By Risk Management
【Web特別版】
10月号
- 山火事シーズンのリスクを管理する: 室内空気の安全な質を維持するためのヒント
- 職場恋愛に関する方針の策定方法
- ニューヨークのサイバーセキュリティ規制から学ぶリスクマネジメントの教訓
ニューヨークのサイバーセキュリティ規制から学ぶリスクマネジメントの教訓
ファハド・ディワン[*]
2017年、ニューヨーク州金融サービス局(NYDFS)は、金融機関がシステムを保護し機密情報を保護するための新しい基準を定めた画期的なサイバーセキュリティ規制、23 NYCRR Part 500を初めて導入した。2023年には、この規制に大幅な改正が加えられ、ますます複雑化するサイバー脅威の状況に対応して、規制はさらに包括的かつ厳格なものになった。実際、改正後の最初の執行措置で、NYDFSはジェネシス・グローバル・トレーディングに800万ドルの違反金を科し、規制更新の緊急性と、遵守しない場合の潜在的な影響を強調した。
NYDFSのサイバーセキュリティ規制は当初、金融機関を標的とするサイバー脅威でのリスク増大を緩和するために導入された。2023年の改正は元のフレームワークに基づいていて、SECなどの連邦機関が設定した制御を超える、より厳格な要件を導入している。
ニューヨーク州の銀行、保険、金融サービス法に基づいて認可されている幅広い組織は、サイバーセキュリティリスクの詳細な評価を実施し、これらのリスクを効果的に管理するための堅牢なプログラムを導入する必要がある。これには、社会保障番号、医療記録、侵害された場合に組織に重大な影響を与える可能性のあるその他の機密データなどの非公開情報 (NPI) にアクセスする大規模な金融機関やサードパーティのサービスプロバイダーが含まれる。この規制は、機密性の高い金融データを扱う組織を特に対象としており、請負業者やサードパーティベンダーなど、直接的な規制の範囲外の組織であっても、厳格なサイバーセキュリティ基準に準拠することを確保する。
23 NYCRR Part 500 の新しい要件を理解する
昨年の改正では、規制対象組織のサイバーセキュリティ体制を強化するためにいくつかの重要な変更が導入された。これらの変更は、サイバー脅威の進化する特質と、より積極的かつ包括的なサイバーセキュリティ対策の必要性を反映している。これには以下が含まれる。
- ガバナンスの強化: 改正では、サイバーセキュリティを組織のより広範なガバナンスフレームワークに統合することの重要性を強調している。対象となる事業体は、サイバーセキュリティ・プログラムの独立した監査を実施する必要がある。クラスA企業 (収益と従業員数が多い企業) には、さらに厳しい要件が課せられる。監査は、サイバーセキュリティ対策が実装され、効果的で、最新の脅威の状況に合わせていることを確認するために不可欠となる。
- リスクマネジメント: 事業体は、より頻繁にリスク評価を実施し、それを文書化して、サイバーセキュリティポリシーと手順の更新に役立てる必要がある。これらの評価では、サイバー犯罪の最新の動向を含む、内部および外部の脅威の両方を検討する必要がある。たとえば、サービスとしてのランサムウェアにより、脅威実行者が攻撃を仕掛けやすくなったため、規制当局は、組織がその特定の脅威を管理するために継続する措置を講じることを期待している。
- データ管理: 組織は、NPI を処理するすべてのシステムを含む包括的な資産インベントリを維持し、定期的に更新する必要がある。これには、システムの所有者、場所、分類、復旧時間目標などの詳細が含まれる。さらに、規制では、ビジネス運営に不要になったデータを安全に廃棄することが義務付けられており、これにより、古くなった情報や無関係な情報を含むデータ侵害のリスクを軽減できる。
- インシデント対応: 対象となる事業体は、事業継続および災害復旧プロトコルを含む詳細なインシデント対応計画を策定する必要がある。組織は、これらのプロトコルを毎年テストし、サイバーインシデント発生時に有効であることを確認する必要がある。この規制では、72 時間以内に重大なサイバー・セキュリティ・インシデントを NYDFS に通知する義務など、より厳格な報告要件も導入されている。
特別な義務と免除
この改正により、規模と複雑さから「クラス A 企業」と呼ばれる新しいカテゴリの事業体に対する特別な義務が導入さる。クラス A 企業として認定されるには、事業体はニューヨークでの事業からの年間総収益が少なくとも 2,000 万ドル、従業員が 2,000 人を超えるか、または全世界での収益が 10 億ドルを超える必要がある。これらの企業は、リスク評価に基づいてサイバーセキュリティ ・プログラムの独立した監査を実施し、高度なエンドポイント検出および対応ソリューションを実装し、よく使用されるパスワードをブロックすることで自動化されたシステムが特権的なアクセスを厳密に制御するようにする必要がある。
この規制では、より大規模で複雑な組織に関連する高レベルのリスクに対処するために、クラス A 企業の要件が設計された。改正により、これらの組織は、潜在的なサイバー脅威にさらされる可能性が高まることを反映して、より高度なサイバーセキュリティのインフラストラクチャとプロセスに投資する必要がある。
この規制は包括的であるが、小規模な組織には限定的な免除が認められている。従業員数が 20 人未満、年間収益が 750 万ドル未満、または資産が 1,500 万ドル未満の企業は、これらの免除の対象となる可能性があり、規制の負担がいくらか軽減される。ただし、免除対象の組織であっても、サイバーセキュリティ意識向上トレーニング、安全なデータ廃棄、書面によるサイバーセキュリティ方針の策定など、中核的な規定を遵守する必要がある。
コンプライアンスでのベスト プラクティス
NYDFS サイバーセキュリティ規制に準拠するには、組織は、現在の脅威と新たな脅威の両方に対処する堅牢なサイバーセキュリティ プログラムを開発して維持する必要がある。この規制では、これらのプログラムを構築するための詳細なフレームワークが提供されており、サイバーセキュリティに対する積極的かつ包括的なアプローチの重要性が強調されている。要件の一部は次の通りである。
- 方針と手順: あらゆるサイバーセキュリティ プログラムの中核となるのは、情報システムと NPI を保護するための組織のアプローチを導く方針と手順である。これらの方針は、データガバナンス、アクセス制御、インシデント対応、脆弱性管理など、幅広いトピックをカバーする必要がある。この規制では、組織がこれらの方針を毎年見直し、更新して、進化する脅威にもかかわらず方針が有効であり続けるようにすることが求められている。
- 訓練と意識向上: この規制では、特にソーシャルエンジニアリング攻撃に重点を置いた定期的なサイバーセキュリティ訓練が求められている。組織は少なくとも毎年すべての従業員を訓練する必要があり、組織が直面する特定のリスクに基づいて必要に応じて追加の訓練を提供する必要がある。包括的な訓練は、セキュリティ意識の高い文化を構築し、すべての従業員が組織のデータとシステムを保護する上での役割を理解するために不可欠である。
