政策企画の中井 博による情報セキュリティ業界の中でも最大規模のカンファレンスの一つであるRSAカンファレンスの報告記事の後編になります。
RSA Conference 2023では、多くのセッションとパネルディスカッションが開催されました。AIと機械学習、プライバシー、ブロックチェーン、IoTセキュリティ、クラウドセキュリティなど、さまざまなトピックがカバーされました。
ここでは、私が参加したいくつかのセッションから、ピックアップして注目のポイントを紹介いたします。
前編はこちら
「How to Design and Execute Superior Employee Privacy Practices」
(従業員に対するプライバシー慣行を設計および実行する方法)
2023年3月30日、米国カリフォルニア州の州法・CCPA(California Consumer Privacy Act)がCPRA(California Privacy Rights Act)によって改正・更新され、その規則が公表されました。(CPPAによるニュースリリース)
CCPAでは、従業員や採用応募者の個人情報(personal information、日本の個人情報保護法における「個人情報」とは異なる)については、例外扱いとなっていたものの、このCPRAによる変更によって、従業員情報や採用応募者のpersonal informationも法律の対象となることが明確になりました(その他の変更もありますが、こちらでは一旦詳細は省略いたします)。
上記だけがきっかけではないものの、「従業員に対するプライバシー」は、今後企業が対応すべき重要なものとなってくるという示唆のあるセッションでした。
これまで、企業は、主にエンドユーザーのプライバシーデータに対しての取り組みを重点的に行なってきていましたが、上記のCPRAによる更新などもあり、今後は同様に従業員や採用応募者に関するプライバシーデータの扱いについて、よりセンシティブになっていくだろうというものでした。
この指摘は、日本の企業にも大きく当てはまるものかと思います。
日本の個人情報保護法における情報保護の対象は、もちろん従業員の個人情報も対象となっているものの、企業における取り組みはどうしてもエンドユーザーに対するプライバシー保護や個人情報保護に比べて、二の次になっているのではないでしょうか。
興味深かったものは、国によって、従業員の人々が重要視するものが異なるという点でした。
英国 |
透明性、共感性、信頼性、説明責任 |
ドイツ |
共感性、説明責任 |
フランス |
共感性、信頼性、説明責任 |
米国 |
一貫性、共感性、説明責任、適任性、整合性 |
イタリア |
共感性、信頼性 |
日本における事例は残念ながら無かったものの、国やその企業が抱える従業員の皆様によって、重要とされる価値観が異なるということは、注視して考えるべきことです。
エンドユーザー向けにはいわゆるプライバシー・ポリシーや個人情報の取り扱いに関する情報を公開している企業は多いかと思います。しかし、従業員向けに同様のポリシーを公開していたり、ましてやそれが適切に運用されているかどうかについて、どれくらいの企業が明確に行っているのかについてはこれからの企業も多いのではないでしょうか。今後日本でも、この点は議論になってくるかもしれません。
「CatPhish Automation - The Emerging Use of Artificial Intelligence in Social Engineering」
(CatPhishの自動化 - ソーシャル エンジニアリングにおける人工知能の新たな使用法)
このセッションでは、チャットボットのAIがどのように進化を辿ったのかの紹介がありました。始まりは、1950年。今から約70年以上も前に、Alan Turing氏の論文で「Computing Machinery and Intekkigence」という言葉が使われたと言われています。
その後、1964年にはElizaという初めてのチャットボットがMIT(マサチューセッツ工科大学)にて生まれました。最もシンプルに、パターンマッチングで応答をする対話機でした。その後は、2015年にReplikaというインターネット上で動作するチャット友達サービスが生まれました。このあたりから、加速度的に進化をしていきます。
「ChatGPT Changes Everything」
2020年にGPT-3がリリースされ、2022年11月にChatGPTがリリースされると、わずか2ヶ月で1億アクティブユーザーを獲得するまでに至りました。これは、プラットフォーム・テクノロジー史上、最も早くユーザーを獲得したサービスとなりました。
現在は、2023年にChatGPT-APIがリリースされ、その勢いはますます増えています。
今後、進化の波は留まることはないでしょう。これら進化したChatBot・生成ALをどのように生活や仕事に役立てていくのかについては、継続的に注視していく事が必要となると考えます。
まとめ
RSAカンファレンス2023では、様々なトピックが語られましたが、AI(生成AIを含む)についての示唆がとても多かったのが気づきです。
最近、AIについての規制や、AI脅威論にも近しい議論がされていますが、ことRSAカンファレンスにおいては、むしろ「AIを利用しないほうがリスクである」といったアプローチでありました。
技術の進化を受け入れ、利用し、より高い生産性を求めていく姿がそこにはありました。
私達も、AIを恐れるのではなく、積極的に利用して行くことをしっかりと考えていく必要があると感じました。
(中井 博)