( EVENT REPORT )
ガバナンスの核となる「説明責任」とは何か?〜その2
PlayBook(社内ルール)
開発支援サービス
AI・パーソナルデータ利活用のルールをまとめ、現場の機動力を加速する。
Operationalizing Accountability in Privacy and AI Programs
IAPP Asia Privacy Forum 2024 現地レポート[Vol.6]
公開:2024/08/05 執筆:ウンリュエル愛友美(株式会社プライバシーテック)、取材:山下大介(株式会社プライバシーテック)
世界中のプライバシー専門家が集う国際会議「IAPP Asia Privacy Forum 2024」が、2024年7月17日〜18日の日程で、シンガポールで開催されました。株式会社プライバシーテックは、今年4月にワシントンD.C.で行われたカンファレンスに続いて、今回も現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。
◆ この記事でわかること
・説明責任のあるAIプログラムを作成するためには、何が必要であるか理解する。
・企業が社内外の利害関係者に対して説明責任を果たすために採用すべき具体的な対策、方法を理解する。
登壇者
Moderator: Bojana Bellamy, CIPP/E, President, Centre for Information Policy Leadership
Susan Cooper, VP, Regulatory Readiness and Global Data Protection Officer, Meta
Marc Placzek, Vice President, Data Management and Privacy Oversight, Chief Privacy Officer, PayPal
Hilary Wandall, CIPP/E, CIPP/US, CIPM, FIP, Chief Ethics and Compliance Officer, Dun & Bradstreet
転載:IAPP Asia Privacy Forum 2024
概要
AIやプライバシーガバナンスにおいて重要な要素の一つは説明責任である。技術の進化に法令が追いつかない現状において、企業が生活者にベネフィットとリスクについて説明責任を果たす重要性がより増してきている。
他方、さまざまなデータプライバシー規制の要件を満たしたうえで、効果的なコンプライアンスプログラムを構築することや説明責任を実現することは、容易ではない。生成AIの登場によって、それらはさらに複雑化している。
本セッションでは、情報政策リーダーシップセンター(CIPL:Centre for Information Policy Leadership)が説明責任を構成する要素を7つに分類した「アカウンタビリティ・フレームワーク」を用いた、強固なコンプライアンスプログラムの構築方法や、説明責任を実現する方法について解説がなされた。
AI技術における説明責任
情報政策リーダーシップセンター(CIPL:Centre for Information Policy Leadership)は、「説明責任のあるAIプログラム」を作成するために企業が採用している対策や事例、ケーススタディを幅広く収集してきた。
そして、その調査結果をCIPLのアカウンタビリティ・フレームワーク(図1)にマッピングすることで、AIガバナンスに対する反復可能で体系的なアプローチの開発を促進している。
また、CIPLは、独自のAIプログラムの開発を目指す企業に、CIPL同様の方法論やフレームワークに従うことを推奨している。これにより、企業は社内(取締役会、経営陣、執行委員会、従業員など)および社外(規制当局や投資家など)の利害関係者に対して説明責任を果たすことができるためである。
ここでは、「ガバナンスの核となる「説明責任」とは何か?〜その1」でも触れた、「CIPLアカウンタビリティ・フレームワーク」の7つの要素について、それぞれ解説を行う。
図1:CIPLアカウンタビリティ・フレームワーク
1. リーダーシップと監督(Leadership and Oversight)
