*UDHR:世界人権宣言(Universal Declaration of Human Rights)
KPMG作成
生成AIや画像認識などAI技術を活用した企業の新ビジネス創出や業務改革、効率化が各業種において急速に進められています。同時にAIの利用により人権侵害を助長していると指摘されるケースが急増するなど、倫理的なAI利用の必要性が高まっています。
本稿では、AI利用に伴う人権リスクとはどのようなものか、また企業の人権マネジメントにおいてAI利活用に伴うリスクへの対応をどのように組み込むべきかについて、関連する法規制の動向も紹介しながら考察します。
1. AI活用に伴うリスクとは?
(1)AI活用の進展により拡大する社会的リスク
近年、ディープラーニング、画像認識、生成AIなどの技術を活用したコンテンツや製品・サービスが、社会やビジネスの現場に急速に浸透しています。企業においては、AIによる業務の効率化や自動化にとどまらず、新製品の企画、マーケティングにおけるパーソナライズド広告の配信、社内の不正検知など、幅広い領域で活用が進んでいます。
一方で、利用拡大に伴いリスクも増大しており、企業には責任あるAIの利活用が求められます。主なリスクは以下のとおりです。
- 品質・安全性:誤情報の生成や誤判断による事故など、正確性・信頼性に関するリスク
- バイアスのある出力・差別的出力:学習データの偏りやアルゴリズム設計により、特定の属性を持つ人が不利益を受けるリスク
- 個人情報とプライバシー:個人情報の不適切な取扱いにより、プライバシー侵害や個人情報保護法などの法令違反につながるリスク
- 透明性・説明可能性:判断根拠が不明瞭なブラックボックス化により、ステークホルダーへ十分な説明ができないリスク
- セキュリティリスク:AIシステムへのサイバー攻撃や学習データへの不正混入による性能劣化、利用過程での個人情報・機密情報の漏えいリスク
- 知的財産権の侵害:生成物(画像・文章など)が第三者の知的財産権を侵害するリスク
AIの利用に伴うリスクは多岐にわたり、具体的なインシデントも顕在化しています。企業がAIを事業に組み込む際には、技術面に限らず、ガバナンスや法務・倫理などの社会的リスクも見据えた対応が不可欠です。
(2)AI活用に付随する人権リスク
AIの利用に伴うリスクのなかでも人権に関わるリスクは、その影響度から重要性が高く、AIが生活や社会に深く浸透する現在、企業には、AIの利活用によって事業が人権への負の影響を助長しないよう、リスクを特定・低減し、予防・是正の措置を講じることが求められます。
AIに関する人権リスクには、以下のような例が考えられます。これらのリスクを回避・低減するために、企業は、開発・運用するAIシステムが差別的な出力を行うおそれがないかを検証するとともに、AIに投入するデータが適切に選定・収集されているかに留意する必要があります。
AIの利用に伴う人権リスク例
2. 株主からのAI関連リスク開示要求
AIの利用に伴う人権侵害の発生を防ぐことは企業の責務であり、こうした責務を背景として、社外ステークホルダーからの要請にも対応が求められます。近年は、AI関連リスクへの投資家・株主の関心が高まり、米国を中心にAIリスクの開示を求める株主提案が急増しています。背景には、AIの活用が企業経営に与える影響の拡大と、社会的責任および透明性への期待の高まりがあります。こうした株主提案の主な論点は、次の4点です。
- 経営陣によるAIリスクの監督
- 人権リスクの公表
- 生成AIに伴う偽情報・誤情報リスクの開示
- 透明性レポートの作成・公表
AIリスクに関する情報開示やガバナンスの強化に対する株主要求は、日本企業にも波及する可能性が高いと考えられます。企業はAIを活用するにあたり、リスクを適切に管理し、株主や社会に対して積極的かつ一貫した情報開示を行うことがこれまで以上に求められます。
3. AIガバナンスに関する基準や法制化動向
AIの開発・利用が急速に拡大するなか、各国・地域でガイドラインや法規制の整備が加速しています。次の表は、グローバルおよび国内における主な動向をまとめたものです。
KPMG作成
EUでは、法的拘束力をもつハードローによる規制が進展し、2024年8月にEU AI法(Artificial Intelligence Act)が発効しました(「EUのAI規制法~その影響と対策のポイントは」を参照)。EU AI法は、AIシステムのリスクレベルを4段階に区分し規制する内容で、違反した場合は高額の制裁金を科される可能性があります。
