CCI FUTURE IMPACT Forum for SDGs

CCI FUTURE IMPACT Forum for SDGs 第7回目は、コロナ禍でデジタル化が急速に進む中、どのような社会であるべきか、データ・AIガバナンスを中心に社会と技術の関係性について専門とされる東京大学未来ビジョン研究センター特任講師 江間有沙氏と社会学者大澤真幸氏によるスペシャル対談をお送りします。



【第7回】コロナ禍における人工知能と社会の関係からみた現状と持続可能な社会とは
江間 有沙氏 × 大澤 真幸氏

Part1(全4回)
コロナ禍の個人情報活用の実態 ―ガバナンスは働くのか―


-大澤氏:
本日はどうぞよろしくお願いします。
今回江間さんにコロナに関連してお考えになっていること、それからSDGsについてご専門の分野との関連でお考えになっていることを中心にお伺いできればと思っています。
早速コロナ関連で伺いたいのですが、このコロナ禍で江間さんが最も考えたこと、感じていらっしゃることをご専門に関連してもそうでなくても結構ですのでお聞かせいただけますでしょうか。


-江間氏:
直近の例ですと、2020年10月9日に「データ・AIガバナンスとCOVID-19:アジアにおける中長期的展望」というテーマでウェビナーを主催しました。このウェビナーは、情報処理学会の月刊紙で特集を組んだのですがその執筆者の方々をお招きする形で行いました。

特に「データ・AIガバナンス」が私の調査研究・活動の領域なのですが、この分野は欧米と中国がイニシアチブを取って標準や基準を作り、サービスを展開していているところです。そのような中で実際にどのようなガバナンスのあり方が考えられるのかが課題となります。
いわゆる米中戦争、貿易戦争が起きている中、データも含めて管理のあり方や流通の仕方、分散型がいいのか中央集権型がいいのか等、色々な議論が起きているところを日中韓シンガポールの共同研究者とともに議論し、海外に情報発信をして行こうということで、日本語と英語で報告書を公開しました。
するとヨーロッパやアメリカからも反響がありました。多分今までこういうテーマで海外の人も読める日英の資料が、それ程なかったのでしょう。中国に関する資料は色々あったと思いますが、「今、日本ではどのような事をやっていてどのような課題があるのか」について、僭越ながら色々な方にお話しを伺い、アドバイスを頂きながら書きました。

今回のコロナ騒動においてわかったのは、政府によってSociety5.0*が打ち出されていますが、実際のところは、Society5.0以前という状況で、共有どころではなく、未だにファックスが現役のような状況だということでした。

*内閣府主催:サイバー空間(仮想空間)とフィジカル空間(現実空間)を高度に融合させたシステムにより、経済発展と社会的課題の解決を両立する、人間中心の社会。(Society)


-大澤氏:
そうですね、驚きました。


-江間氏:
皮肉ではあるのですが、実際はデータ共有以前の問題だという状況を皆が認識できたのです。今はその事実確認をしつつ、そこからどのようにしていくべきか考えているところです。

この発表の中で、日本と他国の文化差的なことも議論しました。例えば、COCOA(新型コロナウイルス接触確認アプリ)に関して、「登録することに関して意識が低い原因はどういうところにあるのか?」と聞かれ、私からは「日本は同調圧力が強いところが障害になっているのではないか。一方で、推進するにもそういった同調圧力を使うという二面性があるのではないか」というお話をしました。

例えば中国などはトップダウンで全ての情報を集約するという政策を取り、シンガポールでは多様な人たちが集まる場であるからこそ、いろいろなツールを駆使して情報を集めようとする。韓国はSARSの時の経験によって、いろいろと法制度を組み替え、いざとなったら令状なしで全ての情報収集ができる法律で対応している。

それに対して日本はCOVID-19に関して、国の権限行使も強制ではなくて要請ベースになっています。
COCOA導入に関しても、仲間同士で「誰々さんもCOCOAを入れているから」とか、「学校で入れるように言われたから」ということで登録する。法律とか制度ということではなく、政府への信頼とも若干違うわけです。そして自分を守るためというよりは、人様に迷惑をかけないようにするために登録するというような感じです。

