AI技術の進歩が企業AIガバナンスを求める【第1回】

AIライフサイクルの多段階でリスクを評価する

　広島で2023年に開催された先進国首脳会議（G7広島サミット）の成果と、その後の計画などを「広島AIプロセス」と呼ぶ。国際的な議論をリードすると共に、国内で、いくつかの動きを生んでいる。

　その一環として、総務省と経済産業省が、それぞれの立場で推進してきたガイドラインを統合・再整理し制定したのが「AI事業者ガイドライン（第1.0版）」である。2024年4月に公表した。AI技術の開発者だけでなく、サービス提供者や利用者も対象にしており、必要に応じて参考にされたい。

　AI事業者ガイドライン（第1.0版）は、対象を限定し過ぎないような配慮と併せ、AIやAIモデル、AIシステムなどを定義したうえで、AIガバナンスを次のように定義している。

『AIの利活用によって生じるリスクをステークホルダーにとって受容可能な水準で管理しつつ、そこからもたらされる正のインパクト（便益）を最大化することを目的とする、ステークホルダーによる技術的、組織的、及び社会的システムの設計並びに運用』

　AIガバナンスが各所で論じられる理由は、一般的な想像を遥かに超えるであろう将来の技術進歩と、無限の可能性を秘める用途（ユースケース）があるからだ。

　一方で、近年のAIガバナンス機運は、生成AIやモデルの公開により、AI技術が科学的なものから身近なものに変化しつつあり、想像が容易になったことや、判明してきたことの増加、一部リスクの顕在化などが影響している。残念ながらリスクの議論は体系的ではなく、断片的であり、未だ成熟した状況にはない。本連載では第2回以降で、その整理を試み解説したい。

　企業が構築すべきAIガバナンスの中心は、AIシステムのバリューチェーン、換言すればAIシステムのライフサイクルにおける各プレイヤーの役割を明らかにし、その過程でリスクを識別して抑えていくことになるだろう。

　AI事業者ガイドライン（第1.0版）のほか、米国立標準技術研究所（NIST）の「AIリスクマネジメントフレームワーク」が同様の考え方を持っている。ハードローとして成立したEU AI規制法においても、品質管理やリスク管理、サイバーセキュリティなどにおけるライフサイクルを意識した条文になっており、国際的な議論の趨勢と考えてよいだろう。

AIガバナンスの鍵はAI技術の特性の理解と反映にある

　システムの構築や運用には多くの関係者が存在することは言うまでもない。AIガバナンスの要諦は、いわゆる確立された責任分解モデルを実現し、効果的に社会通念や倫理観、法規制に反しない、より精度の高いAIシステムを創ることにある。その中で、一般的なシステム開発との相違点やAI技術の特性を理解・反映していけるかがAIガバナンス構築の鍵を握る。

　昨今のAIガバナンスの論旨と関連して、押さえておきたいポイントがいくつかある（図3）。その1つに「リスクベースアプローチ」の採用がある。全てのAIシステムに一様の統制は非現実的であり、リスクが高いと考えられる領域（モデルやユースケース）に可能な限り集中したい。自社のリスクを判断するためにも、組織内のAIシステムの構築や利活用状況の理解は欠かせない。

図3：AIガバナンスの要点

　DXの推進や、提供する製品や製造ラインへの導入などにより、AIの利用が現場主導で進み、全体を把握できていない可能性が高い。AIモデルとの関係性が深いデータガバナンスや、株主や顧客などステークホルダーへの積極的な情報開示、技術進歩や社会状況変化に柔軟に対応できる枠組みなどを、AIガバナンスの要点として認識し、効果的に取り入れる必要がある。

　次回からは企業のリスクマネジメントの一環として、AIガバナンスの主要な論点や勘所をAIガバナンス構築サービス「Trusted AI」の提供事例を交えて解説していく。AIのリスクマネジメント、ライフサイクルを踏まえたプロセスアプローチやデータガバナンス、開発プラットフォームの重要性、サイバーセキュリティの観点など、AIガバナンスの構築実務の参考材料を可能な限り提供したい。

　次回は、AI技術のリスクおよびリスク評価プロセスを解説する。