企業のAIガバナンスプログラムにおいて、包括的で実証可能な説明責任を確保するには、「リーダーシップと監督」が不可欠である。これは、効果的なガバナンス体制の構築、それを監督する適切な人材の任命、組織内のあらゆる部門における意識向上と支援の促進など、さまざまな活動を通じて実証することができる。
企業の取り組みの具体例は以下の通り。
「トップダウン」の姿勢を確立し、AIの開発、展開、利用における倫理、価値観、特定の原則を推進する姿勢を示す。
トップによる監督のもと、社内チームに柔軟性を提供しながら一元化されたガバナンスの枠組みを構築する。
AI倫理監督機関または委員会を社内または社外に設置し、リスクの高いAIの活用事案をレビューする。さらに、その活用における課題を継続的に改善していく。
AI 責任者や、AI 担当役員、AI 推進者などを任命する。
AI関連の意思決定のための体系的なプロセスとエスカレーションフローを導入する。
多分野にわたる横断的なAIチームを確保するために、他の関連チーム(エンジニアリング、データサイエンス、法務、倫理・コンプライアンスなど)の専門知識を活用する。
2. リスク評価(Risk Assessment)
CIPLは、AIの開発を管理および規制するためにリスクベースのアプローチを採用することを提唱してきた。このようなアプローチを取ることにより、AI技術の利点を活用しながら、危害を及ぼすリスクの可能性とその重大性に比例した保護・緩和措置を促進することができる。
AIのリスクを包括的に評価するために、多くの企業はプロジェクトレベルである程度の独立性を認めつつも、全体的には中央集権的なアプローチを取っている。つまり、トップダウンで十分なサポートを提供し、水平方向と垂直方向の双方からの意見やコミュニケーションを奨励し、プロセスを標準化するための詳細なリスク評価手順を開発している。
AIに関する法規制は流動的であると同時に、プライバシー、知的財産、セキュリティ、安全、反差別など、他の法律分野にも影響を及ぼす可能性があるため、AI技術の評価とAIガバナンスの構築の枠組みは継続的に見直さなければならない。
企業は、変化する法律に遅れを取らないよう機敏に対応し、必要に応じて新たな要件を組み込む必要がある。
包括的で総合的な「リスク評価」を確保する方法の例は、次の通り。
アルゴリズムの影響評価や公平性評価ツールを開発し、AIライフサイクル全体を通じて、偏りや不公平な差別、および「コンセプトドリフト」を回避するために、アルゴリズムを継続的に監視およびテストする。
AIライフサイクル全体を通じて、特に新規または更新されたユースケースやアプリケーションについては、AIリスク評価を複数回実施する。
AI関連のリスクを分類し、統一的な評価を可能にするリスク分類法を作成する。
高リスク処理に関する考慮事項(精度、データ最小化、 セキュリティ、透明性、影響範囲、社会への利益)を文書化する。
プライバシー強化技術(PETs)を使用して、AI システムのプライバシーとセキュリティを保護する。
3. 方針と手順(Policies and Procedures)
企業の AI プログラムに導入された説明責任の要素はすべて、書面化された方針と手順に反映されていることが理想的である。現状多くの企業が、倫理原則や法的要件を具体的なプロセス・管理に具体化するため、AI に関する内部書面化された方針や手順を策定し始めている。これらの方針は、組織の社内規則や価値観にも基づくものである。
方針を文書化することにより、説明責任のあるAIの開発と展開の促進に役立つだけでなく、規制当局やエンドユーザーなどの外部利害関係者に対して、企業が説明責任のあるAIの実践に取り組んでいることを示すことができる。
AIプログラムにおける説明責任のあらゆる側面をカバーする「方針や手順」の具体例は以下の通り。
AIライフサイクル全体において、プライバシー、AI倫理、またはセキュリティ・バイ・デザインの原則を組み込む。
公開前にAIモデルのパイロットテストを義務付ける。
AIモデルのトレーニングにおける保護されたデータ(暗号化、匿名化、トークン化、または合成データなど)の使用を規定する。
社内使用および参照用にAI関連用語集を作成する。
自動または手動によるチェックを通じて、モデルトレーニング前にデータセットをクリーニングする。
AIを導入するビジネスパートナー向けに、デューデリジェンスや自己評価チェックリストを作成する。
高いリスクを伴うAIの問題を報告するためのエスカレーション手順の明確化。
