2022年11月のChatGPT公開後、AI技術の発展や活用は急速な広がりを見せている。そのようなAI社会において新たに生じるリスクや、企業・組織に求められるガバナンスに焦点を当て、ビジネス、アカデミック、そしてガバメントの視点から有識者が議論する「デジタルリスクフォーラム2024(以下:「DRF2024」)」が、2024年10月8日に開催された。一般社団法人デジタルリスク協会(※1)が主催し、今回で12回目を迎える同フォーラムに、エルテス第1営業部副部長の森田が参加。ここでは、オンラインで実施された当日の模様をレポートする。
開会に先立ち、財務大臣政務官を務める瀬戸隆一衆議院議員より、本フォーラムの開催を祝うビデオメッセージをいただき、これから始まる有意義な時間への期待感が高まる中で、一般社団法人デジタルリスク協会理事長で、iU の学長を務める中村 伊知哉氏の挨拶をもって、約4時間に渡るフォーラムがスタートした。
今、社会に求められるAIリスクへの向き合い方
【登壇者】
参議院議員/元デジタル大臣政務官 兼 内閣府大臣政務官 山田 太郎氏
今年のデジタルリスクフォーラムのメインテーマは、「生成AIで変わる社会のリスクとガバナンス」というもの。オープニングに続いて、第一次・第二次岸田内閣でデジタル大臣政務官を務めた、参議院議員山田太郎氏による基調講演が行われた。
(公務のため、事前に録画した映像を寄せていただいた)
「デジタルリスクの中でも、AIリスクとサイバーセキュリティリスクは似て非なるもので、分けて議論しなければならない」と語る山田氏。それぞれの国内の現状課題と政策、そして諸外国の動向を紹介し、企業、経営者に向けた注意喚起を促した。
講演ではまず、AIリスクを考える上でコアとなる、プライバシーや個人情報、著作権等の問題について「プライバシーについては、日本に根拠法がないため対応に注意が必要である。著作権については、AIの開発者・事業者は、特定のクリエイターの作品のみを学習させるといった享受目的が認定されるような学習をさせないことが重要、また既存の著作物との類似性・依拠性が問われない対応も必要となる。そのために、AIのデータ学習に関する法律の運用、学習データの提供に関する契約・対価還元、著作権侵害物を生成しない技術の開発・実装という三つの軸でバランスを保って対応していくこと、システム提供者や利用者も依拠性を否定する根拠を持つことが重要となってくる」という政府の方針を挙げた。AIリスクに対し、従来は総務省・経済産業省・デジタル庁・文部科学省などの各省庁でバラバラに対応していたが、アメリカやイギリスの流れを受けて、岸田政権のもと2024年にAIセーフティ・インスティテュート(AISI)が設立された。「AISIを中心として、政府全体で仕組みづくりを実施し、AIの開発者・提供者・利用者のサポートを目指していくので、今後の動きに注視してほしい」としたうえで、声の保護やディープフェイクなど、個別の課題についても議論を続けていく必要性があると説いた。また、2019年から毎年のように改訂されているAI戦略や2024年にとりまとめられたAI事業者ガイドラインについても、AIデジタルリスクを考える上で重要になってくるという山田氏。後者について、「人間中心のAI社会原則を土台としつつ、開発、利活用、実践の3つのガイドラインを統合し今回策定された。制作側だけではなく、サービス提供をする事業者、受け手としての利用者もガイドラインの影響を受けるので、しっかりと確認してほしい」とした。
アメリカに比べまだまだ規模感が小さいサイバーセキュリティ政策については、内閣サイバーセキュリティセンター(NISC)に対応をまとめていく政府の動きやガイドラインを紹介したうえで、「個社が基準を決めると協力先がそこに合わせていかなければならず、大変な社会混乱になる」とし、サプライチェーン全体でのセキュリティ向上に向けた対応が重要であると説いた。合わせて、経営者自身の理解、「セキュリティ・バイ・デザイン」と言われるセキュリティ起点の考え方の重要性も提唱。そんな中、政府としては、人手・予算・情報が不足する中小企業に向けたサポートや、ガイドライン作成に取り組んでいるとのことだった。