- 文書化と報告: 対象となる組織は、リスク評価結果、インシデント対応計画、サイバーセキュリティ方針など、コンプライアンスへの取り組みを文書化する必要がある。文書は、NYDFS がいつでも検査できるようにする必要がある。さらに、組織は最高位の役員 (通常は CEO) と最高情報セキュリティ責任者 (CISO) が署名したコンプライアンス証明書を毎年提出する必要がある。証明書は、組織が規制に実質的に準拠していることを示すデータと証拠で裏付けられている必要がある。
ニューヨークの最新のサイバーセキュリティ規制は、単なる一連の規則ではなく、金融サービス業界におけるサイバーセキュリティの将来に向けた青写真である。サイバー脅威が進化し続ける中、全国の組織は、この規制で概説されているサイバーセキュリティに対する積極的かつ包括的なアプローチを検討する必要がある。
注意事項:本翻訳は“Risk Management Lessons from New York’s Cybersecurity Regulation ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/10/08/risk-management-lessons-from-new-york’s-cybersecurity-regulation ) October 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ファハド・ディワン(JD、FIP、CIPP/M、CIPP/C) はエクステロ社プライバシー及びデータガバナンス製品担当取締役。
- イリノイ州 BIPA 改正の保険に対する含意
- 次のサイバー機能停止に備える
次のサイバー機能停止に備える
ジョージ・ハイチ[*]
デジタルファーストの世界では、組織がサイバー機能停止に遭遇するかどうかではなく、いつ遭遇するかが問題である。最近の クラウドストライクの障害のような混乱は、即座に金銭的損失を引き起こし、顧客の信頼と市場での信用を損なう可能性がある。
サイバー機能停止の頻度は増加しているにもかかわらず、多くの企業は依然として準備を整えることが必要である。このようなインシデントの影響に対処するには、堅牢なサイバー保険、事前準備的なリスクマネジメント、明確に定義された復旧戦略が必要である。
サイバー保険での検討事項
サイバー保険は過去 10 年間で大幅に進化したが、多くの組織は手遅れになって初めて、保険の対象範囲を完全に理解することになる。保険を単に導入するだけでは、すべてのサイバーリスクからの保護が保証されるわけではない。そうではなく、組織は、スムーズな復旧を確実にするために、保険の詳細を深く理解する必要がある。
多くの組織は、事業中断損失の計算は簡単なプロセスであると想定しているが、予想以上に複雑になる可能性がある。保険会社は通常、機能停止による経済的影響に基づいてこれらの損失を評価するが、部分的な業務運用の可能性や外部依存関係などの要因により計算が複雑になる場合がある。企業は、保険が機能停止期間全体をカバーしているのか、一部だけをカバーしているのか、また、さらなる中断を最小限に抑えるために発生した追加費用など、どのような追加費用が含まれているのかを把握する必要がある。
保険に関するよくある誤解は、停止が発生するとすぐに補償が適用されるというものである。実際には、サイバー保険契約では、しばしば、組織が事業中断の請求を提出するまでの待機期間を設けている。待機期間は数時間から数日に及ぶ可能性があり、企業が受け取る補償額に直接影響する。待機期間が長いほど経済的負担が大きくなるため、組織はそのギャップをカバーするための緊急時対応計画を作成する必要がある。
インシデントへ対応する
サイバー機能停止に備え、効果的に対応することも不可欠である。停止が発生したら、企業は発生後すぐに保険会社に連絡して、請求プロセスを速やかに開始し、迅速に行動する必要がある。
同時に、IT チームと法務チームを関与させてインシデントの範囲を評価することも重要である。これには、侵害があったかどうかの特定、侵害によって機密データが侵害されたかどうかの判断、業務への全体的な影響の評価などが含まれる。技術的および法的評価に加えて、企業は事業継続および災害復旧計画を発動して、機能停止に対処しながら重要な機能が継続されるようにする必要がある。どの業務をアクティブに維持でき、どの業務にすぐに対応する必要があるかを理解することは、危機発生時に業務の回復力を維持するのに役立つ。
長期的なサイバー強靭さを構築する
サイバー機能停止による即時の経済的影響を管理するには保険が不可欠であるが、事前準備的なリスクマネジメントは長期的な強靭さの基盤となる。組織は、進化するサイバー脅威に先手を打つために、先を見越した戦略を採用する必要がある。
そうした戦略の 1 つは、脆弱性が悪用される前にそれを特定することに役立つ予測リスク評価ツールを活用することである。システムの弱点を継続的に監視することで、企業は潜在的なリスクが本格的な機能停止にエスカレートする前に対処できる。
さらに、サイバーセキュリティ・インフラストラクチャへの戦略的な投資も必須となる。企業は、ファイアウォール、暗号化、継続的な監視システムなどのツールを優先して導入し、サイバーリスクに対する防御を強化する必要がある。ただし、テクノロジーだけでは十分ではない。組織は、サイバーセキュリティに配慮した文化を育み、従業員にデータ保護のベストプラクティスを教育して、実践させる必要がある。人為的ミスが依然としてサイバーインシデントの主要原因の 1 つであることを考えると、効果的な従業員訓練は重要な防御メカニズムである。
復旧のための教訓
組織は、機能停止後の復旧をしばしば軽視するが、これは学習と適応のための重要な段階である。企業が業務を復旧したら、機能停止の原因と対処方法を徹底的に分析して、コミュニケーションの途絶、対応戦略の弱点、改善すべき領域を特定する必要がある。
復旧は、サイバー保険契約を再評価して更新する機会でもある。補償にギャップがあったかどうか、保険会社の対応が組織のニーズを満たしていたかどうかを振り返ることが重要である。実際の経験に基づいて契約を調整することで、将来に向けて補償範囲を広げることができる。同様に、機能停止により、企業のリスクマネジメント戦略上でのこれまで認識されていなかった脆弱性が明らかになった可能性がある。組織は、サイバーセキュリティ・フレームワークの広範な再評価の一環として、これらの弱点に対処し、将来のインシデントに対してより適切に備える必要がある。
サイバーリスクが進化するにつれ、企業は次の避けられない機能停止に備える必要がある。保険の適用範囲、積極的なリスクマネジメント、明確な復旧計画があれば、組織は最小限の混乱で機能停止を乗り切り、組織をより強靭さのある状態にすることができる。
注意事項:本翻訳は“Preparing for the Next Cyber Outage ”, Risk Management Site ( https://www.rmmagazine.com/articles/article/2024/10/15/preparing-for-the-next-cyber-outage) October 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョージ・ハイチはWTW のテクノロジー、メディア、通信部門の責任者。