すべての利害関係者(データサイエンティスト、ビジネス、最終ユーザー、管理機能など)が参加するアイデア創出フェーズの実施。ニーズ(説明可能性を含む)、成果、検証ルール、メンテナンス、予算などを議論する。
社内原則に基づくポリシーを、サードパーティのベンダー契約や、デューデリジェンスプロセスに反映させる。
4. 透明性(Transparency)
「透明性」を確保することは、AI 技術の開発と展開において信頼を築き、獲得する上で不可欠な要素である。特に、生成AI が広く利用されるようになった現在では、透明性の確保はさらに重要なものとなっている。
また、透明性は、新たに策定される規制上の指針や要件の重要な要素でもある。真に説明責任を果たす企業は、社内外の利害関係者に対して、AI に関する取り組みについて透明性を確保するよう努めなければならない。
企業が実施している取り組み例は、以下の通り。
AIライフサイクルのあらゆる段階において、エンドユーザー、規制当局、ビジネスパートナー、社内ステークホルダーの異なるニーズに合わせて透明性対策を調整する。
特別なニーズや障害を持つ人々にとって、AIの開示情報が包括的でアクセスしやすいものとなるよう考慮する。
反実仮想機械学習を提供する(例:異なる入力がAIモデルの出力にどのような影響を与えるか)。
段階的な透明性の実施(例:顧客の期待を理解し、AIを受け入れる準備状況に基づいてAI技術を導入する)。
ファクトシートやモデルカード(AIモデルに付属する短い文書で、特定のモデルが使用される状況や、さまざまな条件下でのモデルのパフォーマンスを説明するもの)を公開する。
ベンチマーキングの機会、パブリック・エンゲージメント、規制のサンドボックス制度に参加する。
5. 研修と啓発(Training and Awareness)
企業の AI ポリシーと手順の周知徹底を図るため、従業員の研修は欠かせない要素である。また、従業員を企業の文化に定着させることにも役立つ。 AI の倫理原則が日々の役割や責任にどのように反映されるか、それが規制要件とどのように関連しているか、などを理解させることが重要である。
企業が採用している具体的な「研修と啓発」には、次のようなものがある。
データサイエンティストやエンジニアを対象とした専門的な研修供(AI開発に関連する倫理的問題への対処方法(例:偏見を制限し対処する方法)を含む)。
部門横断的な研修の機会の提供(プライバシーの専門家とAIエンジニア間など)。
関連チームを対象としたAIにおける倫理と公平性に関するトレーニングの調整。
関連リスクが軽減された、または展開が停止されたAIの使用事例情報の収集と公開。
倫理研修の修了を、ボーナス、昇給、昇進の資格と組み合わせる、または他の必須研修に取り入れることによる、コンプライアンスの奨励。
6. モニタリングと検証(Monitoring and Verification)
説明責任を確実に機能させるためには、責任あるAIプログラムの実行、社内コンプライアンス、有効性のモニタリングおよび検証が不可欠である。これにより、企業は社内外に対して説明責任を果たし、すべての利害関係者からの信頼を獲得することができる。
現在、責任あるAIプログラムは初期段階にあるものと捉えられており、最も効果的な実践方法は何であるか、多くの企業が研究を重ねている。将来的に外部監査や認証が義務付けられる可能性があることを考慮すると、内部監査や社内ポリシーの定期的な見直し、そして潜在的なコンプライアンス違反の可能性がある分野のテストおよび検証が推奨される。
企業が採用している「モニタリングと検証」の例は、以下の通り。
AIのライフサイクル全体にわたる継続的なモニタリング、検証、確認。
設計、監督、是正措置に人間を介在させる(ヒューマン・イン・ザ・ループ)。
AIを使用している業務機能を特定し理解する。
入力と出力の人的監査機能を提供する。
法的または同等の重大な影響を持つ個々の決定について、必ず人間のレビューを行う。
AIモデルのレッド・チーミング演習や敵対的テスト。
7. 対応と実施(Response and Enforcement)
CIPL のアカウンタビリティ・フレームワークの最後の要素である「対応と実施」とは、次のような事象を指している。
内部での不遵守があった場合、説明責任のある AI プログラムの実施を強制する。
セキュリティインシデントやデータ侵害に対処する。
個人やエンドユーザーからの要望や苦情に対応する。
