Gen AIによって法的措置のコストが低下している — 企業は備えるべき

xguru · 2024-10-07T10:32:02+09:00

AIにより、顧客、従業員、競合他社、規制当局が、より簡単かつ低コストで法的措置を取れるようになっている将来の法的リスクは、インターネットのフィッシング攻撃に似た法的調査の形で現れ、個別対応ではなく大量生成され、複数の主体によって開始されるようになる組織化されれば、DDoS攻撃のようにトラフィック流入で標的を無力化する形で進行しうる企業はサイバーセキュリティの対応策を参考に、脆弱性の把握、影響分析、リスク緩和措置、ステークホルダーとのコミュニケーション戦略などを迅速に策定すべきである法律サービスにおける破壊的変化の可能性昨年、米財務省は脱税防止のため、暗号資産の情報開示を拡大する法案を提案した暗号資産業界は、義務の範囲が広すぎるとして強く反発した DeFi業界に法的支援を提供する「LexPunk Army」という開発者・弁護士コミュニティが、規則案に誰でも意見を提出できるAIボットを公開したこのボットによって、適切な形式で簡単に意見を提出できるようになり、大量の意見提出で財務省の対応は遅れ、将来の法的異議申し立ての土台も築かれた通常、新たな規制に対する意見数は約3件程度だが、この規則案には12万件が提出された最終規則は大幅に緩和され、Blockchain Associationはこれを業界とコミュニティの強い声が反映された結果だと評価したこれが技術と法に精通した小規模集団による一度きりの勝利にとどまるのか、それとも個人や企業の法活用のあり方に広範な混乱をもたらすのかという問いが生じる私たちは後者だと考えており、これは技術が法律サービスと手続きを破壊的に増幅し、政府と企業の双方に機会と課題を突きつける典型例だと見ている不安定な世界情勢法律のデジタル化だけでなく、世界情勢も変化している現在の世界は、地政学的不安定さと法の支配の弱体化によって、法的エクスポージャーが全般的に増大している状況にある企業行動を律してきた伝統的な法的メカニズムが崩れつつある WTOの紛争解決手続きは機能不全に陥っている新たな戦争は新たな制裁を意味する各国は独自の規制を導入し、遵守すべき複雑なルールが増えている政治家たちは、従来は自由で公正だった法域で競争相手を訴追し、選挙結果に異議を唱えると脅しているこうした混乱は、グローバル企業に新たな法的リスクをもたらす 2022年の調査では、社内法務担当者の99%が法的問題は大幅に増え、より複雑になったと答えている競合他社、従業員、顧客、政府規制当局など、経済的・政治的利益を狙う主体から法的措置が提起されうる法的コストの低下企業は毎年、数億ドル規模の法務サービス費用を支出している弁護士に時間当たり数千ドルを支払っている企業は、法的コストが下がっているとは感じないかもしれないが、根本的な変化が予想される約10万語に及ぶ財務省の暗号資産規則案に対して意見を提出するケースを見ると、一般人が1分あたり225語で読んだ場合、法案を読むだけで8時間かかるそれに対する回答を書くのにさらに2時間かかる可能性がある分析時間を除き、単に理解して回答を作成するのにかかる時間だけを考慮したものだ 1時間500ドルの平均的な企業向けレートを当てはめると、10時間で5,000ドルかかるより高額な弁護士が広範な作業を担えば、費用はさらに大きくなりうるしかし大規模言語モデル（LLM）にこの規則案を入力すると、数分で簡潔で分かりやすい要約を生成した LLMにビットコインブローカー、ビットコイン購入者などさまざまな役割を与えると、それぞれの立場からなぜこの規則に関心を持つべきかを説明し、提出可能な意見まで作成してくれたこれは実質的に時間もコストもかからないこうしたツールが企業に対して悪用されたらどうなるだろうか? 新規参入市場で脅威を感じた競合が、AIツールで企業の公開情報を洗い出し、数百件の著作権侵害、知的財産権侵害、営業秘密の盗用訴訟を起こしたらどうか? 小規模なレストランやカフェを運営しているとして、店に入ったすべてのスマートフォンが従業員の行動を記録し、差別容疑で提訴するのが数クリックで可能になったらどうか? 不満を持つ顧客が、プラットフォーム上で数回ボタンを押すだけで、より多くの賠償を得られ、和解額を上回る弁護士費用を発生させる苦情申立てを行えたらどうか? 企業は違法行為をしていても、法的対応コストが高いため、しばしば処罰を免れてきた従業員、顧客、競合他社は、法的紛争には時間、費用、注意力が奪われるため慎重になるしかし法的措置がはるかに容易になれば、より多くの訴訟が提起されるだろうこれは、豊富な法務リソースと専門性を持つ企業の非対称な優位を取り除くことで、競争条件を平準化する場合によっては正義の実現に寄与し、また場合によっては不当な攻撃を助長するいずれにせよ、企業に新しい法的リスクの世界を開く新たなサイバーリスク法的リスクには不慣れでも、サイバーセキュリティ分野は数十年にわたって大規模リスクに対処してきており、今後押し寄せる法的措置の波に対応するうえで有益な教訓を与えてくれる数百社が直面している法的措置の種類や、それを生み出す技術エンジンに関するデータを共有したり、脆弱性の共有と低減のための技術に共同投資したりすることを想像してみてほしいこれはサイバーセキュリティ分野では一般的だ CVE(Common Vulnerabilities and Exposures)からNVD(National Vulnerability Database)まで、政府、企業、学界、バグバウンティハンターは情報共有の重要性を理解しているしかしCEOや法務責任者が、自社の法的脆弱性やエクスポージャーを共有することを良い考えだと思うのは難しい弁護士・依頼者間秘匿特権、機密保持、独占禁止法違反などを理由に、即座に反対するだろうこれは、特定の主体による具体的な法的措置という、従来なじみのある法的リスク構造に基づく判断だしかし将来の法的リスクは、インターネットのフィッシング攻撃に似た法的調査の形になるだろう個別対応ではなく大量生成され、複数の主体によって開始されるようになる組織化されれば、DDoS攻撃のようにトラフィック流入で標的を無力化する形で進行しうるこれは、意見の殺到によって財務省を圧倒しようとした事例に似ている DDoS攻撃は、取るに足らない不便として見過ごされていたものが、ある時点で突然深刻化するサーバーへのリクエストがインターネットの一部であるのと同様に、規則案への意見提出や顧客の苦情申立ても、行政法や消費者権利行使の一部にすぎないしかし一度にあまりにも多くの要求が殺到すれば、システムは麻痺するサイバーセキュリティ分野では、サイバー不安定性は犯罪者や敵対勢力を除くすべての人にとって悪いものだという認識が前提にある企業も、自社や顧客の機微なデータを保護できなかった責任を問われうるが、多くの場合は被害者と見なされる Petya(2016)とNotPetya(2017)の攻撃は、同じ脆弱性を悪用してユーザーファイルを暗号化したが、目的は異なっていた Petyaは犯罪者が拡散したランサムウェアで、費用を支払わなければデータを取り戻せなかった NotPetyaは、ロシアがデータ破壊を目的に拡散したと推定されているどちらの場合も、Maerskのような被害企業は被害者と見なされたロシアなどの国家主体が、企業やすでに過負荷状態にある法制度を通じて、同様の攻撃を法制度に仕掛けないと言い切れるだろうか? 北朝鮮、ロシア、イランは、米国の人種差別や司法への不平等なアクセスを非難してきた苛立った顧客や競合他社にAIベースの訴訟サービスを提供することで、米国を当惑させ、主要企業への信頼を損なうこともありうる身代金要求者は処罰リスクのために活動が制約されるが、攻撃的な法的戦略の追求は合法であるむしろ、その攻撃を正義の実現や力の不均衡是正のための効率的手段だと自ら正当化しやすい法的脅威が増すにつれて、誰が金銭を狙っているのか、誰が攻撃コストを負わずに苦痛で恥ずかしいディスカバリー手続きを受けさせようとしているのかを見極めるのは難しくなるだろう情報とノイズを区別しにくい状況の中で、法的リスクをふるい分ける新しい技法が必要になる AIでAIに対抗するのが自然な帰結になるだろう新たな法的防御線現在、企業は重大な法的リスクを取締役会で扱い、法的措置や案件が重要性の基準を満たしたときにのみ、企業のリスクレーダーに捉えられるしかしこれは、将来の法的リスクに対する正しいフィルタリング方法ではないこの新しい現実に備えるには、サイバーセキュリティの対応方法を参考にすべきだ脆弱性、新たな脅威と潜在的影響、リスク緩和措置、社内外ステークホルダーとのコミュニケーション戦略などを迅速に把握しなければならない法律事務所DLA Piperは、企業とともに「リーガル・レッドチーム」演習を通じて脆弱性を特定しているまず、基本的なアプローチと戦略を策定せよ法的リスク増大に対応する技術投資を決定できるもちろん、人手を投入するという従来型の方法、すなわち社内弁護士の増員や法律事務所へのアウトソーシングも、当面は有効だろう次に、企業戦略チームと法務チームが連携して現状を分析せよ重要市場はどこか? 市場シェア獲得のために手段を選ばない競合はどこにいるか? どの法制度にさらされており、AIベースの大量法的攻撃が起きた場合にそれはどう機能するのか? 撤退すべき場所はないか? 今すぐ脆弱性を減らせる緩和策は何か? 世界の動向を監視することも重要だ法的リスク向けのCVEシステムはないが、法律業務のデジタル化と司法システムの透明化の取り組みによって、データは豊富にあるここに既存の法的リスクデータを組み合わせれば、優れた出発点になるだろうリスクが特定されたら、対応チームを編成し、対応システムとプロセスを設計せよ NIST CSF 2.0などのサイバーセキュリティのベストプラクティス・フレームワークを検討し、社内のサイバーセキュリティチームと議論せよ法務責任者は、CISOがSOCを運営する方法から多くを学べるだろう協力を歓迎する外部パートナーを探せ業界団体、パートナー企業、一部の政府機関などとともに、特定タイプの攻撃に対する包括的な対応策を整えられる軽率な知的財産権請求の攻勢は、規制や立法支援を求めるロビー活動の根拠にもなりうる最後に注意点として、このリスクを過小評価してはならない技術のおかげで、財務省は12万件の意見を処理しなければならなかった「法的洪水が押し寄せる前に備えよ」