一方、日本や米国では、法的拘束力のないソフトローを中心とするアプローチが採用されており、規制の枠組みは国・地域によって異なります。
日本は「世界で最もAIフレンドリーな国家」を掲げ、AIの研究開発・利活用によるイノベーションの促進と、AIガバナンスの整備の両立を進めています。
内閣府が2019年3月に公表した「人間中心のAI社会原則」1 は、AIの適切な社会実装を目指し、「人間の尊厳」「多様な幸せの追求」「持続可能性」という3つの基本理念と、それを具体化するために各ステークホルダーが留意すべき7つの原則を示しています。
- 人間中心の原則
- 教育・リテラシーの原則
- プライバシー確保の原則
- セキュリティ確保の原則
- 公正競争確保の原則
- 公平性、説明責任及び透明性の原則
- イノベーションの原則
2025年6月には、AIの研究開発と活用を計画的に推進するためのAI新法(人工知能関連技術の研究開発及び活用の推進に関する法律)2 が公布され、同年9月に全面施行されました。本法は、主として国や地方公共団体、政府を対象とする基本的な考え方を定めたもので、罰則は設けられていません。企業については、「AI関連技術の積極的な活用による事業活動の効率化・高度化および新産業の創出に努めること」、ならびに「国・地方公共団体が実施する施策への協力」が義務として定められています。
また、急速に普及する生成AIを含むAI技術の利活用に関し、イノベーション促進とリスク低減の両立を図るため、政府はガイドラインも公表しています。たとえば2024年に公表されたAI事業者ガイドライン3 では、事業者を「AI開発者」「AI提供者」「AI利用者」の3つに分類し、共通して取り組むべき事項に加えて、各主体に求められる実務指針を示し、組織のAIガバナンス体制の整備を支援しています。利用企業を例に挙げると、安全性・公平性・プライバシー保護・セキュリティ・説明責任を確保するための具体的な取組みが求められており、主な実務としては、①安全を考慮した適正利⽤、②入力データまたはプロンプトに含まれるバイアスへの配慮、③個⼈情報の不適切⼊⼒及びプライバシー侵害への対策、④セキュリティ対策の実施、⑤関連するステークホルダーへの情報提供、⑥関連するステークホルダーへの説明、⑦提供された文書の活用と規約の遵守、が記載されています。
これらのガバナンス要件は、次章で述べる人権デュー・ディリジェンスの実務に直接的に連動するものであり、企業はこれらを前提としてAI活用における人権リスク軽減策を体系的に実施することが求められます。
4. AI活用における人権リスク軽減策
企業が実務でAIを活用する際には、前章で触れたような法規制やガイドライン等の最新動向を踏まえ、AIシステムの目的や活用場面に応じて人権リスクを適切に管理する必要があります。企業が人権対応を推進する際、国連「ビジネスと人権に関する指導原則」に従って活動することが求められます。AI事業者ガイドラインで規定されるガバナンス要件を踏まえたうえで、国連「ビジネスと人権に関する指導原則」が示す「人権に対するコミットメント」「人権デュー・ディリジェンス」「グリーバンス・メカニズム」の3つのステップに沿って整理すると、AI活用における人権リスクの軽減策として、次の取組みが考えられます。
KPMG作成
ステップ1:人権に対するコミットメント──コミットメントの表明とプロセスへの組み込み
まず、社内外に向けて、AIに関する人権リスクへの対応姿勢(コミットメント)を明確に示し、既存の人権マネジメントのプロセスにAIリスク対応を組み込むことが求められます。近年は、AI倫理ポリシーを策定・公表し、AI活用の推進とそれに伴う倫理的課題への対応方針を示す企業が増えています。
人権リスク管理の枠組みのなかで、AI技術の利活用に伴う人権リスクを人権方針や行動規範において位置付けながら、AIを重要な経営課題として扱う姿勢を社内外に明示し、AI特有のリスク管理手法や責任あるAI活用に対する企業のコミットメントをより具体的に示すためには、これらとは独立した「AI倫理ポリシー」を策定することが有効とされています。
特に、AIを戦略的テーマとして事業推進の中核に据える企業においては、こうした独立したポリシーの整備は重要であり、透明性と信頼性の向上に資する取組みとして積極的に検討する必要があります。