規制当局や外部監査人からの要望や調査に対応する。
現状、説明責任のあるAI の導入に関する規制当局の調査や問い合わせに直面している企業は多くない。しかしながら、多くの企業がすでに複数のチャネルを導入し、従業員と顧客の両方がフィードバックを提供したり、内部監査の結果が包括的に対処されたりするようにしている。
具体的な対応策の例は、以下の通り。
AI の決定を是正するための救済メカニズムを導入する。
AI導入を社内で監督する。
ボットではなく人間を介して是正を許可する。
フィードバック、苦情、リクエストなどを報告し、対応する社内(従業員向けなど)および社外(エンドユーザー、企業顧客向けなど)のコミュニケーションチャネルを開発する。
以上
※本記事は山下大介(株式会社プライバシーテック)が取材、ウンリュエル愛友美(株式会社プライバシーテック)が翻訳、編集しています。
当社では、今回のカンファレンスの詳細版レポートと勉強会を有償(20万円〜)にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。
◆ 関連記事
[Vol.1]IAPP Asia Privacy Forum 2024が開催
[Vol.2]データ主権とはなにか?〜越境データ移転規制の現在地〜その1
[Vol.3]データ主権とはなにか?〜越境データ移転規制の現在地〜その2
[Vol.4]プライバシー保護技術:PETs導入への道
[Vol.5]ガバナンスの核となる「説明責任」とは何か?〜その1
[Vol.6]ガバナンスの核となる「説明責任」とは何か?〜その2 ←この記事
[Vol.7]CBPR:信頼性のある自由なデータ流通の実現
===
<<前へ:ガバナンスの核となる「説明責任」とは何か?〜その1
===
IAPP公式サイト:https://iapp.org/about/
#AIガバナンス #AI利活用 #プライバシー #IAPP
お問い合わせ・資料ダウンロード
人手不足のガバナンス業務をAIで自動化する。
プライバシーテックは、人手不足のガバナンス業務をAIで自動化します。最新のデータ利活用時におけるプライバシー保護技術に関して、資料ダウンロードも可能です。是非ご覧ください。
過去の支援実績
支援実績
最新資料
PrivacyTech GRoW-VA
散在する情報を、複利を育むIntelligenceに変え、AI・データガバナンスの実行を支援・自動化。AIとデータガバナンス領域の専門性を深いレベルで統合し、顧客ごとにカスタマイズされた出力をスピーディーに実現できるプラットフォームです。
PlayBook開発支援サービス
AI・データ活用の原理原則・ルールをまとめた、PlayBook(プレイブック)は急速に進化する技術を乗りこなしていくため、現場の従業員が課題を発見し、対策を導くための手順・戦略・ノウハウをまとめた指南書です。
PIAとはなにか? (策定と運用)
Privacy Impact Assessment (Data Protection Impact Assessment)プライバシー影響評価(データ保護影響評価)に関する概要説明、及びプライバシーへの配慮を前提とした開発モデル「プライバシー・バイ・デザイン(PbD)」について記載しております。
プライバシーポリシー改定の進め方
AIや3rdParty、Cookieレスへの対応など、従来の個人情報管理だけではない、利用者への説明責任や選択機会の提供の対応が求められています。そういった環境変化に対応するための戦略的プライバシーポリシー改定の方法を記載しております。
プライバシーセンター新規開設の進め方
Webサイトやアプリのアクセス時に突如出現する「同意取得バナー」や、難解で大量の文字で埋め尽くされた規約で、生活者(ユーザー)から同意取得をすればよいという対応は、既に形骸化しており、もはや時代にそぐわないものになっています。生活者との信頼の醸成に繋がるプライバシーの同意取得の方法・考え方を記載しております。
改正電気通信事業法 外部送信規律の対応事例
2023年6月16日から改正電気通信事業法が施行されることになり、「外部送信規律」が新たに追加されました。これは、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。この対応を怠ると、行政指導や業務改善命令、従わない場合は200万円以下の罰金が課されるため、他社事例を元にこの規律を学んでいただける資料を作成しております。