この雑誌で繰り返し取り上げられるテーマとして、企業はリスクマネジメントに消極的で、依然として進捗を妨げたりイノベーションを抑えたりするコンプライアンス作業と見なしがちだ、という指摘があります。提案されている解決策のひとつは、役割の捉え方を転換し、リスクマネジメントは害を避けるだけでなく「適切なリスクを取る」ことでもあると明確に示すことです。
次に、チーフ・リスク・オフィサー(CRO)という肩書があります。取締役会の関心をどう得て意思決定に影響を及ぼすか、というよくある懸念もあります。CRO職の台頭はしばしば前進として語られ、権限の拡大、可視性の向上、戦略的影響力の強化を示唆します。
最後に「リスクリーダー」という考え方があります。実際にリスクリーダーであるとはどういう意味なのか、そして今日、有効なリスクリーダーシップを形作る資質とは何か。私がその問いをリスクコミュニティに投げかけたところ、答えは実に多様でしたが、いくつかの明確なテーマが浮かび上がりました。
欧州連合の機関・団体・事務所・機関(EUI)による、個人データの処理を伴うAIシステムの開発・調達・導入は、プライバシーやデータ保護を含むがこれらに限定されない、データ主体の基本的権利と自由に重大なリスクをもたらします。規則2018/1725(EUDPR)の要である説明責任の原則は、(行政目的の個人データについては)第4条第2項、(業務目的の個人データについては)第71条第4項に明記されており、EUIに対し、これらのリスクを特定・低減し、その方法を示すことを求めています。とりわけ、AIシステムは、複数の関係者が様々な立場で個人データを処理する複雑なサプライチェーンの産物であることが多く、この点は一層重要です。
本ガイダンスは、データ管理者として行動するEUIが、これらのリスクの一部を特定し、低減することを支援することを目的としています。より具体的には、EUDPRで示された特定のデータ保護原則に対する不遵守のリスクに焦点を当て、管理者が実装すべき低減策が技術的性格を持ち得るもの―すなわち、公平性、正確性、データ最小化、セキュリティ、そしてデータ主体の権利―を取り上げます。したがって、本ガイダンスに掲げる技術的管理策は決して網羅的なものではなく、EUIが自らの特定の処理活動によって生じるリスクを独自に評価する責務を免除するものでもありません。その際、本ガイダンスはリスクの発生可能性や重大性の順位付けは行いません。
0 件のコメント:
コメントを投稿