データのガバナンスを進めていく際、このような考え方は、少々相性が悪いのではないのかなと思います。日本ではエビデンスベースの考え方で科学的な情報に基づいて判断しているというよりも、「周りの人がやっているから自分もやる」というある意味思考放棄になりかねないところがあります。「データとAI」という本当にエビデンスベースで動くところで、科学的情報に基づく判断基準が漏れ落ちてしまうわけです。

懐疑的にならなければいけない時に、自分の頭でどう考えていくかということが、今後の日本における思考の課題になってくるのではないかと思います。今回、他国との比較を通して私の中で少し考えたことです。


-大澤氏:
単純な事実関係を教えていただきたいのですが、COCOAというのは実際どのぐらい普及しているのですか?


-江間氏:
厚労省のホームページから確認できますが、10月13日の17時時点で約1,800万件ダウンロードされています。しかし、ダウンロード件数よりも陽性反応の登録件数がどの位あるかということが大事なのです。それが昨日の5時時点で1,133件しか登録されていません。 

参考:2021年6月末現在 2,856万件 陽性登録者数 18,475件


-大澤氏:
それは少ないですね。


-江間氏:
感染者数が1日200人、300人と推移している中で、たった1,133人しか感染の登録がない。本来はダウンロード件数よりも陽性反応の登録件数を見ていかないといけないのに、そこが増えていないのは何故かということになります。実際に登録してもPCR検査が受けられないなど、国民にとっては出口戦略が分からないわけです。COCOAについては多くの課題があるといろいろな方が指摘されている現状です。


-大澤氏:
なるほど。多分日本に関しては、江間さんもおっしゃったように、同調圧力というか、「他人に迷惑かけたくない」というか、「迷惑をかけていると思われたくない」という思いが影響するのですね。


-江間氏:
そうですね。


-大澤氏:
あるリミットを超えると突然ものすごい勢いで普及するということになるのでしょうか。その臨界値みたいものがあると想像しています。今のところ、その臨界点の遥か手前のところで止まっていて、みんなが登録しないなら自分もしない、という状況なのだと思います。

基本的なことを伺いたいのですが、私たちは様々な形で個人情報を取られていることについて色々と心配していたわけですが、いざこういう状況になると意外と個人情報は取られていないこともわかってきました。必要な個人情報はどこにもないということになっていた。

ウィルス対策に関係のない個人情報は取られているのかもしれませんが、今回のようなリスク対策の為の個人情報は取得されていないということが分かったわけです。

これからのことを考えると、何らかの形で個人情報を収集したり集計することも必要になるでしょう。その場合、どのようなシステムで収集するのかが一番よいのかが問題になってくると思います。国ごとに背景となる精神風土などが違うので、そうしたシステムをわりとあっさり受け入れられるところもあれば、すごく抵抗するところもあると思います。

いずれにしても全体として考えた場合、必要な個人情報を提供するとしても、それが悪用されたり、転用されたり、あるいは想定されていなかったことにまで活用されたりすれば、それは、個人の権利侵害になりえます。ですから、一方で個人情報を提供するシステムをはっきりさせることと、他方でそれを乱用されないようにするための防衛的なシステムや、制度を整備することが必要だと思うのです。
この辺りは今どのようなことが議論されているのでしょうか?


