「AI事業者ガイドライン（第1.0版）」についての解説

2024年4月19日、経済産業省と総務省は「AI事業者ガイドライン（第1.0版）」^※¹を公開しました。本稿では「AI事業者ガイドライン（第1.0版）」（以下、当ガイドライン）のポイントについて解説します。

日本政府は、従来からSociety5.0による経済発展と社会的課題の解決を両立する人間中心の社会というコンセプトを掲げてきましたが、このコンセプトの実現にあたり、AIが社会に受け入れられ、適正に利用されるために、2019年3月に「人間中心のAI社会原則」が策定されました。一方で、AI技術の利用範囲および利用者の拡大に伴い、リスクも増大しており、特に生成AIに関して、知的財産権の侵害、偽情報・誤情報の生成・発信等、これまでのAIでは発生しなかったような新たな社会的リスクが生じており、AIがもたらす社会的リスクの多様化・増大が進んでいます。

このような背景のなかで、AIの安全安心な活用を促進するため、日本におけるAIガバナンスの統一的な指針を示す必要性が出てきており、総務省、経産省両省により、既存のガイドラインを統合・アップデートする形で当ガイドラインが取りまとめられました。

当ガイドラインは、イノベーション促進とリスクのバランスを重視しており、分野別にリスクの大きさを把握したうえで検討を行うリスクベースアプローチを採用しています。当ガイドラインは、教育・研究機関、一般消費者を含む市民社会、民間企業等で構成されるマルチステークホルダーで検討を重ね、実効性・正当性を重視して策定されており、作成プロセスにおいては、一般消費者を含む市民社会、民営企業から100以上の意見を収集しています。また、草案に対するパブリックコメントに対しては、47の法人・団体から441件、個人から3,506の意見が寄せられました。

当ガイドラインは、総務省が公表した「人間中心のAI社会原則」を土台にしつつ、これまでに公開された3つのガイドラインを統合して策定されています（図1）。

当ガイドラインは、本編と別添で構成されており、本編では基本理念（Why）と指針（What）が示され、別添では具体的なアプローチや事例（How）が提示されています（図2）。

当ガイドラインの基本理念と原則は、「人間中心のAI社会原則」の内容を継承および更新し、図3の通りとなっています。

当ガイドラインでは、対象者を「AI開発者」、「AI提供者」、「AI利用者」の3つに大別しています。この3つの主体について、共通の指針に従いながら、各自留意すべき事項が記載されています。

共通指針は、ガイドライン本編の表1にまとめられており、上述したガイドラインの原則の内容に基づいたものと見られます。

三つの主体それぞれの業務定義と留意すべき重要事項を、図4にまとめました。

高度なAIシステムを開発するAI開発者については、上述した指針以外に、当ガイドライン「第2部D.高度なAIシステムに関係する事業者に共通の指針」および「高度なAIシステムを開発する組織向けの広島AIプロセス国際行動規範」の遵守が求められています。ガイドライン本編では、「行動規範」との比較と追記内容が記載されています（図5）。

当ガイドラインでは、AIのリスク管理をステークホルダーにとって受容可能な水準にしつつ、そこからもたらされる便益を最大化するために、AIガバナンスの構築が重要としています。

複雑で変化が速く、リスクの統制が困難な社会においては、AIガバナンスが目指すゴールも常に変化していくため、AIガバナンスは、事前に固定されたルールで形成されるものではなく、「環境・リスク分析」、「ゴール設定」、「システムデザイン」、「運用」、「評価」といったサイクルをステークホルダーで継続的かつ高速に回転させていく「アジャイル・ガバナンス」が重要であるとしています。また、具体的に検討していく際には、AIがもたらすリスクの程度、蓋然性と各主体の資源配置の配慮、およびバリューチェーンを念頭に、主体間の連携を確保し、リスクチェーンを明確化して、開発、提供等各段階に適したリスク管理とガバナンス構築を行うことを推奨しています（図6）。

また、AIガバナンスの構築にあたっては、短期的な利益追求ではなく、持続的・中長期的な発展を目指し、先行投資の観点でAIガバナンスを組織文化として根付かせることが期待されています。

これまで「AI事業者ガイドライン」の内容について説明してきました。では、日本国内企業におけるAIリスク管理の整備状況と、AI事業者ガイドラインの対応状況は現在どのようになっているかを見ていきましょう。

KPMGジャパンが実施した「サイバーセキュリティサーベイ2023」）では、日本国内の上場企業および売上高400億以上の未上場企業のサイバーセキュリティ責任者、有効回答者数258社に、AI導入リスクについての懸念点およびAIリスクを管理する組織、ルール、プロセスの整備状況について調査しています。その結果、業界を問わず、全体的に組織・ルール・プロセスが整備済みの企業はわずか4.3%、整備予定がない企業が35.6％であることが分かりました。通信・IT等のAI開発者・提供者となりうる業種では一部整備が進んでいるとの回答が見られたものの、その他多くのAI利用者にあたる業種では、整備済みまたは今後整備予定がある企業は回答者の半数以下に留まっています（図7）。

AI導入時のリスクに対する懸念について調査した結果、図7で示す通り、過半数の企業が懸念しているのは「プライバシー侵害」、「アウトプットの正確性」、「不正もしくは有害な利用」、「サイバーセキュリティリスク」、「アウトプットへの偏見」であり、その一方、「人間の能力の低下」、「システム障害」、「自動化による雇用の喪失」に対する懸念・意識は少ない傾向です。「AI事業者ガイドライン」の指針に合わせると、図8で示す通り、調査対象となった企業は「プライバシー保護」、「安全性」、「セキュリティ確保」、「公平性」に対する意識が高いことが示されています。

当ガイドラインは、AIの安全安心な活用が促進されるよう、日本におけるAIガバナンスの統一的な指針を示すものです。当ガイドラインは法的拘束力がないため、ガイドラインに準拠できない場合でも、直接的な制裁が課せられることはありません。しかし、ガイドラインに準拠しなかったことが原因でAIガバナンスに不備が生じ、社会から不適切または不十分と評価される場合、自らの事業活動における機会損失が生じ、事業価値の維持が困難となる事態を招く可能性も考えられます。

また、当ガイドラインでは三つの主体を定義しているものの、自社がどの主体に該当するかが不明瞭であったり、または業務範囲が三つの主体をまたがる可能性もあるため、事業者は自社の業務範囲を慎重に検討したうえで、対象となる遵守項目を確認することを推奨します。

日本におけるAI規制は、現時点では法的拘束力のないソフトローが中心になっていますが^※4、ソフトローであることから、各国・地域のAI事業者が日本市場に参入しやすくなり^※5、AI市場の活性化により新たなビジネスチャンスが作りやすくなるというメリットも考えられます。しかしその一方、AIを安全安心に利活用していくために、ガイドラインに沿った各事業者の自主的な取組みがより求められるようになります。

また、各事業者目線によるAIのリスク整備に対する意識について、前述の調査結果で示される通り、プライバシー保護やアウトプットの正確性などのリスクに関して懸念を感じている企業が多い一方、AIのリスクを管理する組織、ルール、プロセスの整備が完了している企業はわずか4.3%と、低い水準です。

AI技術の利用範囲および利用者の拡大に伴って、AIがもたらす社会的リスクもますます増加しています。企業には、「AI事業者ガイドライン」などの枠組みを利用して、AIのリスクを適切にコントロールできる体制を整備していくことが求められています。

最近日本国内でも、AIに対して法規制を取るべきかという意見も出てきており、今後各関係者は日本におけるAI規制の動きに注目していく必要があります。

KPMGジャパンは、「KPMG Trusted AI」フレームワークを導入し、日本国内をはじめとした各国政府や公的機関が発行する指針・ガイドライン、進展する法制化動向等をアドバイザリーに取り入れ、企業のAIガバナンス構築を支援します。AIの活用・導入を加速する際に、先進的な技術が複雑性とリスクをもたらす可能性がある状況において、「KPMG Trusted AI」は責任ある倫理的な方法でAI戦略とソリューションを設計、構築、展開、使用するための戦略的アプローチとフレームワークであり、企業価値の向上に貢献します。

※1：経済産業省・総務省「AI事業者ガイドライン（第1.0版）」

※2：KPMG「サイバーセキュリティサーベイ2023」より執筆者作成

※3：KPMG「サイバーセキュリティサーベイ2023」より再掲

※4：内閣府AI戦略チーム「AI制度に関する考え方」より

※5：日本経済新聞「海外のAI関連企業、なぜ日本に進出するの？」