Edit

Payment Support

吾輩は猫である。名前はまだない。どこで生れたか頓と見当がつかぬ。何でも薄暗いじめじめした所でニャーニャー泣いていた事だけは記憶している。

『Risk Management』23年11-12月号
2023-12-26

Risk Management

11-12月号

Risk Management 11_12月
INDEX

新CA法は気候変動リスク開示を義務付ける

ジェニファー・ポスト[*]


カリフォルニア州知事のギャビン・ニューサムは、10月初旬に、排出量開示法に署名し、カリフォルニアで年間5億ドル以上の収入を得ている事業を行っている企業に対して、直接・間接の上流及び下流の温室効果ガス排出量と、同時期の財務的影響を開示することを義務付けた。気候変動関連データ説明責任パッケージの下で、企業は、カリフォルニア州大気資源局によって課される法律を遵守するか、報告年当たり最大50万ドルの罰金が課されることになっている。

気候関連金融リスク法(CRFRAまたはSB261)は、カリフォルニア州で事業を行っている年間総収入5億ドル以上の米国企業に対して、気候関連の金融リスクとその緩和戦略を気候関連の金融情報開示に関するタスクフォースに隔年で開示することを求めている。企業は、2026年1月1日までに第1回目の開示を提出しなければならない。それをしないと、報告年度当たり最高5万ドルの罰金が課されるリスクを抱えることなる。

このパッケージのもう1つの法律である「企業気候開示責任法」(CCDAAまたはSB 253)では、カリフォルニア州で事業を行っている年間売上10億ドル以上の5,000社以上の企業に対して、直接・間接の上流および下流の排出量の排出量算定を毎年開示することを義務付けている。この法律は2025年のデータに適用され2026年に施行される。

気候変動法案の最前線に立つために現在進められている同州の取り組みの一環として、気候パッケージは、米国で初めて、公的企業と民間企業の両方を含め、各企業に自らのウェブサイトでの開示を義務付けたものである。

SB261の起草者であるヘンリー・スターン上院議員は、「企業が、株主や消費者から、干ばつ、山火事、極端な天候にさらされているような気候リスクを隠していることの意味をなくす」という。

上位企業はすでに要件を満たしているか、あるいはそれを上回っている可能性が高いが、気候リスクの評価、管理、開示の開始を待っている企業にとっては、今がその時である。国際的な気候コンサルタント会社エコアクト社北米CEO、ウィリアム・ティーセンは言う。「彼らは、取締役会で取り組み始めなければならない」。「しかし、これは、排出がサプライチェーン内でどのような影響を受けているか、また、直接排出がどこにあるかを本当に理解し、気候リスクについての報告を始めるための真の機会である。さらに、[法律は]、企業を前進させ説明責任を果たし、より強靱になる助けにもなるだろう。」

CCDAAの排出開示要件

CCDAAは気候データ説明責任パッケージの中核であり、組織にスコープ1、2、3の排出量の開示を義務付けている。このスコープは、GHGプロトコルからの分類に従っている。GHGプロトコルは、気候温暖化排出量を測定・管理するための、事業者と政府機関のための包括的な世界標準、ガイダンス、ツール、訓練を定めている。

スコープ1.
スコープ1は、あらゆる場所で組織が直接管理する排出源から生じる機械や車両の稼働などの燃料燃焼活動を含み、これらに限定されないすべての直接的な温室効果ガス排出を含んでいる。

計算と報告のために、このスコープには、会社の施設および車両(例えば、現場で燃焼された燃料、または会社の車両での従業員の移動中に燃焼された燃料)の稼働に関わるすべての事項が含まれる。企業は2025年までそのデータの収集を開始する必要はないが、組織の直接的なアウトプットを示す報告書や文書をまとめることで、今から準備を始めることができる。

スコープ2.
スコープ2は、報告する組織によって、購入あるいは取得して消費した電力、暖房、冷房から排出された間接的な温室効果ガス排出を含む。スコープ2はスコープ1とは異なり、ガス会社や電力会社などの地域の公益事業者を対象としている。間接排出量を把握していない企業についてEPAは、購入電力量を決定し、排出係数を決定し、そこからの排出量を算定することを提案している。企業は2026年の報告に向けて、2025年からこのデータを必要としている。

スコープ3.
スコープ3は、2027年に施行する包括的カテゴリーであり、スコープ2に含まれていない上流および下流の間接的排出を扱っている。これらの排出には、報告事業者が所有あるいは直接管理していない排出源から発生したものが含まれ、購入した財・サービス、出張、従業員通勤、販売した製品の加工および使用を含むことになる。

スコープ2は発生時点での排出量を扱っており、短期的または長期的な影響は扱っていないが、スコープ3はそれほど厳密ではない。GHGプロトコルでは、スコープ3の排出量の15のカテゴリーについて説明している。これには、事業活動で発生する廃棄物から下流のリース資産に至るまであらゆるものが含まれる。

また、これらの排出量を算定し報告することで、近い将来、事業者が他の気候に関する法律を遵守することが可能になるかもしれない。証券取引委員会(SEC)は、「事業または連結財務諸表に重大な影響を与える可能性がある気候関連のリスクに関する情報や、投資家がこれらのリスクを評価するのに役立つ温室効果ガス排出量の測定基準など、気候関連の情報を開示する」ことを登録者に義務付ける規則を提案した。

SECによる提案では、スコープ1と2は義務であるが、スコープ3についてはいくらかの柔軟性がある。それは、排出量が重要である場合、あるいは登録者が温室効果ガス排出目標やスコープ3の排出量を含む目標を設定している場合、開示されなければならない、としている。

開示での負担

CCDAAはいくつかの要素について曖昧であり、企業が必要に応じて様々な排出量をどのように算定するかについては概説しておらず、それがカリフォルニア商工会議所の表明している懸念である。会長兼最高経営責任者(CEO)ジェニファー・バレラは声明で、気候政策の大きな変化が、影響を受ける企業にどれほど大きな義務をもたらすかについて懸念を表明した。排出量の算定に経営資源を割くことは、特に同様の取り組みを行っていない企業にとって潜在的な負担となる。

また、近い将来、気候関連の法律や規制を視野に入れ、重複する報告を将来回避する可能性もあるために、CRFRAは「財務リスク」を、「財・サービスの提供、サプライチェーン、従業員の健康と安全、資本および金融投資を含み、これらに限定されない物理的および移行のリスクに起因する、直接的または長期的な財務成果に対する重大なリスク」と定義している。