-江間氏:
恐らく「悪用や目的外利用」についてです。悪用ではないまでも、個人情報の収集の仕方も含め、そこに対してセンシティブな人が多いので、個人情報の収集の方法や管理の方法を含め議論されています。

ヨーロッパでは「データポータビリティ」、日本では「情報銀行」などの概念が提唱されていますが、自分の情報を自分が管理することも議論されています。Amazon社やGoogle社など大手IT企業が取り込んでいる自分のデータをそのまま放置しておくのではなく、どこにどういう情報を信託して預けるのかは、自分で選択する権利があるという考え方です。現在自分のデータを握っている巨大プラットフォームから別のプラットフォームに移りたいと思ったら、自分に関する情報は全て自分が持って行ける形にしていく、というやり方が良いというのがヨーロッパ型のGDPR*の中で書かれている事です。私もその辺の情報に詳しいわけではないのですが、日本もおそらくマイデータなど、データのポータビリティに関してはヨーロッパと足並みをそろえて進んでいくと思います。

*欧州連合(EU)における個人情報(データ)の保護という基本的人権の確保を目的とした「EU 一般データ保護規則(General Data Protection Regulation:GDPR)

そのような形で進んでいきたいヨーロッパ側と、一方で、アメリカや中国のように国、巨大企業やプラットフォーマー群がデータを握っている国々がある中、日本は、「どういう方針で行くのか」をある意味迫られている気がしています。しかし、あくまでもルール作りなので、法律の話であるとか、個人の同意をどのように取っていくのかというところに工夫を凝らしていくのか、あるいはソフトロー*で行くのかといった話を今まさに制度で詰めていくところだと思っています。
ハードロー**ではなくソフトロー、ガイドラインでいくというところのメリットは、動きが速い技術やあるいは突発的な状況に対して迅速に対応ができることかと思います。ハードローで法律を作るとなると、決めてから施行するまでに1年、2年とかかってしまい、現状はそれどころではありません。従って、ある程度ソフトガバナンスでいくしかないのではないかと思っています。

*ソフトロー:権力による強制力は持たないが、違反すると経済的、道義的な不利を国家・自治体・企業・個人にもたらす規範。JIS規格・JAS規格、その他各種の基準など。
**ハードロー:国家・自治体・企業・個人に対して強制力を持つ規則。法律・法令・条例など。


個人情報の扱いに関しては、標準化の話も含めて動いてます。大澤先生が先程おっしゃった、意外と自分のデータが集められていなかったというお話に戻りますと、別の研究会で「なるほどな」と思ったことがありました。
データは場合によっては、相当集められているところもあるのですが、結局データ共有ができていないのです。特に政府ですね。ガバメントとビジネスの間(BtoG, GtoB)、ガバメントとガバメントの間(GtoG)のデータ共有ができていなかったという課題について、皆さんが盲点だったというお話をしていました。

データを守りながら、かつデータをシェアする枠組みは、今まさにチャレンジングといいますか、ホットなところにあります。また公共の利益のためという名目と、個人の利益のためというところのインセンティブ付けの難しさを感じます。

AIガバナンスの議論も同じです。
例えばコロナに関しても、「公共の福祉のために陽性者情報だけをみんなで共有すれば、社会全体の安全に繋がりますよ」と言われても、個人としては自分が陽性者だと分かってしまったらマイナス面があるのではないかと思うでしょう。トレードオフといいますか、コロナに限らず、例えば個人の健康状態や購買履歴を集めますよ、といわれた場合に情報を提供すれば個人にポイントなどのメリットがつくというのであればいいと思う人もいるかもしれません。

しかし、情報提供することによって公共の福祉や社会的正義が守られますと抽象的に言われて提供する気になるか。あるいは日本人だけはなく、アフリカ系だとか南米系だとか、いろいろな人たちのデータを集めることによって、ウェブ上のバイアス情報をなくすようにしますので協力してください、と言われたら提供する気になるのか。それらに協力するインセンティブを持つ人はいったいどの位いるのか、となってしまいます。

社会として公平や正義のためにやるべき事柄には、みんなの協力を得る必要があり、それがひいてはガバナンスへと繋がっていくところがあります。AIの倫理について考えることも極めて大事なことです。しかし、その成果は直接個人に見えやすい形で還元されることはない場合があります。ですから、どのようにしたらみんなの協力を得やすいかを考えて、見えやすいインセンティブを作っていく、「インセンティブ設計」を重視する必要があるのではなかという方々もいます。
BtoB、BtoGの成果はBtoBtoCには直接見えないのです。

