AIガバナンスの3つのステップと、企業価値向上と両立する効果的な取り組み方

AIビジネスがグローバル規模で指数関数的に伸びています。この流れの中で、企業はAIを組み込んだ製品やサービスを通じたビジネス拡大や、業務の利便性と生産性の向上を目指すとともに、AI関連製品の開発、製造、利用など幅広い範囲でAIガバナンスを整備し、情報漏洩、差別、著作権侵害といったリスクを法規制や倫理に基づいて適切に管理することが求められます。

本記事では、DXやAI活用による経営と業務の変革に知見を持つPwCコンサルティング合同会社パートナーの内田 一栄と、PwC Japan有限責任監査法人にてAIガバナンス支援に従事するシニアマネージャー鮫島 洋一が、企業が対策しなければならないAI関連法とガバナンスのポイントについて議論しました。

対談者：

PwCコンサルティング合同会社
執行役員 パートナー
ハイテク・通信・メディア事業部
内田 一栄

PwC Japan有限責任監査法人
シニアマネージャー
リスク・アシュアランス部
鮫島 洋一

聞き手：

PwCコンサルティング合同会社（PwC英国より出向）
シニアマネージャー
方 雪瀅

世界各国におけるAI関連法の動向

方：
AIガバナンスが企業の重要な経営課題の1つとなっています。AI製品などの開発、利用、提供を規制するAI関連の法令について現状を教えてください。

鮫島：
AI関連の法令やガイドラインは複数の国や地域で施行されています。代表的なのは欧州の欧州（EU）AI規制法です。これはAIシステムがもたらすリスクを4つに分類し、それぞれに応じて禁止事項と要求事項を定めるものです。具体的には、人命や基本的人権に直接的に脅威をもたらすAIシステムを最もリスクが高いAI（許容できないリスク）とし、これらの利活用を禁じます。以下、ハイリスク、特定の透明性が必要なリスク、最小リスクに分けて、それぞれのレベルでガバナンス要件や違反した際の厳しい罰則を規定しています（図表1）。

図表1：欧州（EU）AI規制法におけるAI分類

方：
AI先進国の米国ではどのような法令がありますか。

鮫島：
米国は連邦制国家であるため州法ごとに法令を定めています。例えば、カリフォルニア州では採用や人事に関わるAIを開発する際に多くの規制があります。一方で、各州で定めた法令を無効にする連邦法を検討する議論も進んでいます。米国でビジネスを行っている企業はその動向を見ながら自社のAIガバナンスに反映させていく必要があります。

方：
日本とアジア諸国の動向を教えてください。

鮫島：
アジア諸国は国によって状況が異なります。例えば、中国は国家統制に基づく厳しいAIのルールを設けていますし、韓国、ベトナムでも法令が施行されています。シンガポールなどはベストプラクティスを充実させながら、義務や罰則の制定に取り組んでいます。

日本はAI活用推進法に基づいたルールづくりを進めています。これは基本法であり、イノベーションの推進を後押しするという位置付けのため、違反などへの直接的な罰則はありません。ただ、金融、通信、製造といった社会インフラの要素を持つ産業に対しては、問題が起きた場合などに国が調査権限を持って分析、指導、助言、勧告ができる仕組みになっています。また、首相を本部長とした人工知能戦略本部を設置し、リスクも含めたAI戦略について議論を行っています。

企業に求められるAIガバナンスへの対応

方：
こうしたAI関連法を踏まえ、AIガバナンスにおいて企業はどのような対応が求められますか。

内田：
主に3つあります。

1つ目は、グローバルでAIビジネスを展開していく中で、各国や地域のAI関連法を理解すること。2つ目は、グループ会社を含む組織全体で迅速かつ効率良くAIガバナンス方針を適用し、運用体制を構築すること。3つ目は、各社の既存のERM（Enterprise Risk Management：戦略的リスクマネジメント）やセキュリティポリシーなどとAIガバナンスを連携させることです。

私たちのクライアントはグローバルでビジネスを展開しているケースが多いため、事業展開する国や地域の法令に対応する必要があります。製造業を例にすると、国内で作った製品を海外で販売する際にサプライチェーンをまたいだ対応が求められます。

鮫島：
AIガバナンスの構築は、各社のAI利活用の状況に応じて段階的に進めていく必要があります。まずは簡単なガイドラインに基づいて社内のAI利活用を推進します。その後、実業務への組み込みやAIを軸としたビジネスへと転換していくのに合わせて、守りの面も含めたルール策定に着手し、アジャイルにAIガバナンスを醸成していくことが多いです。

方：
どのようなAIを、何に、どれくらい使うかによって対応が変わっていくわけですね。

鮫島：
そうです。例えば、製造現場などでは今後はフィジカルAIが自律駆動的に動き、相互に連携し始めます。パーティカルAIのように専門性に特化したAI開発も進むでしょう。その取り組み状況によってリスクレベルが変わるため、リスク管理やガバナンスの方針と内容も、実務性の高いユースケースレベルでの落とし込みが必要になります。