ステップ2:人権デュー・ディリジェンス──人権影響評価と対応策の実施
次に、自社で開発・利用するAIシステムにどのような人権リスクがあるかを考察します(人権の負の影響に関する影響評価)。まずは、自社が開発・利用しているAIシステムを棚卸しし、その目的や利用シーンを把握したうえで、リスクの種類や大きさを評価します。
AIシステムに関する人権影響評価を有効性の高いものとするためには、企業がどのような観点でリスクを判断すべきかを明確にする必要があります。その際、前章で説明した倫理的なAI利用に関するガイドラインなどを指針とするのが有用です。特にAIの利活用に伴う人権リスクは利用者側固有のリスクであり、棚卸し段階で見落とされやすいポイントです。その際にガイドラインなどに立ち戻り、評価基準として再確認することが、評価の網羅性と実効性の向上に寄与します。
下記は棚卸のポイント例とその評価観点の例ですが、前章で紹介したAI事業者ガイドラインのうち主に①安全を考慮した適正利⽤、②入力データやプロンプトに含まれるバイアスへの配慮、③個⼈情報の不適切⼊⼒及びプライバシー侵害への対策、④セキュリティ対策の実施、⑦提供された文書の活用と規約の遵守の視点が織り込まれています(⑤関連するステークホルダーへの情報提供、⑥関連するステークホルダーへの説明は、ステップ1および3でカバーされています)。
KPMG作成
評価を実施した後は、評価結果に基づき必要な対策を検討・実施します。たとえば、倫理的なAI活用のための社内ガイドラインやチェックリストの整備・運用、社員向けの教育・研修の実施などが挙げられます。
また、AIリスクに関する取組みについては、ステークホルダーとの情報共有と対話も重要です。透明性レポートの公表や、投資家向け説明会での説明・質疑の実施などが考えられます。
ステップ3:グリーバンス・メカニズムの構築とエンゲージメント──苦情処理と救済の仕組み整備
従来の人権リスク同様、「通報制度」を含むグリーバンス・メカニズムの整備が不可欠です。AIと人権に関する相談や苦情に適切に対応できるよう、広くアクセス可能な通報制度やその他の仕組みを活用・強化し、必要に応じて救済措置を講じる体制を整えます。
AI利用に伴う影響は、従来人権への負の影響が及びやすいと考えられていた労働者よりも、バリューチェーンの下流である利用者や一般市民など、より幅広い層に及び得る点に特徴があります。アルゴリズムの偏りや誤推論は、意図しないところで差別的取扱いやプライバシー侵害を引き起こす可能性があり、企業は幅広いステークホルダーを想定した救済手段を備える必要があります。
また、AIに付随する人権リスクは、従来の労働問題やサプライチェーン上の侵害とは性質が異なり、データ構造や学習プロセス、モデル設計など技術的要因が影響源となる点が特徴です。そのため、相談窓口や通報制度を担う担当者は、AI固有のリスク特性を理解したうえで、苦情の背景に潜む技術的・構造的課題を適切に把握し、必要に応じて専門部署と連携できる体制が求められます。加えて、受付から調査・救済までの手続を透明化し、ステークホルダーの声をAI開発・運用プロセスの改善に確実に反映する仕組みを構築することが不可欠です。
5. おわりに
ここまで、AIの利活用が企業活動や社会に与える影響と、そこに内在する人権リスクを整理してきました。人権侵害は決して容認されるものではなく、企業が適切に対応することは当然の責務です。対応を怠れば、コンプライアンス違反やレピュテーションの毀損といった重大なリスクにも直結します。AIの利便性を最大限活かしつつ、社会的責任と倫理への配慮を徹底することが、企業の持続的な成長と信頼の獲得の基盤となります。
一方で、AIが飛躍的に進展するなか、AIリスク全般を扱うガバナンス体制や人権マネジメントの仕組みが未整備で、社内で誰が(どの部署が)AIに関する人権リスクに取り組むべきかが不明確な企業も少なくありません。
既存の枠組みを活用しながら、AIリスクにも対応可能な人権マネジメント体制の設計・構築・運用を段階的に進めることが求められます。
KPMGは、さまざまな企業の人権マネジメント体制の構築・高度化を支援してきた実績と知見を有しています。具体的な進め方や体制整備に関するご相談について、ぜひお問い合わせください。
執筆者
KPMGあずさサステナビリティ
マネジャー 市村 怜子
あずさ監査法人
シニアアソシエイト 山内 望