- 多すぎる情報: 完璧な開示により保険契約の取り消しを防ぐ方法
- リスク、倫理、コンプライアンスに関する企業の見解を一致させる
リスク、倫理、コンプライアンスに関する企業の見解を一致させる
ニール・ホッジ[*]
企業は、リスク、倫理、コンプライアンスについて組織内の全員が同じ見解を共有していると考えがちであるが、残念ながら、証拠はそうではないことを示している。倫理とコンプライアンスの専門家であるLRN コーポレーションによる最近の倫理文化ベンチマーク・レポートによると、世界中の従業員のほぼ 4 分の 1 (23%) が、仕事をこなすために規則を破ることは許容されると考えていた。さらに悪いことに、約 14% が過去 1 年間に「会社の行動規範または基準に違反する行動をとった」ことを認めている。
多くの上級管理職は、問題がある可能性があることに気づいていない。LRN は、管理職が会社に強力な倫理文化があると示す可能性が、一般的な従業員の 2.6 倍高いことを発見した。これは、管理職が、強力な行動規範は自動的に強力なコンプライアンスを意味すると想定していることを反映している可能性がある。
LRN のレポートでは、若い従業員が年上の同僚よりも規則を曲げたり破ったりする可能性が高いことも判明した。たとえば、Z 世代 (通常は 1996 年から 2010 年の間に生まれた人々) の回答者の 22% が、過去 1 年間に職場で非倫理的な行為を行ったと回答しているのに対し、ベビー ブーマー世代 (1946 年から 1964 年の間に生まれた人々) ではわずか 9% であった。
このレポートでは、このような規則違反が金銭的または個人的な利益、または会社に悪意を持って損害を与えようとする試みと関連していることは示されていないが、専門家は一般的に、金銭以外の不正行為は組織内の他の重大なコンプライアンス違反の問題の早期兆候となる可能性があることに同意している。そのため、雇用主は、従業員がコンプライアンス責任を無視する可能性を判断するために、従業員をより綿密に監視する必要があるかどうかを検討する必要がある。また、組織のすべてのレベルで倫理的な行動を促進することが、潜在的にコストのかかる規制上の罰金を回避するのに役立つため、リスクマネジメント部門は人的リスクに注意を払う必要があることを思い出す必要がある。
断絶を理解する
リスク、倫理、コンプライアンスに関する従業員の見解が異なる可能性があることを示す兆候がいくつかある。例えば、多様なチームや場所での違反の繰り返しや行動の一貫性の欠如は、より統一された理解と実行の必要性を示唆している一方、スピークアップ・メカニズムやライン・マネージャーによる報告率が低いことは、従業員が懸念を提起または上に報告する方法を知らないか、プロセスを信頼していないことを示している可能性がある。従業員の離職率が高く、退職面接で従業員から否定的なフィードバックが得られていることも、企業文化の悪さを示す有用な指標となる。
しかし、組織内のすべての人にリスク、コンプライアンス、倫理を同じように認識してもらうことは難しい場合がある。「全員が同じ認識を持つことを保証することはできないと思いますが、これらの問題が真剣に受け止められ、経営陣が苦情に対応してくれると信じて従業員が懸念を表明することに抵抗がない文化を築くことはできます」と、人事コンサルタント会社 10エイティ 取締役リズ・セバグ・モンテフィオーレは述べている。問題は、企業が実際にどのようにビジネスを行っているかにある。 「企業は倫理について語ることはできますが、サプライヤーから搾取し、顧客を不当に扱い、従業員を搾取して使い捨てのように扱っていたら、ベストプラクティスにコミットする従業員を刺激することはできません」と彼女は言う。
多くの雇用主は、許容され期待される行動を概説する重要なツールは行動規範であると考えている。行動規範には多くの場合、倫理が含まれる。通常、これはリスクマネジメント、コンプライアンス、倫理的行動に対する期待を定め、幹部や上級管理職が主導するか、少なくとも支援することになる。これらの文書はすべての従業員がアクセスでき、労働者が条件を読んで理解したことを確認する必要があり、定期的に見直される。メッセージが確実に伝わるように、企業は通常、訓練やワークショップを通じてそうした言葉で示されたことに行動を伴わせるように伝える。実際には、従業員はこれらの膨大な行動規範をあまり注意深く読まないことが多く、その結果、スタッフは条件を盲目的に受け入れ、読んで同意したことを忘れてしまう。
コンプライアンスへの取り組みを改善する
人事をテーマにしたブログおよびポッドキャスト「倫理の声」の著者兼ホストであるマーク・マクレナンによると、行動規範へのコンプライアンスに関する従業員の理解の不一致は、ほとんどの企業が倫理およびリスクに関する訓練を十分に実施していないという事実によって悪化している。「毎年の倫理訓練は、年に 1 回ジムに行くのと同じくらいの効果しかありません」と同氏は言う。「ジムに行くからといって、健康は改善されません。」
コンプライアンスを向上させる鍵は、従業員からの直接的なフィードバックと賛同を得て、どの行動が許容され、どの行動が許容されないかについてのコンセンサスを得て、それを会社の倫理規定または行動規範に組み込むことである。「倫理的な文化を築くには、定期的な議論が必要です」とマクレナンは言う。「すべての管理者は、少なくとも月に 1 回は、日常的な倫理的ミスを目撃した状況を取り上げ、全員にそれを目撃したかどうか、どう思うかを尋ね、管理者が最後に話すようにしてください。もう 1 つのヒントは、他の人に例を共有してもらい、それについて話し合い、それを会社の倫理規定に適用することです。これにより、従業員はまず倫理について考え、倫理の重要性を理解することができます。倫理の違いがどこにあるのかが明らかになり、考慮していなかった問題が明らかになるかもしれません。」
倫理コンサルタント会社レピュテーション・インテリジェンス-レピュテーション・クオリティの専門家であるマイケル・テーベは、経営陣が恣意的な基準を策定して課すのではなく、組織の倫理基準がどうあるべきかについて多数決をとることで、企業は従業員がリスク、コンプライアンス、倫理を同じ観点から見ることができるようにできることに同意している。彼は、このようなアプローチには多大な時間が必要であり、多大な労力、忍耐、積極的な傾聴、心理的安全性、促進された対話が必要になることを認めているが、賛同が得られるため、より優れた監視、ガバナンス、コンプライアンスの点で大きな利益を得ることができる。
もう 1 つの有用なアプローチは、従業員が報復を恐れることなく経験や意見を共有できる安全なフォーラムを構築することである。これにより、組織は従業員がルールをどのように解釈しているか、また従業員が方針を曲げたり破ったりする可能性がある状況を理解するのに役立つ。管理者は、自由回答形式の質問をして、積極的に耳を傾ける必要がある。「会話に誘い、一緒に考えるようにしてください」と テーベはアドバイスする。「会話を続け、時間がないからといって、会話を中断しないでください。そうすると、役立つことを学べなかったり、実践に移せなかったりして、ほぼ確実に後悔することになります。また、知っていることやコミュニケーションに必要だと思うことを共有できないと、従業員に不満を抱かせてしまう可能性があります。実践させたいものが機能していない兆候は、話し合って相互に合意したことと明らかに一致しない行動です。」