具体的な詳細は不明であるかもしれないが、ティーセンは第一段階としてギャップ分析を実施することを推奨した。これは、企業がコンプライアンスを遵守していないところを判断するのに役立つだけでなく、将来の開示義務の準備にも役立つ。ギャップが見つかったら、企業はコンプライアンスを達成するために取ることのできる管理可能な行動をまとめたコンプライアンス・ロードマップを作成するべきである。最初の2つのスコープの要素から始めて、これらのスコープが実施されてから、次にスコープ3の評価に進む。

不遵守がもたらす帰結

CCDAAは、カリフォルニア州大気資源局に対し、違反行為に対して年間50万ドルの罰金を科す権限を与えている。正確な総額を確定するにあたり、委員会は、違反者の過去および現在のコンプライアンスのような諸要因を考慮し、それに従うために誠実な措置を講じたかどうか、そして、いつその努力を行ったのかを考慮する。

加えて、報告事業者は、スコープ3の排出量開示に関する虚偽記載が合理的な根拠をもってなされ、誠意を持って開示された場合には罰則の対象とはならない。スコープ3については、2027年から2030年までの間だけでは、開示しないことに対する罰金が課されない。

また、罰金を課される可能性はさておき、遵守しない企業は評判を落とす可能性がある。ティーセンによれば、ある企業が排出量の開示を公開すれば、他の企業は、市場で比較されることから生じる苦悩や競合他社によって事業を奪われないようにするために、公訴に追随したいと思うかもしれない。

トピックス
気候変動、コンプライアンス、新興リスク、環境リスク、ESG、自然災害、規制、リスクマネジメント、サプライチェーン


注意事項:本翻訳は“ New CA Laws Mandate Climate Risk Disclosures”, Risk Management, November-December 2023, pp. 10-12 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジェニファー・ポストは本誌編集者。

ESG報告基準を理解する

ジョン・A・ウイーラー[*]


気候変動開示報告書は米国ではまだ連邦政府によって義務付けられてはいないが、サステナビリティを重視する株主や消費者、国際的な規制当局からの圧力により、多くの企業が事前準備的に発行することを選択している。監査品質センターによると、2021年にはS&P500(米国の代表的な株価指数)の99%がESG関連情報を報告している。この傾向は、環境・社会・ガバナンス(ESG)リスクの管理の重要性が高まっていることを反映しており、ESGリスクは企業の財務や評判に大きな影響を与える可能性がある。

ESGリスクと報告をかじ取りする企業は、様々なグローバル基準設定機関が作成した異なる基準の中から選択するという課題に長い間直面してきた。幸いなことに、各国がESGリスクに関する財務報告基準の正式化に取り組む中、一般的なサステナビリティ報告基準の統合に向けた動きが明らかになっている。国際財務報告基準(IFRS)財団とそのサステナビリティ基準設定委員会である国際サステナビリティ基準委員会(ISSB)は、この統合におけるグローバルリーダーとして台頭している。

国際的なESG基準の進化と統合は、その結果として生じる統合報告と統合的リスクマネジメント(IRM)への移行と共に、ESGと持続可能性報告における大きな変化を促し、企業と利害関係者に短期的にも長期的にも大きな利益をもたらすだろう。新たなESG規制が世界的に実施される中、企業はコンプライアンスの迷路をかじ取りするための十分な装備を確保することがますます急務となっている。

ESG基準の現状

数多くのESG基準を設定する組織を理解することは困難である。というのも、事業体が地域やグローバルな管轄区域をまたいで設立、ブランド再生、合併、提携を行っており、複雑さと混乱を増加させているからである。

近年、IFRS財団は世界のサステナビリティ報告状況を合理化、調和、標準化することを目的として、様々なサステナビリティ関連組織を、そのガバナンス下に統合した。ESG報告の進むべき道を示している主な基準設定組織には、以下のものがある。

  1. 国際財務報告基準(IFRS)財団:国際財務報告基準(IFRS)財団は、世界中で一貫性のある透明性の高い財務報告を促進するため、財務報告基準の策定と発布を監督する独立非営利団体である。
  2. 国際サステナビリティ基準委員会(ISSB):IFRS財団は、「投資家と金融市場のニーズに焦点を当てた、高品質で包括的なサステナビリティ開示についてのグローバル基準値」を構築するため、サステナビリティ報告基準を策定するISSBを設立した。その目的は、サステナビリティ報告に一貫性、比較可能性、透明性をもたらし、より良い意思決定と資本配分の改善を可能にすることにある。
  3. 気候開示基準委員会(CDSB):CDSBは、気候変動に関する情報を主流の財務報告に統合することを推進する非営利団体である。ISSBの設立に伴い、CDSBの業務と知的財産は、世界的なサステナビリティ報告基準の策定に貢献するために、IFRS財団の下で統合されることになるであろう。
  4. サステナビリティ会計基準審議会(SASB):SASBは 企業が財務的に重要なサステナビリティ情報を開示するのを支援するために、業界特有のサステナビリティ会計基準を設定する独立非営利団体である。ISSB統合の一環として、SASBは、IFRS財団の下で、持続可能性報告に関する専門知識と業務に貢献するであろう。
  5. 地球的規模報告イニシアチブ(GRI):GRIは、組織が経済・環境・社会に与える影響について透明性を保つために、サステナビリティ報告を推進する国際的な独立基準機関である。GRIは、国際レベルでのサステナビリティ報告を改善し、調和させるために、IFRS基金やその他の組織との協力を今後も継続するであろう。
  6. 気候関連財務情報開示タスクフォース(TCFD):TCFDは企業が投資家、貸し手、保険会社に情報を提供するために、自主的な気候関連の財務リスク開示を開発する市場に焦点を当てた取り組みである。2024年1月1日以降、IFRS財団は、現在および将来のIFRS基準に従い、TCFD関連の開示基準に関する企業の進捗を監視および管理するTCFDの責任を負うことを想定している。
  7. カーボン・ディスクロージャー・プロジェクト(CDP):CDPは企業や都市が環境に与える影響を開示し、持続可能な行動を推進することを支援する国際的な非営利団体である。CDPは開示枠組みを、一貫性と透明性のあるグローバルなサステナビリティ報告システムを構築するISSBの取り組みに統合するであろう。
  8. 価値報告財団 (VRF):VRFは、国際統合報告評議会(IIRC)とSASBが合併して設立された世界的な非営利組織である。VRFは、統合的思考、戦略、報告の推進に重点を置いており、IFRS財団と緊密に協力し、グローバルなサステナビリティ報告の効率化というISSBの目標を今後も支援していくであろう。
ISSB S1とS2: 互換性への移行