方：
ロボットを導入して使う場合のAIガバナンスは、ロボットの開発側が行うのでしょうか、それともユーザーが行うのでしょうか。

鮫島：
基本的には両方です。開発側は、例えば、偏見の排除、プライバシー保護、透明性、説明可能性などを機能的に具備することが求められ、ユーザー側は、そのロボットを適切な目的のために安全かつ正しく使っているかを見る必要があります。

AIガバナンス構築のステップ①AI関連法の内容と自社への影響の理解

方：
AIガバナンスは、AI関連法の内容と自社への影響の理解を起点として、グループ全体の方針設計、実務での運用へと展開していくと理解しています。

まずは、各国のAI関連法と自社への影響を理解するポイントを教えてください。

鮫島：
AI関連法は、それ単体だけを見るのではなく、デジタル関連法全体と、それらとの関係性を理解することがポイントです。例えば、欧州AI規制法は、GDPR（EU一般データ保護規則）、欧州データ法や欧州サイバーレジリエンス法などと関連しますので、それらを含めた包括的な理解が求められます。また、法律は改正されるため、その内容をタイムリーに把握し、分析、対応できる仕組みの構築も重要です。

方：
企業はどのように体制作りをするのが良いのでしょうか。

内田：
AIガバナンスは対象領域が広いため、社内の1部署のみで対応するのには限界があります。全社横断的な対応が必要であり、またガバナンスに関する専門知見が必要となります。

そこでポイントとなるのは、第三者として知見のある外部リソースの活用と考えます。外部による支援では、AI分野の法的知識が豊富であること、縦割りになりやすいクライアントの各部門を横断的に取りまとめる専門性とリーダーシップがあること、さらにAIガバナンス方針やルールづくりをサポートする事務局の役割を果たせることなどが重要になるでしょう。そのニーズに応えるため、私たちもAIガバナンス構築を支援しており、また効率的な運用を可能にするマネージドサービスを展開しています。

方：
私たちのチームは、TMT（テクノロジー、メディア・エンターテイメント、通信）業界の知見と支援実績が豊富である点も特長ですね。

内田：
そうですね。私たちはTMT業界内の企業に向けた支援実績を踏まえた幅広い業界知見があります。また、クライアントそれぞれに向けた専門チームを組織して支援にあたるため、各社における経営課題、ペインポイントや戦略、主要ステークホルダーを把握したうえで、業界のトレンドや変遷も予測しながら、AIガバナンスの設計や組織作りをサポートできます。

AIガバナンス構築のステップ②自社のガバナンスの特徴を踏まえた方針の設計と実行

方：
法令や自社への影響を理解したら、次のステップは、グループ会社を含む組織全体のAIガバナンス方針を設計します。その際のポイントを教えてください。

鮫島：
大手企業の多くは、AIガバナンスをゼロから作るのではなく、既存のガバナンス方針に変更や新しい仕組みを加えていくことになります。その際のポイントは2つです。

1つ目は、本社、事業拠点、地域、シェアードサービス側までを視野に入れた社内外の関連者を巻き込んだ体制づくりです。AIガバナンスは複数の部門が関わるため、全社的な取り組みであることを前提とし、部門横断で音頭を取り、関係者を巻き込んでいく組織体制が必要です。

2つ目は、AIガバナンスの基本方針、主要指標の定義、実務プロセスの整備を含む文書類整備です。AIガバナンスを運用していくためには、自社のAIポリシーの中でルールや規定を設定していく必要があります。また、誰が、どういう体制で、どういう役割と責任を持って動くのかを決め、それらをマニュアルや手順書にまとめます。全てのAIシステムにフルでリスク管理などを適用する必要はないため、リスク管理の枠組みや品質コントロールの程度感の枠を決め、ガバナンスの強度を変えながら運用に落とし込みます。

方：
グローバル企業は、複数の地域、言語、文化への適応が重要で、「one size fits all」のコミュニケーションが難しいのが特徴です。ガバナンスの実行側となる事業部門やグループ会社がどこまで丁寧に管理できるのかを見極めることが重要ですね。

内田：
本社と拠点の双方向のコミュニケーションでは、AIガバナンス設計を推進する側に専用窓口などを設けて質疑応答をスムーズにする、また、海外拠点に対し多言語で統一性のある方針やメッセージなどを設計し、伝えていくことも大事なポイントだと思います。

方：
クライアントはどのようにAIガバナンスに取り組んでいるのでしょうか。

鮫島：
短期的には、企画部などが主導してAI利活用の推進とリスク管理をアジャイルに並走させる事例が多いですね。中長期的には、ガバナンスのフレームワークである「3線モデル」の確立が必要です。第1線は営業、製造、購買など事業部門、第2線はコンプライアンス、リスク、品質の管理部門、第3線は、第1、第2線から独立した内部監査がそれぞれの立場でリスク管理や課題解決を行います。

内田：
PwC Japanグループは、監査法人、税理士法人、コンサルティングなどさまざまな専門性を有する組織で構成されています。私はコンサルティングに所属していますが、鮫島さんは監査法人所属です。コンサルティングと監査の専門的知見を持つメンバーがチームを組成して支援できるのは私たちの強みの1つです。

