AI時代に確信を持ってデータプライバシーに対処するための6つの措置

AIを巡るプライバシーや規制に関する懸念が増大する中、企業にはそれらの課題に対処する必要があります。 

人工知能（AI）、生成AI、大規模言語モデル（LLM）が急速に普及するにつれ、データプライバシーおよびデータ倫理に関するリスクが高まるとともに、意図しない結果につながることも増えてきています。 

最新のLLMは、数多くのソースから抽出された膨大なデータを処理していますが、多くの場合、データは無許可で使用されています。このため、一般市民のプライバシー権に対する懸念や、ローン、求人への応募、出会い系サイト、さらには刑事事件に関してさえ、AIが偏った判断をする可能性を下す可能性もあります。 

このようにAIを巡る状況は急速に進展しているものの、規制当局の多くは、AIのメリット最大化とリスク軽減を目的とするフレームワークの開発に着手したばかりです。このフレームワークは、レジリエンス、透明性、公平性を備えている必要があります。EUは予定されている新たなAI法に関して最も包括的なアプローチ（英語のみ）をとってきましたが、その一方で、AI規制のあり方に対する理解を進め、合意を形成する取り組みが協調的に実施されてきたとはいえません。そのため、当然のことながら、業界のリーダーたちは各国・地域の政府に対して、AI利用規制に関する取り組みを強化し、さらに大きな役割を果たすよう求めています¹。EYでは、規制環境の進展を俯瞰するため、次の8つの国・地域の規制アプローチの分析（英語のみ）を実施しました。対象となったのは、カナダ、中国、EU、日本、韓国、シンガポール、英国、米国です。

各企業がAIを巡る状況の急速な変化に合わせて、自社が適応すべき戦略を策定できれば理想的でしょう。しかし、多くの企業はAIの活用に向け取り組み始めたばかりであることを考えると、これは難しいかもしれません。そのため、企業はAIを積極的に活用することを望みつつも、規制を順守し顧客の信頼を維持しなければならず、企業にとっては難しい状況が生じています。「AIの活用における先駆者になるか、それとも後続集団の一員になるかについて、企業にとって葛藤が生じています。規制が進化する中、企業はイノベーションを可能にするとともに自社と顧客を守る、俊敏性を備えた統制フレームワークを導入する必要があります」とErnst & Young LLPのUK Head of Data Protection Law Servicesを務めるGita Shivarattanは指摘します。本稿では、企業がAIなどの新技術を導入する際に、データプライバシーとデータ倫理に関する自社の優先事項に沿い、義務へ誠実に対応するためにデータプライバシー責任者が取ることができる6つの主要な措置について検討します。  

データプライバシー責任者が以下の6つの措置を図ることで、企業はAIの利用を進める際に、より俊敏にデータプライバシーに関する自社の優先事項に従い、義務を履行できるようになります。

1.プライバシーリスクにおけるコンプライアンスについて自社の主張を整理する

プライバシーリスクに対する統制、およびプライバシーに関するコンプライアンス全般の成熟度を評価し、AIガバナンスの強固な基盤を構築します。これには、従業員と規制当局が納得できる主張を示すことが不可欠です。現在、さまざまな国・地域でプライバシー法規制の制定が急速に進んでいますが、その大半（全てではないにしても）には一般データ保護規則（GDPR）の趣旨が盛り込まれています。したがって、プライバシーに関するリスクや倫理を検討する際には、「GDPRから得た経験を活用」するようErnst & Young LLPのLaw部門でパートナーを務めるMatt Whalleyは助言しています。「将来、根拠を示すよう求められた場合に備えて、自社の意思決定に関連する要素を確実に文書化する必要があります」。最終的には、自社の主張を通じて、コンプライアンスがどのように顧客の信頼の形成と評判失墜や罰金賦課の防止に関与し、リスクを管理しつつAIイノベーションとデータに基づく意思決定を可能にすることで業績に貢献しているのかを示すことになります。

2. リスクに対する統制、ガバナンス、説明責任を規定する

明確な規制がない中で、企業が確信を持ってAIの活用を進めるには、リスクに対する統制とガバナンスのフレームワークが役立つでしょう。しかし、2022年にEYが実施した調査（英語のみ）によると、AIに関して全社的なガバナンス戦略を策定している企業は35％に過ぎません。

AIガバナンスプログラムを確固としたものにするには、データ、モデル、プロセス、アウトプットをプログラムに含めるとともに、イノベーションによりもたらされる効果と企業が果たすべき責任の均衡を図るべきです。そうすることで、製品開発チームは、顧客の信頼を失うかもしれない、規制当局が警戒心を抱くような高リスク領域へは踏み込むことなく試行を進めることが可能になります。また、「プライバシー保護とバイアス防止を図るため、AIモデルは規制当局と一般の人々がデータの出所と加工の方法を確認できるよう、透明性を備えているべきです」とShivarattanは指摘します。最も重要なのは、ガバナンスフレームワークに下記の措置を規定し、AIのシステムとその成果に対する責任と説明責任が確実に果たされるようにすることです。

• AIの適切な利用に関する明確な手続きを策定する。 
• データ利用の促進および管理に責任を負う関係者全員を啓発する。
• プライバシーに関する影響評価やデータ保護に関する影響評価を含め、AIに関するあらゆる決定について監査記録をつける。  
• 収集されたデータの中にバイアスが検知された場合の対処方法に関する手続きを策定する。 

3. データ倫理を業務運営に組み込む 

データ倫理、データプライバシー、責任あるAIの間には明確な結び付きがあります。「データ倫理に従うことで、企業はデータ利用に関して『できること、なすべきこと』を決定する際に、法的許容性と営業戦略以上のものを視野に入れざるを得なくなります」とWhalleyは説明しています。

データ倫理を業務運営に組み込むに当たって、既存のポリシーと業務モデルを見直した後に企業がまず行う必要のあることの1つとして、準拠するべき主要な原則とポリシーの特定があります。テクノロジーを活用すれば、これらの原則やポリシーを第一戦の意思決定過程に根付かせ、規制上の義務と併せて考慮されるようになるでしょう。

原則は、既存の価値や従業員センチメントの延長線上の、企業自体に由来するものである場合もあります。例えば、AIの適切な利用を定義するに当たって、個人データの妥当な利用のあり方を、正当な利益はあるか、得られるメリットは個人の自己決定権を上回るか、個人に不測の被害が生じる可能性に十分配慮しているかといった点を検討して評価する場合と同様の手順を踏むことも選択肢の1つになるかもしれません。 

原則が第三者機関や顧客センチメントなどの他の要因に由来する場合もあります。 例えば、規制の方向性が定まらない中、最新のAIモデルを備える企業の一部は、多様な業界において導入可能な基準の策定に取り組んでいます²。