2024-11-5
作って終わりではない——「アジャイルガバナンス」の考えのもと、プライバシー観点からもルールをいかにアップデートしていくのか
今、AI/LLMによる技術革新は世界的に大きなインパクトをもたらしています。私たちメルカリもAIのポテンシャルを重要視し、プロダクトへの実装だけでなく、メルカリで働くメンバーの生産性向上においてさまざまな活用を試みてきました。
2023年10月には、お客さま一人ひとりのためのAIアシスタント機能「メルカリAIアシスト」を、2024年9月には、写真を撮ってカテゴリーを選ぶだけで商品情報が作成される「AI出品サポート」の提供を開始するなど、AIを活用する動きはさらに増しています。そして現在、社内の業務改善などプロダクトの実装以外にもAIが導入されています。
全社でAIを導入することによって、業務効率や生産性の向上が見込めます。一方で、AIが世界中で爆発的に広まったことによって、これまでの業務では起こり得なかったリスクが発生する可能性もあります。法的リスク、知財リスク、レピュテーションリスク、セキュリティ、プライバシーリスク、倫理に関する問題…などなど。
メルカリグループにおけるAIガバナンスの構築についての記事を少し前に公開しましたが、今回はプライバシー観点でAI活用をどのように進めていったか、Privacy Officeの早川直史(@early)に語ってもらいました。
この記事に登場する人
-
早川直史(Naofumi Hayakawa)
メルカリ Privacy Officeに所属するPrivacy Specialist。法科大学院(ロースクール)修了後、受託系IT企業、レシピアプリサービス、複数の生活者向けtoCサービスのホールディングスカンパニーの法務、経営管理部等にて、契約法務、コーポレート法務、セキュリティガバナンス、個人情報保護体制の構築などの業務を経験。流行ってるものは一旦試してみる系の法務博士(専門職)、情報処理安全確保支援士(登録セキスペ)、ビジネス法務エグゼクティブ。テーマカラーはネオンイエロー。
生成AIはプライバシー観点からも議論が盛んだった
Privacy Office チームに所属するearlyです。
私は普段、お客さまに関するデータがプライバシーの観点から適切に取り扱われるよう、事業部の皆さんと連携しながら、お客さまとメルカリ双方にとって望ましい形を実現することを目的に業務を行っています。
2年前の入社時はPrivacy Office チームの立ち上げ直後で、プライバシーに関する課題やプロダクト開発段階での論点の洗い出しにおいて、社内のあらゆるところからチームに相談が届く体制を構築する必要がありました。そのため、まずはチームと自身の存在を社内に広める活動に注力しました。全身ネオンイエローに身を包み、一度見たら忘れられないインパクトとともに、プライバシーや個人情報保護法などについて広めて回る活動をしてきました。
では、プライバシー観点でAI活用にどのように関わっていったか?本題に入る前に、個人的に生成AIから感じたことについてお話しできればと思います。
1年以上前、世の中で生成AIが騒がれはじめた頃から、直感的に「これはプライバシーにも関係してくるだろうな」ということは理解していました。実際、個人情報保護法における位置づけなども盛んに専門家の中で議論がされていました。とはいえ、私自身が真っ先にChatGPTを使いはじめたり、使い倒したというようないわゆる「アーリーアダプター」ではなかったと思います。
先頭集団から少し離れた2番手、3番手くらいのタイミングで「少し遅いかも」と思いつつやってみるのがいつもの傾向です(笑)。でも、そのくらいにはじめても全然遅いということはないと思っています。「やりたい」と思ったタイミングが、その人にとっての一番早いタイミングなので。
自分の親世代を見ていても、パソコンを使いこなしていたりスマートフォンの機種変を苦もなくできる人もいれば、デジタル系はさっぱりという人もいます。私も親も歳をとり、いつの間にかデジタル関連は親に教える立場になっていました。生成AIを見た時に感じたのは「これを使いこなせないと、次は自分がその親の立場になるんだろうな」ということでした。
そんな漠然とした恐怖感や不安を感じつつ、なかなかはじめられなかった自分の背中を押してくれたのは深夜ラジオの「オードリーのオールナイトニッポン」。オードリーの若林さんがネタづくりの壁打ちにChatGPTを使っているというトークを聞いたことでした。「オードリーの若林さんが使ってるなら自分も使わなきゃ」という不思議な行動力が生まれました。
そんなきっかけから、社内でAI/LLM 専門チームの立ち上げに、生成AIの社内ガイドラインを作るプロジェクトにプライバシー担当として参加したのがスタートでした。
ルールは作って終わりではない。そんな当たり前のことを認識
R4DのTagoさんが中心となって推進してきた生成AIの社内ガイドライン作成プロジェクトは、複数の部署を横断するとてもエキサイティングなものでした。
というのも、生成AIに関連するリスクは多岐にわたるからです。法的リスク、知財リスク、レピュテーションリスク、セキュリティリスク、プライバシーリスク、倫理に関する問題…などなど。それらを取りまとめるだけでも一苦労です。自分はその中のセキュリティリスク、プライバシーリスクに関して担当をしていました。とにかく基準がない状態から素早く立ち上げる必要があり、プロジェクトメンバー皆が驚異的な機動力で周りを巻き込んでガイドラインが作られました。