ISSBは、2023年6月に最初の2つの報告基準を発行した。IFRS S1:サステナビリティに関連する財務情報の開示に関する一般要求事項と、IFRS S2:気候関連の開示である。

IFRS S1は、企業のキャッシュフロー、資金調達へのアクセス、または資本コストに影響を与えると合理的に予想される、サステナビリティに関連するすべてのリスクと機会に関する情報を短期、中期または長期にわたって開示することを要求している。IFRS S2は、組織に対し、すべての気候関連のリスクと機会について、同様の情報を開示することを求めている。

ISSBはまた、企業がS1開示の作成にSASB基準を利用できるよう強化するなど、他のサステナビリティ基準との互換性の確保にも注力している。ISSBが掲げる目標に沿って、これらの取り組みは、ISSBの述べた目標と整合的に、サステナビリティ関連の財務データをより一貫性のある、包括的で比較可能な、検証可能なものとし、透明性と説明責任を高め、様々な利害関係者に利益をもたらすことを目指している。

IFRS S1は、2024年1月1日以降に開始する年次報告期間について適用される。しかし、ISSBはIFRS S1への移行緩和を行い、初年度は気候変動関連のリスクと機会のみを報告することを認めている。その他のサステナビリティに関連するリスクや機会に関する報告は、この基準を使用する2年目以降に求められることになる。

統合報告の価値

ESG 環境のもう1つの重要な要素は、統合報告枠組み (IRF) である。IRFはIFRS財団とISSBの取り組みの重要な構成要素であり、サステナビリティ報告のための指針を提供している。2013年に発行され、2021年に更新されたIRFは、時間の経過とともに価値を創造する組織の能力に影響を与える、相互に関連するあらゆる要素を考慮することにより、統合的思考を奨励する。IRFは、財務情報と非財務情報の両方を組み込み、短期的、中期的、長期的な価値創造に焦点を当てることで、他の報告方法とは一線を画している。VRFはIRFの発展において重要な役割を果たしてきたが、IFRS財団は2022年にVRFと合併した後、IRFに対する責任を引き受けた。

IFRS財団によると、IRFを活用することで、企業は環境リスクと機会を財務諸表とより適切に結びつけることができ、利用可能な情報の質を向上させ、「より効率的で生産的な」資本配分を可能にすることができるという。

統合された報告を推進するには、IRMとその実現可能な技術を採用する必要がある。IRMは、全社的リスクマネジメント(ERM)、業務上リスクマネジメント(ORM)、ITリスクマネジメント(ITRM)、ガバナンス・リスク・コンプライアンス(GRC)を統合することで、企業全体のリスクと報告を結びつけるのに役立つ。組織全体のリスクと統制のデータを統合するには、さまざまなグループのデータ(IRFのような方針、問題、枠組みを含む)を、正確で信頼性が高く、監査可能でアクセス可能な集中記録システムに統合する必要がある。

IFRS財団の統合努力とISSBの創設は投資家、顧客、従業員から規制当局、地域社会に至るまで、企業とその利害関係者に多大な利益をもたらす可能性がある。ISSBのS1およびS2基準と、統合報告枠組みを採用し、IRMのアプローチや技術を活用することで、企業はESGデータ、報告、開示の正確性、完全性、監査可能性を確保することができるようになるであろう。これは最終的に、リスクマネジメント、意思決定、価値創造の改善につながるであろう。さらに、共通のサステナビリティ報告基準の策定によって、企業は増大する世界的な規制要件に対してより効率的かつ効果的に対処できるようになり、急速に進化するリスク環境の中で企業の成長を可能にする。

トピックス
規制、コンプライアンス、環境リスク、ESG、リスクマネジメント


注意事項:本翻訳は“Making Sense of ESG Reporting Standards ”, Risk Management, November-December 2023, pp. 14-15 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。

ジョン・A・ウイーラーはオーディットボード社リスク・技術担当上級顧問。

2023年のリスク

モーガン・オルーク、ヒラリー・タットル、ジェニファー・ポスト[*]


自然災害や気候への影響、サイバーセキュリティや人工知能の脅威、規制やコンプライアンス上の懸念等、いずれによるものであろうと、2023年の、界中の企業がつきることのないリスクに直面した。ここでは、2023年にリスクの専門家が取り組まなければならなかった最も重要な課題と、2024年に向けて、今後のリスク情勢を形作るいくつかの課題を浮き彫りにしながら、この年の最も注目すべきリスクイベントを振り返ってみよう。

極渦が米国北東部に記録的な寒さをもたらす
2月2日

強風を伴った極渦がアメリカ北東部の一部を通過し、地域全体が極寒となった。この突然の寒波の中、ニューハンプシャー州のワシントン山の山頂では、時速97マイル(時速約156km)の風を伴って気温が-47°F(約-44℃)まで下がり、米国で観測史上最も寒い-108°F(約-78℃)の風の寒さをもたらした。メイン州ポートランドでは-45°F(約-43℃)という記録的な冷え込みとなり、州内の他の地域では「氷震」(寒さで水を含んだ土壌が突然ひび割れることによって起こる地震のような揺れ)が報告された。バーモント州からニュージャージー州にかけての都市や町が記録的、あるいはそれに近い寒さに耐えるなか、数千人が停電に見舞われ、航空会社は3日間で1800便以上のフライトをキャンセルした。NOAA(米国海洋大気庁)の国立環境情報センターは、この寒さによる被害額は全体で18億ドルに上ると推定している。

トルコ・シリア地震で6万人が死亡
2月6日

トルコ・シリア地震。巨大な地震が相次ぎ、そのうちのマグニチュード7.8を記録した最大規模の地震がトルコとシリアの国境を襲い、6万人近くが死亡、12万人以上が負傷し、数十万棟の建物が破壊された。この地域の広範囲に及ぶ壊滅的な被害により、両国では数百万人が避難し、一時的な避難所やキャンプへの移動を余儀なくされた。世界銀行は、シリアの物理的損害と間接的損失のコストを約52億ドルと見積もった。影響がより深刻なトルコでは、政府当局が地震による直接的な物理的損害コストを558億ドル、間接的な経済的被害を122億ドルとしている。保険損害の面では、トルコ史上最大の非常に犠牲の大きな災害となり、災害保険データ提供機関ペルリスは、この災害による保険損失は32億ドルに上ると推定している。