鮫島：
私たちは監査のプロフェッショナルとして、基本方針となるAIガバナンスのポリシー、その実施の基準、対象者や用途ごとの手続きの整備を支援します。また、取締役会やAI倫理委員会といったガバナンス機関による指示や監督と、報告のループを回して、内部監査が独立したアシュアランスの枠組みを整備する支援もします。また、内部監査の支援や第三者評価も提供します。

AIガバナンス構築のステップ③全社適用に向けたAIガバナンスの運用

方：
3つ目のステップは実務面での対応です。このステップでのポイントを教えてください。

鮫島：
AIガバナンスは固定ではなく、AI関連の事業内容や社内でのAI利活用の状況に合わせてアジャイルに強化し改良し続けることが前提です。具体的には、業務効率化や予兆把握といったAI利活用の「正の価値」を測りつつ、人権・尊厳・財産の棄損、誤作動時の影響甚大化、説明不透明性や偏り、エラーの影響拡大といった「負の側面」を可視化してガバナンスのバランスを取ります。

社内では、第1線である現場のリスクを評価し、その結果に対して第2線で対応するといったエスカレーションによる能動的な仕組みを作る必要があります。グループ会社の場合はそれを会社と会社の関係に置き換えて、グループ会社のAIガバナンス運用が適切になされているかを親会社が確認します。

内田：
クライアントの事業、AI利活用の状況、そして各国や地域の法令などの変化に応じて、AIガバナンスの取り組みは基本的に恒常的な対応が必要になってきます。

私たちは、グローバルで法令の動きと影響を随時把握し、各社のAIガバナンスの運用プロセスに反映します。また、データ、プロセス、責任分解点など基盤を整備し、さらにはAIを活用したリスク管理ツールの設計、導入、運用を主な範囲として、クライアントの対応と運用を支援しています。データ基盤を活用して効果的、効率的に運用をモニタリングする仕組み作りや、そのために必要なITインフラのマネージドサービス、一連の支援から得られる示唆の提供などもクライアントから高く評価されています。

方：
AI技術は日進月歩ですが、各国や地域の法令も頻繁に変わるのでしょうか。

鮫島：
法律はそこまでドラスティックに変わらず、技術の進化や市場の変化などを踏まえながら、数年おきの改正などによって補っていくことが想定されます。つまり目の前で動いているAIビジネスに対して法令は後追いになるため、企業は自らAIガバナンスを強化し、イノベーションとリスクのバランスを取っていくことが重要です。

方：
目に見えている課題や規制だけでなく、業界や市場の変化を見据えて対応していくことが重要なのですね。その点で、PwC Japanグループには、市場の変化を捉えるシンクタンク機能があり、PwCグローバルネットワークを通じた情報収集の強みもあります。このような体制を活用してもらうことがAI時代におけるクライアントのさらなる成長につながると思います。

鮫島：
法令以外にも、参考となる実務的な公知のガイドラインが出てきています。例えば、AIガバナンスに基づくリスク評価や信頼性の高いAIシステムに関するマネジメントシステムができていることを証明する国際的な標準規格であるISO42001があります。クライアントにとっては、自社の製品やサービスで規格認証を取ることが新たなバリューとなる可能性があり、私たちもISO42001の認証取得支援を通じてクライアントの企業価値とビジネス価値の向上に貢献したいと考えています。

また、マネジメントシステムの枠ができたあとの実務的なリスク対応などを醸成していくことも重要です。特に生成AIに関しては、固有のリスクと実務対応が課題となっており、内部統制の世界標準的枠組みであるCOSO（Committee of Sponsoring Organizations of the Treadway Commission）は、自らの内部統制フレームワークを土台に、「Achieving Effective Internal Control Over Generative AI」と題した生成AIに関する手引書を公表しています。これらを参考として、実務へ落とし込んでいくことも有用と考えています。

ビジネス推進とAIガバナンスのバランスが重要

方：
これから本格的にAIガバナンスを検討する企業も多くあります。まずはどこから着手するのが良いのでしょうか。

鮫島：
本社とグループ会社にて、AIを活用したプロダクトやサービスの外販、社内でのAI利活用の棚卸しを行い、把握することが出発点です。また、フィジカルAIなど新しい技術の発展やビジネス形態の変化による新たなリスクへの対応方法をアジャイルに見直していくことが重要です。

前述の通り、法令は後追いですので、フィジカルAIなどの新しい取り組みに関するリスクシナリオの分析と対応を自らのルールメイクで行っていくことが求められます。それが結果としてビジネスの成長や市場シェア拡大につながると思っています。

内田：
自社グループのAI利用状況の棚卸しや迅速な評価の実施にあたり、私たちは簡易な現状分析と評価のサービスを提供しています。これを活用いただくことにより、極めて短期間で施策の優先付けができ、必要なアクションが明確になると思います

今後もAIビジネスは拡大し続けるため、AIビジネス推進とAIガバナンスのバランスを保つことは非常に重要です。私たちPwC Japanグループは、クライアントのAIガバナンス体制の構築と運用を支援し、ビジネスと企業価値を最大化するAI利活用推進に寄与していきたいと考えています。