La sicurezza dei dati e l’uso etico dell’intelligenza artificiale sono state considerazioni cruciali per Thomson Reuters nello sviluppo di soluzioni come CoCounsel, il nostro assistente di intelligenza artificiale generativa (GenAI) per professionisti legali, fiscali e contabili.
Abbiamo parlato con Carter CousineauVicepresidente di Data and Model Governance di Thomson Reuters, per parlare di come la sua azienda sta assicurando agli utenti della sua tecnologia AI che i loro dati sono tenuti al sicuro dai criminali informatici. Il lavoro di Carter include la creazione di programmi di sicurezza ed etica dei dati AI di Thomson Reuters.
Domande e risposte con Carter
Quali misure implementa Thomson Reuters per proteggere i dati degli utenti e rispettare le normative sulla privacy dei dati?
Qualsiasi tipo di progetto che implichi la creazione e l’utilizzo di casi di utilizzo dell’intelligenza artificiale e dei dati passa attraverso quella che chiamiamo “valutazione dell’impatto dei dati”. Questo termine lo fa sembrare semplice rispetto a quanto copre effettivamente. Il modello di valutazione dell’impatto dei dati che abbiamo sviluppato incorpora la governance dei dati, la governance del modello, le questioni relative alla privacy, le domande sollevate dal General Counsel di Thomson Reuters, le questioni relative alla proprietà intellettuale e la gestione del rischio per la sicurezza delle informazioni. Abbiamo iniziato il nostro processo di sviluppo per la valutazione dell’impatto dei dati incorporando la nostra valutazione dell’impatto sulla privacy nella prima versione.
In una valutazione dell’impatto dei dati, utilizziamo il termine “caso d’uso” per un progetto o un’iniziativa aziendale di Thomson Reuters. Porremo all’azienda diverse domande nel nostro processo di valutazione, come ad esempio:
- Quali sono i tipi di dati in questo caso d’uso?
- Quali sono i tipi di algoritmi?
- Qual è la giurisdizione in cui stai tentando di applicare questo caso d’uso?
- In definitiva, quali sono gli scopi previsti del prodotto?
In termini di identificazione dei rischi, è qui che entrano in gioco molte questioni relative alla privacy e alla governance.
Quindi sviluppiamo piani e tecniche di mitigazione chiari associati a ciascuno dei diversi rischi. Questo processo include la garanzia che i dati siano resi anonimi ove necessario, che siano predisposti accesso e sicurezza adeguati e che siano stati stabiliti accordi di condivisione dei dati. Dal punto di vista della privacy, lavoriamo per comprendere la sensibilità dei dati quando un caso d’uso utilizza, ad esempio, dati personali. Quindi, applichiamo i controlli necessari.
Con quale frequenza controlli e aggiorni le misure di sicurezza?
Quando è emersa l’intelligenza artificiale generativa, abbiamo sviluppato linee guida specifiche per Thomson Reuters. Esistono documenti procedurali che aggiorniamo costantemente durante tutto l’anno e tali documenti includono anche risposte di mitigazione. Abbiamo mappato ciascuna delle nostre dichiarazioni standard in base all’insieme di controlli che sarebbero o potrebbero essere applicati in base allo scenario di rischio e ciascuna di queste dichiarazioni è sottoposta a revisione e valutazione molto più frequenti.
Abbiamo anche quello che chiamiamo Hub IA responsabileche cattura tutto in una visione centralizzata per creare fiducia. Eseguiamo alcuni dei nostri audit e aggiornamenti annualmente, mentre molti altri sono molto frequenti. Monitoriamo le mitigazioni settimanalmente, se non quotidianamente, a seconda dell’attività e del team.
Quali misure di sicurezza utilizzate per impedire l’accesso non autorizzato o l’uso improprio dei dati?
Il nostro standard di sicurezza e gestione dell’accesso ai dati si inserisce direttamente nella nostra politica di governance dei dati. In poche parole, ci stiamo assicurando che il proprietario che fornisce l’accesso al proprio set di dati fornisca la minor quantità di informazioni necessarie per l’uso di chiunque lo richieda. Abbiamo integrato molti dei nostri controlli di sicurezza dei dati nell’ambiente della nostra piattaforma dati e disponiamo di uno strumento specifico che crea un accesso di sicurezza basato sui ruoli.
Quali risultati vorresti sottolineare?
Sono molto orgoglioso del nostro team per aver messo insieme questi concetti etici e questi rischi dell’IA. I rischi legati ai dati nello spazio etico sono particolarmente difficili da identificare chiaramente. Sono difficili da definire attraverso la gestione del rischio end-to-end e il team ha creato il Hub IA responsabile praticamente da zero. Abbiamo passato molto tempo a conversare sull’identificazione e sulla discussione dell’ampiezza e della profondità dei rischi dell’IA. Abbiamo dedicato ancora più tempo a dare vita a questi rischi per quanto riguarda il modo in cui possiamo agire su di essi e come si presenta tale azione dal punto di vista della mitigazione del rischio.
Penso che il lavoro svolto negli ultimi tre anni ci abbia permesso di gestire i rischi dell’intelligenza artificiale un po’ più rapidamente rispetto alla maggior parte delle aziende.
Puoi saperne di più su come l’intelligenza artificiale ha cambiato il futuro dei professionisti e su come lavorano.