Scribble at 2024-04-21 11:16:35 Last modified: unmodified

生成 AI なりチャットボットのリスクについて、そろそろ社内のガイドラインを夏頃までに作成する予定なのだが、もちろん原則としては「活用」することが念頭にある。一定の条件に沿って使えば、明らかに利便性はあるのだから、活用するのは当然だ。しかし、もちろん（弊社がプライバシマークの認定事業者であろうとなかろうと）さまざまなリスクがあるのも事実であって、場合によっては利便性を上回る、はっきり言えば情報漏洩による取引停止や賠償といった損害や、知財、著作権、個人情報などあれこれの権利を侵害することによる違法行為を引き起こすなどの深刻な結果にもなりえる。よって、ガイドラインや追加の牽制（もちろん就業規則を改めて懲罰を増やしたり）は必要だ。

たいていの凡人なんて、あたらしい玩具を与えられたら利便性や利益のことしか見えていないので、リスクなど最初から眼中にないものだ。子供だって、自分が玩具の部品を飲み込んで数日後に病院へ担ぎ込まれるかもしれないなんて心配したりしない。そして、しばしばこのような状況に際して企業経営の発想を「性悪説」などと言ったりするが、これは中国思想の語源から言って言葉の理解としても間違っているだけではなく、そもそも会社経営やマネジメントというものを善悪で語ることじたいが間違いなのである。よって、マネジメントや経営方針に（言葉の意味として正しく理解していようと）性悪説だの性善説だのと言っている時点でおかしいのである。問題は、たいていの人間は凡庸であるにすぎず、悪人でも善人でもないないという厳然たる事実を正確に見つめることだ。もちろん、僕も官製天才プログラマーとして認定されるような技能はないし、MIT の教授でもない。そういう意味では凡庸な人間ではあるけれど、「じゃあ、なかまだ」と思う方には期待外れで申し訳ないが、残念ながら僕は凡庸ではあっても無能ではないので、こうして会社のガイドラインを起案する立場にもなれるわけであり、実際に色々な規程や施策を20年近くも運用しているのである。

さて、そうした経緯はあれ、社員がなにをするかしないかにかかわらず考慮しなくてはいけないリスクというものがあり、この場合は脅威と言ってもいいわけだが、LLMs の「活用方法」として上記の記事で紹介されているような事例も出てきている。あるいは、会社の就業規則やもろもろの社内規程を生成 AI に入力したり学習させて、それらの不備だとか盲点を洗い出すというハックをするような社員が出ないとも限らない。いまのところ、どういうリスクがあるかは、これまでの情報セキュリティと同じで確たることは言えないし、原理的には言うべきでもないわけだが、調べ上げられるものは調べ上げておかないといけないので、参考にしたい。よく、「情報資産の脆弱性なんて数え上げたらきりがない」などと嘯いて、個々の資産にどういう脆弱性や脅威があるかを調べることすらしない人というのがいて、企業の情報セキュリティや個人情報保護の責任者を名乗るような人材でも、なかなか精密なリスク分析というものはしない。正直なところ、リスク分析どころか資産や個人情報の「特定」というプロセスに形式的かつ体系的な手順を決めている事例すら知らない。上場企業ですら、たとえば個人情報の特定プロセスについて厳密な手順書や規程を作っているところは殆どあるまい。もちろん、全て調べ上げるなんて無理だし、どんどん特定するべき対象は増えたり減ったり変質したりする可能性もあるので、固定してもいない。しかし、やれることはやるというのが、実務家の基本であり割り当てられた役目の筈だと思う。