ガバナンスの核となる「説明責任」とは何か？〜その1

Operationalizing Accountability in Privacy and AI Programs
IAPP Asia Privacy Forum 2024 現地レポート[Vol.5]
公開：2024/08/05　執筆：ウンリュエル愛友美（株式会社プライバシーテック）、取材：山下大介（株式会社プライバシーテック）

世界中のプライバシー専門家が集う国際会議「IAPP Asia Privacy Forum 2024」が、2024年7月17日〜18日の日程で、シンガポールで開催されました。株式会社プライバシーテックは、今年4月にワシントンD.C.で行われたカンファレンスに続いて、今回も現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・データプライバシーにおける説明責任について理解を深める。
・説明責任を促進するために必要なことは何か。
・説明責任を果たしている企業、およびプライバシープログラムに見られる共通事項を把握する。

登壇者

Moderator: Bojana Bellamy, CIPP/E, President, Centre for Information Policy Leadership
Susan Cooper, VP, Regulatory Readiness and Global Data Protection Officer, Meta
Marc Placzek, Vice President, Data Management and Privacy Oversight, Chief Privacy Officer, PayPal
Hilary Wandall, CIPP/E, CIPP/US, CIPM, FIP, Chief Ethics and Compliance Officer, Dun & Bradstreet

転載：IAPP Asia Privacy Forum 2024

概要

AIやプライバシーガバナンスにおいて重要な要素の一つは説明責任である。技術の進化に法令が追いつかない現状において、企業が生活者にベネフィットとリスクについて説明責任を果たす重要性がより増してきている。

他方、さまざまなデータプライバシー規制の要件を満たしたうえで、効果的なコンプライアンスプログラムを構築することや説明責任を実現することは、容易ではない。生成AIの登場によって、それらはさらに複雑化している。

本セッションでは、情報政策リーダーシップセンター（CIPL：Centre for Information Policy Leadership）が説明責任を構成する要素を7つに分類した「アカウンタビリティ・フレームワーク」を用いた、強固なコンプライアンスプログラムの構築方法や、説明責任を実現する方法について解説がなされた。

重要だけど、曖昧な「説明責任」の定義

「企業による説明責任」という考え方は、データプライバシー法、政策、企業コンプライアンスの究極の目標である。

米国、カナダ、ヨーロッパ、アジア太平洋地域、ラテンアメリカにおける先進的なデータプライバシー規制当局や法律制定者や、世界の主要企業の幹部やCPO（最高プライバシー責任者）など、官民双方から支持されてきた。

しかし、データプライバシーにおける説明責任が実務上何を意味するのかについては、正式な定義や一致した見解がない。

企業は、取締役会・株主・規制当局などのステークホルダーに対して、具体的にどのように説明責任を果たしていけばよいのか。その問いに答えるべくCIPLによって作成されたのが、「アカウンタビリティ・フレームワーク（説明責任の枠組み）」である。

CIPLは、このフレームワークを用いて、さまざまな分野の主要企業と協力し、データプライバシーに関する説明責任がどのように企業文化に組み込まれているか調査・評価している。

CIPLとは

2001年に大手企業とHunton Andrews Kurth LLP（旧Hunton & Williams）によって設立された。ロンドン（英）、ブリュッセル（ベルギー）、ワシントンD.C.（米）に拠点を置く、プライバシーとデータ政策に関するシンクタンク兼実践機関である。

ビジネスとコンプライアンス、政府、規制政策、消費者擁護、テクノロジーの分野で豊富な実務経験を持つアドバイザーが在籍し、プライバシーとデータの責任ある利用に関してグローバルな視点でのソリューションとベストプラクティスを推進している。

CIPLアカウンタビリティ・フレームワーク

CIPLアカウンタビリティ・フレームワークは、以下（図１）に示す、７つの要素に基づいて構築されている。

図１：CIPLアカウンタビリティ・フレームワーク

説明責任の促進するために必要な6項目

CIPLは、データプライバシーにおける企業の説明責任を促進するには、具体的に次のような事項が求められると提言している。

1. 共通性：デジタル市場における慣習を踏まえたうえで、すでに広く認知されている調査手法・評価指標（デューデリジェンス）によって説明責任を推進すること。

2. 合意形成：業界と規制当局の間で、合意形成（コンセンサス）を図ること。

3. 越境性：法制度の異なる国や地域であっても、理解促進につながるものであること。

4. 拡張性：大企業から中小企業まで、あらゆる組織で機能する拡張可能な枠組みであること。

5. 実行可能性：企業側が具体的な実績や成功事例を提示すること。

6. 優先度：説明責任を、法的コンプライアンスにとどまらず、取締役会レベルおよび事業戦略上の課題として推進すること。

AIと説明責任

人工知能技術（AI Technology）は、日常生活のほぼあらゆる側面に入り込み、個人や社会に変革をもたらしている。幅広い実質的な利益をもたらす一方で、重大なリスクも伴う。

そのため、AI技術を開発し導入する企業は、強固で体系的なAIガバナンスの枠組みとコンプライアンスプログラムを策定する必要がある。これは強力なAI技術の責任ある開発と展開、および社会の信頼を築くためには不可欠であると認識しなくてはならない。

AI活用にも汎用性のあるCIPL

CIPLは、20年以上にわたり、データ保護やより広範なデジタルおよびデータ政策における企業の説明責任について提唱し、考え方を提示してきた。

図1で示したCIPLのアカウンタビリティ・フレームワークは、責任あるAI開発におけるガバナンスプログラム構築にも活用できる。

CIPLが行った広範な研究から、説明責任を果たしている企業には、次のような共通事項が挙げられるとわかった。

• 経営陣が説明責任をトップダウンで実行している。

• 説明責任を、企業の継続的な成長に不可欠な、組織変革管理プロセスと捉えている。

• 自社のデータプライバシー管理プログラム（DPMP: Data Privacy Management Programmes） 構築にあたって、CIPLアカウンタビリティ・フレームワークへの準拠を考慮している。

• DPMPをさまざまな事業領域に適応させ、拡大させている。

• 説明責任を、イノベーション、信頼、持続可能性の促進を図る要素として、ビジネス上の重要課題として認識・活用している。

• 説明責任は、ビジネス上の利益であり、生産性の向上と認識している。

• データを管理する立場と、データの活用する立場の双方が、説明責任を果たすことを積極的に進めている。

• 他のコンプライアンス分野でフレームワークを活用しているため、説明責任のフレームワークの活用にも抵抗がない。

以上

※本記事は株式会社プライバシーテックの山下大介が取材、ウンリュエル愛友美が翻訳、編集しています。

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（20万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

◆ 関連記事
[Vol.1]IAPP Asia Privacy Forum 2024が開催
[Vol.2]データ主権とはなにか？〜越境データ移転規制の現在地〜その１
[Vol.3]データ主権とはなにか？〜越境データ移転規制の現在地〜その２
[Vol.4]プライバシー保護技術：PETs導入への道
[Vol.5]ガバナンスの核となる「説明責任」とは何か？〜その１ ←この記事
[Vol.6]ガバナンスの核となる「説明責任」とは何か？〜その２
[Vol.7]CBPR：信頼性のある自由なデータ流通の実現

===

＜＜前へ：[Vol.4]プライバシー保護技術：PETs導入への道

＞＞次へ：[Vol.6]ガバナンスの核となる「説明責任」とは何か？〜その２

===

＜公開予定＞

CBPR：信頼に基づく自由なデータ流通の実現(CBPR: Bringing Data Free Flows with Trust to Life)

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP