梶浦敏範【公式】ブログ

デジタル社会の健全な発展を目指す研究者です。AI、DX、データ活用、セキュリティなどの国際事情、今後の見通しや懸念をお伝えします。あくまで個人の見解であり、所属する団体等の意見ではないことをお断りしておきます。

CBPRの現在位置(前編)

 「ヒト・モノ・カネ&情報の自由な流通」は、経済発展に寄与する。これは経済がグローバル化した今では、より重要となった真理である。特にデジタル社会では、情報の流通は飛躍的に増している。しかし流通が安全に行われることは必要条件で、特に個人情報となると安全なだけではなく、情報の主権者に安心してもらう必要がある。

 

 プライバシー保護は、国連の「世界人権宣言」や国際人権規約にも謳われた基本的人権の一つであり、多くの国で「保護」の規定が設けられている。代表的なものは欧州のGDPRGeneral Data Protection Regulation)で、保護を怠ったものに罰則を科すとしている。

 

 主な課題はグローバル企業が各国で個人情報を収集、活用しようとした時に、各国の法規が異なる点である。ある活用をしようとした時に、規定の厳しいA国で収集した個人情報を、規定が緩いB国で活用するのはどうか?欧州などは、自らの規定を「域外適用」することで、これに対処している。

 

    

 

 一方、個人情報の有用性の観点から、流通と活用を促進するルールも必要とされた。そこで多くの国の間で個人情報を流通させるためOECDなどで議論が進み、2004年にAPECでプライバシーフレームワークが設定された。これはOECDガイドラインに準拠したもので、フレームワークに加わることのできる企業を認証するシステムとしてCBPR(Cross Border Privacy Rules)が構築されている。これはアカウンタビリティ・エージェントという認証機関が企業を審査して、当該企業が国境を越えて個人情報を流通・活用するに足るか否かを判断するものである。(*1)

 

 この認証を受けた企業なら、安心して個人情報を預けていいと思ってもらえる制度であるが、約20年経っても十分普及していないし知られているとも思えない。

 

<続く>

 

*1:CBPR認証|一般財団法人 日本情報経済社会推進協会 (jipdec.or.jp)

ステマ&インフルエンサー規制

 広告ではないのだが、実際は企業や製品を宣伝している内容のTV番組などは以前からある。最新作が公開された「あぶない刑事」シリーズの例では、ニッサンがスポンサーでタカ&ユージが日産レパードで疾走するシーンが良く観られた。「NCIS」ではギブス捜査官がスタバのコーヒーを、ラベルが良く見えるように飲んでいる。

 

 映画やTVドラマなどはまだ数が限られていたが、動画SNSの登場でこの種の映像が急増している。自分と同じ消費者の感想だと思って動画を見ていたのだが、実はスポンサーが付いていた広告だった・・・というのは「ステルスマーケティングステマ)」とされる。

 

 程度の問題もあるが、各国でステマは規制(*1)の対象となっている。日本でも2023年10月から、

 

    

 

景品表示法で、広告であるが一般消費者が広告であると分からないものを規制

・TV、新聞、雑誌等の表示に加え、インターネット上のSNS投稿、レビュー投稿も対象

 

 である。ただ、この規制は事業者を対象とするもので、依頼など受けて動画で宣伝行為をしたインフルエンサーには適用されていない。でも実際に消費者に訴えかけているのは彼らなのだから、何かタガをはめるべきではないかと思っていた。すると、スペインでインフルエンサー自身を規制する法律ができたという。

 

消費者を守れ!スペインでインフルエンサー法承認 |スペインあれこれつまみ食い|World Voice|ニューズウィーク日本版 (newsweekjapan.jp)

 

 年収30万ユーロ以上、フォロワー100万人以上、年間24本以上投稿などの条件に合致するインフルエンサーが、広告であることを明示せず、タバコ・薬品など禁止品を扱ったり、消費者保護をしなかった場合、最大5万ユーロの罰金というもの。

 

 スペインではインフルエンサーは人気の職業だそうで、乱立・過当競争で過激化しているのかもしれない。この動き、早晩他の国にも広がっていくと思われる。

 

*1:ステルスマーケティング - Wikipedia

サイバー被害、警察との関わり方(後編)

 特に内部犯行にどう対処するかの議論の中で、ある重要インフラ企業の人が、

 

「状況証拠が揃っても、自白してくれないとどうしようもない」

 

 と発言した。私自身は違和感があったのだが、何人かの企業人が同意の表情をしている。その場での質問は控え、休憩時間に個別に聞いてみた。

 

・かつては「自白は証拠の王」とされていたが、現在の捜査は証拠主義

・極端な例だが「和歌山毒カレー事件」は被疑者否認のまま死刑が確定

 

 なのに、サイバー事案が「自白頼り」というのは、法規制の違いなのか?と問うと、意外な答えが返ってきた。

 

