今日のシステムに責任を負う人々と話すと、しばしば話題に上ることがある。それがデータガバナンスだ。
確かに、欧州の一般データ保護規則(GDPR)をはじめ、AI法など新たな法制度を整えた地域もある。だが、AI以前のシステムにガードレールを敷こうと必死に取り組んできたにもかかわらず、企業や人間、そしてエージェントが個人情報をどう扱うのかについては、依然として大きなグレーゾーンが残る。
端的に言えば、私たちが築いてきた個人データ防衛の堤防の多くが時代遅れになりつつある。AIには情報を探り出す新たな方法があり、悪意あるハッカーにとっての新たな攻撃ベクトルがあり、暴走した自動化という新しく恐ろしい脅威もある。ビジネスと政府のリーダーたちが、これを野放しで世に放てば危険すぎると正しく判断し、Project Glasswingと呼ばれる檻に実質的に閉じ込めたモデル「Mythos」を見ればよい。
そうした背景を踏まえ、4月にMITで開催されたイベント「Imagination in Action」(筆者も開催に関わっている)のパネルで耳にしたコメントと、この問題をプロフェッショナルがどう考えているのかを紹介したい。パネルでは、NPRで知られるニーナ・グレゴリー氏が、Aurascapeのモイヌル・カーン氏とPrecognitiveのスニル・ラタン氏にインタビューした。データガバナンスに関する冒頭の議論でラタン氏は、その重要性を指摘した。Precognitiveのサービスの1つが、通院の調整や在宅ケアなど多くの手配が必要になりうる高齢者向けに、彼が「守護天使」と呼ぶAIエンティティ(AIによる存在)だからだ。
「私たちが統合しているのは過去のデータだけではない。監視されている人物についての、現在進行形のライブデータでもある」と同氏は述べた。「それらすべてを、個人の"生きたプロファイル"とも言えるものに統合できる。私たちはそれを意味へと翻訳し、意味のある、調整された、一貫性のある行動を駆動する。これにより社会は多額のコストを節約できる。というのも、医療や社会サービスに費やしている資金の多くは、人々が支援の網の目からこぼれ落ち、断絶が生じ、危機に陥り、その危機から救い出すために巨額の資金を投じることに由来しているからだ」
ラタン氏は、AIデータのガバナンスを2つのレベルで行うべきだと訴えた。
「1つ目は企業レベルだ。私が"Facebook問題"と呼ぶものを避けるためである。つまり、何のルールもないまま世の中に出してしまい、いろいろなことが起きるという問題だ」と同氏は言う。「2つ目にガバナンスが必要なのはコミュニティレベルである。私はHIPAA(米国医療保険の携行性と責任に関する法律)の規制下に置かれることに賛成だが、結局のところ、人々が私たちを信頼しなければ有効には機能しない。だが人は堕落しうる。では、それにどう対処するのか」
盲点
カーン氏は、Palo Alto Networks、Zscaler、Netscope、Juniperなどの企業での経験を引き合いに出しつつ、セキュリティとガバナンスにおけるさまざまな「盲点」への対処について語った。
「セキュリティの盲点について話すとき、私は2つのカテゴリーに分けて考える」と同氏は述べた。「まず、企業顧客がAIをどう利用しているかを見る必要がある。1つは従業員やユーザーだ。彼らは商用のツールを何百と使っている──チャットボット、コーディング支援ツール、組み込み型AIなどだ。そして、この領域における最大の盲点は、既存のセキュリティインフラである。過去15年、20年にわたって導入してきたものは、もはや機能しない」
同氏はファイアウォールにも言及した。
「ITセキュリティチームに聞けば、ファイアウォールやプロキシ、DLP(データ損失防止)、CASB(クラウドアクセス・セキュリティ・ブローカー)を実装していると言うだろう。だがそれらはHTTPトラフィックにおける脆弱性しか見つけられない」と、理論上の問題シナリオとして同氏は述べた。「その状態でユーザーがこうしたツールを次々に使うと、彼らの行為は完全に見えなくなる。何百万ドルもの投資は、本質的にURLフィルタリング・エンジンに成り下がり、それ以外の何者でもなくなる」
