いま企業に求められているAIガバナンスとは ～企業価値向上とリスク管理を両立させるAI時代のガバナンス戦略を考える～

熊谷：　

大規模言語モデル（LLM）による生成AI をはじめ、急速な進歩を遂げています。精度や性能の向上だけではなく、エッジデバイスへの実装、計算資源やエネルギー消費を抑える小規模言語モデル（SLM）、AI エージェントと呼ばれる自律型AI の登場など、リスクやガバナンスを検討するうえで、AI が今後どのように発展していくのか、お考えをお聞かせください。

羽深氏：　

AIの技術の将来を正確に予測することは困難です。しかし、私たちの予想を上回るスピードでさまざまな可能性が開花していくのがAI だと考えています。従来のAI は過去のパターンを模倣し増幅させることが得意でしたが、最近では論理的思考を要する課題にも対応できるAI が登場しています。たとえば、国際数学オリンピックで銀メダルを獲得できるレベルのAI も開発されています。このように、人間の思考に近い、あるいは多くの場合で人間の能力を上回るAI が出現しつつあるのが現状です。そうしたAI の発展には長短両面があります。良い面としては、人間がより創造的な活動や趣味に時間を割けるようになることが挙げられます。しかし、現在の経済構造では多くの人々が仕事を失う可能性もあり、一部のAI 提供者や開発者だけが膨大な利益を得る一方で、多くの人々の生活が困窮するという未来も想定されます。また、環境問題も看過できません。AIを駆動するためのデータセンターの電力消費量は急増しており、たとえば、よく知られているChat GPT¹というAIサービスだけでも、年間で日本全体の二酸化炭素排出量の約2割相当を排出すると言われています。AI へのアクセスの格差やそれによる国家間の経済格差の増大など、グローバルな課題も浮上しています。現在はAI の安全性や差別、プライバシーといった身近な問題に注目が集まっていますが、より長期的には経済や環境、教育への影響などの広い視点での考察が必要となるでしょう。

宇宿：　

企業や従業員へのAI の影響について、どのようにお考えですか。

羽深氏：　

企業の従業員一人ひとりにとっては、リスキリングが極めて重要になります。AI にできることはAI に任せ、人間はAI を活用してより付加価値の高いプロダクトを生み出すことが求められます。しかし、そのためには相当なスキルアップが必要であり、その機会を確保することが重要になるでしょう。

経営層には、組織全体でAI を活用できるようリスキリングの機会を提供することが求められます。また、経営層自身がAI の利点とリスクを正確に理解し、積極的に導入していく姿勢が必要です。人材育成は若手や一般従業員だけでなく、トップ層を含めた全社的な取組みとして推進すべきだと考えます。

宇宿：　

企業によってAI への対応や教育の取組みに差があると思いますが、その違いはどこから生まれるのでしょうか。また、どのような企業がAI ガバナンスにうまく取り組めているとお考えですか。

羽深氏：　

大きな違いを生む要因の1つは、AI システムの開発に関わる部門の方々がガバナンスやリスクマネジメントに積極的に関与しているかどうかだと考えています。従来のリスクマネジメントやガバナンスでは、管理部門がルールを決め、現場がそれに従うという構図が一般的でした。しかし、AI のリスクや技術的な限界を理解し、適切な対応を考えるには、技術に精通した人材の関与が不可欠です。それによって対応に必要な判断の解像度がかなり上がります。

熊谷：　

AIガバナンスという言葉は世界中で使われていますが、統一された定義は特にありません。「AIガバナンスとは何か」について、羽深さんのお考えをお聞かせください。

熊谷 堅 KPMGコンサルティング 執行役員パートナー KPMGジャパンにおけるAIガバナンス構築関連サービス「Trusted AI」をリードし、AIに関わるリスクマネジメント、ガバナンス、法規制対応等のサービスを提供。テクノロジー領域のリスクコンサルティングを専門とし、企業のデジタルトランスフォーメーション（DX）に伴うリスクへの対応、サイバーセキュリティ、プライバシー等データ関連規制への対応などのアドバイザリー業務や監査・評価等に従事。

