2026年2月、OECD(経済協力開発機構)は「責任あるAIのためのデューデリジェンス・ガイダンス」(以下「AI DDガイダンス」という)を公表しました。AIの社会的影響が注目され、各国で新たな規制策が広がるなか、本ガイダンスはAI分野において責任ある企業行動(Responsible Business Conduct:RBC)に基づくデューデリジェンスの実践方法を具体的に示す、初の包括的手引きです。
本稿では、このAI DDガイダンスの要点を解説するとともに、サプライチェーンデューデリジェンス関連の他の規制も視野に入れ、望ましいデューデリジェンス体制(証跡管理・是正措置を含む)について考察します。
1.なぜ今、企業はデューデリジェンス体制の再設計を求められるのか
AI技術の急速な拡大に伴い、企業はこれまでになかったリスクに直面しています。
たとえば米国では、国防・安全保障分野でのAI活用を巡って大手ベンダーの対応が分かれ、その影響が世論や顧客動向にまで波及したと報じられました。
AI導入が企業ブランドや社会的信頼に直結しかねない状況下で、AIに関するリスクへのデューデリジェンスの重要性は一段と高まっています。さらに規制の面でも、EUをはじめ世界各国で人権・環境デューデリジェンス義務やAI規制などの新たなルールが矢継ぎ早に打ち出されています。それぞれの制度の目的や対象、要求される証跡が異なるため、個別・場当たり的な対応を続けていては、重複や漏れによる非効率は避けられません。
2.OECD「責任あるAIデューデリジェンス・ガイダンス」の位置付け
2026年2月に公表されたOECD「責任あるAIのためのデューデリジェンス・ガイダンス」は、2019年採択の「OECD AI原則」および改訂版「OECD多国籍企業行動指針」に沿って策定されました。これはAI分野初の包括的なリスク対応の枠組みです。
特徴的なのは、既存のRBC型デューデリジェンスの枠組みをAIの文脈に当てはめた点です。具体的には、6つのステップ、(1)方針への組み込み、(2)影響の特定・評価、(3)リスクの停止・防止・軽減、(4)結果の追跡(モニタリング)、(5)情報開示(コミュニケーション)、(6)救済・是正措置に沿って具体的な実践策が提示されています。
ガイダンスでは、AIリスク管理の対象が単なる技術的不備にとどまらず、人権侵害(AIによる過剰な労働者の監視)や労働上の問題(データのラベリングを行う作業員の長時間労働)、環境破壊(データセンターによる大量の電力・水資源の消費)、消費者被害(プライバシー情報の漏えい)など社会全体への影響まで包含し得ることを示しています。
3.AI DDガイダンスが示す重要論点
AI DDガイダンスが強調しているのは、AIに関するデューデリジェンスは一度きりではなく継続的に行うものだということです。
AIシステムのリスクや社会への影響は絶えず変化します。企業は前述の6つのステップすべてを並行かつ反復的に運用し、状況に応じてその内容を更新・改善し続ける必要があります。
またAI DDガイダンスでは、ステークホルダー(利害関係者)エンゲージメントと透明性、そして救済・是正の重要性が際立っています。AIに起因するリスクへの対応策を講じる際には、影響を受け得る従業員・取引先・顧客・地域社会との対話を通じてリスクを把握し、対応方針や実施状況を社内外に対し、高い透明性を確保して開示することが求められます。
そして万一負の影響が顕在化した際には、苦情受付・救済の仕組みを通じて被害者への適切な補償や是正措置を提供することが不可欠とされています。こうした取組みは、AIへの社会的信頼を築くだけでなく、長期的には企業のレピュテーション向上とリスク低減につながり、結果的に事業の安定と継続的な成長を支える基盤となると言えるでしょう。
4.日本企業への示唆:共通デューデリジェンス基盤の構築
AIの登場により、企業のデューデリジェンス対象はデータやアルゴリズムなど無形のデジタル領域にまで広がりました。AIモデルの開発・運用の背後では、大量データの収集・加工を担う労働者の作業環境や、AIサービス提供に伴うデータセンターでの巨額な電力・水消費など、従来のリスク管理では見えにくかった問題が潜在しています。AI DDガイダンスは、こうした無形・デジタル領域も含めてバリューチェーン全体のリスクを捉える視点を提示し、AIに限らず企業活動全般に活かせる示唆を与えています。
AI DDガイダンスが日本企業に投げかけるメッセージは明確です。AIのリスク対応を“単独の新テーマ”として切り分けるのではなく、既存のデューデリジェンス・内部統制の枠組みに統合せよということです。
CSDDD(企業サステナビリティ・デューディリジェンス指令)を始めとした複数のデューデリジェンス関連規制やAI規制が日本企業にも影響を及ぼすなか、それぞれを場当たり的に個別対応していては非効率です。
全社共通のデューデリジェンスの基盤となる体制(基本方針、監督組織、共通プロセス、証跡管理システム等)を整備し、そのうえで各規制固有の追加要件(提出書類、開示情報、技術文書、監査対応など)を上乗せすることで、複数規制への遵守も一貫性を保ちながら効率的に行うことができます。
共通するデューデリジェンスの基盤には、たとえば以下のような要素が含まれます。
- 経営層が関与するガバナンス体制
- サプライヤー情報の一元的な管理
- 契約条件へのRBC要件の組み込み
- 苦情受付・是正(グリーバンス)メカニズム
- SAQ(自己評価質問票)等共通システム
- リスク評価・モニタリング・継続的見直しの運用プロセス(規定)
共通基盤が整えば、各規制に特有の要件(例:欧州森林破壊規則(EUDR)で要求される地理座標データ、欧州電池規則(EUBR)における特定原材料の含有有無の第三者検証報告書等)もモジュールとして追加するだけで済み、縦割り対応に比べて整合性と効率性が飛躍的に向上します。逆に言えば、こうした共通土台がないままAIガバナンスだけを個別に強化しても、既存プロセスとの不整合や現場への過重な負担を招きかねません。
むろん、このような統合的なデューデリジェンス体制の構築には社内各部門の連携が欠かせません。法務・コンプライアンス部門、調達部門、IT部門、データ部門、事業部門などが初期段階から協働し、「誰が情報を集め、誰が検証し、誰が承認するか」という役割分担をあらかじめ合意しておくことが、共通デューデリジェンス基盤を機能させる前提条件となります。
5.まとめ
各部門がそれぞれ個別規制に対応するのではなく、無形・デジタル領域も含め、全社的にサプライチェーンを管理し、横断的にデューデリジェンスを行える体制へと高度化すべき時期を迎えています。それは短期的には新たな負担のように思えるかもしれません。しかし、リスクを回避するとともに、デューデリジェンスそのものが市場への参入要件になりつつある現在においては、規制変化にも柔軟に対応することが求められます。
デューデリジェンス体制の再設計の取組みは、市場や社会からの信頼を高め、持続的な企業価値・信頼性・競争力を支える「経営インフラ」となり得るでしょう。
執筆者
KPMGコンサルティング
執行役員 パートナー 土谷 豪
シニアマネジャー 荒尾 宗明
シニアコンサルタント 武田 行平
シニアコンサルタント 上野 寧々
ビジネスアナリスト 山口 智子