世代間の違いに対処する
リスクとコンプライアンスについて従業員の世代間で見解が異なる主な理由の 1 つは、仕事や管理スタイルの違いが文化の衝突を引き起こす可能性があることである。代替的論争解決会社 JAMSパスウェイズのチーフアーキテクト、リチャード・バークによると、ベビーブーマー世代 (通常は上級職に就いている) は、Z 世代の従業員のよりカジュアルなアプローチを、労働倫理や正確さの欠如と誤解することがよくあるという。その結果、彼らはこれらの若手従業員に単純でやりがいのないタスクを与え、それが彼らを軽視させることにつながり、昇進の機会が限られている、昇進が遅い、またはまったく存在しないように見えるため、「静かに辞める」または精神的にチェックアウトすることにつながる可能性がある。この「タスクの衝突」はその後「関係の衝突」に変わり、職場とそこで働く人たちに悪影響を及ぼす、と彼は言う。
この問題に対処するために、マネージャーはまず若い従業員のモチベーションを知り、彼らから最大限のものを引き出す方法を考え出す必要があると バークは言う。必要に応じて、訓練とガイダンスを求めて人事部門に連絡するか、外部の専門家を招き入れる必要がある。 「多くの管理職は、自分のスキルセットを修正し、拡大する十分な機会がないまま、ラインレベルの職位から管理職に昇進します」とバークは言う。「人を管理することは独特のスキルセットであり、『ライン』での優秀さは、完璧な監督者としての処方箋にはなりません。」
2 番目に、年配の管理職は、世代を超えたチームとよりよくコミュニケーションをとる方法を検討する必要がある。「他の人にとって最も効果的なコミュニケーション・スタイルを放棄させることなく、自分の選好についてどのようにコミュニケーションするかについて、模範を示すことです」とバークは言う。「心理的安全性に焦点を当てることで、異なるアプローチを持つ人々が、直属の上司がいないときでも、同僚、監督者、部下と安心して意見を共有できるようにします。」
大半の専門家は、リスクとコンプライアンスに関する企業の統一された見解を実現するには、リーダーシップが重要な役割を果たすと述べている。 支配的な意見は、上級リーダーは倫理的行動を擁護し、模範を示し、コンプライアンスへの取り組みを示し、これらの価値観の重要性を定期的に伝えなければならないというものである。 これにより、「トップからの姿勢」が確立され、これらの原則が企業文化に不可欠なものになる。
倫理的行動を優先する
サンタクララ大学マーククラ応用倫理センターのリーダーシップ倫理担当シニアディレクター、アン・スキートによると、組織で倫理を優先する可能性を高める条件が 3 つある。 1 つ目は、社会に対する責任感で、 2 つ目は、道徳的自主性の尊重と相互信頼の風土である。つまり、基本的に、分権的な意思決定を奨励し、人々が前に出て懸念を表明することを基盤にする環境である。 3 つ目は、「倫理的討議」に基づくことで、それによって決定に明確な動機があり、データに基づいており、その結果によって影響を受ける人々を考慮に入れるようにすることである。
ビジネスリーダーは、自らが示す模範や行動を通じて、倫理的な行動をさらに促進することができる。まずは組織内でコミュニティを築くことから始めることができる。「互いに堅固で健全な関係を築いている人々は、非倫理的な行動によってその関係を危険にさらしたくないのです」とスキートは言う。また、サプライチェーンや業界など、自らが属するエコシステム内で倫理的な行動を確実にするために、自分の組織を超えて行為や活動に良い影響を与えることもできる。
ただし、「トップの姿勢」は重要ではあるが、「中間層の姿勢」はさらに重要になる。「平均的な従業員は、取締役レベルや上級管理職と意味のあるやり取りをすることはないため、幹部から何をすべきかを指示されることは、一部の従業員にとってあまり魅力的ではありません」と、倫理アドバイザリー会社プリンシピアCEOであるサラ・ミラーは述べる。 「中間管理職やライン管理職が倫理的なジレンマにどう対処し、日々どのようにルールを理解して遵守しているかを見ることは、より幅広い従業員にはるかに大きく深い影響を与えることになるので、倫理とコンプライアンスの推進者になる必要があるのはこうした人々です。」
彼女はまた、組織は、年齢だけでなく、人によってコンプライアンスを促す「きっかけ」が異なることを認識する必要があるとも付け加える。例えば、何か間違っていると具体的に言われると行動を抑制する従業員もいれば、他の全員が従っていると言われれば、それが「最善の行動」であると受け入れる従業員もいる。しかし、自分が何をすべきか(また何をすべきでないか)を具体的に尋ねられたり、自分の行動について異議を唱えられ、行動の正当性を求められたりすると、より素直に従う従業員もいる。
共感も大きな役割を果たす可能性がある。ミラーは、若い従業員は、自分にとって「重要な」ルール、原則、行動を遵守する可能性が高いと述べた。彼らはまた、単に「チェックボックス」にチェックを入れるだけの一般的なコンプライアンスに従うのではなく、ばかばかしく、面倒で、無意味に思えるルールや管理に疑問を抱く可能性も高い。例えば、Z 世代は、平等や人権、環境問題、職場でのいじめ、嫌がらせ、性差別、人種差別に関する会社の方針に積極的に関与し、不遵守を報告する可能性が高く、リスクが低く仕事の妨げになると考えている「ありふれた」管理、手順、手続きとみなすものにはあまり関心がない、と彼女は述べた。
「特定のシナリオで何をすべきかを考えるよう求める内省ルールは、判断を許さない厳格なルールよりも若い従業員によく受け入れられることが多いです。もっとも、年配の従業員は厳格なルールに慣れていますが」とミラーは述べた。「20 代前半や 30 代前半の従業員はルールが自分には当てはまらないと思っているわけではない。彼らはルールに疑問を持ち、その背後にある論理、あるいは論理の欠如を理解しようとする可能性が高いだけです。そのため、企業はリスクとコンプライアンスに対して異なるアプローチを採用する必要があるかもしれません。なぜなら、人々はさまざまな方法でルールを理解し、従うからです。」
企業はまた、どの種類のルールが絶対に破ってはならないのか、そして、許容できる結果が得られる限り、ある程度の選択の余地があるルールは何かを明確にする必要がある。「たとえば、銀行の窓口係は顧客にサービスを提供するために、そこにいます」とミラーは言う。「しかし、高齢の顧客が毎日繰り返し多額の現金を引き出す場合、窓口係は顧客が強要されているのか、それとも混乱しているのかを確かめるために質問するのは当然です。このようなシナリオではルールに固執するのは無意味です。」
