Gartner made a bold prediction two years ago that cloud computing will become a business necessity by 2028, and this has proven prescient. The reasons are clear: businesses need to be agile and innovative yet cost-efficient to stay competitive, and the cloud is the foundation of those objectives. This is reflected among Australia’s mid-sized businesses,…
生成AIは、企業のDX推進において急速に導入が進んでいる技術である。多様な業務において、テキスト生成をはじめ、画像・音声などのメディア生成にまで応用可能となり、従来のITシステムにはないスピードでビジネス上の価値を創出している。一方で、その背後には、膨大なデータを扱うからこそ生じるリスクが存在する。プライバシー侵害、法令違反、知的財産権の問題など、企業が真剣に向き合わねばならない課題は多岐にわたる。
EYストラテジー・アンド・コンサルティング株式会社でリスク・コンサルティングのパートナーを務める川勝健司氏も、「生成AIだからこそ問題になるリスクは、かつてのITシステムより広範囲におよぶ」と述べている。とりわけ「画像や音声といった多様な生成物が、詐欺や誹謗中傷など犯罪的な行為を助長する可能性があることは、従来にはなかった大きな懸念材料である」と強調する。
このように高度化するリスクに対応するためには、単に「使い方に気をつける」だけでなく、新しいガバナンス体制の構築が不可欠である。技術の進化や規制動向に即応しつつ、企業として適切なチェック&バランスをどのように取り入れるべきか。本記事ではまず、組織体制やポリシー策定の観点から、生成AIのリスク管理をいかに進めるべきかを探る。
従来の企業ガバナンスでは、新しいテクノロジーを導入する際、法務やコンプライアンス部門が中心となってルールを整備してきた。しかし生成AIは、セキュリティやプライバシーにとどまらず、「データの学習プロセス」や「モデル選定」、「出力の信頼性・フェイク生成」など、技術的な知見を要するリスクを同時に包含する。
帝国データバンクが2024年夏に4,705社を対象に行った調査では、生成 AI を活用している企業のうちリスク対応の担当部門が「決まっていない」企業が45.1%も存在することがわかった。
川勝氏は、「法務コンプライアンスの方は規制面の知見に長けている一方、IT部門は技術面のリスクを理解している」と指摘する。だが、生成AIを使う上では「法務だけ」でも「ITだけ」でも不十分であるとし、「両者が連携する“全社横断的なチーム”が欠かせない」と強調する。
さらに川勝氏は、金融機関の例を引き合いに出しながら、いわゆる「1.5線」と呼ばれるリスク管理の枠組みを提示している。通常の企業では、「現場(ファーストライン)」と「監査・コンプライアンス等(セカンドライン)」があるが、金融機関ではIT部門内などに「システムリスク管理機能」を設け、ファーストとセカンドの中間として機能させる場合があるという。
「1.5線的な役割を持つ部署を用意し、IT部門の中でリスク管理を担うメンバーを置くことが理想である。上流で話し合われたポリシーを、実際のシステム要件やサービス仕様に落とし込む“翻訳者”が必要になるからだ」と川勝氏は語る。
この「翻訳者」が存在しないと、上流のポリシーが抽象的なまま終わってしまい、現場で機能しない事態に陥る。AIならではの複雑なリスクに対応するためには、法務・コンプライアンス・ITそれぞれの領域を繋ぎ、具体的な実装要件にブレイクダウンしていく1.5線の仕組みが重要である。
組織体制を考える上で鍵となるのが、横断的な委員会(あるいは小委員会)と1.5線のITリスク部門の連携である。川勝氏によれば、下記のような流れが望ましいという。
この体制が整えば、「ポリシーはあるが実行されていない」「法務が考えたルールと現場が想定する運用が噛み合わない」といったミスマッチを減らせるというわけだ。
先述の帝国データバンクの調査によれば、生成 AI を活用している企業のうち指針やガイドラインを策定した企業は2割弱だった。
川勝氏は、ポリシー策定のポイントとして「大枠の方針と、実務ガイドラインを分けて整備すること」を推奨している。具体的には、たとえば最上位の“基本規定”では、OECDのAI原則など国際的な基準を参照しつつ、倫理やプライバシー保護の理念を社内規定として明文化する。一方で、利用モデルごと・技術ごとに“ガイドライン”を設け、より具体的な禁止事項や推奨事項を整理する。
「たとえば『個人情報をAIに入力してはいけない』というのは理念的には正しいが、業務上、どうしても個人情報を取り扱わざるを得ないケースもある。そうした場合は『本人同意の範囲を確認する』『データを匿名化する仕組みを導入する』といったガイドラインレベルの定義が必須である」(川勝氏)
AI技術は日進月歩であり、各国での規制強化も進んでいる。このため、いったん定めた社内規程やガイドラインを機動的にアップデートできる体制が重要となる。川勝氏は「厳格すぎる承認プロセスをポリシーに組み込むと、変化に追いつかなくなる」と警鐘を鳴らしている。
そのためには、横断委員会の定期開催や、AIガバナンス担当者の専任配置などで、スピーディにルール更新を決定できるようにしておくことが望ましい。
また、生成AIを使いこなし、新しい価値を創出するためには「何でも禁止」が最善ではない。一方で、無制限に使わせればプライバシー漏洩や規制違反、信用失墜のリスクは大きい。川勝氏は「ガードレールを決めて、一定の自由度を認める」アプローチが合理的だと述べている。
「こまかくすべてをチェックしてしまうと、導入が面倒になってイノベーションが損なわれる。逆に、野放しにしておくと重大な事故を起こす可能性がある。その間を埋めるガードレールとして、やはりポリシーやガイドラインが必要になる」という。
経営層にとって悩ましいのは、AIガバナンスにかかるコストをどこまで正当化できるかという点である。だが、万一のインシデントによる当局からの制裁や信用失墜を考えれば、事後リスクの方が遥かに高額な損失に結びつく可能性がある。
「最近では、同業他社の事例を参考にして『あの企業はここまでやっている』という横並び意識で意思決定が進むことも少なくない」と川勝氏は語る。本来は「インシデントが起こった場合の処分や訴訟コスト」「ブランド毀損による売上減」などを考慮した上で、リスク対効果を定量的に考えていくのが理想であるものの、それができている企業はなかなかないという。