羽深氏：　

日本では経済産業省が公開した「AI 事業者ガイドライン（第1.0版）」のなかで、「AI の利活用によって生じるリスクをステークホルダーにとって受容可能な水準で管理しつつ、そこからもたらされる正のインパクト（便益）を最大化することを目的とする、ステークホルダーによる技術的、組織的、および社会的システムの設計並びに運用」と定義しています。つまり、AI が社会にもたらすプラスとマイナスの合計で、プラスの部分が最大になるようにさまざまなシステムを設計し、運用していくということですね。ここで言う「システム」には、法律などの社会的なシステム、各企業の組織、そして個々のAI システムも含まれます。最終的な目標はAI がもたらす効果の最大化ですが、そこに至るための手段は必ずしも1つとは限りません。

AI システムはブラックボックス性があり、極めて速いスピードで変化し、さまざまなステークホルダーが関わるバリューチェーンを持つなど、複雑性や迅速性、不透明性といった特徴があります。こうした点を踏まえて、現場の人たちがどこまでリスクに対応すればいいのかを決める必要があります。

しかし、これは現場の人間だけで決められるものではなく、マネジメントレベルでも決めきれるものでもありません。なぜなら、ステークホルダーがどこまで受容可能かという社会的な合意やコミュニケーションが必要だからです。

そのため、ステークホルダーとの対話や、現場における日々のPDCAサイクルの実施など、一定の負担が生じます。こういった取組みを実行していくためには、規制が必要なのか、それともマーケットメカニズムに委ねるべきなのか、あるいは市民が問題に対して補償を請求したり改善を要求したりできるような社会的インフラが必要なのかなど、さまざまな観点から検討していく必要があります。
 

宇宿 哲平 あずさ監査法人 パートナー 金融、商社、IT 等幅広い業種の会計監査業務に従事し、現在は、Digital Innovation 事業部にて会計監査向けデータ分析、AI 研究開発・活用をリード。不正リスク検知モデルの開発や生成AI を活用したソリューション開発を推進している。AI 開発やガバナンスの知見を活かし、AI Assurance Groupリーダーとして、大手企業、金融機関向けにAI/AI ガバナンスの評価、ガバナンス構築アドバイザリーを提供。

熊谷：

2016年頃から、ディープラーニングによるAI の実装が進展し、AI のリスクを認識した先進国や国際機関ではAI の原則を定める動きが活発になりました。生成AIの登場により、AI とそのリスクが身近になってきたように思います。

羽深氏：

そうですね。自動運転システムや金融分野でのアルゴリズム取引、画像診断AIなど、さまざまな場面でAIが進展することに伴って、それに伴うリスクが認識され始めました。その頃から、世界各国でAI 倫理やAI 原則と呼ばれるものが出てきました。そして、その多くに「安全性」、「公平性」、「プライバシー」、「セキュリティ」、「透明性」、「説明可能性」といった文言が並んでいます。これらの原則自体には異論を唱える人はほとんどいませんが、問題はそれをどのように実装するかです。

対象となるAIシステムについて企業に何を求めていくのか、つまり企業でどのようなガバナンスを行う必要があるのかという点については、枠組としては世界的にそれほど大きな違いはありません。ただし、その具体的な内容についてはまだ十分に煮詰まっておらず、関係者が悩んでいる状況です。

熊谷：

AI に限らずガバナンスという言葉は企業の営みの随所で使われます。IT ガバナンスやデータガバナンス、特定の法律に焦点を当てたリスクマネジメントのように、企業内に管理体制や手続きやルール、経営報告の枠組みが備わっていることも多く、関係性を明確にすることも重要です。AI ガバナンスの特徴や対応の難しさはどこにあるとお考えですか。