(hbr.org)

16 ポイント投稿者 xguru 2024-10-07 | 4件のコメント | WhatsAppで共有

AIにより、顧客、従業員、競合他社、規制当局が、より簡単かつ低コストで法的措置を取れるようになっている
将来の法的リスクは、インターネットのフィッシング攻撃に似た法的調査の形で現れ、個別対応ではなく大量生成され、複数の主体によって開始されるようになる
組織化されれば、DDoS攻撃のようにトラフィック流入で標的を無力化する形で進行しうる
企業はサイバーセキュリティの対応策を参考に、脆弱性の把握、影響分析、リスク緩和措置、ステークホルダーとのコミュニケーション戦略などを迅速に策定すべきである

法律サービスにおける破壊的変化の可能性

昨年、米財務省は脱税防止のため、暗号資産の情報開示を拡大する法案を提案した
暗号資産業界は、義務の範囲が広すぎるとして強く反発した
DeFi業界に法的支援を提供する「LexPunk Army」という開発者・弁護士コミュニティが、規則案に誰でも意見を提出できるAIボットを公開した
このボットによって、適切な形式で簡単に意見を提出できるようになり、大量の意見提出で財務省の対応は遅れ、将来の法的異議申し立ての土台も築かれた
通常、新たな規制に対する意見数は約3件程度だが、この規則案には12万件が提出された
最終規則は大幅に緩和され、Blockchain Associationはこれを業界とコミュニティの強い声が反映された結果だと評価した
これが技術と法に精通した小規模集団による一度きりの勝利にとどまるのか、それとも個人や企業の法活用のあり方に広範な混乱をもたらすのかという問いが生じる
私たちは後者だと考えており、これは技術が法律サービスと手続きを破壊的に増幅し、政府と企業の双方に機会と課題を突きつける典型例だと見ている

不安定な世界情勢

法律のデジタル化だけでなく、世界情勢も変化している
現在の世界は、地政学的不安定さと法の支配の弱体化によって、法的エクスポージャーが全般的に増大している状況にある
企業行動を律してきた伝統的な法的メカニズムが崩れつつある
- WTOの紛争解決手続きは機能不全に陥っている
- 新たな戦争は新たな制裁を意味する
- 各国は独自の規制を導入し、遵守すべき複雑なルールが増えている
- 政治家たちは、従来は自由で公正だった法域で競争相手を訴追し、選挙結果に異議を唱えると脅している
こうした混乱は、グローバル企業に新たな法的リスクをもたらす
2022年の調査では、社内法務担当者の99%が法的問題は大幅に増え、より複雑になったと答えている
競合他社、従業員、顧客、政府規制当局など、経済的・政治的利益を狙う主体から法的措置が提起されうる