実際のデータ侵害コストは年々高騰している。日本IBMが2024年9月に公表したレポートによると、国内企業がデータ侵害を受けた際の平均コストは6億3,000万円(前年比5%増)と過去最高を更新した。
ガバナンス強化には一定の投資が必要であるが、このように一度大規模インシデントを起こせば、数億円規模の損失につながりかねない。経営層への説明としては、「事後コスト>事前投資」を示す定量的な根拠として、こうしたデータが有力な裏付けとなるだろう。
生成AI時代のガバナンス構築は、単なるコンプライアンス対応ではなく、企業がAIを安心して活用しイノベーションを創出するための“土台づくり”である。横断委員会と1.5線が連携し、全社ポリシーと具体的な実装指針を行き来できる組織設計を整えることで、過度な制限なくリスクを最小化することが可能になるに違いない。
Read More from This Article: 変化の早いAIに対して日本企業はどんなガバナンス体制を設けるべきなのか
Source: IT Strategy
At offsite retreats, morning stand-ups, sales kickoffs, 1:1 catch-ups and small-team weeklies, the message is the same: we need to get on the same page, sing from the same hymn book — level-set, sync up, get aligned. You would swear the goal of a business is not to make money, but to reach common ground. …
Fue en mayo de 2024 cuando BBVA suscribió una alianza con OpenAI y puso a disposición de sus empleados 3.300 licencias de ChatGPT Enterprise, la versión empresarial del popular chatbot que cuenta con el mayor grado de seguridad y privacidad. El objetivo no era otro que explorar su potencial para acelerar procesos y estimular la innovación…
The intentions behind the project-to-product shift itself are valid, but too many organizations make the move without fixing the underlying problems, and set themselves up for the same challenges they’re trying to solve. Getting the results you want from your strategy isn’t actually about choosing between project or product. It’s about making sure you have…
Los directores de comercio electrónico, que en su día fueron miembros cruciales de la alta dirección de muchas organizaciones, han desaparecido casi por completo a medida que las ventas online se han convertido en la principal fuente de ingresos en lugar de ser una actividad secundaria. Algunos expertos creen que los directores de IA y…
Amazon Web Services gave IT leaders a real-world look at what enterprises are doing with its Amazon Q Business generative AI assistant, showcasing implementations from customers such as Zoom and HS Brands at an event last week in Boston. Among the use cases highlighted was the ability to make enterprise AI agents accessible to external…
생성형 AI가 소프트웨어 공학 리더의 관리 책임을 재편하고 있다. 가트너의 시니어 디렉터 애널리스트 하리사 칸다바투에 따르면, 이 기술이 매우 발전했지만, 팀의 효과성과 효율성을 높이는 데 방점을 찍고 있다. 가트너가 400명의 소프트웨어 엔지니어링 팀 리더를 대상으로 실시한 조사를 발표했다. 이에 따르면 소프트웨어 개발 팀 중 최대 절반이 작업을 보완하기 위해 생성형 AI 도구를 사용하고 있다. 인간…
Los CEO están comprometidos con el avance de las soluciones de inteligencia artificial (IA) en toda su organización, incluso cuando enfrentan desafíos derivados de la rápida adopción de esta tecnología. Así se desprende del informe IBM CEO Study del Institute for Business Value del gigante azul. A partir de una muestra compuesta por 2.000 directores…
사람에 따라 다를 수 있겠지만 필자는 생성형 AI(genAI)에 대한 과대광고에 지쳤다. 이 기술을 꽤 오래 사용해 왔고, 주로 검색 엔진 대체 수단으로 유용한 점을 발견하기는 했다. 그러나 약속된 모든 것이 이뤄지고 있지는 않다. 까탈스러운 중년 아재의 생각만이 아니다. IBM의 최근 2,000명 CEO 대상 조사에 따르면 ‘지난 몇 년간 AI 프로젝트의 25%만이 예상된 ROI(투자 수익률)를 달성했다.’…