責任あるソフトウェアエンジニアリングの紹介4章・5章 / RSE_Ch4-5

Transcript

1. ©Hitachi, Ltd. 2026. All rights reserved Forkwell Library #124 2026.05.25

   井出

2. ©Hitachi, Ltd. 2026. All rights reserved プロフィール 井出 貴也 日立製作所

   研究開発グループ デジタルインフライノベーションセンタ サービスコンピューティング研究部 研究員 クラウドネイティブ技術を基盤としたシステムの設計・開 発・運用に関する研究に従事。現在は、分散システム における信頼性と効率性の両立を軸に、コンテナ技術、 セキュリティ、オブザーバビリティ、AI品質設計、SREに基 づく運用支援など、責任あるソフトウェア技術の実現に 向けた先駆的な研究を推進している。 2

3. ©Hitachi, Ltd. 2026. All rights reserved 3 第4章：波及効果の予測と計画 4.1 安全性と害

   4.1.1 害の種類 4.1.2 安全性のためのテスト 4.1.3 安全性と倫理の関係 4.1.4 倫理を回避するための常套句 4.2 結果を見越すための方法 4.2.1 幅のあるテスト 4.2.2 ユーザーとの協働設計 4.2.3 被害一覧の見直し 4.2.4 将来的後悔の実践 4.2.5 机上演習の実施 4.2.6 加害者テストとサバイバーテストの実装 4.2.7 アプリケーションのストレステスト 4.2.8 カオスエンジニアリングの試行 4.2.9 自分とは異なる生活の学習 4.3 ケーススタディ：Googleの道徳的想像力ワークショップ 4.3.1 準備 4.3.2 次に何をするか 4.4 まとめ 「善意から開発されたにもかかわらず、 社会に有害な影響を及ぼすソフトウェア を見聞きする機会が増えました」 「被害者に会ったとき、あなたは納得の いく説明ができるでしょうか？」 ―― Daniel J. Barrett (原著者)

4. ©Hitachi, Ltd. 2026. All rights reserved 4 ⚫ あるメーカーが、薬剤の持ち出し防止のために医療用の救急カートに指紋認証ロックを採用 ⚫

   指紋認証はパスワードやPINを覚えずに使えるため利便性にも優れる ⚫ 実際の現場では、看護師は血液のついた手袋を着用 ⚫ 指紋認証が反応せず、一刻を争う状況で薬を取り出せない 問題：救急カートの指紋認証

5. ©Hitachi, Ltd. 2026. All rights reserved 「想定外の使われ方」や「最悪のシナリオ」を予測するため、本書では幾つかの体系的アプローチを紹介 どうすれば良いか：体系的な予測と対策 幅のあるテスト ユーザーとの協働設計

   被害一覧の見直し 将来的後悔 机上演習 加害者テスト/サバイバーテスト ストレステスト カオスエンジニアリング 自分とは異なる生活の学習 道徳的想像力ワークショップ 5 被害一覧の見直し 将来的後悔

6. ©Hitachi, Ltd. 2026. All rights reserved 被害一覧の見直し Reviewing a List

   of Harms Googleの論文1などで提唱されている被害の分類を参照し、 「見落としがちな被害」をチームでブレインストーミングする 6 6 体系的アプローチの例 将来的後悔 Future Regret  被害者に対して、設計理由を説明できるか  被害者が理由を聞いて納得し得るか  将来にわたって責任感が尾を引かないか 自分たちのアプリが世間に害悪を与えたとの仮定で、被害者 に出会ったとき納得のいく説明ができるか考える思考実験。 プロジェクトでの意思決定の際に、倫理的洞察を得る 1. R. Shelby et al., “Sociotechnical harms of algorithmic systems: Scoping a taxonomy for harm reduction,” arXiv preprint arXiv:2210.05791, 2022. [Online]. Available: https://arxiv.org/abs/2210.05791 対人被害： 健康、プライパシー、一般的な幸福への悪影響 配分的被害： 金銭的損失や、機会(雇用など)の不当な喪失 表象的被害： 特定社会集団のステレオタイプ化、尊厳の毀損 サービス品質の被害： 障害を持つ人々に対する、不適切なサービス提供 社会システムの被害： 文化、環境、政治など、社会全体への悪影響 観点の例