続けて、AIリスクとサイバーセキュリティリスク、それぞれの海外の動向についても紹介し、アメリカの政策や、特に違反者に対して制裁の厳しいEUについて触れた。「EU対アメリカという構図のなかで、日本の立ち位置が問われている。各国それぞれの戦略を頭に入れておいてほしい」としつつ、域外適用の影響で日本も無関係ではない現状を問題視している山田氏。「日本が不利益を被ることのないよう、海外の動向や社会全体の情報収集、皆さんへの情報提供に努めていく」とした。
講演全体を通して、「ヨーロッパが国際標準を決めて、日本が排除されるようなことがあってはならない。そのために政府側で積極的に国際的なルールメイキングに対応していかなければならない。全てやり切れるか、という不安があるものの、皆さんの声や意見を聞かせて欲しい。AIリスクとサイバーセキュリティリスクをはじめとする、企業そのものがさらされているリスク、そして不足するデジタル人材の問題等への対応について、国が産業全体の後押しをしていく」と締めくくった。
生成AI活用のヒントは、With AIの社会
【登壇者】
株式会社GRCS GRCセキュリティ本部 ソリューション戦略部 セキュリティコンサルタント 仲川 拓馬氏
オープニングプレゼンテーションには、株式会社GRCS GRCセキュリティ本部 ソリューション戦略部 セキュリティコンサルタント仲川拓馬氏が登壇。「生成AIの可能性とリスク」というテーマで、近年の生成AI技術について事例をあげつつ、善と悪の側面から想定されるリスク、および対策について紹介された。
(仲川氏)
「技術向上により、テキスト生成だけではなく、画像や動画を含めたブログ・ファッション雑誌の作成など、幅広い分野での生成AI技術の活用が進んでいる。その一方、悪の側面としての弊害も合わせて考えていかなければならない」と話す仲川氏。生成技術の向上によりディープフェイク作成、提供が容易に可能になるほか、管理不備による機密情報窃取や、フィッシングなど、攻撃のハードルが下がっている現状に触れ、「攻撃側も生成AIを利用しているということを意識していかなければならない」と注意を促した。
プレゼンテーションの最後には、生成AIのリスクの側面を理解しつつ、AIと人間が得意なことをそれぞれ活かしていける「with AI」の社会を目指すと述べた。合わせて、生成AIに関する知識のアップデート、継続的な企業内の脆弱性検査の必要性を説いた。
▶GRCS社が提供する「生成AIセキュリティリスクマネジメント支援」サービスはこちら
https://www.grcs.co.jp/consulting/generative-ai
営業秘密漏えい、「敵は身内にあり」
【登壇者】
経済産業省 経済産業政策局 知的財産政策室 室長補佐/弁護士・弁理士 黒川 直毅氏
【モデレーター】
株式会社エルテス 第1営業部 副部長 森田 博隆
1つめのセッションではエルテスの森田博隆をモデレーター役に、経済産業省 経済産業政策局 知的財産政策室 室長補佐/弁護士・弁理士 黒川直毅氏が登壇。「営業秘密を守るための企業ガバナンス」をテーマに、実際に現場で企業のリスクマネジメントを行う両者によるトークセッションが行われた。
(左から森田、黒川氏)
営業秘密侵害事犯の検挙件数が年々増加している事実に対し「事案自体が増加している可能性もあるが、ログ取得が可能になったことで、インシデントの証明が容易になったことが、近年の営業秘密侵害事犯増加の背景にあるにではないか」と提唱する黒川氏。独立行政法人情報処理推進機構(IPA)の情報セキュリティ10大脅威 2024において「内部不正による情報漏えい被害」が上位にランクインしている調査結果(※2)や、営業秘密の漏えいルートは従業員・役員が8割超を占めているという調査結果(※3)を受け、営業秘密漏えいの実態は「敵は身内にあり」だという。森田から、直近の情報持ち出し事案の報道に関連して、海外への流出事案について問われると、「今後はさらに事案増加が予想されるため、海外流出への対策も重要になってくる」とした。