ミラーはまた、企業が従業員を不遵守に対してあまりにも簡単に罰することに対しても警告している。「人々がなぜそのようにルールを捉えているのか、正しく理解することが重要です」と彼女は言う。「彼らがなぜその行動や行為が許容されると考えているのかを知らずに、彼らを叱責したり、罰したり、警告したりしても、そのことを理解することはできません。彼らがルールを誤解していたり、行為違反の重大性と潜在的な影響を誤解していたり、同僚や上司からその行為は問題ないと言われたのかもしれません。また、ルールや不遵守の許容範囲をこのように捉えているのは 1 人の従業員だけではない可能性が高く、他の従業員も同様に捉えているはずです。不遵守の動機と根拠を理解することで、方針の文言を改善でき、将来の訓練で『教訓』の箇所の一部として役立てることができます。」
従業員の多様な人たちがリスクと倫理をどのように理解しているかを明らかにすることは、従来、人事、コンプライアンス、社内法務部門の責任だったかもしれない。しかし、企業行動と消費者保護に関する規制監督と期待はかつてないほど高まっている。したがって、すべてのリスクマネジメント部門は、組織内で規則がどの程度遵守されているかを見直し、不遵守が発生する可能性が高いリスクのレベルを評価し、主要な責任担当部門と協力して、特に多額の罰金や制裁を伴う規制の重大な無視を防ぐ必要がある。
トピック
コンプライアンス、ESG、人的資源、リスクマネジメント
注意事項:本翻訳は“Aligning Corporate Views of Risks, Ethics and Compliance ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/10/22/aligning-corporate-views-of-risks-ethics-and-compliance ) October 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ニール・ホッジは英国を拠点とするフリーのジャーナリスト。
- 職場での政治的および差別的発言に対する雇用主の義務
職場での政治的および差別的発言に対する雇用主の義務
ケイシー R. リッコミニ[*]
2024 年の米国大統領選挙が急速に近づくにつれ、政治関係者の扇動的な言葉や政治的二極化の進行によって緊張が高まることは間違いない。雇用主は、職場での政治的発言に関して、それがオンラインかオフラインかに関係なく、自分に課せられた権利と義務に留意する必要がある。適切に対処しないと、政治的な議論は職場の人間関係や士気の崩壊、不利な雇用措置、さらには訴訟につながる可能性がある。
政治的な議論が不適切になった場合、または発言が 1964 年の公民権法第 7 条、カリフォルニア州公正雇用住宅法 (FEHA)、またはその他の法律に違反する場合、雇用主は職場での嫌がらせ、差別、報復に対する方針を設定する必要がある。ただし、これらの方針は、保護された活動を妨げたり、妨げたりするほど広範囲であってはならない。さらに、雇用主は、従業員の政治活動、団体、または選択に圧力をかけたり影響を与えたりすると解釈されるような行為には関与すべきではない。
連邦および州の保護と制限
連邦レベルでは、民間雇用主に対する従業員の政治的保護はほとんどないが、全米労働関係法 (NLRA) 第 7 条および第 8 条、および全米労働関係委員会 (NLRB) のガイダンスでは、従業員の特定の政治活動は合理的な範囲内で保護されていると示されている。具体的には、従業員は仕事に関する問題に対処し、「Facebook、YouTube、その他のソーシャルメディアで同僚と給与、福利厚生、労働条件に関する情報」を共有する権利がある。これは「保護された共同活動」と見なされる。たとえば、イーテックス社対NLRB の訴訟では、裁判所は、労働組合が後援する資料を勤務時間外に雇用主の敷地内の非作業エリアで配布することは、NLRA 第 7 条の「相互援助または保護」条項によって保護されると判決を下した。その資料には、州の労働権法の導入に反対するよう議員に手紙を書くよう従業員に促す内容や、連邦最低賃金の引き上げに対する大統領の拒否権を批判する内容、従業員に投票登録を促す内容が書かれている。
ただし、従業員が個別に仕事について不満を言うことは、協調的な活動ではない。従業員の不満が保護されるためには、集団行動と何らかの関係がある必要がある。同様に、非常に不快な発言、故意的な虚偽の発言、または公に中傷する発言は保護されない。実際、そのような発言は名誉毀損、業務妨害、その他の訴訟につながる可能性がある。さらに、雇用紛争に関連する訴訟でなされた発言は一般に訴訟特権によって保護されているが、訴訟の目的を促進しない裁判外の発言は保護されない。
一部の州では、政治的発言を行う従業員に対して追加の保護を提供している。たとえば、カリフォルニア州では、従業員が政治活動に参加すること、公職に立候補すること、従業員の政治的所属や行動を統制しようとすること、従業員に政治活動を取り入れさせたり控えさせたりするために従業員を強制または脅迫することを、雇用主に対して禁止している。したがって、従業員は LGBTQ+ や障害者の権利など、さまざまな大義を主張することができる。雇用主は、従業員には投票のために休暇を取る権利があることも念頭に置く必要がある。
雇用主の責任
雇用主は、特に職場での発言が 1964 年公民権法第 7 条またはその他の法律に関係する場合は、それが政治的発言として表現されているかどうかに関係なく、差別、嫌がらせ、報復に対する既存の方針を強化するよう、準備する必要がある。さらに、雇用主は保護特性に基づく差別、嫌がらせ、報復を防止する義務がある。保護特性には、人種、民族、宗教、信条、国籍、祖先、身体的または精神的障害または状態、生殖に関する意思決定、遺伝情報、婚姻状況、性別、ジェンダー、性同一または性表現、性的指向、年齢、退役軍人または軍人としての地位が含まれる。
この問題は、従業員が職場で政治家の発言を繰り返したがる傾向があり、特にその発言が職場の差別禁止法に抵触する可能性がある場合には、特に困難になる。たとえば、メキシコ移民を「強姦犯」と呼んだり、ハイチ移民を「ペットを食べる」と述べたり、ブラック・ライブズ・マターの活動家を「凶悪犯」と呼んだりすると、人種、民族、祖先、または国籍による差別訴訟につながる可能性がある。同様に、LGBTQ+コミュニティのメンバーを「グルーマー」と示すと、性別、性同一、性表現、性的指向による差別訴訟などにつながる可能性がある。従業員が政治的発言をしていると主張するかどうかにかかわらず、雇用主は州法または連邦法に違反する発言を阻止する必要がある。
注目すべきは、タイトル VII や FEHA などの差別禁止法の施行に対しては修正第 1 条の例外が適用されないことである。裁判所は、雇用主が従業員の差別的発言を通じて自己表現をしていないことなどから、こうした法律は憲法修正第 1 条に違反していないと判断した。さらに、裁判所は、このような発言は差別行為に相当し、差別的発言の規制は時間、場所、方法を制限するものであり、法律は限定的に定義されており、信憑性が高い政府の利益にかなうものであり、他の労働者は差別的発言によって被害を受ける拘束された聴衆となると判決を下した。
オンラインでの差別的発言に対する保護と制限