ホワイトキャッスル社がバイオメトリック・プライバシー訴訟で170億ドル以上の賠償責任を負う
2月17日

イリノイ州最高裁判所は、ファーストフードチェーンのホワイトキャッスル社が、従業員の同意なしに指紋をスキャンする行為は、1つの違反ではなく、イリノイ州バイオメトリック情報プライバシー法(BIPA)の複数の違反に相当すると判断した。ホワイトキャッスルは、入社時に従業員の指紋をスキャンし、その後、従業員がコンピューター・システムや給与明細にアクセスしようとするたびに、承認を得るために再度スキャンするシステムを導入していた。ホワイトキャッスル社は最初のスキャンのみがBIPA違反の可能性があると主張したが、裁判所は同意しなかった。BIPAは違反1回につき1,000ドル、無謀または故意とみなされる違反には5,000ドルの罰則を課しているため、同社は9,500人の従業員に対して巨大な潜在的責任を負うことになった。裁判所は4対3の判決を下した結果、ホワイトキャッスル社は170億ドル以上の損害賠償金を支払わなければならない可能性があり、この金額は同社を倒産させる可能性がある。

シリコンバレー銀行の崩壊が銀行危機を引き起こす
3月10日

米国銀行規制当局は、金融機関の支払い能力への懸念が、顧客が一日に420億ドルを引き落とすという記録的な銀行取付け騒動の火付け役になったことを受け、シリコンバレー銀行(SVB)を差し押さえた。破綻の原因を検証すると、多くの専門家が、SVBのリスクマネジメント慣行の不備、リスクの見落とし、管理の不十分さ、資産の分散化の欠如などを指摘しており、特に金利リスクや流動性リスクが脆弱であると指摘している。閉鎖されるまでの8ヶ月間、最高リスク責任者が不在だった。その数日後、シグネチャー銀行とシルバーゲート銀行も、流動性の問題と暗号通貨市場の下落へのリスク遭遇可能性のために破綻した。連邦準備制度理事会(FRB)は銀行のバランスシートを補強し、危機の拡大を食い止めるために緊急融資プログラムを開始したが、新たな破綻を防ぐには十分ではなかった。5月1日、ファースト・リパブリック銀行も預金不足を経験し、閉鎖された。破綻時の資産額で見ると、ファースト・リパブリック、SVB、シグネチャーは米国史上2位、3位、4位の規模の破綻銀行となっており、これを上回るのは2008年のワシントン・ミューチュアル(米国にかつて存在した企業で、同国最大の貯蓄貸付組合であった)の破綻のみである。

カナダ、これまでにない山火事シーズンに耐え続ける
5月1日

カナダ省庁間森林火災センターによると、2023年はカナダ史上最悪の山火事シーズンとなり、その規模は驚異的なものであった。6,500件以上の火災が4,500万エーカーを焼いた。これは、過去最悪のシーズンの2倍以上、過去の平均の9倍の焼失面積である。火災はカナダの全州に影響を及ぼし、15万5,000人以上が自宅からの避難を余儀なくされ、国全体で医療費が膨れ上がり、石油・ガス業界を中心にビジネスに支障をきたした。この火災で消防士を含む6人が死亡した。専門家によると、この火災は気候変動によって悪化し、通常よりも温暖な気温と乾燥した地上状態を生み出した。そのため、より激しく、より長く燃え続ける火災が発生し、通常そのような状況には影響されず、十分な対策もとられていない地域にまで延焼した。6月、火災の煙は北米の広範囲に広がり、カナダから米国南東部の地域社会に有毒レベルの大気汚染をもたらした。トロント、ニューヨーク、シカゴなどの都市では、その1ヶ月の間に、さまざまな時点で大気の質が世界最悪を記録した。

メタ社、GDPR(一般データ保護規則)違反で12億ユーロの罰金を課される
5月22日

5月、アイルランドのデータプライバシー委員会は、GDPRが5年前に施行されて以来、これまでで最大の罰金を言い渡した。EUの規制当局は、フェイスブックがGDPRのデータ移転要件に違反し、EU居住者の個人データを長年にわたり不適切に米国に移転していたことを発見したアイルランドデータ保護庁の調査を受け、フェイスブックの親会社であるメタ社に12億ユーロの罰金を課した。メタ社はまた、米国における欧州ユーザーデータの違法な処理と保管を中止し、処理業務を6ヶ月以内にGDPRに準拠させるよう命じられた。欧州データ保護委員会のアンドレア・イェリネク委員長は、問題となっている転送が「組織的、反復的、継続的」であり、欧州のフェイスブックユーザーの数を考慮すると、問題となっているデータ量は膨大であったため、同委員会はメタ社の違反が特に深刻であると判断したと指摘した。ソフトウェア会社データ・プライバシー・マネージャーが集計したデータによると、2018年のGDPR施行以来、規制当局はメタ社に合計25億ユーロ以上の罰金を課し、その中にはGDPRの罰金額トップ10のうちの5つが含まれている。全体では、EUのデータ保護規制の下で企業は合計40億ユーロ以上の罰金を課されている。

3M社、PFAS訴訟を最大125億ドルで和解
6月22日

3M社は、米国の各自治体から提起された数百件の訴訟で和解するため、105億ドルから125億ドルを支払うことに合意した。これらの自治体は、同社が公衆飲料水供給に毒性のある過フッ化アルキル物質(PFAS)とポリフッ化アルキル物質(PFAS)を汚染していると主張した。他の3社(ケムール、デュポン、コルテバ)も、今月初めに12億ドルの和解を成立させた。PFASは数十年もの間、繊維製品、家具、調理器具、食品包装、化粧品、医療機器、消火用泡など幅広い製品に使用されてきたが、さまざまなガン、肝臓病、免疫不全、その他の健康問題とも関連付けられてきた。しばしば「永遠の化学物質」と呼ばれるPFASは、環境でも人体でも分解されにくい。今回の和解は、市や町がPFAS汚染を検査し、処理するのを支援することを意図している。15,000件以上のPFASの賠償請求が、化学会社に対して依然として係争中である。

ホワッツアップなどの通信アプリで銀行に罰金
8月8日

証券取引委員会は、ウェルズ・ファーゴ、BNPパリバ、ソシエテ・ジェネラル、バンク・オブ・モントリオールを含む金融サービス企業11社に対し、総額2億8900万ドルの制裁金を課した。これらの銀行は、電子通信、特に従業員の個人デバイス上のアイメッセージ、ホワッツアップ、シグナルのようなプライベートメッセージングプラットフォームを介して交換された通信を適切に維持・保存しなかったとして起訴された。関連する民事訴訟では、商品先物取引委員会が、未承認の通信手段を使用したとして4行に合計2億6000万ドルの罰金を課した。SECの命令の一環として、4行はコンプライアンス・コンサルタントと協力して、個人機器に関する電子通信の保持および従業員の不遵守に対処するための方針と手続きを見直すことにも合意した。今回の措置は、「オフチャンネル」コミュニケーションを取り締まるSECの継続的な取り組みの一環である。2022年、同機関は、同様の記録管理違反を理由に、他の銀行グループに対し18億ドルの罰金を発令した。