そもそも、不正競争防止法における営業秘密とは、一般には知られていない情報であるという非公知性、反社会的な内容ではなく企業にとって広い意味で役立つ情報という意味合いの有用性、関係者内で「秘密」と認識できるように管理されている秘密管理性を満たしていることが条件として挙げられる。こういった営業秘密情報を取得、開示(漏えい)、使用されないために、「ひとたび秘密でなくなった情報は再び秘密に戻ることはない」という考えのもと、企業側は対策を講じる必要がある。「情報を流出させないことが一番重要で、具体的な対策としては、物理的防御、心理的抑止、働きやすい環境の整備の三つが軸となる。加えて、万が一流出した場合の裁判に備えて、アクセスログ等を一定期間保存しておくことも重要になる。また、今後は転職先企業も刑事責任が問われる可能性があるため、情報流入(コンタミネーション)対策として、転職者に誓約書を書かせる、転職者を一定期間転職前とは別の業務に従事させるなどの対応も必要になってくる」と説いた。
最後に、企業が営業秘密を守るために理解促進を図る周知活動や、6月に経済産業省が策定・公表した従業員向けの啓発パンフレットなどを紹介し、情報流出対策の重要性を改めて訴えた。
▶経済産業省がまとめる営業秘密関連資料はこちら
https://www.meti.go.jp/policy/economy/chizai/chiteki/trade-secret.html
危機管理担当者に必要な知識と実践力が身につく「リスクアドバイザー」資格講座
【登壇者】
株式会社新建新聞社 取締役専務リスク対策.com 編集長 中澤 幸介氏
本フォーラムの協賛企業であり、2007年からの運営開始以来、国内外数百件にわたる企業のBCPやリスクマネジメントの実例を取材してきた危機管理の専門メディア「リスク対策.com 」編集長の中澤 幸介氏が登壇。長年の取材活動を通じて危機管理担当者の重要性を認識し、「リスクアドバイザー」という新たな資格制度を創設した。このセッションでは、その「リスクアドバイザー」資格講座について紹介いただいた。
(中澤氏)
危機管理担当者から、企業の危機管理に何が必要で、何から優先して学べばいいのかという問い合わせを多く受けたという背景から、必要な共通能力について、教育のプロである兵庫県立大学大学院と共同で同講座を開発。3日間、各日5時間、危機管理に関する各分野の専門家による講義・グループワークなどのコンテンツを通し、危機管理担当者に必要な知識と実力を身につけた、リスクアドバイザーの養成を目指す。2023年12月に開講以来、受講者は100名以上に上る。今後は資格取得者同士の情報交換会や、関連研修会の開催も展開していく予定とのことだった。
▶リスク対策.com認定リスクアドバイザー養成講座の詳細はこちら
https://www.risktaisaku.com/feature/seminar/risk_bc_adviser
基本動作の徹底こそが最大の防御
【登壇者】
デロイトトーマツサイバー合同会社 執行役員CTO 兼 サイバーセキュリティ先端研究所 所長 神薗 雅紀氏
デジタル政策フォーラム 代表幹事 谷脇 康彦氏
株式会社GRCS GRCセキュリティ本部 GRCソリューション部シニアコンサルタント 永松 博志氏
【モデレーター】
慶應義塾大学大学院メディアデザイン研究科特任教授/CiP協議会専務理事 菊池 尚人氏
そして、2つめのセッションではモデレーターの菊池尚人氏をはじめ、デロイトトーマツサイバー合同会社 執行役員CTO 兼 サイバーセキュリティ先端研究所 所長の神薗雅紀氏、デジタル政策フォーラム代表幹事の谷脇康彦氏、株式会社GRCS GRCセキュリティ本部 GRCソリューション部シニアコンサルタント永松博志氏が登壇。「高まるランサムウェアの脅威への実効性ある対策」をテーマに、研究の立場や、対策支援の立場というそれぞれが異なる視点から三者のトークセッションが繰り広げられた。
