月別アーカイブ: 2018年8月

第10回 クラウド利用者会議レポート

第10回クラウド利用者会議 レポート

2018年8月12日
CSAジャパン 諸角昌宏

第10回クラウド利用者会議では、「RPAと法律的な問題点」というテーマで高橋氏にご説明いただいた。会議は、7月30日(月)に開催し、クラウド利用者を中心として10名に参加いただいた。

まず、ロボットにおける用語とRPAとの関係について触れられた。ロボットとして以下の2つの用語の定義を明確にしておく必要がある:

  • ロボテック: プログラムに基づいて合理化すること
  • 法律的: マニプレーターと記憶装置が必要であること

その上で、RPAはどうなるかというと、自律的な操作が表現されたエキスパートシステムであるということができる。ただし、RPA自体がバズワード化しており、実際に何を差すのかは明確にしずらい状況である。

その中で、RPAとはということでは、以下の3つの手段に分かれる:

  1. 定型業務の自動化: いわゆるRPAとしての狭義の意味になる
  2. EPA(Enhanced Process Automation)とAIの使用: 大量のデータを解析し結果を出力できる機能
  3. コグニティブ・オートメーション: ディープラーニング、自然言語処理などにより、自立した結果を出力し経営意思決定に結び付ける能力

これらを踏まえてRPAを含むロボットの問題として、以下の3つの領域で考える必要がある:

  • 安全/セキュリティ
    安全基準/保安基準がどうなるのか?プログラムでコントロールされるということは、保安基準の無い世界である。つまり、規定がプログラムを前提としていない。
  • 自立性の限界(ロボットと操作者)
    最終的に人間がオーバーライトできる(自立の度合いによる)ことを認める必要がある。たとえば、運転所のいない場合の法律の問題など。
  • 外部とのかかわり(データ保護、市場力の乱用)
    個人データ保護の問題。

さて、これらの内容に基づいて参加者による議論が行われたが、以下のような内容になる。

まず、RPAの利用範囲が様々である点が議論された。SIEM/SplunkをRPA/AIとしているケースもあり、何をもってRPAとするか、また、RPAのセキュリティ上の問題としてどう捉えるかということになる。1つの観点として、自律しているかで分けるということがあるが、自律をどのように判断するかという問題がある。プログラム化した場合に問題が発生した場合、どのように判断するかという問題となる。そうすると、プログラムのバグかどうかが分からない場合、法律的にどう判断するかという問題となる。

現状は、RPAのセキュリティ上の問題は、EUC(End User Computing)のリスク管理にならざるを得ないということになる。業務アプリのIT統制として、ユーザ自身が守っていく必要がある。アクセス制御による保護、テストがきちんと行われている、使用のルールが定められていて利用者が守っていることなどである。また、RPA自体を正式なものとして承認されていることも重要になる。なお、中国ではRPAのことを「工作自動化平台」(RPAプラットフォーム)と呼ぶらしい。現状のRPAを表す言葉として、この中国の呼び方の方が近い感じである。

また、RPAは無人化を可能にするかという議論になった。いわゆる自律できるかどうかということである。こちらは、強いAIと弱いAIということで、現状では無人化した場合のセキュリティは難しいと思われる。強いAI、つまり、自分で自分の手を考えられるという自律ということを考慮する必要があるということになる。

実際、現場では、RPAの導入においては内部統制では使用しないという推奨を行っているということも示された。RPAにおけるリスク(誤入力、架空の処理)については、確認者による二重チェックが必要である。

以上のような状況であるが、RPAを含むIoTに対する安全基準は日本がリードしている、特に、電力関係の保安基準や、IPAのSTAMP(System Theoretic Accident Model and Processes)に対する取り組みなどがあり、今後も伸ばしていくことがきたいされるということである。

RPAと法律ということで難しいテーマであり、方向性を導くというよりは抱えている問題を出し合う会議となった。今後シンギュラリティとかも考えていくと、セキュリティ面でも法律面でもいろいろと議論が進むことになるが、我々もしっかりとらえていく必要がある。

なお、会議後のご意見として以下のような議論のポイントが指摘されました。今後、あらためて検討していきたいと思います。

①    定義論について
論点1)RPAを、ロボットと見做すか、Excelのマクロ関数もどきと見做すか
論点2)RPAを、開発者責任と見做すか、所有者責任と見做すか
論点3)RPAを、シーケンス型制御と見做すか、自律学習型回帰制御と見做すか

②    法的拘束力について
RPAに関するモノに物理的棄損を課した際の帰属の在り方
RPAを利活用したAPIで自動送金した際の誤送金の帰属の在り方
RPAに関する司法手続に関する法制度の在り方
RPAに関する犯罪捜査及び刑事訴訟の在り方、法廷監査の効力を含めた議論
RPAに関する民事訴訟や裁判外紛争解決の手続の在り方

➂課題解決の私見
公開APIの様に、公共のサイバー空間において利活用が進むにつれて、RPA動作空間と、人の意思決定空間の分離が、一つの有効手段になるかと考えています。例えば、歩道と車道が分離した道路交通法や、対人・対物の自賠責保険の様な社会的保障の仕組みが参考になると考えています。RPAでなないが、自動運転車レベル4になれば、即、現実化しますね。

以上