今日、多くのアメリカ人が、ソーシャルメディア・プラットフォームを含むオンラインで政治的発言や活動を行っている。したがって、職場に影響を及ぼす可能性がある限り、雇用主はオンラインでの発言に関する保護と制限に留意することが重要となる。たとえば、カリフォルニア州では、雇用主が従業員や応募者のソーシャルメディアやその他のオンラインアカウントへのログイン情報を尋ねたり、雇用主が同席しているときに従業員にソーシャルメディアへのアクセスを求めたり (「肩越しに覗き見」)、従業員にソーシャルメディアの開示を求めたり、ソーシャルメディア情報の開示を拒否する従業員や応募者に対して報復したりすることを禁止している。
ただし、従業員の不正行為や法律や規則の違反の申し立てに関連する調査に関係していると思われる場合、およびソーシャルメディアへのアクセスが調査または関連手続きにのみ使用される限り、雇用主は従業員にソーシャルメディアの開示を求めることができる。たとえば、オコノウスキー 対ガーランドの訴訟では、従業員が別の従業員の性的暴力的な Instagram 投稿の標的になった。第 9 巡回区控訴裁判所は、「オフサイトおよび第三者の行為は、客観的に深刻または広範囲に職場環境を変える効果をもたらす可能性がある」と判断した。ただし、雇用主が従業員または就職応募者のソーシャルメディアを閲覧する正当な理由がある場合でも、そのようなデータの不適切な取り扱いは差別などの追加的な訴訟につながる可能性があるため、雇用主は慎重に行う必要がある。
雇用主は、政治的発言やソーシャルメディアに関する方針と慣行、および差別、嫌がらせ、報復を禁止する方針と慣行がコンプライアンスに準拠し、最新のものであることを確認するために、経験豊富な労働雇用顧問と緊密に連携する必要がある。雇用主が従業員のソーシャルメディアを調査したり、政治的なつながりがある可能性のある不適切な発言に対処したりする必要がある場合、雇用主は適用法に違反したり、将来訴訟に直面したりするリスクを軽減するために、顧問に相談する必要がある。
トピック
人的資源、法的リスク、政治リスク、リスクマネジメント
注意事項:本翻訳は“Employer Obligations for Political and Discriminatory Speech in the Workplace ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/10/24/employer-obligations-for-political-and-discriminatory-speech-in-the-workplace ) October 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ケイシー R. リッコミニはロサンゼルスのトンプソン・コバーン法律事務所労働雇用担当パートナー。個人、集団、その他の代表訴訟に対してあらゆる規模の雇用主を代理し、雇用カウンセリングを提供。
- 小売業者が世代別の消費者詐欺の傾向に対処する方法
小売業者が世代別の消費者詐欺の傾向に対処する方法
ブルーノ・ファリネッリ[*]
ブランドに対する消費者の信頼を悪用する詐欺は、最も成功率の高い詐欺の形態の 1 つで、ますます一般的になっている。連邦取引委員会 (FTC) のデータによると、米国の消費者は 2023 年に企業詐欺師によって 7 億 5,200 万ドルを失い、2021 年の 4 億 3,800 万ドルから増加している。FTC は、オンラインショッピング詐欺が、2023 年に消費者が報告した詐欺の中で、詐欺師詐欺に次いで 2 番目に多いものであることを発見した。
詐欺師詐欺はすべての消費者に影響を及ぼすが、クリアセールによる最近の消費者態度調査では、さまざまな年齢層が多様な詐欺に対して最も脆弱であり、消費者は通常、本家のブランドに責任があると考えている。実際、回答者の 79% が、詐欺を経験した後はそのサイトでの購入をやめると答えている。FTC 消費者保護ネットワークのデータによると、最も一般的なブランドなりすましの戦術は世代によって異なる。各年齢層がどのようにターゲットにされているかを理解することで、小売業者は主要な顧客セグメントとブランドの評判を守ることができる。
ベビーブーマー
55歳以上の個人は消費者支出の45%を占めているが、消費者態度調査によると、この年齢層の米国消費者のうち、過去12か月間にソーシャルメディアで買い物をした人はわずか18%であった。その結果、この年齢層は調査期間中のソーシャルコマース詐欺率が、わずか5%と、最も低いことも報告されている。
一方で、これらの消費者は他の年齢層よりも電話で話すことに慣れており、詐欺師はこの好みを悪用している。クリアセールの調査によると、この年齢層のオンラインショッピング客の42%は、ヘルプが必要なときにライブチャット機能を使用するのではなく、カスタマーサポートに電話することを好む。航空会社、小売市場、その他の企業のサポートをオンラインで検索する消費者は、検索結果や広告で詐欺師の番号を見つけるリスクがある。さらに、すべての詐欺師が、消費者が電話をかけるのを待つわけではない。信頼できる小売業者や銀行を装って電話をかけ、認証情報や支払いデータを共有するよう圧力をかける詐欺師もいる。 2023 年の電話詐欺被害者 1 人あたりの平均損失は 1,480 ドルであった。
次のヒントは、組織がベビーブーマー世代の顧客との関係を保護するのに役立つ。
- 自動化された AI ツールを使用して Web 検索結果と広告を監視し、カスタマーサービスセンターを装った詐欺師を発見して、偽物を報告する。
- ブランドが支払いデータやログイン認証情報を要求する電話をかけることは決してないことを、顧客に思い出させるメッセージ・キャンペーンを展開する。
- ブランドを装った電話詐欺を連邦取引委員会に報告する。
- すべての販売チャネルでカスタマーサポート番号が目立つようにする。
X世代とミレニアル世代
X世代とミレニアル世代の消費者 (それぞれ 1965 年から 1980 年と 1981 年から 1996 年の間に生まれた人々) は、同様の購買行動と詐欺体験パターンを示している。消費者態度調査によると、X世代とミレニアル世代のオンライン購買者の 49% がソーシャルメディアで購入し、13% が過去 12 か月間にソーシャルコマース詐欺を経験している。 2023年、これらの消費者はソーシャルプラットフォームで詐欺に遭う可能性が最も高く、クレジットカードデータを知らせるように、最も多く騙されていた。
クレジットカード詐欺の経験があるため、X世代とミレニアル世代のソーシャルメディア購買者は、年上の世代よりもデジタルウォレットや代替的支払い方法に精通している。実際、これらの消費者の70%は、代替支払いオプションがあることでオンラインでの購入時に安心感があると答え、73%はeコマースサイトのセキュリティ証明書についても同じことを言っている。
X世代とミレニアル世代の顧客と良好な関係を維持するためには、組織は次のことを行う必要がある。
- 自動化されたAIツールを使用してソーシャルプラットフォームを継続的に監視し、偽のアカウント、投稿、広告を特定して、顧客を騙す前に削除を報告できるようにする。
- 本物のソーシャルメディアハンドルとウェブサイトについて閲覧者を教育するソーシャルキャンペーンを実施し、詐欺師の誤った情報に対抗する。
- 代替支払いオプションを提供し、店舗のセキュリティバッジをサイトに表示する。