・容疑者を裁くことは(サイバーセキュリティ責任者の)目的ではない

・被害を局所化することが目的で、そのためには自白を含めた容疑者の協力が要る

・問い詰めているうちに、外部クラウドから機密情報を拡散されるなどしたら大変困る

 

        

 

 なるほど、ここにも被害企業と警察の関係についてのコンフリクトがあるなと納得した。いかに民間企業の立場に配慮すると言っても、警察としては被害局所化よりも犯罪の追及、容疑者の訴追をめざすのは当然のこと。局所化が終了して、これ以上被害が広がらない(企業としての信頼を失墜しない)ようになるまで、警察の捜査は受けたくないのだろうと思った。

 

 グローバル企業の人が、米国FBIと関わった時の話をしてくれた。サイバー犯罪対応にも経験のあるFBIは、素早くやってきて容疑者と関係するもの(企業内のPC、スマホ、容疑者個人の機器)を持って行ってしまった。もう企業側で、何かできることは無くなってしまったという。加えて警察からは「捜査中の案件についての公表は控えるように」指示されるから、メディア・市場などへの情報提供も制限される。

 

 かといって、警察への通報を遅らせ過ぎれば、隠ぺいしたのではないかと(メディアなどに)勘ぐられる可能性もある。事案が発生した、もしくは事案の疑いがある場合、どのように警察と関わっていくか、企業としても経験を積み、実態を公表して議論し、社会全体に広めていく努力が必要になろう。

 

サイバー被害、警察との関わり方(前編)

 先月、警察庁都道府県警察へのサイバー事案通報窓口を一本化した(*1)ことを紹介した。もともと地方警察では地域のサイバーセキュリティ強化に取り組んでいるところも少なくなかったのだが、一昨年警察庁のサイバー警察局が出来て以来、警察組織の予防を含めたサイバー事案への取組みは強化されつつある。

 

 では、被害企業の立場からすると、警察との関わりはどうなのか?重要インフラを含む大手企業の人と意見交換する機会があったので、そのエッセンス(*2)を紹介したい。

 

 まず通報を必ずしているかというと、そうではないようだ。もちろんルール上は義務なのだが「刺殺死体が転がっている」ような明確な犯罪とは違い、気付かないことや犯罪かどうかの判断が難しい事案もあって、全てが報告されるわけではない。

 

    

 

 ただ、個人情報漏洩の怖れがある場合には、個人情報保護委員会PPC)への報告は義務付けられている。また監督官庁がある重要インフラ企業の場合には、当該監督官庁には報告しなくてはならない。その報告の際「警察には相談したのか?」と訊かれるのが通例なので、そのような経験を持つ企業は(少なくともPPC監督官庁と)並行して、警察には報告する。

 

 「そのタイミングが難しい」と、企業のサイバーセキュリティ責任者たちは口をそろえる。上記のように犯罪なのかどうか判断が難しいケースが多いし、犯罪だと明確になったとしても警察に捜査に入られて、その結果PC等が差し押さえられてしまえば自らの調査も出来ないし、それ以前に事業継続のためのバックアップ措置もしておかないといけない。

 

 想定を交えた、いろいろなケースを議論しているうちに、企業の責任者たちと私のような第三者とでは大きな意識の違いがある点に気付いた。

 

<続く>

 

*1:サイバー犯罪対応統一窓口 - 梶浦敏範【公式】ブログ (hatenablog.jp)

*2:なにしろ機微な話なので、企業名や業種は伏せさせていただく

テレワークでの不法就労

 「COVID-19」禍の前から、米国などのテック企業ではテレワークが盛んだった。一部企業では「やっぱり週3日は出社せよ」などと揺り戻しているが、例えばサンフランシスコのビジネス街に通えるエリアの住居費が高騰していて、テレワークでないと勤務できないという従業員も少なくない。企業としては、住居費補助をするくらいならテレワークでと考えるのも致し方ないだろう。

 

 しかし出社しない勤務形態だと、正直どんな人が就労しているかわからない。成果主義の米国企業であれば、例えばAIのサポートを得て3人分の就労をしてその報酬を受け取ることも可能なのではないかと思った。

 

 すると案の定、身分を偽って就労し多額の報酬を(違法に)得ていたとの事件が発覚した。しかもその報酬は、ひょっとすると米国に届く弾道ミサイルの開発に使われていたかもしれないのだ。

 

        

 

米、北朝鮮IT技術者の情報に500万ドルの懸賞金 身元偽り米企業で勤務 | ロイター (reuters.com)

 

 懸賞金が掛かったのは3人の技術者だが、その背後には多くの技術ワーカーがいたと思われる。違法に得た報酬の総額は、日本円にして10億円以上になるという。また、これをほう助したとして米国籍の女が訴追された(*1)。国外にいるこれらワーカーを、国内にいるように見せかけた容疑が掛かっている。

 

