データ活用のリスクとAI規制を解説 - セキュリティ/プライバシーのトレンド2023

ガートナージャパンは7月26日～28日、年次カンファレンス「ガートナーセキュリティ＆リスク・マネジメントサミット」を開催した。同カンファレンスでは、ガートナーのエキスパートをはじめ有識者らによる講演が多数行われた。その中から本稿では、ガートナーバイスプレジデントでアナリストの磯田優一氏によるセッション「データ活用で押さえておくべきセキュリティ/プライバシーの重要トレンド：2023年」の内容をレポートする。

ガートナーバイスプレジデントでアナリストの磯田優一氏

グローバルな視点を持ちながらの舵取りが求められる

磯田氏はまず、世界のプライバシー関連規制に関する動向を取り上げた。2022年には少なくとも8つの国でプライバシーなどに関する法律が制定され、2023年以降もさらに多くの国で法案が通過する見込みだという。欧州、米国、中国および日本でここ数年整備された法令を紹介しつつ、同氏は「今時点の国内の常識で判断するのではなく、グローバルな視点を持ちながら、舵取りをしていくことが求められている」と強調した。

プライバシー関連規制に関する各国の動き／出典：ガートナー（2023年7月）

「（プライバシー関連規制は）法律的なことなので、法務部門のマターではありますが、IT部門、セキュリティ部門から能動的な確認を取る必要がある局面が今後増えていくでしょう。そのためにも、これらの部門の人たちは主なトレンドを掴んでおくべきなのです」（磯田氏）

また現在は、海外での事業展開やクラウドの使用など、国境を越え、データが行き交っている状態だ。このようなデータ越境移転の議論をする際には、プライバシー関連規制に加え、政府による統制/監視や経済安保動向、クラウド/テクノロジーの動向など、多岐に渡るトピックを見て、判断する必要がある。磯田氏は、価値観を共有できるような地域ではつなげられるものはつなげる、ローカライゼーションが強まっている地域は別枠で考えるといった流れが大きなトレンドだとしつつ、「重要なのは、動向を踏まえて、自社の対応をきちんと説明できること」だと述べた。

3ラインズ・オブ・ディフェンスを基本に、全社的な取り組みを

では、このように複雑性が増す中、どのような組織体制で進めるべきか。磯田氏によると、セキュリティやプライバシーについての議論には、法律やビジネス、AI、ITなどのさまざまな分野が関わっており、それぞれの分野で高度な議論が必要であることから、全社的な取り組みとして捉えるのが好ましいそうだ。

全社的な組織体制をつくる際、それぞれの役割分担をどう捉えるべきかの例として同氏が挙げたのが「3ラインズ・オブ・ディフェンス」である。これは3つのラインでセキュリティの防衛線を張る考え方で、1つ目のラインは顧客やクライアント、従業員に直接接している部門が担う。2つ目のラインは、1つ目のラインに対してアドバイスを送る役割だ。3つ目のラインは、1つ目、2つ目のラインを独立的、客観的な立場から見る立場である。

3ラインズ・オブ・ディフェンスを採用した組織体制の例／出典：ガートナー（2023年7月）

「組織はつくれば終わりではありません。改めて、役割を定義していくことが大切なのです」（磯田氏）

実務は、ビジネス・バリューを意識し、人中心で進めるべき

ここで磯田氏は、プライバシー管理の実務としてまずやるべきことに「データ・インベントリ（台帳）」の作成を挙げた。その目的は社内のどこにどのような個人データがあるのかを把握することだ。作成にあたっては、「プロジェクトを立ち上げ、各関係部門のリーダーに参加してもらうようなかたちが良いのではないか」と同氏はアドバイスする。

ここで問題となるのが、実務の形骸化だ。台帳づくりでは、それ自体が目的となってしまったり、法律があるからやらなければいけないという“やらされ感”で作業してしまったりという状態に陥りやすいが、そうならないためのポイントがある。その1つが、データ・インベントリの作成がビジネス・バリューへとつながる取り組みであると再認識することである。磯田氏によると、データが基礎データとなり、セキュリティやプライバシー管理の取り組みが向上することで組織のトラスト、価値が上がる。これにより、顧客のロイヤリティが高まり、ビジネス・バリューにつながるという。

「データ・インベントリが最終的にビジネス・バリューをもたらす取り組みなのだと再認識することが重要です」（磯田氏）

データ・インベントリ作成からビジネス・バリュー創出までの流れ／出典：ガートナー（2023年7月）

2つ目のポイントは法律中心ではなく、人中心で考えることである。磯田氏は「法律があるから対応するのではなく、人が人である以上（プライバシーは）大切なものであるから対応するのだという意識を持つことが重要」だと力を込めた。

AI活用のリスクとAI TRiSM

セッションの最後に磯田氏は、今年特に話題となったAI活用についても取り上げた。

データアナリティクスの現場でもAI活用が進められているが、そこにはいくつかのリスクがある。1つは大規模で気密性の高いデータセットを取り扱う点である。もう1つは、自社だけで完結する取り組みではない場合が多く、組織横断的に行われる取り組みであるが故のリスクがあることだ。そしてもう1つ、同氏が挙げるのが、生成AIを活用するような顧客サービスを展開する場合、著作権や安全性、偽情報、犯罪への悪用といったリスクが発生する可能性がある点である。EUのAI規制法案など、AI規制も進みつつある中、ガートナーでも「AI TRiSM」の整備を進めているそうだ。

AI TRiSMとは、AI Trust, Risk and Security Management の頭文字をとった略称で、AIの信頼性や公平性、モデルの確実性、利用に伴うリスクに対応するセキュリティ、プライバシーなどの確保をサポートする枠組みである。昨年10月にガートナーが発表した「戦略的テクノロジーのトップ・トレンド」でも挙げられた、2023年に企業や組織にとってインパクトを与えるであろうトレンドの1つだ。