(左から神薗氏、谷脇氏、永松氏)
最新のランサムウェアの動向についてはまず、サイバーセキュリティの研究に携わる神薗氏から、脅迫型ランサムウェアに感染する再現デモ動画の紹介があり、「自分の組織に置き換え、平時から準備ができているか、有事の際に動けるかという想定をしてほしい」とメッセージを伝えた。
次いで谷脇氏が、現在のランサムウェアの傾向についてデータから客観的に分析。国際共同捜査により、120か国2,500企業で被害を出したサイバー犯罪集団「ロックビット」の関係者6名が逮捕された件をあげ、捜査当局もランサムウェアの取り締まりに全力を注いでいる現状について語った。
サプライチェーンに関する情報セキュリティ、ガイドライン作成に従事する永松氏は、米国立標準技術研究所(NIST)の定める「サイバーセキュリティフレームワーク(NIST CSF)」2.0に絡めて、事業継続のための対策について触れた。具体的には、「どこの脆弱性が狙われる可能性があるか把握すること、脆弱性対策の有効性を確認すること、バックアップを取り、さらに、バックアップを復元できる訓練をすること」の基本的な対策が重要であるとした。
「ランサムウェアによる被害が近年拡大している理由について」という菊池氏からの問いには、三者の考えがそれぞれ述べられた。「サイバー犯罪の組織化」とする神薗氏、「デジタル機器の利用拡大による、脆弱性の高まり」を谷脇氏は指摘。永松氏は現場を通して感じたという「脆弱性対策をやり切れている企業の少なさ」を要因としてあげた。また、各分野での必要な対策については三者が口を揃え、経営層の判断・対応、従業員の危機意識育成、第三者視点でセキュリティホールを判断してもらう等、基本的な対応の重要性を説いた。
最後に、AIの普及が従来のセキュリティ対策に与える影響について言及しつつ、セッション全体を通してのメッセージを伝えた。
「日本の経済を進めるため、AIを使うこと自体を恐れず、正しく恐れて正しく対策して正しくビジネスを回していく。こういった情報発信の場を上手く活用して、よりビジネスを加速させていってほしい」(神薗氏)
「AIは積極的に使っていく一択。しかし、間違ったデータを学習させると間違った、もしくは予期しない生成物が生じてしまうこともある。想定しないリスクを背負い込まないためにも、社員一人一人のセキュリティ意識や、体系整備など、組織全体の意識啓発・対策の明確化が重要になってくる」(谷脇氏)
「生成AIの発展でメール文面が巧妙化している例にもある通り、攻撃側も対策側もAI利用が進み、今後はAI対AIという形になってくる。ただ、経営層から現場まで情報セキュリティの対策を講じれば、ある程度のランサムウェアにも耐えることができるはず」(永松氏)
▶GRCS社が提供する「NIST SP800-171準拠セキュリティ支援ソリューション」の詳細はこちら
https://www.grcs.co.jp/consulting/nist-sp800-171
平時からの対策と、関係各所のケアを考える
【登壇者】
個人情報保護委員会 事務局企画官 芦田 光暁氏
総務省 サイバーセキュリティ統括官室 企画官(重要インフラ監督・対処調整担当) 西村 卓氏
文部科学省初等中等教育局 学校デジタル化プロジェクトチーム 校務DX推進係 専門職 安井 里沙氏
慶應義塾大学教授 博士(政策・メディア) 石戸 奈々子氏
【モデレーター】
慶應義塾大学大学院メディアデザイン研究科特任教授/CiP協議会専務理事 菊池 尚人氏
フォーラムの最後に行われたパネルディスカッションでは、モデレーターの菊池氏を先頭に、個人情報保護委員会 事務局企画官 芦田光暁氏、総務省 サイバーセキュリティ統括官室 企画官(重要インフラ監督・対処調整担当) 西村卓氏、文部科学省初等中等教育局 学校デジタル化プロジェクトチーム 校務DX推進係 専門職 安井里沙氏、そして慶應義塾大学教授 博士(政策・メディア)の石戸奈々子氏が登壇。社会的に個人情報保護の取り組みが強化される中で、「教育機関における個人情報漏洩と保護、対策」について各業界の有識者が議論を行った。