羽深氏：

AI ガバナンスは、大きく3つの課題が考えられます。1つめは、「AI のブラックボックス性」です。AI のアルゴリズムのなかでどのような処理が行われているのかが分かりにくいため、同じ入力でも毎回異なる結果が出る可能性があります。このような状況で、AI の安全性や信頼性をどのように評価し、確保すれば良いのかが課題となっています。2つめは「価値観の多様性」です。公平性やプライバシーといった概念について、世界的に合意された定義はありません。個人によっても受け止め方が異なります。このような状況のなかで、どのような基準でAI の公平性やプライバシー保護を判断すれば良いのかが問題となっています。

3つめが「価値のトレードオフ」です。ある価値を追求しすぎると、別の価値が損なわれる可能性があるということです。たとえば、プライバシーを重視しすぎて学習データから個人に関する情報を完全に排除すると、AI の精度が落ち、サービスの便益が下がってしまう可能性があります。また、透明性を高めすぎると、悪用のリスクが高まり、安全性やセキュリティに悪影響を及ぼす可能性もあります。

こうした課題があるため、AI ガバナンスの具体的な内容を法律やガイドラインで細かく規定することは難しいのが現状です。結局のところ、各実装現場のステークホルダーとコミュニケーションを取りながら、徐々にシステムを改善していくしかないと思われます。

熊谷：

技術も進歩し、利用方法も多様化する状況で、禁止事項や実施すべきことを明確にできず、法律やガイドライン等では示しにくいということかと思います。ベースラインやデファクトとなるスタンダードがないなかで、企業は自らの合理的な判断で何をすべきか見定めていく必要があります。その仕組みがガバナンスということかと思います。

羽深氏：

はい。現状では企業に対して何を求めるべきか、あるいは企業の立場からすると何をすれば許容されるのかが明確になっていません。たとえば、EU のAI 規制法のように抽象的な義務内容と巨額の制裁金が設定された法律が制定されると、将来の不確実性から開発が萎縮してしまう可能性があります。一方で、規制を先延ばしにすれば、AI の野放しによるリスクも懸念されます。このバランスの取り方について、世界はまだ適切な対応策を見出せていない状況です。

宇宿：

確かにユースケースやステークホルダーによってリスクのポイントが異なるため、一概に決めることは難しいですね。我々もクライアント企業に対して、個々のケースに応じて対応を考えています。AI がブラックボックス化している影響で、現場の開発者の作ったものを企業内のマネジメントが「本当に使って大丈夫なのか」と不安を抱き、萎縮してしまうケースもあります。KPMGのパーパスは、「Inspire Confidence, Empower Change( 社会に信頼を、変革に力を)」ですが、ブラックボックスになりやすいAI に信頼を付与すことを通して、AI を活用した変革を促進することに寄与できると考えています。

これまでも、さまざまなテクノロジーが生まれ、活用が進むに伴って新たなリスクが生じ、そのリスクをマネジメントしながら価値を最大化してきた歴史がありますが、AI 活用に伴い本格的なリスクマネジメント、ガバナンスが必要になっていると思います。

羽深氏：

「Inspire Confidence, Empower Change( 社会に信頼を、変革に力を)」というのは素晴らしいパーパスですね。よく使われる例えですが、自動車の安全性を考えてみましょう。安全でない車には誰も乗りたがりません。シートベルトの存在は人々に運転に対する安心を与え、結果として自動車の普及につながったのです。

このように、技術に対する信頼があってこそ、その技術の実装と普及が進むのです。つまり、規制とイノベーションは対立するものではなく、本来は協調関係にあるべきものなのです。シートベルトを開発したのは政府ではなく、自動車メーカーのボルボでした。民間企業だからこそ、運転者の安全性を確保する最適な方法を見出せたのです。そして、そのようなベストプラクティスを政府が推奨し、場合によっては規制に取込んでいくというプロセスが繰り返されてきました。これは、政府主導ではなく、民間主導のリスクマネジメントやガバナンスの取組みが技術の普及につながる好例です。

