世界中で土壌や作物のデータを活用したスマート農業 が脚光を浴びる中、そのデータマネジメントの重要性 も認識が高まっています。これは他のビジネスにも共通 しますが、生み出される製品(農業においては作物)は 安全な必要があり、また環境や社会に優しい必要があ ります。農業でデータを積極的に活用するにあたって は、今までは電子化されていなかった土壌や作物の“ 状態”をデータとして収集することになるため、伝統的 なセキュリティの観点に加えて、正確性や有効性といっ た観点に注目することが肝要です。さらにAIを活用する 場合には、予測不可能性やブラックボックスといった特 性を考慮したマネジメントを行う必要があります。こう した新たな観点に対応するために、包括的なI&Tガバナ ンス・マネジメントフレームワークであるCOBIT2019を 使用します。
スマート農業とは
スマート農業とは、農産物の高品質・高付加価値化や生 産性向上を図るために、ロボット、AI、IoTなどの先端技 術を活用した農業です。なかでも、データ分析やAIによ る支援サービスの研究開発は活況です。これは、農作物 や土壌、周辺環境等のデータをセンサーで収集し、それ を分析あるいはAIによって処理することで生産者の判 断・アクション(生産計画、耕起、播種、施肥、収穫、出 荷等)に結び付けるサービスです。今までは熟練生産者 のノウハウと勘で行っていた高度な判断・アクションにつ いて、その一部がデジタル技術によって支えられること になるわけです。これにより、農産物の高品質・高付加 価値化や生産性向上が簡単に狙えるようになります。
日本においては農林水産省がスマート農業総合推進 対策事業として農業データ連携基盤(WAGRI)の活用 を推進しています。2025年に向けた政策目標として「 農業の担い手のほぼ全てがデータを活用した農業を実 践」が掲げられて1います。1
農業へのデータ・AI活用に潜むリスク
本記事では農業第一線での対応が特に重要と考えられ る、データの信憑性や有効性の低下によって誤った判 断・アクションに繋がるリスクと、AIの予測不可能性や 不透明性(ブラックボックスエフェクト)3から生じるリ スクを取り上げます。2
なお、これら以外にも、セキュリティ(機密性、完全性、 可用性)やデータ権利・契約上のリスク等も考えらま す。例えば、栽培が難しく希少価値が高い作物につい て、土壌、日照条件、気温、散水、追肥条件等が作物の 品質にどのように影響するかを分析可能な一連のデー タセットには高い価値があります。このデータセットの 機密性をどのように確保すべきか、内部不正や事故によ る漏えいやサイバー攻撃による流出からどのように保護 するかについては、情報セキュリティに関するガイドラ イン(COBIT2019を含む)が役立つことでしょう。
COBIT2019の活用
さて、データとAIを活用したスマート農業を成功裏に 進めるため、COBIT2019の活用箇所を考えてみましょ う。COBIT2019の基本的な考え方4は以下の通りです。3
- 情報と技術が組織のゴール達成に貢献するために は、いくつかのガバナンスとマネジメントの目標を達 成すべきである。
- ガバナンスとマネジメント目標を達成するために、 組織は、いくつかのコンポーネントから構築された ガバナンスシステムを確立し、調整し、維持する必要 がある。
- コンポーネントは、多様なタイプになりえる。最も身 近なものはプロセスである。ただし、ガバナンスシス テムのコンポーネントには組織構造、すなわち、ポリ シーと手順、情報項目、文化と行動、スキルと能力、 サービス、およびインフラストラクチャとアプリケー ションもある。
COBITコアモデルとして、40のガバナンス・マネジメン ト目標が示されています。そして、目標毎にコンポーネン トの詳細が示されています(図表3)。
Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
目標毎にコンポーネントの詳細が示されています。例え ば、プロセスコンポーネントには、プラクティス、活動、 測定指標例、関連するガイドラインが含まれます。
本記事では、スマート農業第一線での対応が重要なリ スク例(図表.2)に対応するマネジメント目標を選択し たうえで、プロセス、組織構造および文化といったコン ポーネントについて検討します。
Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
マネジメント目標
データの正確性、有効性およびAIの予測不可能性、不 透明性のリスク例1-4が対応する目標は複数あります が、データについて1つ、AIについて1つをよりぬくと 「APO14 管理されたデータ」および「DSS06 管理さ れたビジネスプロセスコントロール」が選択できます。
これらが選択できる理由は、次に記述するプロセスコ ンポーネント(APO14 監理されたデータ、DSS06 管 理されたビジネスプロセスコントロール)を見ると明ら かです。
Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
プロセス
COBIT プロセスは複数のプラクティスで構成されていま す。データの正確性、有効性およびAIの予測不可能性、不 透明性のリスク例1-4には主に以下が対応します。
各プラクティスの説明を参照することで、データやAIを 活用した農作業オペレーションにおける具体的な対応 策を検討することができます。
加えて、COBITは各プラクティスに対応する組織構造も 示しています。