 この事件の動機はもちろん北朝鮮の外貨稼ぎなのだが、米国テック企業側にも原因がある。数学等に長けた移民(&移民の子供)がIT技術者として支えてくれなくては、テック企業は成長どころか維持もできない。慢性的な人手不足なのだ。経営者は次々と新企画を打ち出し、投資家からの資金集めに忙しい。R&Dの現場には、経営層からの督促ばかりが落ちてくる。

 

 そんな状態だから、十分な身元確認もしないまま就労させている実態が浮かび上がってきたわけだ。日本でもIT技術者は不足気味、でも本当に足りないのはテック現場も経営も見ることのできる「中間管理職」。死語となったこの言葉、もう一度かみしめる必要があるかもしれない。

 

*1:北朝鮮などの技術者が米国在住を装ってテレワークを支援か 米国人、勤務ほう助で訴追 - 産経ニュース (sankei.com)

非常事態でSNSを遮断する

 太平洋に今も残るフランス領ニューカレドニア大航海時代の遺物のようなものだが、30年間は平穏だった。しかし今年になって1.7万キロ離れたフランス議会で「ニューカレドニア憲法を改正し、フランス人住民の投票権を拡大」する法案が審議されている。これに反発した独立派で先住民族カナクの人たちと、フランス人住民の対立が高まり暴動に発展し、死者も出てしまった(*1)。

 

 フランス政府は非常事態を宣言、フランス軍を派遣するとともに、中国の動画サイト<TikTok>を遮断した。外国(*2)が暴動に関与しているとも非難している。<TikTok>の危険性については再三述べて(*3)きたが、紛争の状況を拡散されて暴動が広範囲に(場合によってはフランス本土に)も広がることを懸念したものと思われる。

 

    

 

 SNSによって暴動(控えめに言って運動)が拡散することは確かだ。「アラブの春」のころには、FacebookTwitterと並んでYouTubeが情報を発信していた。文字よりも動画のインパクトが大きいのは間違いがないが、今回フランス政府が<TikTok>以外の動画SNSについて禁止たとの情報はない。やはり<TikTok>が、外国勢力から操作を受けているとの疑惑を持っているのだろう。

 

ニューカレドニア暴動受け、仏政府がTikTok禁止 扇動を阻止 外国の干渉への懸念も - 産経ニュース (sankei.com)

 

 フランスでも、非常事態宣言があったとしても通信の遮断は違憲だとする議論がある。日本での憲法論議で非常事態が論点となっているようだが、このような事態に対処するにはどうすればいいか、与野党そろったOpenな議論を望みたい。

 

+1:ニューカレドニア、暴動で非常事態宣言 改憲案のフランス議会採決に抗議 - CNN.co.jp

*2:なぜか中国と並んで、アゼルバイジャンの名前も挙がっている

*3:民主主義国家ゆえ致し方なし - 梶浦敏範【公式】ブログ (hatenablog.jp)

AI利用者と供給者の「信頼」

 AIが種々の作業を合理化することは間違いがなく、様々な分野で利用(もしくは試行)が始まっている。ただその用途については、いかがなものかとの反対が出てくることもある。例えば教育分野でレポートを生徒に課したところ、AI丸写しの回答が出てきたような例だ。また過度な人員削減につながると、労働組合が反対を示すこともある。

 

 ではどのような用途だと反対が多いのか?上記のような例に加えて、

 

・AIツールを利用しようとしている機関への信頼が薄い

・AIツールを供給している事業者への信頼が薄い

 

 ケースがありそうだ。それを気付かせてくれたのが、この例。

 

米警察の「調書の作成を自動化するAIツール」が批判される理由 | Forbes JAPAN 公式サイト(フォーブス ジャパン)

 

 警官が容疑者や警官自身の権利を守るために装着するボディカメラは、違法捜査を抑制し、合法的に操作していることの証明をするツール。

 

    

 

 この分野で独占的な地位を持つ企業アクソン(*1)が警官の調書作成にAIを適用し、当該作業の8割を軽減することができたという。これによって、警官が現場でワークする時間を25%増やせるという。

 

 ところが、AI作成調書の信頼性に対する疑義が高まっている。AIは「幻覚」を見るし、人種バイアスもあるとの批判だ。確かにAIも間違えることはあるし、かつて顔認証で非白人でのエラー率が高かったことはある。このような批判を聞いて、技術の未熟もあるが、警察そのものへの信頼とツール提供企業アクソンへの信頼がいずれも揺らいでいるからだと思った。

 

 だから一般論として、AI利用者と供給者の信頼が大事だと改めて感じたのだ。ただ本件に関して言うと、

 

・AIが裁判の証拠を作ることに対する法曹界の不安

・ひいては裁判そのものがAI化されて職を失いかねない法曹従事者の危惧

 

 が背景にあって、より激しく反対意見が展開されているのかもしれないが。

 

*1:警察向けボディカメラで圧倒的シェア、米アクソンの独禁法訴訟の行方 | Forbes JAPAN 公式サイト(フォーブス ジャパン)