一方で、商品レコメンデーションのアルゴリズムのように、一見リスクが低いと思われるAI の使用例でも、差別やプライバシーの問題が潜んでいる可能性があります。このように、文脈に応じて何がリスクとなるかを慎重に考える必要があり、必ずしも即座にリスクが認識できるわけではありません。経営層としては、規制の有無に関わらず、リスクを適切に評価し対応策を講じる必要があります。最悪の場合、既存の法律に違反しているという指摘を受ける可能性もあります。抽象的な文言のなかで、突然違反を指摘されるリスクもあるわけです。

また、SNS などで製品が批判されるような事態も、どの企業にも起こり得ます。そのような事態に備えて、日頃からリスク評価を行い、対応策を講じていることを説明できるようにしておくことが非常に重要です。確かにAI にはリスクがあるかもしれませんが、それと同時に多くのユーザーや社会に対して良い価値をもたらしていることも示せるようにしておくべきです。

熊谷：

KPMGでは、「Trusted AI」と称して、AI ガバナンス構築と実践のためのアドバイザリーサービスの提供体制を強化し、KPMGの統一されたフレームワークと国内外の情報と知見に基づくサービス展開を本格化しています。“責任ある、信頼されたAI“を意味し、クライアントや社会のAIガバナンス構築に貢献するKPMGの姿勢や目指す姿を象徴するものです。日本企業のAI ガバナンスへの取組み状況について、どのように見ておられますか。

羽深氏：

日本企業のAI 実装は、米国など他の先進国と比べると数年遅れているように感じます。しかし、これは必ずしもネガティブなことではありません。他国の事例を参考にしながら、より慎重かつ効果的にAI を導入できる可能性があるからです。今後、日本企業でもAI の活用が進むにつれて、AI ガバナンスへの関心は確実に高まっていくでしょう。その際に重要

なのは、AI のリスクを過度に恐れて導入を躊躇（ちゅうちょ）するのではなく、適切なガバナンスを構築しながら積極的に活用していく姿勢です。

熊谷：

日本企業は足元ではAI の取組みを進めていく必要がありますが、同時にガバナンスも構築していかなければなりません。各企業は具体的にどのような取組みを行うべきだとお考えですか。

羽深氏：

まず重要なのは、実際にAI を使ってみることです。AI を使わないでいると、時代に取り残されてしまいます。まずは一般的によく使われている安全なサービスから利用し始めるファーストステップを踏み出すことが大事です。そして、使い始めるに際して、いつも行っていることとの対応関係で、どこまで自分たちのガバナンスを構築していくかを検討することが重要です。たとえば、社会で広く使われている基盤モデルのサービスを導入し、最低限のルールを従業員に守ってもらいながら日常の業務をこなすレベルであれば、大規模な組織改編などは必要ないことが多いと思います。法務部や知財部でマニュアルを作成し、既存のガイドラインを参照しながら導入を進めるというのが、初めの一歩として適切でしょう。

そうしてAIの利用が進むにつれて、既製品だけでは物足りなくなり、自社特有のデータを活用したオリジナルAIの構築や、顧客対応へのAI 活用など、より高度な利用を検討することになるでしょう。その段階では、ガバナンスもさらに高度なステップに進む必要があります。たとえば、自社データを使ってAIモデルを開発する場合には、開発者としての立場としてAI ガバナンスを考慮する必要があります。学習データに関する著作権法への対応や、ユーザーやステークホルダーの信頼を損なわないデータ利用方法の検討などが必要です。また、外部ベンダーに開発を依頼する場合は、開発されたモデルの権利関係、問題発生時の責任の所在、学習データの取扱いなどについて、きちんと契約を検討する必要も生じます。

AI の開発段階になると、法務部門だけでは対応が難しくなります。開発に必要なデータの種類や処理方法、目標とするパフォーマンスを達成するための技術的要件など、技術面の理解が不可欠になるからです。そのため、技術部門と法務・コーポレート部門が密接に連携する必要があります。