7. ©Hitachi, Ltd. 2026. All rights reserved 7 第5章：プライバシーの保護と尊重 5.1 プライバシーとは何か

   5.1.1 個人識別情報 5.1.2 データ収集、トレードオフ、利便性 5.2 ユーザー視点のプライバシー 5.2.1 驚かせない 5.2.2 透明性 5.2.3 同意 5.2.4 制御 5.3 データ視点のプライバシー 5.3.1 最小化 5.3.2 保持 5.3.3 匿名化 5.4 ツールからポリシーへ 5.5 ケーススタディ：COVIDパンデミック下での プライバシー保護 5.6 プライバシー重視の世界での生活と仕事 5.7 まとめ 「プライバシーとは多くの場合、自身の 個人データを非公開にする権利を指します」 「(プライバシーの確保は)簡単ではありませ んが、避けて通ることもできません。もうそ のような時代ではないのです。」 ―― Daniel J. Barrett (原著者)

8. ©Hitachi, Ltd. 2026. All rights reserved 8 ⚫ ある企業にて、社内サイトで注目されているトピックを割り出すために、 検索者の情報を除外した上で検索クエリを収集・公開

   ⚫ 匿名の同僚が何を検索しているのか見るのは面白いだろうという善意による施策 ⚫ 「産休」や「がんの医療給付」など検索ワードから検索者が推測され、 検索内容をもとに解雇されるなどのリスクが判明 ⚫ 検索クエリ公開機能はリリース後24時間で廃止 問題：社内システムの検索クエリ

9. ©Hitachi, Ltd. 2026. All rights reserved 9 ユーザー視点とデータ視点でプライバシーを設計する どうすれば良いか：プライバシー設計の基本原則 ユーザー視点

   驚かせない データを不合理に利用しない 透明性 収集対象とその用途を示す 同意 センシティブな利用は許可を得る 制御 データを確認・削除可能にする データ視点 最小化 機能に必要なデータだけ集める 保持 必要な期間だけデータを保持する 匿名化 個人を識別不可能にする 分散設計 中央に集めるデータを最小化する

10. ©Hitachi, Ltd. 2026. All rights reserved k-匿名性 k-anonymity 3-匿名性 ID

    Age Zip Disease 001 28 100-0005 感冒 002 29 100-0038 感冒 003 26 100-0072 胃炎 … … … … ID Age Zip Disease 001 20代 100-xxxx 感冒 002 20代 100-xxxx 感冒 003 20代 100-xxxx 胃炎 … … … … 一般化、抑制 差分プライバシー Differential privacy; DP 有用な統計情報を得られるようにしつつ、個人の特定を防ぐことが可能になるよう数学的に設計されたノイズをデータに加える手法 10 10 匿名化のアルゴリズムの例 データの組合せによる個人推定を抑止する手法。 一般化(例. 年齢→年代)、および抑制(データの削除・マスク)により、 データ内に同じ属性を持つ人が少なくともk人存在するようにする。 元データ

11. ©Hitachi, Ltd. 2026. All rights reserved 本スライドでは第4章・第5章の「ほんの入り口」をご紹介しました。 本書ではさらに実践的なノウハウが解説されています。 Googleが実践する道徳的想像力ワークショップの具体的手順 匿名化の落とし穴

    COVID接触通知アプリのプライバシー戦略 責任ある開発を実現するための「組織文化」の作り方 12 続きは『責任あるソフトウェアエンジニアリング』で Google AlphaFold公開時のリスク分析事例

12. ©Hitachi, Ltd. 2026. All rights reserved 12