これは仲間内で話しているのですが、Google社やAmazon社は巨大な企業ですが、BtoCの会社です。ですから消費者や利用者からの反応をフィードバックしやすい仕組みになっています。
けれど日本はBtoBtoBtoBtoBtoBtoCの国です。BtoBの、例えば、顔認証をやっている企業やベンダーが何かいいことをやろうとしても、私たちがそのことに触れることができるのは多くのBtoBを通ってきた末のBtoCのダウンストリームの人たちだけとなります。どのようにして初めのBでやった人たちの考え方が多くのBに浸透しているのか、そこでやったことが知られていくのか、というように長いサプライチェーンの中で、いかにガバナンスを効かせるかが難しい。
アメリカや中国の巨大BtoC企業ならどこか1個動かせば何とかなるという国と日本は産業構造上大きく異なり、難しいところだと思っています。

アメリカや中国のイニシアチブによって、今のAIガバナンスやAI倫理の在り方については「公平でなければならない」、「透明性がなければならない」とされています。日本では長いサプライチェーンの中にあって透明性をどう確保すればいいのか、何か事故が起きたときの責任はどこが取ればいいのか、というのが大きな課題となっています。関係しているのが1社だけなら対応できます。多くのBが関係している日本ではどうすればいいのだろうとなるので、アメリカや中国とはかなりズレがあります。
日本固有の産業構造的な問題としても議論していかなければならないと思っています。


-大澤氏:
やはり自然と色々な問題に繋がっているのだな、ということを強く感じました。
お話を伺っていると、お聞きしたいことが沢山出てくるのですが、まずお尋ねしたいのは、イノベーションがどんどん進んでいる中で、それに対して例えば法律を作ると言っても、法律で対応できるような状況ではない感じがしています。むしろ法律の方が何かに守られていて、技術的にそれが守られるかどうかの方が重要になってくる。法律の成立はすごく時間がかかりますからね。
法律の方から見ると、道徳意識のようなものを皆が共有するに至った時に効力を持つのですが、そんなに長い時間は待っていられない。

例えば先程のデータポータビリティに問題があったとして、もしそれが完全に確保できるとして、制度として法律を認めたとしても、それは技術的にどれぐらい可能なことなのかが不明です。皆がどうしても警戒心を持ってしまうのは、やはり自分のデータを人に取られてしまった場合に、良いこともあるかもしれないが、嫌なことの方がより多く起きそうな感じがする、ということだと思います。
「公共のために必要ですよ」と一生懸命説得しても、中々ついてこない。むしろ万が一の時に技術的に守られていることが明確になっていることが大切で、あなたの利益に損害を与えることが起きそうな場合も技術的にきちんと守ることができるといった可能性を明確にしておかなければならないと思うのです。
そうすれば、データポータビリティが制度として確立された場合、セキュリティが技術的にきちんとしたものであることがはっきりしてきます。であれば、必要なものについては提供してもいいという気持ちにもなっていきます。

ここで技術上の可能性について伺いたいのですが、データを収集することができたとして、今度はそのデータについて、個人の権利や必要以上のことを収集しない技術は実現可能なのでしょうか。技術的に様々な問題があって、簡単には言えないと思いますが、いかがでしょうか。


-江間氏:
私もそこまで技術のことに詳しくはないのでお答えになるかどうか分からないのですが、閉じた空間や1社だけに限定するなどの限定空間であれば、ある程度のデータ保持などは出来ると思います。
ただ、データポータビリティの思想・考え方の基本はデータを流通させましょうというものです。日本でもデータフリーフロートラスト(DFFT)という概念が提唱されていますが、データを安全にかつ流通させることを両立させようというのがそもそもの設計段階の思想になっています。よって、暗号化や、セキュリティ対策、ハッキング対策というところを技術的にやっていくしかないのですね。

しかし一方で、データの悪用などに関して一番セキュリティが脆弱なのは、技術ではなく人間だと思っています。よくあるジョークというか戒めなのですが、セキュリティは万全です、サーバールームには特定の人以外入れません、暗号化もしました、crackingもできませんと言っても、そのサーバールームに、あたかも関係者であるかのような感じの人が、差し入れを持ってきたよとコーヒーを持って現れたら知らない人でも通してしまう、という話があります。