ハワイの山火事で100人が死亡
8月8日

ハワイ・マウイ島のラハイナの町を襲った一連の大規模な山火事は、17,000エーカー以上の土地を焼き尽くし、2,200棟の家屋や企業を破壊、100人が死亡した。この死者数は、1918年以来、米国の山火事の中では最も多い。山火事の深刻さは、火災の影響を受けやすい外来植物の蔓延、気候変動に関連した島の高温乾燥状態、太平洋の近海で発生したカテゴリー4のハリケーン「ドーラ」による強風など、さまざまな原因によるものと見なされている。NOAAによると、物理的被害総額は推定55億ドルで、現在および将来の観光の混乱や政府の災害対応費用は含まれていない。

ハリケーン・ヒラリー、南カリフォルニアに初の熱帯性低気圧警報を発令
8月20日

大規模な勢力拡大を経て、ヒラリーは太平洋上でカテゴリー4のハリケーンとしてピークを迎え、最終的には時速145マイルの持続的な強風に達した。8月20日にメキシコのバハ・カリフォルニア地方に熱帯性暴風雨として上陸し、温帯低気圧に移行し南西部に豪雨をもたらす前に、熱帯低気圧としてカリフォルニアに移動した。ヒラリーは1997年のノラ以来、カリフォルニアを襲った初めての熱帯性暴風雨であり、この暴風雨から予想される「壊滅的で生命を脅かす洪水」により、南カリフォルニアに史上初の熱帯性暴風雨警報が発令された。この暴風雨は、デスバレー国立公園に約1年分の雨を降らせ、カリフォルニア州の一部では記録的な降雨量を塗り替え、アイダホ州、モンタナ州、ネバダ州、オレゴン州を襲ったこれまでで最も雨の多い、または温帯低気圧暴風雨として新記録を樹立した。カレン・クラーク・アンド・カンパニーによると、保険損害は米国西部全体で6億ドルを超えた。

ハリケーン・アイダリアがフロリダ州を襲う
8月30日

カテゴリー4の暴風雨として沖合でピークを迎えた後、ハリケーン・アイダリアは、カテゴリー3としてフロリダ州北部のビッグベンド地域に上陸し、洪水や住宅、企業、農地、車両、インフラへの被害をもたらした。この地域は人口密度が比較的低いため、全体的な物理的被害と損害額は軽減されたものの、ベリスク(防火、災害・気象リスクなどの分野で予測分析と意思決定支援コンサルティングを提供する企業)は、保険による損害額はそれでも25億ドルから40億ドルに上ると推定している。11月中旬までに、比較的穏やかな2023年の大西洋ハリケーン・シーズンには7つのハリケーンが発生したが、そのうち3つは大型ハリケーンであり、10億ドル以上の損害をもたらしたのはアイダリアだけであった。このシーズンで2番目に被害額の大きかった嵐は熱帯性暴風雨オフィーリアで、米国東海岸全域に広範囲に及ぶ洪水と停電を引き起こし、約4億5,000万ドルの損害をもたらした。

2023年、熱記録を破る
9月6日

持続的な熱波が北米、ヨーロッパ、アジアの大部分を焼き尽くし、2023年の世界の平均気温は驚くべき規則性で記録を塗り替えた。欧州連合(EU)のコペルニクス気候変動サービスのデータによると、6月から8月にかけての3カ月間は、地球が記録上最も暑い時期となった。この期間の世界平均気温は62.19°F(16.77℃)で、平均を1.19°F(0.66℃)上回った。これは、季節的な気温の変化という点では、かなり大きな差である。また、この期間の各月は、記録開始以来最も暑かった月の新記録を樹立した。歴史的な暖かさは秋まで続き、世界の平均気温は毎月最高値を更新した。NOAAの主任科学者であるサラ・カプニック博士は、「9月は史上最も暖かかっただけでなく、2001年から2010年までの7月の平均気温よりも高かった」と述べた。11月までに、研究者たちは、地球が12ヶ月間で記録的な暑さに見舞われ、2023年はこれまで最も暑い暦年とされた2016年を超えたことが事実上確実であると判断した。

サイバー攻撃でMGMリゾートに1億ドルの損害
9月10日

サイバー攻撃でMGMカジノのスポーツ賭博機が壊れたカジノ・ホテル会社MGMリゾーツは、サイバー攻撃の被害者となり、その施設全体で10日間の業務中断を引き起こし、スロットマシン、ATM、ホテルのデジタルルームキーが停止し、ウェブサイトとオンライン予約システムが利用できなくなった。同社がデータ保護のために一部のコンピューター・システムを自主的に停止した後、従業員は現金での支払い、カジノ賞金の紙バウチャーの発行、ホテル宿泊客への手動チェックインと現物キーの提供をするだけであった。MGMは、ハッカーが2019年3月以前に同社と取引した一部の顧客の個人情報にアクセスできたことを確認した。SECへの提出書類によると、この攻撃により同社は第3四半期の収益に1億ドル以上の損害を被った。別の提出書類では、同じカジノ運営会社のシーザーズ・エンターテインメントが、電話ベースのソーシャル・エンジニアリング攻撃で顧客データが流出した後、MGM攻撃の背後にいた同じグループに対して数週間前に1,500万ドルの身代金を支払ったことを明らかにした。

中国の家庭教師会社、初のAIバイアス訴訟で和解
9月11日

史上初の、採用プロセスにおけるAIバイアスを伴う雇用差別の解決において、中国に本拠を置く家庭教師会社アイチューター・グループは、雇用機会均等委員会(EEOC)によって提起された訴訟を解決するため、36万5,000ドルを支払うことに合意した。EEOCは、アイチューター・グループが55歳以上の女性求職者と60歳以上の男性求職者を自動的に除外するようにAIソフトウェアをプログラムしたと主張していた。その結果、アイチューター・グループは米国で200人以上の有資格の求職者を年齢という理由で違法に不採用とした。アイチューター・グループはこの件での不正行為を否定し、現在は米国で労働者を雇用していないが、この和解では、米国での事業を再開する場合、家庭教師の雇用に携わる者に研修を提供し、強固な差別禁止方針を策定する必要があると規定している。今回の和解は、AIソフトウェアを使用する米国の雇用主が差別禁止法および雇用機会均等法を遵守することを保証するために策定された2021年のEEOCイニシアチブに続くものである。