法的コストの低下

企業は毎年、数億ドル規模の法務サービス費用を支出している
弁護士に時間当たり数千ドルを支払っている企業は、法的コストが下がっているとは感じないかもしれないが、根本的な変化が予想される
約10万語に及ぶ財務省の暗号資産規則案に対して意見を提出するケースを見ると、
- 一般人が1分あたり225語で読んだ場合、法案を読むだけで8時間かかる
- それに対する回答を書くのにさらに2時間かかる可能性がある
- 分析時間を除き、単に理解して回答を作成するのにかかる時間だけを考慮したものだ
- 1時間500ドルの平均的な企業向けレートを当てはめると、10時間で5,000ドルかかる
- より高額な弁護士が広範な作業を担えば、費用はさらに大きくなりうる
しかし大規模言語モデル（LLM）にこの規則案を入力すると、数分で簡潔で分かりやすい要約を生成した
LLMにビットコインブローカー、ビットコイン購入者などさまざまな役割を与えると、それぞれの立場からなぜこの規則に関心を持つべきかを説明し、提出可能な意見まで作成してくれた
- これは実質的に時間もコストもかからない
こうしたツールが企業に対して悪用されたらどうなるだろうか?
- 新規参入市場で脅威を感じた競合が、AIツールで企業の公開情報を洗い出し、数百件の著作権侵害、知的財産権侵害、営業秘密の盗用訴訟を起こしたらどうか?
- 小規模なレストランやカフェを運営しているとして、店に入ったすべてのスマートフォンが従業員の行動を記録し、差別容疑で提訴するのが数クリックで可能になったらどうか?
- 不満を持つ顧客が、プラットフォーム上で数回ボタンを押すだけで、より多くの賠償を得られ、和解額を上回る弁護士費用を発生させる苦情申立てを行えたらどうか?
企業は違法行為をしていても、法的対応コストが高いため、しばしば処罰を免れてきた
従業員、顧客、競合他社は、法的紛争には時間、費用、注意力が奪われるため慎重になる
しかし法的措置がはるかに容易になれば、より多くの訴訟が提起されるだろう
これは、豊富な法務リソースと専門性を持つ企業の非対称な優位を取り除くことで、競争条件を平準化する
場合によっては正義の実現に寄与し、また場合によっては不当な攻撃を助長する
いずれにせよ、企業に新しい法的リスクの世界を開く

新たなサイバーリスク

法的リスクには不慣れでも、サイバーセキュリティ分野は数十年にわたって大規模リスクに対処してきており、今後押し寄せる法的措置の波に対応するうえで有益な教訓を与えてくれる
数百社が直面している法的措置の種類や、それを生み出す技術エンジンに関するデータを共有したり、脆弱性の共有と低減のための技術に共同投資したりすることを想像してみてほしい
- これはサイバーセキュリティ分野では一般的だ
- CVE(Common Vulnerabilities and Exposures)からNVD(National Vulnerability Database)まで、政府、企業、学界、バグバウンティハンターは情報共有の重要性を理解している
しかしCEOや法務責任者が、自社の法的脆弱性やエクスポージャーを共有することを良い考えだと思うのは難しい
- 弁護士・依頼者間秘匿特権、機密保持、独占禁止法違反などを理由に、即座に反対するだろう
- これは、特定の主体による具体的な法的措置という、従来なじみのある法的リスク構造に基づく判断だ
しかし将来の法的リスクは、インターネットのフィッシング攻撃に似た法的調査の形になるだろう
- 個別対応ではなく大量生成され、複数の主体によって開始されるようになる
- 組織化されれば、DDoS攻撃のようにトラフィック流入で標的を無力化する形で進行しうる
- これは、意見の殺到によって財務省を圧倒しようとした事例に似ている
DDoS攻撃は、取るに足らない不便として見過ごされていたものが、ある時点で突然深刻化する
- サーバーへのリクエストがインターネットの一部であるのと同様に、規則案への意見提出や顧客の苦情申立ても、行政法や消費者権利行使の一部にすぎない
- しかし一度にあまりにも多くの要求が殺到すれば、システムは麻痺する
サイバーセキュリティ分野では、サイバー不安定性は犯罪者や敵対勢力を除くすべての人にとって悪いものだという認識が前提にある
- 企業も、自社や顧客の機微なデータを保護できなかった責任を問われうるが、多くの場合は被害者と見なされる
- Petya(2016)とNotPetya(2017)の攻撃は、同じ脆弱性を悪用してユーザーファイルを暗号化したが、目的は異なっていた
  - Petyaは犯罪者が拡散したランサムウェアで、費用を支払わなければデータを取り戻せなかった
  - NotPetyaは、ロシアがデータ破壊を目的に拡散したと推定されている
  - どちらの場合も、Maerskのような被害企業は被害者と見なされた
ロシアなどの国家主体が、企業やすでに過負荷状態にある法制度を通じて、同様の攻撃を法制度に仕掛けないと言い切れるだろうか?
- 北朝鮮、ロシア、イランは、米国の人種差別や司法への不平等なアクセスを非難してきた
- 苛立った顧客や競合他社にAIベースの訴訟サービスを提供することで、米国を当惑させ、主要企業への信頼を損なうこともありうる
身代金要求者は処罰リスクのために活動が制約されるが、攻撃的な法的戦略の追求は合法である
- むしろ、その攻撃を正義の実現や力の不均衡是正のための効率的手段だと自ら正当化しやすい
法的脅威が増すにつれて、誰が金銭を狙っているのか、誰が攻撃コストを負わずに苦痛で恥ずかしいディスカバリー手続きを受けさせようとしているのかを見極めるのは難しくなるだろう
- 情報とノイズを区別しにくい状況の中で、法的リスクをふるい分ける新しい技法が必要になる
- AIでAIに対抗するのが自然な帰結になるだろう