その後も、ガイドラインの立ち上げにかかわったことから、プライバシーに関連する生成AIの相談について対応したり、生成AIを活用するHRのハッカソンにメンバーとして参加したりして、社内での生成AIにまつわる仕事に定期的に関わってきました。
特にハッカソンでは、エンジニアとともに具体的なプロダクトのプロトタイプを作るという経験をする中で、「このプロダクトを作るには、今のガイドラインに抵触してしまうかもしれない。現場のニーズをきちんと汲めているのか」という疑問を持つきっかけにもなりました。
一方、残念なことにガイドラインそのものが社内であまり認知されていないということも経験しました。「ルールは作って終わりではない」、そんな当たり前のことを実感しました。
そんな折、gomichanが「生成AI頑張るぞ担当」として入社。今のガイドラインのままでは、その生成AIの社内推進のブロッカーになる可能性があることを懸念しました。
そこで、いち早くgomichanとの接点を持ち、ガイドライン作成の背景、既存のルールの課題感をオープンにしながら、せっかくつくったガイドラインをなるべく活用する方向でAI活用の推進を後押ししていきたいと思っていることを伝えました。
プライバシー側から、意思を持ってルールメイキングしていく
「ルールは存在するだけで暗黙のブロッカーになる」。これは以前から強く感じていたことです。
既存のルールを変えるアプローチとして、ルールに抵触しうるアクションを取る側からルールの改訂を訴えたり提案することがあると思います。しかし、それには必要以上にエネルギーを要します。むしろやるべきは「ルールを作った側が常に現場のニーズにアンテナを立てて、現状に即して常にルールをアップデートしていく」ということだと考えています。なぜなら、現状に合わないルールは無視され、形骸化するだけだからです。
一度作られたルールを「絶対のもの」として考えず、具体的に何のリスクを想定して、何を目的として作られたものなのか、まっさらな目で見ることが重要だと思います。こと、生成AIに関するルールづくり・ガバナンスについては、それがまさに重要なスタンスだと思います。なぜなら、技術の発展も早ければ、それに対する世の中の常識やルール、ガイドラインのあり方も日々変わっていくからです。
プライバシーの観点からは、以下のようなことがブロッカーになりやすく、意思を持ってルールメイキングしていく必要がありました。
- 審査のプロセスがとても重い(例:いつまで経っても新しい生成AIツールを導入できない)
- 入力していい情報について複雑なルールを設けすぎると、生成AIツールを業務上で使い倒すというニーズにマッチしない
- 一方で、現場での使い勝手を優先するあまり、セキュリティを軽視することは避けるべき
- 今はまだ生成AI法整備や法解釈の議論が定まっていない論点もあり、保守的な考えで制約の多いルールを設けてしまう傾向がある
保守的な考えに基づくルールを作り、それを遵守することを社内に向けて宣言することは、ある意味で簡単なことかもしれません。しかし、生成AIにおいては「アジャイルガバナンス」という言葉で表現されるように、一度作ったルールもTrial & Errorの精神で変えていくことが重要です。
具体的なアップデートとしては、社内の一定の条件を満たした生成AIツールに関しては、セキュリティやプライバシー上のケアがされていることを確認したうえ、従来よりも入力可能な情報の範囲を拡大しました。これによって、業務上ルールを意識せずとも、自然とルールに沿った利用ができるという状態が実現できたと思います。
会社の中で生成AIが使われる場面において相談を受けたり、もちろん自分自身でも利用したり、プロダクトを作る立場になってみることで、そうした考えを持つようになりました。加えて、生成AIをなんとしても社内に広めていきたい!というパッションを、gomichanをはじめとする推進メンバーからも強く感じました。その中で、自分自身一番貢献できる役割はなんだろうかと考えた時に、ルールを積極的に「壊していく」ことなんだろうと思いました。
つまり、ルールを作ったり、それを守ってもらう側が、既存のルールのあり方について疑い続け、アップデートしていくことです。CTOのkimurasさんからも「我々、1線側(事業側)からルールを緩めるようなことは言いにくい、そこはむしろプライバシー側からリードしてほしい」と言われたこともあります。
それはまさに自分たちがやるべきことだと考えていたことで、そこにつながるガイドラインのマイナーアップデートを実現できたのは、プロジェクトとしてとても良い動きだったと思いますし、個人的にもとてもやりがいのあることでした。
編集・撮影:瀬尾陽(メルカン編集部)
この記事に関連する求人情報
募集中の求人の一部をご紹介します
-
Privacy Specialist – Mercari / New Graduates
オフィス: 東京・六本木オフィス
会社・事業: メルカリ
-
Security Engineer – Mercari
オフィス: 東京・六本木オフィス
会社・事業: メルカリ
別サイトに移動します