大規模な農業法人においては、経営陣や管理者として 複数名を確保することが可能であり、図表9 に沿うこ とが可能です。一方で、家族経営を行う農家や小規模 な農業法人においては、上記の役割を一人の個人が兼 務します。高度なデータ分析やAIを活用するにあたって は、外部の専門家やソリューションプロバイダーに頼る ケースも多くなりますが、対応策の実行責任が事業の 主体者側にあること、経営上の代表者やビジネスプロ セスオーナー(本事例の場合は農作物選定作業の責任 者)に説明責任があることが改めて認識できます。
Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
文化
最後に、2つの目標に対応する重要な文化要素を参照 し、データの正確性、有効性およびAIの予測不可能性、 不透明性のリスク例1-4に対応する「望まれる状態」を 検討します。
Note: R=Responsibility and A=Accountability. Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
データとAIを活用した農業において、上記の状態を形 成することが重要なのは明らかです。またこれは、デー タやAIを積極的に活用する他の業態にも当てはまるで しょう。幾多のガイドラインの中でも文化に言及してい るものは少なく、この点でもCOBITの潜在能力を感じる ことができます。プロセスや組織構造を実装するだけで なく、合わせて文化を醸成することで、より効果的なガ バナンス・マネジメントを確保することができます。
まとめ
スマート農業に限らず、あらゆる業種・業態でデジタル トランスフォーメーションが進んでいます。サービスや 製品アイデアを概念検証段階から実際のビジネス現場 に投入するにあたっては、様々なリスクを考慮する必要 があります。特に、世の中にまだない新サービスや製品 では新しいリスクへの対応をタイムリーに行うことは通 常困難です。
COBITは25年以上に渡って学術あるいは実践現場か らの洞察を取り入れ、改善・進化してきました。COBIT が示すマネジメント目標とその構成要素(コンポーネン ト)が、データやAIを活用した新しいビジネス領域での リスク対応についても、大きな威力を発揮することが分 かりました。
Source: ISACA®, COBIT® 2019 Framework: Governance and Management, USA, 2018. Reprinted with permission.
<著者のコメント>
本記事の内容は筆者の個人的見解に基づくものであ り、PricewaterhouseCoopers Aarata LLCまたは PwC Consulting LLCの公式見解を示すものではあり ません。
Endnotes
1 Ministry of Agriculture, Forestry and Fisheries (MAFF), FY2021 Budget Estimate Request (23 Smart Agriculture Comprehensive Promotion Measures Project), Japan, 2021, https://www.maff.go.jp/j/budget/pdf/r3yokyu_pr23.pdf
2 European Commission, White Paper on Artificial Intelligence: A European Approach to Excellence and Trust, Brussels, Belgium, 19 February 2020, https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-europeanapproach-excellence-and-trust_en
3 ISACA®, COBIT®, 2019 Framework: Introduction and Methodology, USA, 2018, https://www.isaca.org/resources/cobit
Mitsuhiko Maruyama, CISA
PwCコンサルティング合同会社 パートナー <br />25年にわたり製造業、サービス業、金融機関、政府などの幅広い業種に対するサイバーセキュリティ、ITリスク分野のコンサルティング、監 査に携わる。内閣官房に出向し、内閣官房サイバーセキュリティセンターの立ち上げ、政府統一基準の策定、改訂に関与。ISMS制度の立ち 上げ、普及にも関わる。内閣官房、総務省、経済産業省などの有識者委員に多数就任しているほか、過去にISACA東京支部の理事を務めて いる
Taiji Ayabe, CISA
PwCあらた有限責任監査法人 パートナー
サイバーセキュリティ、プロジェクト監査、ITガバナンス、システムリスク管理関連業務の責任者として多数のクライアントにサービスを提 供している。特にITガバナンスの知見を生かしたサイバーセキュリティにおけるガバナンスを検討することを得意としている。またインシデ ントが発生した場合の再発防止策検討や有効性評価の実績を多数有する。2019年7月よりPwC Japanグループのサイバーセキュリティ Co-Leaderを務める。
Yotaro Sato, CISA, CGEIT
PwCあらた有限責任監査法人 シニアマネージャー
金融、製造業やサービス業など幅広い業種の企業に向けた、ITガバナンス高度化支援、プロジェクト監査、システムリスク管理、内部監査支 援などのアドバイザリー業務に従事。最近では、アジャイル開発、DevOpsなどのモダンなプロセスを採用する組織に対してアドバイザリー 業務を行っている。
Alexander Vinson
PwCあらた有限責任監査法人 アソシエイト
製造や金融業など幅広い業種のシステムレビューやセキュリティアドバイザリーに従事している