AIガバナンスの活路は稀少人材にあり？プロ人材が詳解する、形骸化しないAIリスク対応策

生成AIが急速に普及する昨今、AIの利用によるリスクも表面化しつつあります。機密情報の漏えいや偽情報の拡散、倫理リスクなど、AIがもたらす脅威に対して、企業はどのように体制を整えるべきでしょうか。

東北大学データ駆動科学AI教育研究センター特任准教授で、AIコンサルティングとAIエージェント開発を行うAI Librarium株式会社の代表取締役CEO西川 智章氏は「AIによるリスクは、従来のITリスクとは性質が異なります」と指摘します。AIガバナンスにおけるプロ人材でもある同氏に今、企業が取るべきAIリスクへの対応策を伺いました。

――AIガバナンスとは何かを教えてください。

西川氏：AIガバナンスとは、AIを安全、公正、透明に活用するためのルールや組織体制の総称です。たとえるなら、自動車の運転に交通法規、車検、保険といった規制があるように、AIの活用がもたらすリスクを低減するための取り組みと言えます。

AIがもたらすリスクは複雑です。たとえば、生成AIサービスに顧客情報を学習させれば情報漏えいのリスクがありますし、事実とは異なる情報を生成するハルシネーションによる誤情報に基づいて発信や意思決定をしてしまうおそれもあるでしょう。また、AIは学習した情報の偏りにより差別やバイアスに基づいた出力をする「倫理リスク」もはらんでおり、対応すべき脅威は幅広いです。

その意味では、AIがもたらすリスクは従来のITリスクとは性質が異なります。ソフトウェアなどの従来のITは、プログラムベースで動作するためリスクの予測が立てやすく、インシデントの原因や責任の所在も比較的明確でした。しかし、AIの場合は、学習データをもとに予測不能な動作をするため、インシデントの原因を究明しにくく、責任の所在もあいまいです。たとえば、AIが制御する自動運転車が交通事故を起こした場合、その責任は運転者、自動車メーカー、AI開発企業のいずれにあるのか。そう考えると、AIリスクの複雑さが分かると思います。

また、AIリスクがもたらす影響は甚大です。たとえば、SNS炎上によるレピュテーションの低下や行政処分などの処罰のリスクは十分に考えられます。こうした打撃を回避するためにも、AIガバナンスへの対応は欠かせないでしょう。

――日本におけるAIガバナンスの現状をどのように見られていますか。

西川氏：欧州には後塵を拝していますが、日本でも一部で整備が進みつつあるのが現状です。2024年4月には総務省・経済産業省が「AI事業者ガイドライン（第1.0版）」を発出、このようなガイドラインのもと、大手企業を中心にAIガバナンスの体制が整えられています。

ただし、AIガバナンスの世間的な定着には、まだ時間を要するというのが私の見方です。というのも、AIガバナンスは、AIを組織的に活用できなければ確立が難しいからです。個人ごとや部門ごとに散発的にAIを利用している状況では、全社的な組織体制やルールはなかなか定められません。AIガバナンスを構築するには、まず「AIを全社的に利用できるようにすること」が条件なのです。昨今の動向を見るに「AIをどのように活用するか」というフェーズにある企業がまだまだ多く、世間的な定着には一定の時間を要するのが実情だと思います。

――今後、AIガバナンスを構築する企業は、どのように取り組みを進めればよいのでしょうか。

西川氏：AIリスクは新規性が高く、幅広い対応が求められる領域ですが、基本的にはリスク管理のフレームワークに則って対策すべきだと思います。

中でも事前におさえておきたいのは、「人材面」の問題です。前述のようなリスク管理のフレームワークに則って実践する場合、たとえば日常業務実施においては効率性やスピードが重視なされる一方、リスク管理やコンプライアンスの観点においては厳密な管理や審議が重要になります。前者と後者では相反する性質であるため両者には意見の相違や対立が容易に想定されます。だからこそ、この間を取り持つ役割が求められるのですが、ことAIガバナンスにおいてはそもそもここをおさえられる人材が大変稀少に思います。

というのも、AIガバナンスにおけるこのポジションは、内部統制とAIの双方に知見を有していなければいけません。そもそもAIは比較的新しい技術であり、専門人材の少ない領域です。それに加えて内部統制にも精通している人材となると適任者はさらに限られます。