作家がチャットGPTを著作権侵害で提訴
9月19日

ジョン・グリシャム、ジョナサン・フランゼン、ジョディ・ピコール、ジョージ・R・R・マーティンを含む著名な作家グループが、申し立てによると、人気のある生成AIチャットボットを訓練するデータセットを構築するために、彼らの著作物を許可なく、あるいは対価を支払うことなく使用したとして、チャットGPTの創作者であるオープンAIを訴えた。訴状では、ライセンスの機会損失と著作権侵害に対する金銭的損害賠償を求めている。原告側はまた、ChatGPTが低品質の電子書籍を生成し、著者になりすまし、人間が執筆した書籍を置き換えるために使用され、それによって市場と生計が奪われることへの懸念も表明した。同様の訴訟は、マイケル・チャボンやコメディアンのサラ・シルバーマンといった作家も、オープンAIとメタ社に対して起こしている。この訴訟は、サイバーセキュリティ、データプライバシー、情報の正確性、知的財産権の所有権など、2023年に生成AIツールの周辺で浮かび上がった多くのリスク問題の一例である。たとえば4月、サムスンは、機密の内部情報が誤ってチャットGPTにアップロードされ、事実上一般公開されてしまい、その管理を取り戻すために慌てで対応しなければならなかった。この種の問題の結果、多くの組織が潜在的なリスクを軽減するために、職場での生成的なAIツールの使用を規制する内部方針を作成している(本誌記事「リスクの発生:チャットGPTとその他のAIツールによる新たなリスク遭遇可能性」を参照)。

ガンマン、メイン州で19人を殺害
10月25日

メイン州ルイストンのボウリング場とバーで起きた銃乱射事件で19人が死亡、13人が負傷した。この銃乱射事件は、米国で今年の最も死者数の多い銃乱射事件であり、米国史上10番目に死者数の多い銃乱射事件であった。非営利団体ガン・ヴァイオレンス・アーカイブによると、2023年11月15日現在、米国では603件の銃乱射事件が発生しており、そこでは4人以上が銃撃または殺害された事件と定義されている。これらの事件には、1月にカリフォルニア州モントレーパークのダンススタジオで発生し12人が死亡した銃乱射事件、5月にテキサス州アレンで発生し9人が死亡したショッピングモールでの銃乱射事件、市をあげての犯人捜索が行われたことで、RIMSの年次RISKWORLD会議の早期閉鎖を余儀なくされた5月の銃乱射事件などが含まれる。

ハリケーン「オーティス」がカテゴリー5の暴風雨としてメキシコを直撃
10月25日

ハリケーン・オーティスは、アカプルコ近郊に上陸するまでのわずか24時間の間に、熱帯性暴風雨からカテゴリー5のハリケーンとなった。持続風速が時速165マイルに達したオーティスは、メキシコ太平洋沿岸を襲った史上最強のハリケーンであり、北太平洋東部から上陸したカテゴリー5のハリケーンとしては初めての記録である。気候パターンの変化によって暴風雨の破壊力が増すなか、オーティスは暴風雨を正確に具現化したのもので、急激な暴風雨の巨大化のようなダイナミックなリスクを予測することの難しさを浮き彫りにした。実際、災害モデルを構築する(モデラ―)ムーディーズRMSによると、「10月24日未明に入手できたハリケーンや世界的な確定予測モデルでは、「オーティスが急激な強力化を生じさせる危機寸前にあることを示すモデルはなかった」という。オーティスは、特に風による壊滅的な被害を残し、災害モデラーは保険損害を25億ドルから45億ドルになると予測している。被害の大半は、特に沿岸部の商業施設以外では、保険未加入か十分な保険に加入していないかのどちらかであり、オーティスは経済的損害と保険損害の両面でメキシコにおける最もコストのかかる暴風雨の1つとして歴史に名を残すだろうと同社は予想している。

バイデン政権、人工知能に関する大統領命令を発出する
10月30日

ジョー・バイデン大統領は、人工知能の「安全、安心、信頼」な発展を促進することを目的とした包括的な大統領令を発表した。この大統領令は、AIシステム開発者が安全性テスト結果を開示するための要件、AIが生成したコンテンツを検出し、不正や詐欺を回避するために公式コンテンツを認証するためのガイダンス、重要なソフトウェアの脆弱性を修正するためのAIツールを開発するためのサイバーセキュリティプログラムの確立を含む、新しいAI安全・セキュリティ基準の作成を求めている。さらに、この大統領令は、消費者のプライバシーの保護、AIアルゴリズムが差別を助長するために使用されることへの防止、医療と教育におけるAIの責任ある使用の促進、AIが労働市場に与える影響への対処、AIの研究開発の機会の拡大、国際的および連邦政府内での責任あるAI使用のための基準の策定、などのステップを示している。

ストライキ中の俳優がAIからの保護を確保
11月9日

映画俳優組合・米テレビ・ラジオ芸術家連盟(SAG-AFTRA)のメンバーは、映画・テレビプロデューサー連盟と合意に達し、組合史上最長となる118日間のストライキに終止符を打った。9月に終了した全米脚本家組合のストライキと合わせ、ハリウッド・スタジオとの労働争議は、夏を通して映画とテレビの放送停止につながり、南カリフォルニア経済に65億ドルの損害を与えた。ハリウッド・スタジオとSAG-AFTRAの合意には、過去40年間で最大の最低賃金の引き上げ、新たな再放送使用料体系、人気ストリーミング・コンテンツに対するボーナスが含まれている。また、この合意は生成AIに関する懸念にも対処しており、スタジオはデジタルレプリカを作成・使用し、演技を変更する際に俳優の同意を得なければならないと規定している。また、俳優には、デジタルレプリカに置き換えられなかった場合に支払われるはずの制作作業に対して、通常の日給で報酬を受け取る権利も与えられている。

米国気候評価、異常気象リスクは増大している報告
11月14日

米国政府は、第5次国家気候評価報告書を発表した。これは、米国全土における気候変動のリスクと影響について、議会が義務づけた省庁間報告書である。この報告書によると、異常気象は明らかに増加しており、1980年代には、米国は平均して4ヵ月に1回、10億ドル規模の災害を経験していた。現在では平均3週間に1回になっている。実際、NOAAによれば、2023年には25件(11月8日現在)という新記録を樹立した。毎年、このような災害によって米国は1500億ドル近い損害を被っている。これは、人命の損失、医療費、生態系への損害を考慮に入れていない控えめな見積もりである。専門家は、異常気象と海面上昇が資産、インフラ、生態系、水供給、公衆衛生、食糧安全保障、生活、経済を脅かすことから、気候の影響は今後10年間で強まり、全米のあらゆる地域に影響を及ぼすと予想している。しかし報告書は、現段階ではこれらの影響の一部は避けられないものの、将来世代のために気候変動リスクと影響を軽減することは、まだ可能かもしれないと示唆した。この取り組みには、大気から炭素を除去する技術や方法の急速な拡大とともに、排出量削減のための現在利用可能な選択肢を広く実施すること、さらに大規模な技術、インフラ、土地利用、ガバナンス、行動の変化を伴う、より広範な緩和・適応行動が必要となるであろう。