開発したAI を外部に開放したり、顧客対応に使用したりする段階になると、リスクの範囲はさらに広がります。アウトプットの妥当性を慎重に技術的に検証する必要があるためです。また、技術的な限界を踏まえたうえで、ユーザーに対してどのような説明をするか、問題が発生した際にどのように人間のオペレーターにつなぐかなど、運用面での考慮も必要になります。このレベルになると、より多くの人員と充実した体制が必要になり、予期せぬリスクに対して迅速に対応できる組織横断的な体制を構築することが求められます。

宇宿：

最近では大規模言語モデル（LLM）の登場により、AI アプリケーションの開発が非常に容易になっています。そのため、企業がファーストステップを踏み出した後、気づかないうちに子会社などで新たなリスクを有するAI アプリケーションが作られるといった可能性もあります。このような状況においては、リスクベースのアプローチと環境変化を取り込みやすいガバナンスのフレームワークが必要ではないでしょうか。

羽深氏：

おっしゃる通りです。新しいシステムを作る際に、すべて事前の承認を求めるようなアプローチは、現場の積極性を削ぐ可能性があります。むしろ、開発は自由に行って良いが、その際には必ず報告するよう求め、適切なガバナンスを一緒に考えるというアプローチの方がうまくいく可能性が高いでしょう。最も危険なのは、内部の面倒な手続きを避けるために、「大したことはしない」として勝手に開発を進めてしまうケースです。そうならないよう、上層部が現場の取組みを把握し、サポートするという姿勢を全社的に共有することが非常に重要です。

この点については、過去の規制に関する実証的な知見が参考になります。航空機事故に関する研究では、違反行為に対して制裁を加えるタイプの規制はあまり効果がないことが指摘されています。むしろ、インシデントはすべて報告してもらい、ベストプラクティスを共有し、良い取組みを行っている場合には褒めるというアプローチの方が、事故の確率を劇的に減らすことができるという結果が得られています。このような協調的なアプローチは、AI の社会的な規制においても、また企業内でのグループガバナンスにおいても有効だと考えられます。一度出てきたユースケースをすぐに止めるのではなく、まずは実行してみて、そこでリスクを評価し、必要に応じて柔軟にガバナンス体制をアップデートしていくというアジャイルなアプローチが重要になってくるでしょう。

熊谷：

経営層にはどんな役割が求められるでしょうか。

羽深氏：

経営層は、AI の実装範囲が広がり、リスクの範囲が拡大するにつれて、適切にリスクを再評価し、必要な対応を行っていく必要があります。同時に、自社の取組みやリスクマネジメントについて、きちんと説明責任を果たすことも重要です。ただし、最初の一歩を踏み出すことを躊躇（ちゅうちょ）してはいけません。まずはAI を使ってみて、現場からの実装アイデアを積極的に取入れていくことが大切です。経営層としては、現場の声を実現できるようにガバナンスを整備し、前向きな姿勢で臨むことが望ましいです。

最終的にどこまでやればいいかという明確な答えは、世界中の誰もまだ持っていません。そのため、正解を求めすぎず、むしろ自ら正解を作り出す、ベストプラクティスを確立するという意気込みで対応することが理想的です。さらに、そのプラクティスを世間と共有し、自社がAI の信頼性向上をリードするという姿勢で取組むことが望ましいでしょう。

熊谷：

本日は貴重なお話をありがとうございました。日本企業がAI ガバナンスに取り組む上で、大変参考になる内容だったと思います。

羽深氏：

こちらこそ、ありがとうございました。AI の利活用とガバナンスの両立は、これからの企業経営において避けて通れない課題です。今回の鼎談が、少しでも多くの方々の参考になれば幸いです。

1 ChatGPTはOpenAI社の商標です。

KPMGコンサルティング
熊谷 堅 /執行役員パートナー　

あずさ監査法人
宇宿 哲平/パートナー