このように、技術に対して技術的に破るという方向で真っ正面からの攻撃が来るとは限らないわけです。映画やドラマのようにパソコンをカシャカシャとハッキングするよりも、机の下を探したらパスワードを書いた紙が貼ってあるなど、そういう人間の隙をついた真っ向勝負をしない攻撃の方法は沢山あるわけです。

物理的に攻撃するとか、あえてサイバーにサイバーで対抗する必要はない。むしろ心理学的な点を突いた斜めからの攻撃があると。人間が一番脆弱なシステムなので、技術がどんなに100%ですといっても、そこを守っている人の教育や研修が徹底しているか、パスワードは厳重に管理しているか、あるいはセキュリティカードを人に貸していないか、弱みを人に知られていないか、そういうところが最後には効いてくるのだと思います。

技術ばかりを見ていると、意外に人間の側から漏れてしまうという部分にも留意が必要だと思います。結局は人と機械のシステムで成り立っているわけですから、その相互作用のあり方や、いかに人と機械が協調した上で頑強なシステムをつくっていくかを検討していかなければならない。
一方、技術を100%にするというのを守っていると大変なコストがかかります。例えばチャットボットでのやりとりやペットロボットにお年寄りが暗証番号などをうっかり言ってしまうかもしれません。しかし暗号化をものすごく厳重にすると、ペットロボットなどは高額になって売れなくなるわけです。

ですので、人間がデータをきちんと保護する方法を十分に理解しておかなくてはなりません。データポータビリティの理想を実現するために、時間や技術やお金などの限られたリソースで、データを守る最適なセキュリティのためには何をなすべきか、ということになります。
様々な分野、状況、各国の価値観など多方面から検討しなくてはなりません。このデータのセキュリティは破られても別のところで防げるから大丈夫な分野なのか、医療や軍事はどこからも破られてはならない分野だから厳しい審査や暗号化が必要だろうとか、それぞれに合わせた対応が必要となると思います。


次回 Part2は、
「情報収集と管理そしてAIの答えは?」
についてお届けします。


【対談者 プロフィール】


大澤 真幸氏
社会学者
CCI FUTURE IMPACT Forum座長

千葉大学文学部助教授、京都大学大学院人間・環境学研究科教授を歴任。
1990年代より、理論社会学の立場から現代社会の変容を総合的に分析し、論じてきた。著書に『ナショナリズムの由来』(講談社、毎日出版文化賞)、『不可能性の時代』(岩波新書)、『量子の社会哲学』(講談社)、『ふしぎなキリスト教』(橋爪大三郎との共著、中央公論新書大賞)、『自由という牢獄』(岩波書店、河合隼雄学芸賞)、『日本史のなぞ』(朝日新書)など著書多数。個人思想誌『大澤真幸THINKING「O」』(左右社)主宰。現在、『群像』(講談社)誌上では、世界史の論理構造を解明する評論「〈世界史〉の哲学」を、『本』(講談社)誌上では、動物社会との比較の中で「人間」の本質を考察する「社会性の起原」を、それぞれ連載中。


江間 有沙氏
東京大学未来ビジョン研究センター特任講師
東京大学大学院総合文化研究科博士課程修了。博士(学術)。
CCI FUTURE IMPACT Forumメンバー

京都大学白眉センター特定助教、東京大学教養学部附属教養教育高度化機構科学技術インタープリター養成部門特任講師を経て、2018年4月より東京大学政策ビジョン研究センター特任講師。2017年1月より国立研究開発法人理化学研究所革新知能統合研究センター客員研究員。専門は科学技術社会論(STS)。人工知能学会倫理委員会委員。
人工知能と社会の関係について考えるAIR ( Acceptable Intelligence with Responsibility) の発足メンバーの一人として社会と技術の垣根を越えた議論を行っている。