SEC サイバー報告要件が発効
12月15日

長い法制化過程とコメント期間を経て、SEC待望のサイバーリスク報告要件(本誌記事「SECサイバー規則は新たな強化計画を示唆する」参照)が、2023年12月に正式に施行される。この規則では、上場企業に対し、偶発的であれ悪意があろうが、組織の財務または稼働状況に重大な影響を及ぼすサイバーインシデントについて、開示報告書を提出し、重要性を判断してから4日以内に提出することを義務付けている。おそらく、より重要なことは、SECが、サイバーセキュリティに関するリスクマネジメント、戦略、ガバナンスに関わる必要な開示を追加するために、10-Kフォーム(海外の発行会社の場合は20-F)を修正したことであり、組織は2023年12月15日以降に終了するすべての会計年度について、毎年報告しなければならない。SECのゲイリー・ジェンスラー議長は、サイバーリスクマネジメントが、企業の財務実績、事業の実行可能性、投資家の望ましさにおいてますます重要な要素となっていることから、これらの要件の目的は、サイバーセキュリティ報告をより「一貫性があり、比較可能で、意思決定に有用」なものにすることであると指摘した。

トピックス
サイバー、事業中断、気候変動、コンプライアンス、災害復旧、新興リスク、国際、法的リスク、自然災害、リスクマネジメント、サプライチェーン


注意事項:本翻訳は“Year in Risk 2023 ”, Risk Management, November-December 2023, pp.18-25 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
モーガン・オルークは本誌編集局長兼RIMS出版担当取締役。ヒラリー・タットルは本誌編集長。ジェニファー・ポストは本誌編集者。

リスクを発生させる-ChatGPT他のAIツールからの新たなリスク遭遇可能性

コリー・マクレイノルズ[*]


ChatGPTや新世代の生成AIツールが注目を集めアクセスしやすくなるにつれて、企業はそれらを効率的に仕事の流れに組み込む方法を模索し始めている。そのプロセスでは、企業の視点からの検討が必要になるが、多くの従業員は、技術を探求することなく経営陣からのゴーサインを待つことはないだろう。むしろ、多くの従業員は、仕事に関連した作業を支援する目的で、ある程度の能力だけで、これらのツールを使用する可能性が高い。

実際、ビジネス・ドットコムは、米国の従業員2,000人を対象にした調査で、57%がChatGPTを試し、16%が定期的にChatGPTを職場で利用していることを明らかにした。同様に、サイバーヘイブン社のデータによれば、6月1日現在、従業員の10.8%がChatGPTを職場で利用しており、8.6%が企業データをそれに貼り付けていた。多くの場合、AIの使用に関して企業方針がなく、潜在的なリスクを完全に理解せずに、従業員は業務を実行する。

法律事務所であるコンスタンギー・ブルックス・スミス & プロペッテのサイバーチームの副会長兼パートナーのサラ・ルグネッタは言う。「企業は、組織全体の従業員が十分に評価していない状況で、生成AIを利用していることを次第に認識するようになっている」。「ここ数カ月で、AIへの関心が高まっている。AIの利用方針の策定は、企業の最優先事項となっており、AIの利用方針を策定する指示は、しばしば上級管理者から直接出されている」。

もちろん、従業員が生成AIツールを使っているからといって、必ずしもリスクのある行動をとっているというわけではない。この段階では、多くの人がこの技術にまだ慎重であり、単に対応を探っているにすぎない。しかし、それは依然リスクをもたらす可能性がある。今年になって生成AIについて広く取り上げられているが、実際にどのように機能するかについて一般的な知識が不足しており、危険性が見過ごされやすい。生成AIとそれに関わるリスクをよく理解することは、企業やその従業員が、生成AIツールの可能性を最大限に活用すると同時に、より安全なAIツールを利用するために有効である。

データセキュリティが問題である

生成AIの重要な特徴の一つは、提供してくれる情報と同じくらい情報を必要とするということであり、将来の結果の質がそれを訓練するためにシステムに入力された情報に依存するということであり。ユーザーが情報を入力すると、AIが何かを出力するだけではなく、知識を吸収して、後で使用する人がそれにアクセスできるということを、ユーザーは知らないかもしれない。そこにリスクが存在しているのである。

生成AIが一旦情報を利用すると、情報が公開可能であるか、あるいは個人識別情報、保護された健康情報、組織の知的財産のように非常に機密性の高いものであるかということに関係なく、その情報は、ツールのデータセットの一部として永久に存在し、そのためにプラットフォームを使用するいかなる人でもアクセス可能になる。回線を停止しても、他の当事者が機密情報に不注意にアクセスし、生成AIに開示され、重大な知的財産および法的リスクを引き起こす可能性がある。

仮想的なシナリオを考えてみよう。新製品や新サービスの機能を説明するために、従業員が生成AIを利用している。期待されたメッセージを作り出すために生成AIに投入されたアイデアやコンセプトは、生成AIが将来利用可能な情報プールの中に存在することになる。社員が社内プレゼンテーションのために会社名の付いたスライドで、メッセージング・ブリーフに変換する支援を求めた場合、理論的には、競合他社がAIに「A社が取り組んでいる新しい技術は何か」、あるいは「X製品のアイデアが必要である」と尋ねれば、入力された情報にアクセス可能となる。

また、競合他社が、自社の類似の新製品や新サービスについて、生成AIに相談すれば、A社の情報を活用して、その対応の一環として、B社に情報を提供することができる可能性がある。その結果、誰が知的財産を所有するかについて、より高いレベルの潜在的問題が生じる可能性がある。

これらツールのインフラストラクチャーへの侵入の可能性は、別のデータ・セキュリティ・リスクを提示する。たとえば、オープンAIは、ユーザーが他のユーザーのチャットからタイトルをリコールできるといったバグを修正するために、3月にChatGPTをオフラインにしなければならなかった。「より大きな侵入があれば、さらに詳細を明らかにすることができるし、何が原因であるか究明することが可能である」と、シュアファイヤー・サイバー社のマーク・ブレイチャー最高技術責任者(CTO)は言う。「従業員が自社のドメインを使用してアカウントにサインアップした場合、他のユーザーは、生成AIとのやり取りに、いかなるタイプの質問を使用しているかを知り得る。それは情報の宝庫である」。