(左から芦田氏、西村氏、安井氏、石戸氏)
まず、各パネリストによるプレゼンテーションが行われ、芦田氏からは個人情報保護法の規律と運用について、西村氏からはサイバーセキュリティの脅威に対する総務省の取り組み、安井氏からは教育現場における情報セキュリティについて、石戸氏からは教育現場で要配慮情報が漏えいしている事案とそのケアについて提唱がなされた。
「教育機関における情報漏えい対策はどう高めていけばよいか」という問いに対して、プレゼンテーション内でサイバーセキュリティの脅威の重大さが増している現状を憂いた西村氏は、「一般的な話が教育機関にも通じる」と答えた。具体的には「ネット上の小さな穴を丁寧に塞いでいく、つまり、ソフトウェアを最新の状態にアップデートする、パスワードをこまめに変えるなど、基本的な対策をしっかりと行うこと。また、事故が起きた場合の対応としては、情報を迅速かつ正確に伝えることが対処の基本中の基本となる。そのために、通常時から連絡網を用意しておくことが重要」とした。
続く「情報が漏えいした場合の各関係者へのケアについて」という問いには、芦田氏、西村氏、安井氏が口を揃えて、客観的で正確な情報把握という初動の早さが重要であると回答した。加えて芦田氏は「個人情報を取り扱っている事業者に対しては、個人情報保護委員会への報告と、本人への速やかな通知を義務付けている」とした。これは他サービスの利用停止などを促し、二次被害を防ぐためのものである。
また、「漏えいした情報の持ち主だけではなく、現場で事案対応をしている職員に対してもケアが必要なのでは」と提唱した芦田氏。これを受けた石戸氏は「まさに、個別の教育機関だけに対応を求めるのは現実的ではない」としたうえで、「二次被害が出る前に、問題が起きた時の適切な相談先を明確化するべきで、そのためにも官民の連携は必須と考えている。ただ、有事のためだけの連携ではなく、安心・安全な学びの場のための議論を進めていくという位置づけで、平時から連携協議会のような存在があるといい」と考えを述べた。
プレゼンテーション内で、教育現場の安心なICT活用には教育委員会による教育情報セキュリティポリシーの策定が重要だと説いた安井氏は、「どのような普及啓発活動を実施していくべきか」という問いについて、「過剰な規制を行う方向に走らないように、国として具体的で分かりやすいガイドラインの提示が重要。例えば文部科学省は情報資産をその重要性に応じて分類し、重要性の高さに応じた管理方法を提示している」と、教育現場に寄り添った施策について言及した。文部科学省では教育委員会によるポリシー策定の参考資料であるガイドライン策定や専門家の派遣、ポリシー策定のための費用の補助などを行い、安心安全な教育DXを推し進めているとのこと。「適切な情報セキュリティ対策を講じるためには複数の専門家から知見を得ることが重要だが、教育情報セキュリティへの理解を深めるきっかけとして、まずは普段やり取りのあるSIerから話を聞くなど、第三者とコミュニケーションを取ることから始めることが大切」と説いた。
(左から菊池氏、中村氏)
中村氏と菊池氏によるクロージングでは、今後起こるであろうAIの民主化に期待を寄せつつ、それに伴うデジタルリスクの重要性を再認識し、4時間超に及んだフォーラムを締めくくった。
===
※1:ネットの炎上や風評被害などの事例研究や、SNSや最新テクノロジーなどを活用する際のリスクのほか、さまざまなセキュリティ対策の研究や啓蒙活動に取り組む一般社団法人の名称。デジタルリスクフォーラムの主催団体。
※2:独立行政法人情報処理推進機構(IPA) 情報セキュリティ10大脅威 2024 [組織]
https://www.ipa.go.jp/security/10threats/10threats2024.html
※3:独立行政法人情報処理推進機構(IPA) 企業における営業秘密管理に関する実態調査2020
https://www.ipa.go.jp/archive/security/reports/2020/ts-kanri.html