Z世代
X世代やミレニアル世代と同様に、Z世代の消費者 (1997 年から 2012 年の間に生まれた世代) は、ソーシャルメディア詐欺に騙される可能性が最も高い。これは、ソーシャルプラットフォームに最も多くの時間を費やし、偽のアカウントとやり取りする機会が多いためである。消費者の態度調査によると、Z世代の消費者の52%が過去 12 か月間にソーシャルメディアで買い物をし、15% がその期間にソーシャルコマース詐欺を経験している。さらに、FTC のデータによると、Z世代はクレジットカードよりも決済アプリでお金を失う可能性が最も高いことが分かっている。
コスト意識が高く、高級品を求めるため、Z世代の多くの買い物客は、新しいデザイナーブランドのファストファッションの模倣品など、製品の「偽物」を求める。しかし、お得な商品を求めるあまり、これらの消費者は、偽造品を無意識のうちに購入してしまうことがある。偽造品の製造は、人権侵害や組織犯罪につながる可能性がある。偽造品が消費者を失望させたり、偽造品販売者が支払いデータも盗んだりすると、買い物客は本物のブランドをネガティブな体験と結び付ける可能性がある。
ブランド企業は、Z世代の買い物客との関係を保護するために、以下の手順を検討する必要がある。
- Web サイトにセキュリティ証明書とセキュリティバッジを表示する。18 ~ 24 歳の消費者態度調査参加者の 71% が、そうしたサイトから購入するほうが安全だと感じているため、こうした買い物客は安心できる。
- ソーシャルプラットフォームと Web を監視して、偽のアカウントやWebサイトがないか確認し、顧客が詐欺師に遭遇するリスクを減らす。
- 本物の販売チャネルと製品に関するメッセージ・キャンペーンを実施して、買い物客を安全なサイトに誘導する。
- ソーシャルメディア、e コマース・マーケットプレイス、インターネットを厳重に監視して偽造品がないか確認する。偽造品を発見した場合は、記録して FBI とプラットフォームまたはサイトホストに報告する必要がある。偽造品が大きな問題である場合は、自社製品と偽造品の品質、正当性、社会的影響の違いについて顧客に理解してもらうためのメッセージ・キャンペーンを実行するとよい。
詐欺師が顧客とどのようにつながるかに関係なく、ブランド偽装者を監視して報告し、安全対策と本物のブランドとのつながりを確保する方法について顧客に知らせることが重要である。この取り組みを最も効果的に行うには、消費者のショッピングとセキュリティの好みに合わせた方法で行うことが不可欠である。これらの手順は、現在の顧客との関係を維持し、あらゆる年齢層の新規購入者にアピールする評判を確立するのに役立つ。
トピック
犯罪、新興リスク、詐欺、損失管理、評判リスク、リスク評価、リスクマネジメント
注意事項:本翻訳は“How Retailers Can Address Consumer Fraud Trends By Generation ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/10/29/how-retailers-can-address-consumer-fraud-trends-by-generation ) October 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ブルーノ・ファリネッリは、クリアセール社業務運用・分析ツール担当上級取締役。
- 新たな AI 規制のリスクを管理する
新たな AI 規制のリスクを管理する
ニール・ホッジ[*]
人工知能アプリケーションが急増する中、世界中の法管轄地域では、組織が責任を持ってこのテクノロジーを使用することを保証するための新しい規制を検討するケースが増えている。法律がばらばらになり、コンプライアンスが複雑になり、その結果、企業は AI ベースのシステムでのデータ処理方法をめぐって複数の規制当局から罰金を科されるという深刻なリスクにさらされる可能性がある。
多くの場合、問題は規制の範囲に関する理解不足から生じる。多くの組織は、AI 規則がテクノロジーを使用する人々ではなく、テクノロジー企業やその他の開発者のみを対象としていると誤解していると、制裁を受ける可能性がある。その結果、さまざまな法域のデータ規制当局、およびさまざまな業界や規制監督分野から最終的に制裁を受ける可能性がある。
そのような例の 1 つは、金融サービス会社による個人データの使用である。金融サービス会社のデータ使用方法は、特定の AI 規則に準拠する必要があり、データ保護およびサイバーセキュリティ法、金融サービス法、場合によっては消費者保護法にも準拠する必要がある。最終的に、このことは、管轄地域に応じて、プロセスが 3 つ以上の規制当局によって監視される可能性があり、同じ違反に対して同時に罰金が科されるリスクがあることを意味する。
企業の AI 使用では、テクノロジーとほとんど共通点がないように見えるビジネス慣行に対して、他の規制当局から警告を受ける可能性もある。たとえば、法律事務所ウォーカー・モリス の規制およびコンプライアンスチーム・シニアアソシエイト、マイケル・コルドーによると、企業はマーケティングコミュニケーションに細心の注意を払い、AI の機能について誤解を招くような主張をしないようにする必要がある。そのような主張は、放送、広告、マーケティング監視機関から制裁を受ける可能性がある。一方、競争監視当局と消費者保護当局は、企業がアルゴリズムと AI システムを使用して価格を設定したり、消費者をターゲットにしたり、個人対応する提案を行ったりする方法を調査する可能性がある。
「企業は、テクノロジー開発者自身が AI 関連の問題に対して単独で責任を負うと、よく想定することがあります」と、データ分析会社ダン&ブラッドストリートの倫理・コンプライアンス担当取締役ヒラリー・ウァンドールは述べる。「実際には、業務で AI と機械学習を使用しているすべての企業が直接責任を負います。社内であれ、サードパーティのソリューションを通じてであれ、AI を使用するすべての企業が、これらの重複する規制がどのように適用されるかを理解して、厳格なコンプライアンス基準を遵守できるようにすることが重要です。」
コンプライアンス課題に対処する
2024 年 8 月 1 日に発効した EU の AI 法は、AI の使用を明示的に規制する最初の主要な規則セットであり、規制当局は最大 3,500 万ユーロまたは全世界のグループ売上高の 7% のいずれか高いほうの罰金を課すことができる。この法律は AI アプリケーションに関連するリスクのレベルを分類しているが、すべての AI システムに関係しているわけではなく、「禁止」および「高リスク」のシステムに焦点を当てている。企業は、自社のシステムと AI の使用がどのカテゴリに該当するかを判断し、コンプライアンスを確保するために必要な修正を行う必要がある。
ただし、一般的に、多くの国の既存のデータ法には、個人データの収集、使用、保存、共有方法に関する規制がすでに存在しており、それが AI の監視と活用にも適用される。問題は、世界中で「個人データ」、「データ保護」、「同意」を構成するものについての理解が異なることである。