新たな法的防御線

現在、企業は重大な法的リスクを取締役会で扱い、法的措置や案件が重要性の基準を満たしたときにのみ、企業のリスクレーダーに捉えられる
- しかしこれは、将来の法的リスクに対する正しいフィルタリング方法ではない
この新しい現実に備えるには、サイバーセキュリティの対応方法を参考にすべきだ
- 脆弱性、新たな脅威と潜在的影響、リスク緩和措置、社内外ステークホルダーとのコミュニケーション戦略などを迅速に把握しなければならない
- 法律事務所DLA Piperは、企業とともに「リーガル・レッドチーム」演習を通じて脆弱性を特定している
まず、基本的なアプローチと戦略を策定せよ
- 法的リスク増大に対応する技術投資を決定できる
- もちろん、人手を投入するという従来型の方法、すなわち社内弁護士の増員や法律事務所へのアウトソーシングも、当面は有効だろう
次に、企業戦略チームと法務チームが連携して現状を分析せよ
- 重要市場はどこか? 市場シェア獲得のために手段を選ばない競合はどこにいるか?
- どの法制度にさらされており、AIベースの大量法的攻撃が起きた場合にそれはどう機能するのか?
- 撤退すべき場所はないか? 今すぐ脆弱性を減らせる緩和策は何か?
世界の動向を監視することも重要だ
- 法的リスク向けのCVEシステムはないが、法律業務のデジタル化と司法システムの透明化の取り組みによって、データは豊富にある
- ここに既存の法的リスクデータを組み合わせれば、優れた出発点になるだろう
リスクが特定されたら、対応チームを編成し、対応システムとプロセスを設計せよ
- NIST CSF 2.0などのサイバーセキュリティのベストプラクティス・フレームワークを検討し、社内のサイバーセキュリティチームと議論せよ
- 法務責任者は、CISOがSOCを運営する方法から多くを学べるだろう
協力を歓迎する外部パートナーを探せ
- 業界団体、パートナー企業、一部の政府機関などとともに、特定タイプの攻撃に対する包括的な対応策を整えられる
- 軽率な知的財産権請求の攻勢は、規制や立法支援を求めるロビー活動の根拠にもなりうる
最後に注意点として、このリスクを過小評価してはならない
- 技術のおかげで、財務省は12万件の意見を処理しなければならなかった
- 「法的洪水が押し寄せる前に備えよ」

4件のコメント

lcanon 2024-10-07

法制度に対する一種のDDoS攻撃ですね。このようなサボタージュが、実質的な正義を実現する法の支配の精神と何の関係があるのでしょうか？

mammal 2024-10-08

発明の保護という名目で始まった特許もそう使われていますが、さて……

nuthatch 2024-10-07

道具は使いようと言うけれど…
AIの発達で真っ先に消えると予想されていた職種が、むしろその流れに乗った格好ですね。

savvykang 2024-10-07

AIの発達によって法律家の仕事がなくなるという予想は、元記事の事例を除いて考えてみても、あまり説得力がないと思います。依頼人の立場からすれば、裁判で負けたくないなら、法理の検討や意思決定もせずに、LLMが出した結果だけを持って訴状を提出することはないでしょう。AIが導入されるとしても行政手続きはそのままなので、準備しなければならない書類が減るわけでもありません。