AI活用における日本企業の現状とAIガバナンスについて

2. AIガバナンスにおける現状

米国や欧州では、図4に示すルールのピラミッドのうちもっとも上位の原理原則を社会実装していくための具体的な議論に移行しており、適切なAIガバナンスを実施できていない企業に対する罰則規定を含む中間的ルールを法案レベルで制定しています。特に欧州においては、企業が違反した場合、罰則が最高で3,000万ユーロ（およそ40億円）もしくは全世界売上高の6パーセントの、いずれかの高い金額が課せられる、大変厳しいものとなっています。

一方、日本でも内閣府が発表した「人間中心のAI社会原則」が原理原則としてAIガバナンスを規定し、2021年に経済産業省が「AI原則実践のためのガバナンス・ガイドライン」を発表したものの（改訂版であるVer.1.1を2022年1月にリリース）、法的な拘束力はないため罰則規定もなく、あくまでも企業に自主的な対応を期待するものとなっています。

2.1 取り組む企業が確実に増えているAIガバナンス

ソフトローで統制していく方針の日本ですが、国内でも、AIガバナンスに着手している企業は確実に増えています。PwC Japanグループの調査では、2022年、AIガバナンスに一部でも取り組みを始めている企業はおよそ47パーセントとなっており、「準備・検討をしている」と合わせて、AIガバナンス検討済の比率は78パーセントとなりました。現在未着手でも「準備・検討をしている」と回答している30パーセントを超える企業が、来年度には着手済みの企業に加わる可能性が高いです。

国内企業がAIガバナンスに取り組むインセンティブのほとんどが、顧客に安心感を持ってもらうことにあります。AIを活用したサービスや商品に関する説明責任を果たし、AIによって時には不当なサービスを受けたと顧客が感じてしまう等、AI特有のリスクに対応するための企業努力が本格化しています。

（１）AIガバナンスで考慮すべきリスク

AIガバナンスで考慮すべきリスクには、さまざまな種類があります。

図6の上段に示すように、サイバー攻撃によるAIモデルへの攻撃や、AIアルゴリズムにインプットするデータに含まれる個人情報にまつわるプライバシーに関するリスク等を含む、以前から管理対象とされているリスクもあります。これらのリスクに関しては、データガバナンスやプライバシーガバナンスといった、既存のガバナンスの対象範囲にAIを含める形での対応を目指す企業も多く存在します。その場合、新たな対象としてAIを含める既存ガバナンス担当者の知見の底上げは必要になりますが、既存の基本ルールや社内プロセスを活用することができ、複雑な仕組みの乱立を避けることができます。

AI特有のリスクは、図6の下段に示す安全性や信頼性に関するリスク、男女や年齢格差等の社会的なバイアスを含んだデータを学習してしまうこと等による公平性に関するリスク、AIアルゴリズムのブラックボックス化によって判断ロジックが理解できないこと等による説明可能性に関するリスク等が含まれます。これらのリスクは、サイバーセキュリティやプライバシーガバナンス等の既存ガバナンスでコントロールすることができないため、企業で新たなルール作りや、業務プロセスの策定が必要となります。

このような社内の役割分担を決めるための議論は時間がかかることも多く、特に新たなルールや業務プロセスの策定が必要となるAI固有の新たなリスクへの対応については、役員決裁が必要となる事項も含む可能性が高く、先進的にAIを活用している企業でも、着手途中である場合がほとんどです。

（２）AIガバナンスの具体的な取り組みに進めていない日本企業

AIガバナンスの具体的な施策の日米比較を見ると、日本の企業はすべての施策において実施している企業の比率が米国より低く、AIガバナンスに着手している認識はあるものの、具体的な施策については実施できていない企業が多いと思われます。（図8）

企業のAIガバナンス構築は、AIガバナンスの初歩とも言えるポリシー策定から始め、社内体制の構築、策定したポリシーの順守状況を確認するためのモニタリングプロセスの策定や具体的なリスクへの対応へと進めることが多いですが（図7）、国内では今後、ポリシー策定以降の具体的なリスクへの対応が急速に進められるものと推測します。

2.2 企業が今後考えるべき方向

今後、企業はその経済的利益を重視したAI活用を実践するだけではなく、AI活用によって意図したメリットを享受するため、AI活用の倫理的リスクや説明可能性に関するリスクについても、深く考える必要があります。このような倫理等の問題は、議論を先送りにされることが多いのですが、AI活用を実践するうえで、初期の企画段階から議論し、リスクを最小限にするような設計をすべきです。

（１）先送りにしている議論に取り組む

AIにおけるバイアスは、モデルが学習するデータに含まれる過去の統計的な傾向によって発生しますが、AIモデルそのものが公平性を保てていないといったことにより、誤った判断をしてしまう例もあります。モデルに学習させるデータにおいて、完璧な公平性を保つのは難しいことですが、過去の傾向に基づく推論結果は平等ではないとしても公平ではあるとして受け入れるか、もしくは、別の取り決めを議論していくか、ステークホルダー全員で具体的に考えるべき問題です（平等とは、その性質や能力等とは関係なく、対象すべてを等しく見るということですが、公平とは、判断や処理等を偏らせることなく、対象すべてを同じように扱うことを意味します）。

現在、AIにおけるバイアスや説明可能性等について、現場で評価・測定等を実践している企業は多くありません。上流のポリシー策定だけに終わらず、詳細なAIモデルのレビューを含めた、具体的なアプローチを少しずつでも進めるとともに、企業内の人材育成を行うことも大切です。

（２）イノベーションの阻害要因になってもやるべき時はある

AIガバナンスの構築支援をさせていただく際、「イノベーションの阻害要因は作りたくない」という理由で、とても緩いリスクのコントロール体制を希望される企業もあります。しかし、企業におけるAI活用のリスクの大きさを把握せずに、根拠なく緩いコントロール体制を敷くことは危険です。企業でどのようなAI活用を実施しているか、AI活用からどのようなリスクが発生し得るか、そのインパクトはどの程度のものなのか等を整理することにより、リスクの大きさを評価し、重大なリスクにのみ対応を考えることも可能です。イノベーションの阻害要因になるかどうかに関係なく、重大なリスクにはしっかり対応する必要があります。顧客に対するインパクトが大きいリスクであると判断する場合は、イノベーションの阻害要因になったとしても、開発を見送るなどの経営判断が必要なこともあります。また、企業におけるリスクの大きさを見極めるためには、企業内におけるAI活用の状況について一元的に管理し、標準を決める必要があります。

4. おわりに

現在、日本では、AIガバナンスに関して罰則規定を含めた法規制によらない統制（ソフトローによる統制）を行う方向ですが、国内のガイドラインや体制の整備が進んだり、AIに関連する大きなインシデントが発生するなど、状況の変化は起こり得ます。従って、今後、欧米のような法規制による統制（ハードローによる統制）に寄っていく可能性も、ゼロではありません。

罰則規制による経済的な損失の有無に関わらず、取締役会、顧客、規制当局など、さまざまなステークホルダーから寄せられるAIやデータ利用に関する問い合わせに対し、企業は回答する責任があり、それは企画から開発まであらゆる領域に及びます。今後、そのような個々の回答のみならず、AIガバナンスと規制の順守において、企業は「Responsible AI（責任あるAI）」の活用を継続的に証明し続ける必要があると考えています。

※本稿は、「研究開発リーダー」2022年10月号で掲載された記事を転載したものです。