法律事務所ハントン・アンドリュース・カースのパートナーであるサラ・ピアースによると、合法的なデータ処理の概念は各国のデータ保護法によって異なるものの、そうした処理は個人の同意に基づいて行われ、個人との契約の履行または関連企業の正当な利益を確保して開始される必要があるというのが共通のテーマである。しかし、AIの文脈ではこれを実証するのは難しい場合がある。「処理の目的は時間の経過とともに発展し変化する傾向があるため、最初の根拠や基盤がAIシステムによる処理に必ずしも十分ではないことになる可能性があります」と彼女は言う。
同様に、個人データがどのように収集、使用、共有されるかに関する一般的な透明性要件を満たすことも難しい場合がある。AIの性質と技術的な複雑さ自体が「処理の目的が時間の経過とともに変化する可能性があり、人々の個人データがどのように使用されるかについて完全に透明性を保つことが困難になることを意味します」と、ピアースは説明する。
もう 1 つの問題は、AI の悪用について、告訴人が有罪を証明するのではなく、企業が責任のないことを証明する必要がある可能性が高いことである。つまり、企業は AI の使用とコンプライアンスの理解を説明する義務を負うことになる。そのため、ノール社上級取締役リチャード・カーは、事前準備的および事後対応的なリスクマネジメントを可能にするために、学際的なスキルを備えた AI 機能を設置するよう企業にアドバイスする。企業は、リスクのマッピング、測定、監視、ガバナンスに関する方針とシステムを設定する必要がある。「訴訟の結果は証拠の質と堅固さに依存するため、AI がどのように訓練され、AIのアクションがどのように取られたかについて強力で防御可能な戦略を持つことが、成功にとって不可欠になります」とカーは説明する。「程度の問題ですが、これまでと同様に、法律を知らないことはまったく防御になりません。」
法律事務所アーノルド&ポーターのパートナー、アレクサンダー・ルーサノフによると、企業は製品とサービスの開発のすべての段階でコンプライアンスとリスク削減を統合することを目指す必要があり、主に「デフォルトでプライバシーを設計する」アプローチを採用する必要がある。 AI コンプライアンス・リスクを軽減するためのその他の手順としては、部門別に設定された方針や手順ではなく、総合的なリスク分析とコンプライアンス・プログラムを実装すること、ベンダー/パートナーのデューデリジェンス、監査、テンプレート契約を整備することなどが挙げられる。
マクガイヤーウッズ雇用担当弁護士アダム・ペンマンは、AI 規制は国ごとに策定され、詳細やコンプライアンス要件は大きく異なる可能性があるため、組織は関連する管轄区域の立法動向も追跡する必要があると述べている。さらに、企業は AI システムの既存および予定されている使用を包括的に監査する必要がある。「AI のユーザーは、このテクノロジーがすでにどれほど普及しているかに驚かされることがよくあります」と同氏は述べる。「採用や人事ツールから会計プロセスやマーケティングまで、低レベルの AI は以前から仕事に統合されており、すぐには気づかないかもしれません。」
同氏は、AI リスクを回避するための決定を下すのに十分な権限を持ち、それらのリスクを管理する責任を負う「頼れる」AI 担当者を企業内に任命することも、ますます重要になると付け加えた。ペンマンはこれを、規制要件、監視、罰金の増加によって同様に促進された、専任のデータ保護担当者やマネーロンダリング報告担当者などの役職の最近の増加に例えた。
マネーロンダリングやデータ保護規制と同様に、効果的な AI リスクマネジメントでは、プロセスの成文化に大きな価値が置かれることになる。「リスク軽減戦略を策定するために、すべての AI に関連するリスクレベルを分類、評価、文書化するのに都合の悪い時期などありません」とペンマンは述べる。「現在、方針で AI の活用を文書化することは、既存のデータプライバシー・ガバナンス方針と並行して行うことが重要である。そこでの重要な原則は、エンドユーザーと顧客に対する透明性である。明確な報告と責任の線引きを定めた総合的な AI方針が鍵となります」。AI に大きく依存している企業は、ビジネスモデルの保険への影響も検討する必要がある。「潜在的な責任とコストをビジネス戦略に組み込む必要がある」と同氏は述べる。
不確実性は残る
コンプライアンスの面で企業にとって重要な問題の 1 つは、何をすべきでないかについてのガイダンスを提供する、規制措置の法的事例がほとんどないことである。
これまでのところ、GDPR と EU AI 法は、生成 AI をめぐる新たなリスクについてはほとんど触れていない。「新しいプロセスのいくつかについての判決はあります」と、アナリティクス研究所教育担当取締役クレア・ウォルシュ博士は述べる。「伝統的に、国際データ保護法の下では、裁判官は『アルゴリズムによる不当利得の返還』をためらわずに行使してきました。これは、企業が違法に取得したデータで訓練したアルゴリズムを削除することを要求するものです。これは、機械学習のトレーニングに多くの時間と費用がかかるため重要です。この削除の脅しは、効果的な罰と抑止力の両方となっています。」
ただし、これはまだ施行されていない。「企業は、合法的にデータを取得する余裕がなかったため、違法にデータを使用したことを公然と認めています。彼らは、誰も被害を受けていないため、最終目標を達成するために法律を破る価値があったと主張しています」と彼女は説明する。「アルゴリズムによる不当利得の返還が生成 AI テクノロジーで適用されないかどうかについて、実際にはまだ明確な判決が出ていません。多くの企業がすでにこの技術をビジネスモデルに組み込んでいることを考えると、これは驚くべきことです。」
規制当局が AI の使用、そして誤用をより厳しく監視していることは間違いない。複数の罰金が同時に科される恐れがあるため、企業はこのテクノロジーの使用方法を見直し、責任を問われる可能性がある状況を理解する必要がある。AI の安全な使用に対する自社の責任を認識しないと、規制上およびビジネス上の重大なリスクが生じる可能性がある。
「テクノロジー企業だけが責任を負うと考えるのは愚かなことです」と、法律事務所ルイス・シルキン実務開発弁護士リー・ラムゼイは言う。「危険信号を無視し、通常のコンプライアンスおよびリスクマネジメント・チェックを実施しないことは、重大な法的リスクおよび業務リスクにさらされる可能性があることを意味します。これは、規制措置、評判の失墜、および消費者の信頼の喪失につながる可能性があります。」
トピック
サイバー、人工知能、新興リスク、法的リスク、規制、テクノロジー
注意事項:本翻訳は“Managing the Risks of Emerging AI Regulations ”, Risk Management Site (https://www.rmmagazine.com/articles/article/2024/10/31/managing-the-risks-of-emerging-ai-regulations ) October 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ニール・ホッジは英国を拠点とするフリーランスジャーナリスト。