AIエージェント
エージェント時代に物事がどう動くのかというテーマに取り組むにあたり、カーン氏は創業者にしばしば伝えている助言を挙げた。「crawl, walk, run(這う、歩く、走る)」である。
「まず、従業員が何をしているのか、そもそも可視化できているのか。どのツールを使っているのか」と同氏は言う。「第一歩は、ネットワークの中に何があるのかを理解することだ。これはレガシー技術では難しい。どのツールが許可され、どれが許可されていないのかを把握する必要がある。AIエージェントについては、誰がそれで、どんなタスクが委任されているのかを知る必要がある」
個々の「シャドーAI」(IT部門の管理外で使用されるAI)の取り組みを制御する難しさに触れつつ、カーン氏は議論をもう少し広い視野に置いた。
「シャドーAIは1つの問題だが、AIエージェントでは別の問題がある」と同氏は述べた。「委任内容に基づいて、これらのツールが何をしているのかを知る必要がある。3,000のAIエージェントがSlackのチャンネルで独自の言語を使って互いに会話し、交渉し、タスクを実行しているとしたら、そこを可視化できているのか」
スチュワードシップとコミュニティ
パネルが取り上げた原則のもう1つは、この重要なガバナンスをチームの取り組みにすることだ。
ラタン氏は、倫理学者を含むガバナンス委員会の設置を求め、たとえば地域の牧師を雇い、21世紀のデータ保護に関する取り組みが人権を念頭に置いて進められているか確認してもらう、といった案まで示した。
「信頼こそが通貨だ」と同氏は説明した。「物事をシンプルに保つ必要もある。私たちが戦っているのは、医療と社会サービスのシステムが持つ途方もない複雑さと分断である。私たちは新しいITプラットフォームを導入しているのではない。知能とオーケストレーションのレイヤーを導入しているのだ。人間の不完全さが入り込む余地を最小化したい」
「人間の不完全さが入り込む余地を最小化する」というこの表現は、やや修辞的ではあるものの、有用だと私は思った。ラタン氏が指している「不完全さ」とは何か。その一部は、利用者保護という崇高な目的に反して働く、金銭的インセンティブなのかもしれない。
締めくくりのコメント
終盤でグレゴリー氏は、2人のパネリストに改めて意見を求めた。ラタン氏は企業の目標をいくつか示した。
「私たちの目標は基本的に、マネージドケア(管理医療)という概念全体を破壊することだ。そこでは人々がケアを拒まれている」と同氏は述べ、もう1つの人権であるべき医療に言及した。「私たちは事前承認のような仕組みで平均的な人のコストを抑えようとしてきた。だがコストの観点では、平均的な人が問題なのではない。肝心なのは、そうした人々を特定し、適切で、調整され、一貫性のあるケアを提供することだ。年間2兆5,000億ドルのコストを占める約1,500万人の米国人を、私たちがよりうまく支援できれば、年間で5,000億ドルのコスト削減が可能になる」
カーン氏はガバナンスについてこう述べた。
「エージェントの世界では、過去のあらゆるものがルールベースであり、それは自動化の方法へと変わる必要がある。ハッカーにとってはすべてが変わった。AIを使えば脆弱性を非常に素早く見つけ、悪用できる。したがって、企業顧客はAIによる防御を考えなければならない。インフラはルールベースのセキュリティポリシーから、よりインテンション(意図)ベースのポリシーへと進化しなければならない。私が楽観視しているのは、スタートアップがイノベーションを起こし、過去20年とはまったく異なるやり方でサイバーセキュリティを実装していることだ」
要するに、状況は変化し適応しており、世界はエージェント型AIの要請に目覚めつつある、という趣旨だった。だが、それは十分に速いのか。
私は、Black Eyed Peasで知られるウィル・アイ・アム氏などの提唱者たちが、人間が自らのデータを所有する権利を強く主張するのを耳にしている。これは必要だ。個人が、AIプログラムを動かす企業利益に対して立ち向かえるルールが必要である。2026年後半の始まりに向けて、このことを考え続けてほしい。
