ登録はこちら

以下のような新着情報を毎週配信しています♪

https://m.technica-zen.com/ms/form_if.cgi?id=fm

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

~EU-US DPFとデータの問題~

 

この原稿はシンガポールに向かう飛行機で書いています。

毎年7月にはIAPPのシンガポールでアジアプライバシーフォーラムが開催されます。

アジア各国のプライバシーの専門家が集まりネットワーキングを行うことができるイベントです。

コロナで中断していたのが昨年から再開されました。

今年は日本から参加される方も多いようです。

 

今年の話題は何といってもAIです。

AI技術は、そのスピードと影響力の大きさゆえに多くの関心を集めています。

何らかの対処が必要ということでは意見が一致していますが、”how”がまだまだはっきりしないという状況です。

今回、どのようなアップデートがあるのか注目したいところです。

IAPPはAIについてわざわざ新たな認証を作り、この秋からトレーニングとテストを実施するそうです。

 

もう一つ、データの越境移転の話題が再度持ちあがるでしょう。

7月上旬、EU-U.S. Data Privacy Framework(EU-U.S.-DPF)が欧州委員会から十分性認定を受け、

EU-U.S. Privacy Shieldの後継としてEU-U.S.間のデータ流通の基礎となったためです。

 

EU-U.S. DPFはアメリカ、カナダで主に採用されているFair Information Practicesの原則をベースとしたデータ保護のフレームワークです。

EU-U.S. Privacy Shield との違いは、Data Privacy Frameworkでは個人からの苦情に対応するための体制が新たに整備され、

個人に対する救済措置が強化されたことにあります。

これによってEUの個人は自国のDPAに対してアメリカに移転されたデータに対する苦情申し立てを行うことができるようになりました。

欧州のDPAはこの苦情をアメリカに伝え、アメリカが調査を開始するという仕組みです。

この仕組みのおかげで欧州の個人は自分のデータに対する苦情申し立てが格段にしやすくなりました。

EU圏という大きな経済領域のもつ力がなした政治的な努力の結果のようにも見えます。

 

データの議論では、こうした政治的な影響が目につきます。

そのため、ロジックだけでは説明しきれない現象が発生します。

たとえば、欧州から十分性認定を受けた韓国を日本がまだホワイトリスト国に掲載していないことなどもその一例でしょう。

世界のデータ流通を促進するというDFFTでも世界第2の経済大国である中国をはじめとする共産圏が枠組みから外れています。

ビジネス上の観点からいえば、なんとも不思議な状況です。

しかし、ルールを決めている国々の事情もあるため、私たち民間のプレーヤーは、そういうものだと受け入れるしかないというのも実情です。

 

こういった状況では、やはり良質かつ新鮮な情報をコンスタントに集めていることが大切な気がします。

出来事にはニュースや文字として発表されない目に見えない文脈があります。

これを把握していると、混とんとした状況であっても道筋をある程度見出すことができます。

IAPPの国際カンファレンスのような場でネットワーキングを行うことが大切なのは、新鮮な情報を交換することができる相手を世界各国に持てるからです。

データの時代といっても、一番大切な情報はまだ、対面でのやり取りの中で得られるように感じます。

 

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆

≪当社無料メールマガジンのご案内≫

▼メルマガ登録はこちら

https://m.technica-zen.com/ms/form_if.cgi?id=fm

・週1回の配信で、重要トピックや最新ニュース等の情報をお届けしています。

・上記のような当社コンサルタントの専門的視点で注目する、最新ニュースや動向等を読んでいただけます。

・配信不要な場合はメルマガ最下段にてワンクリック解除が可能です。

◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆◆