サイバーリスク：ビジネスにおけるAIリスク

AIが企業をリスクに晒すのか？

AI（人工知能）の進化と普及は、ビジネスのあり方を根底から変えつつあるということを否定することは困難だろう。効率化、コスト削減、意思決定の最適化、顧客体験の向上などなど、その利点は計り知れない。実際、ソフトウェア開発の現場では、7割のプログラマーがより良い仕事をすることにAIが役立っていると回答する調査報告などもある。^[1] AIが既に役立つアシスタントのように機能しているのだ。もちろん、良いことばかりではない。同じ調査報告では、プログラマーが現在使用しているスキルが急速に陳腐化していくことを懸念する声や、自分自身の仕事がどのように変化するのか不安を抱いているプログラマーも多くいることも指摘されている。そして、この革新的なテクノロジーを取り入れる際に、サイバーリスクや法規制の遵守など新たな課題に直面することも避けられない。AIの使い方を誤れば、企業は重大なリスクに晒される可能性があるということだ。

AIを用いたシステムでは、膨大なデータを処理し学習する能力を持っているため、データ保護とプライバシー管理が重要となる。不適切なデータ管理は、情報漏洩やプライバシー侵害のリスクを高め、企業の信頼を損なうことにも発展しかねない。また、AIの技術が急速に発展することで既存の法規制の枠組みを超える可能性もある。例えば、AIが生成するデータやAIの意思決定の過程が GDPR（EU一般データ保護規則）にどのように適合するのか依然として明確ではない。当然、企業がAIを活用する際には、これらの法規制を遵守することが求められるが、遵守そのものが困難な可能性もある。

このようにAIによるビジネスへの影響は、新たなリスクを生み出すというよりも、既存のリスクを拡張する形で現れると考えることができる。AIを用いた自動化により生産性は向上するが、同時に仕事の質やバリエーションにより多くのエラーをもたらす可能性もある。

では、AIを用いたサイバー攻撃はどうなのか？

NCSC（英国家サイバーセキュリティセンター）が一月に公開した報告書では、AIがサイバーセキュリティに与える影響について詳細に分析している。^[2] AIに関連するリスクを理解し、適切な対策を講じるために貴重な資料だろう。この報告書によると、人間の心理を巧みに操り、セキュリティシステムを迂回するソーシャルエンジニアリングで特に、大きな変化が訪れることに言及している。AIを用いたソーシャルエンジニアリングは、従来の手法よりもはるかに洗練され、個人や企業を狙った精密な攻撃を可能にするため、企業や組織ではこれまで以上の対策を講じる必要がある。

AIの導入を検討する際にはこれらのリスクを十分に理解し、適切な対策が不可欠となるが、危なそうだから使わないということではなく、リスクを最小限に抑えて活用するバランスを見つけ、恩恵を享受していきたい。

責任ある利用が求められる

2024年は米国大統領選挙があるが、ここでも AIのもたらすリスクに注目が集まっている。ディープフェイクと呼ばれるAIで作成された偽の映像や音声のことだ。実際には存在しない人物の言動をリアルに再現することで、情報の真偽を見極めることの難しさが増し、政治的な文脈では特に深刻な問題を引き起こす可能性がある。選挙期間中、候補者に関する偽の動画や音声がSNSを通じて拡散されれば、大衆の意見が操作される恐れもあり、選挙の公正性や民主主義の根幹を揺るがすリスクさえもあるのだ。実際に、過去の選挙ではディープフェイクを使った明確な事例が報告されており、技術の進歩と共にこの種の攻撃はより洗練され、検出が困難になっている。

ところで、ディープフェイクではなくAIが生成したコンテンツの著作権は、誰に帰属するのだろうか？

法律家、クリエイター、技術開発者の間で活発な議論が行われているが、現時点では多くの法域で、AIによって生成された作品の著作権はAI自体ではなく、AIシステムの開発者またはそのユーザーに帰属すると考えられている。欧州委員会が公開した報告書においても、AIによる創造物の著作権に関しては、開発者かユーザーに帰属させる方向で議論が進んでいることが確認できる。^[3]一方でAIの自律性が高まれば、人間からは独立した創作主体とみなすべきだとの意見もあり、今後の法制度の在り方が問われることになりそうだ。