もう1つの懸念は、より効果的なマルウェアを作成するか、あるいは、より良いフィッシング・スキームを組み合わせるかどうかは別として、AIツールを使用してより高度なサイバー攻撃を実行する脅威となるハッカーである。例えば、過去にフィッシングやスパーフィッシングの脅威を回避するために、企業は従業員に対して、電子メールやウェブサイトで「外れたもの」と思われるスペルミスやその他の要素に注意を向けるよう警告する。ところが現在、生成AI技術は、それが不正であることを全く感じさせないような、綺麗で専門的に見えるコミュニケーションやウェブサイト作成ために利用されている。

さらに、悪いハッカーは、生成AIの自然言語処理能力と、視覚的なディープフェイクおよび音声再創出技術を組み合わせて、自然に動いたり話したりする人物の物理的なイメージを作り出すことができる。ソーシャルメディア、スピーチのビデオ、古風な売り込みなどから、映像や音声のサンプルを入手して音声を録音して、従業員が知っている誰かように見せたり音声を聴かせたりすることもできる。その結果、脅威となるハッカーが、上司や上級管理者に代わって、従業員、パートナー組織、または第三者に、非常に説得力があって、会社のために何かをするように仕向けることが容易になった。

技術が進歩するにつれて、サイバー犯罪者は、自らの能力を活用して新たな攻撃を作り出し、より効果的に拡散させる能力を活用できるさらなる方法を見出すであろう。「生成AIは、まだ乳幼児期にある」とラグネッタは言う。「われわれは、この技術が現在の脅威の景色を拡散させるのに活用されるかどうか、またどのように活用されるかを確かめている最中である」。

教育と自覚

ChatGPTや他の生成AIプラットフォームを従業員が使用することで望ましくない副産物を生み出すのを防止するためには、教育と自覚を向上させることが重要である。企業は多くの場合、従業員が、技術は何をするか、何ができるか、情報をどこから引き出すか、そしてインプットされた情報に対して何をするかを理解していることを確認するために、時間、資金、努力を早期に費やすべきである。

従業員が理解すべき重要な事項の1つは、生成AIが必ずしも正しい結果を生み出すとは限らないことである。「生成AIは、その技術がもたしたらアウトプットによって、課題をもたらす可能性がある」とラグネッタは言う。「AIは過去のデータに基づいて訓練されるため、従業員が必ずしも評価したり検出したりしていないバイアスや不正確さをより増幅する可能性がある」。

また、生成AIは、要求に応じて技術が単に架空の情報を構成した「ハルシネーション」を起こしやすく、公式のツールとしてこの情報を利用する企業に対して、潜在的問題をもたらす可能性がある。

こうした問題を回避するためには、AIが生み出した成果を額面どおりに評価することのない検証プロセスを構築することが重要である。「人間を排除するな」とブレイチャーは言う。「アプリケーションを通してあるいは業務を通して生成AIに頼っているかどうかに関係なく、これがさらに発展するまで、そのデータの正確さと妥当性を吟味するために、誰か人間を置いておいておくべきである」。

状況によっては、そのツールについて独立した人間を介在させる監査を実施することが合理的な場合さえある。「例えば、人事関連でのバイアスが懸念される場合、それは、そこでの発見事項を検討して文書化するために、実際の監査あるいはデータ・プライバシーへの影響評価を実施したいという、次のステップに踏み込みたいと考える分野である」とラグネッタはいう。

企業は、本質的に、生成AIに対して新しい別のツールを取り扱うものとして捉え、それを実際に活用するための制約条件を確立する必要がある。「生成AIに関わる利用方針を策定し、それらの方針が確実に遵守されるように適切な技術統制を実施する」ことであると、ブレッチャーは言う。企業は、これらの技術の安全な使用を制限するか、促進するかのどちらか一方を方針や手順を明確に定義すべきであり、それを個々の組織およびその従業員に守らせるべきである。しかしながら、ビジネス・ドットコムの調査によると、ほとんどの企業ではこのような措置を講じておらず、従業員の17%だけしか、ChatGPTの利用について明確な方針があると回答していない。こうした手続きを踏む企業は、生成AIによってもたらされるリスクを認識し、リスク情報に基づいて上手に意思決定する可能性が高い。

AIに関する方針が効果的であるためには、それらがカスタマイズされていなければならない。業界および企業のデータガバナンス構造に応じて、ラグネッタは、情報セキュリティ、法務、プライバシー、業務、人事、コンプライアンス・チームといった関係者を方針の策定に参加させるよう勧告する。このグループは、これらの用途に関してそれぞれ使用事例とリスクを明確にして、企業のAIプラットフォームに投資するかどうかを評価し、方針を広め、従業員を訓練する最善の方法をブレーンストーミングによって明らかにすることができる。

また、この方針は、企業のガバナンス・サイクルの一環として定期的に見直されるべきである。ラグネッタは指摘する。「企業は、新技術を反映するために、より簡単に更新されうる別表の中に、認められた生成AIプラットフォームを含めることができる」。この方針は特定の技術に対応するのではなく、プロセス・レベルのガイドラインを含めるべきである。生成AIの進歩は非常に急速に進みつつあるので、そのためには、企業は従業員が現在の技術動向やその能力の最先端を学べるように、定期的に教育訓練を続けるべきである。

他の主要な新技術と同様、生成AIの可能性は大きいが、潜在的な危険性もある。従業員がこれらのツールを理解するための方針や教育、コミュニケーションを発展させるために事前準備的な手段を講じていない企業は、新しいリスク遭遇可能性を広げるかもしれない。

トピックス
サイバー、新興リスク、知的財産、リスク評価、リスクマネジメント、セキュリティ、技術


注意事項:本翻訳は““Generating Risk: New Exposures from ChatGPT and Other AI Tools ”, Risk Management, November-December 2023, pp. 26-29 をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
コリー・マクレイノルズはITセキュリティ企業アヴァチューム社上級専門サービス・コンサルタント。

記事の詳細を読む

会員の方

非会員の方

SHARE

RIMS日本支部

アプリケーションパスワードを使用すると、実際のパスワードを入力しなくても XML-RPC や REST API などの非対話型システムを介した認証が可能になります。アプリケーションパスワードは簡単に取り消すことができます。サイトへの従来のログインには使用できません。