そのため、AIガバナンスを実践する際には、多くの企業で外部人材の力を借りることになるのではないでしょうか。人材市場全体では稀少ですが、国内にも大手企業のAIガバナンスの体制構築などを支援した専門人材が一定数存在します。そうした人々の知見を活用しながら、自社の体制を整備していくのが効率的だと思います。

――具体的にAIガバナンスの体制構築やリスク対策はどのように行われるのでしょうか。

西川氏：AIリスガバナンスの体制構築は、以下の6段階に分けられます。

① ガバナンス体制
AIガバナンス委員会を設置し、業務実施担当やリスク管理、コンプライアンス担当などの役割を明確化。AIガバナンスの実施主体となる組織を構築。
▼
② リスク評価と管理
具体的なリスクの洗い出しや評価を行い、管理方法を策定。AIガバナンスの導入計画に落とし込む。
▼
③ ポリシーと手続き
利用目的や禁止事項などを明文化したAI利用ガイドラインを策定し、ガイドラインの改訂プロセスも整備する。
▼
④ 教育と意識向上
AIリスクや禁止事項、倫理的配慮などの教育を実施するとともに、AIガバナンスに関する報告や相談を受け付ける窓口を設置する。
▼
⑤ モニタリングと改善
利用状況や出力ログなどを監視して運用状況を管理するとともに、ガイドラインなどに基づいて運用の改善を継続的に行う。
▼
⑥ 法令遵守と倫理的配慮
個人情報保護法、著作権法、労働法、その他法令や倫理ガイドラインに基づいて、上記プロセス全体を定期的に監査する。

このプロセスのポイントはPDCAを回すことです。①から④までプロセスをスピーディに実施して、⑤モニタリングと改善を繰り返すなかで、ガバナンスの体制やAIの活用レベルを高めていきます。正確性も重要ですが、完璧主義に陥ることなく「小規模で始め、迅速に改善を繰り返す」ことが成功の秘訣でしょう。

また、リスク評価も重要なポイントです。先ほども述べましたが、AIリスクは多岐に渡るため、すべてのリスクに均等のリソースを割くわけにはいきません。リスクの高いほうから優先順位を付けて対策にのぞみましょう。

日本企業の場合は、法令違反のリスクのある個人情報保護や著作権違反の優先順位が高くなると思いますが、企業ごと、事業ごとにも事情は異なります。そのため、自社独自でのリスク評価が必須です。たとえば、「重要度」と「発生可能性」の2つの評価軸で、想定されるインシデント事例をマッピングして評価を行うと、リスクの大小が明らかになると思います。こうした取り組みを通じて、自社の優先順位を明確にすることをお勧めします。

――最後に、AIガバナンスに取り組む企業にメッセージをお願いします。

西川氏：AIに限らず、ガバナンスは顧客や社会からの信頼を得るために欠かせないです。ガバナンスがなければ、組織の統制もステークホルダーへの説明責任も果たせません。今後、AIを安全で安心に活用していくためにも必要な取り組みと捉え、前向きにのぞんでほしいと思っています。

【プロフィール】

西川 智章（にしかわ・ともあき）
東北大学 データ駆動科学 AI教育研究センター 特任准教授（客員） AIコンサルティングとAIエージェント開発を手掛けるAI Librarium株式会社の代表取締役CEOとして、企業の経営課題解決を多数支援。最大の強みは、シリアルアントレプレナーとしての実体験に裏打ちされた『机上の空論ではない』戦略実行力。過去、自ら創業したAIスタートアップを、住友商事やDBJキャピタル等から資金調達を実現し成長させた後、上場企業へ売却（M&A）した経験あり。PwCコンサルティングで培った戦略構想力と富士数で経験したテクノロジーの実装力や自ら手を動かすプロダクト開発の知見を掛け合わせることで、テクノロジーを深く理解したビジネスコンサルタントとして独自の価値を提供。国内外の多様な業界で、ビジネスとテクノロジーを架橋し、構想から実行までを一気通貫で支援。米国公認会計士（ワシントン州）

生成AIの活用が組織の命運を左右する昨今、AIガバナンスに煩わしさを感じる企業も多いでしょう。しかし、今後、AIの世間的な普及に伴って、法規制やガイドラインの強化も十分見越されます。リスクを回避しながら、AIのメリットを享受するためにも、先んじた対策が必要です。

「HiPro Biz」にはリスク管理や内部統制に数多くの実績を有するプロ人材や、AIガバナンスにおける知見が豊富なプロ人材も多数登録しています。新たな時代に適した組織を築くためにも、ぜひ「HiPro Biz」の活用をご検討ください。