また、AI技術の進化は、ディープフェイクや著作権の問題にとどまらず、労働市場、プライバシー保護、倫理的な問題など、社会の様々な側面に影響を及ぼしていく。例えば、AIによる自動化が進むことで多くの職種が変化または消滅する可能性が議論されることは多い。同時に、新たな職種やビジネスチャンスも生まれている。AIの責任ある利用と発展に向けて、これらの技術のポテンシャルを最大限に活かしつつ社会的なリスクを最小限に抑えるために、継続的な研究や法的枠組みの整備、そして公衆の意識向上が不可欠である。 

倫理的な利用を促進するためには

AIのビジネスへの導入は多くの利点をもたらすが、同時にテクノロジーを運用する際の適切なポリシーの設定が不可欠である。運用ポリシーが正しく設定されない場合、消費者保護の問題をはじめ、多くの問題が生じる可能性がある。例えば、顧客データを扱うAIシステムでは、データプライバシーの保護やセキュリティが重要である。適切なポリシーが設定されていない場合、顧客データが不正アクセスや漏洩のリスクに晒される可能性がある。このような問題は消費者の信頼を損ない、企業の評判に重大な影響を及ぼす可能性がある。

また、AIシステムがトレーニングデータに含まれるバイアスを学習したことで、それをシステム全体に適用することがある。この問題は特に、雇用プロセスなどにおいて問題を招く。AIモデルがどのようにして決定を下しているかを理解することは、しばしば困難であるため、ブラックボックス化がAIによる決定の透明性を損ない、バイアスの特定と排除を困難にもする。特に、深層学習モデルではその複雑さから、どの入力が決定にどのように影響を及ぼしたかを特定することが難しい。

例えば、過去の採用データに基づいてトレーニングされたAIが、性別や民族などに偏った採用推薦を行う可能性が考えられる。本来、資質があるにも関わらず特定のグループが不当に排除される可能性があり、企業の多様性と包摂性の取り組みにも影響を及ぼす。

AIの運用におけるこれらの問題に対処するためには、透明性と倫理的なガイドラインの確立が重要である。AIシステムの設計と運用において透明性を高めることで、利害関係者がシステムの決定過程を理解しやすくなる。また、倫理的なガイドラインを設定し遵守することで、バイアスの問題に積極的に取り組むことが可能になる。企業は、AIの倫理的な使用を促進するために、これらのガイドラインを策定し、実施する必要がある。

アプローチは異なっているが

最後に、AIの進化に伴い各国は、AIの発展を促進しつつ、消費者保護、プライバシーの確保、そして公正な競争を保つために、様々な法整備を進めている。

EUはAI規制に関して世界をリードしている地域の一つであり、リスクベースのアプローチを採用したAI法案が現在検討されている。高リスクのAIシステムには厳格な要件を課し、低リスクのものには比較的緩やかな規制を設けていくといったものだ。EUのこのアプローチは、イノベーションの促進と市民の保護のバランスを取ることを目指している。英国ではEUから離脱したことで独自のAI規制フレームワークの構築を進めており、イノベーションを促進しつつ、データ保護とプライバシーの規則を守るバランスを模索し、国際的な協力を重視する姿勢を示している。

米国では、AIに関する包括的な連邦レベルの法律はまだ存在しないが、FTC（連邦取引委員会）をはじめとする規制当局がAIの使用に関連する消費者保護法を適用することで、プライバシー保護や不正行為防止に取り組もうとしている。FTCはAIとその影響に関する理解を深め、将来的な規制策定のための基盤を築くために、AIへの投資を行っている投資会社への調査を開始した。この調査では、AIが消費者保護に与える影響を評価し、不正行為を防ぎながらも技術革新を促進するためのバランスを見つけることを目的としている。このような動きは、米国におけるAIに関する規制の枠組みを整える上で重要な一歩となる可能性がある。

AIの進歩に伴う社会的および経済的影響に対応するための法整備の動きは世界的に加速している。それぞれの地域では異なるアプローチを取りながらも、技術革新の促進と市民の権利保護の間でバランスを取るための努力が試みられているのが現状だ。AIの健全な発展と社会への積極的な貢献を確保するためにはこれらの努力が不可欠であり、今後も国際的な協力と対話を通じて、適切な規制フレームワークの構築が求められる。

出典

1. Survey reveals AI’s impact on the developer experience Return to article undo
2. The near-term impact of AI on the cyber threat (National Cyber Security Centre) Return to article undo
3. Ethics guidelines for trustworthy AI　(European Comission) Return to article undo