「責任あるAI」に関する戦略の4つの柱

「責任あるAI」に関する戦略の4つの柱

本記事では、民間セクターがAIガバナンスを能動的に整備すべき理由とその方法をご紹介します。


要点
  • 責任あるAIの役割と責任を考慮した企業組織の構造を整えることで、安全性と倫理性に関する原則と方法に確実に従えるようになる。
  • AIのユースケースが増加し、複雑化した場合でも、エンドツーエンドのポートフォリオ管理を導入することで、リスクを監視することが可能になる。
  • 責任あるAIの提供に関するコントロールを、ソフトウェア開発ライフサイクルに組み込むことで、リスク評価での特定リスクを見直し、再評価するための接点を提供する。



EY Japanの視点

企業において生成AIの活用が変革の重要なパートを占めることは、言うまでもありません。さまざまな企業が生成AIのユースケースを導入している一方で、そのリスクを考慮した取り組みが十分に進んでいるかというと決してそうではなく、むしろリスクへの対処が後手に回っているのが現状です。

多くの企業では、生成AIの活用に向けた社内規程やガイドラインの整備、ユースケースの目録作成などを通じて、AIリスクの把握と低減に努めていますが、過度なリスク管理が生成AIの活用を妨げる要因となり、リスク対処を進められない一因としてあるようです。

AIリスクに対処するためには、ガバナンス3層構造の各階層でコントロールをすることが原則です。その中でも特に開発現場(1線)に近い場所で、プロセスに組み込む形でコントロールすることが重要であると私たちは考えています。これにより、開発スピードやモチベーションを損なうことなくAIリスクを低減することが可能です。

EY Japanでは、AIリスクに関するルール作りだけでなく、現場での伴走支援を通じてこの体制の実現をサポートします。

AIガバナンスの注力ポイント

EY Japanの窓口

川勝 健司
EYストラテジー・アンド・コンサルティング株式会社 リスク・コンサルティング パートナー

菅 達雄
EYストラテジー・アンド・コンサルティング株式会社 リスク・コンサルティング シニアマネージャー


この記事に貢献したモリー・ドノバン(テクノロジーコンサルティングマネージャー)およびウィリアム・スミス(テクノロジーコンサルティングシニアマネージャー)に特別な感謝をささげます。

企業による人工知能(AI)イニシアチブの採用は、昨今の生成AIの波により急激に増加しています。一方で、世界中でAI規制が次々と成立し、さまざまな地域や業界、民間部門に対しての施行が進んでいます。研究機関や公的部門からはガイダンスが発行されていますが、民間部門におけるAI利用の適用と拡大には追いついていません。そのため、企業(特に医療や金融などの高リスク部門に属する企業)が顧客に関するデータや企業が有するデータを使用するAIシステムを利用する際や、AIソリューションを提供する場合には、責任あるAIポリシーとAIガバナンスを積極的に確立する必要があります。これは、AI利用の促進とともに企業の社会的責任を果たすために重要です。

AIガバナンスは業界や業種にかかわらず必要とされるものであり、EYのクライアントにおいてもその需要が増加しています。一見リスクが低いとみられる業界や業種でも、AIには独自のリスクがあります。たとえ、機微な個人情報(PII、PHIなど)を通常は収集または利用しない分野に属する企業であっても、責任あるAIの戦略が採用されていない場合は、長期的にビジネスに悪影響を及ぼすおそれのあるAIリスクが存在します。

企業は、AIによるバイアスや潜在的な危害、レピュテーションへの影響に対して安全策を講じる必要があります。また、変化する規制に準拠するためにも、責任あるAI戦略が求められます。このような責任あるAI戦略を適用することで、一歩先を行く企業を支援するために、EYのプロフェッショナルは、AIガバナンスのフレームワークやポリシー、プロセス、プロシージャを開発しています。

 

「Why」 — 責任あるAIの重要性

近年、AI導入の加速が生成AI(GenAI)ソリューションに拡大する中で、人間に偏った影響を与える可能性のあるAIを、企業がどのように設計し、訓練しているかについて一般の人々の関心が高まっています。特に、事前学習済みの生成AIモデルでは、基礎的なトレーニングデータやAIモデルによる意思決定の透明性が十分でなく、企業や人々に意図しない危害をもたらすリスクを増大させる可能性があります。

 

世界の研究機関や立法機関は、倫理的かつ責任あるAIのためのガイドラインを公開しています。しかし、ガイドラインが展開され、現場に浸透するスピードは、米国の民間企業が革新的なAI製品を世界中の顧客に提供するスピードと比べて遅れています。ガートナー社の予測によると、2026年までに世界中の政府の半数が規制やポリシーの策定、データプライバシーの義務などを通じて、責任あるAIの使用を規制するとことになるでしょう1

 

AIリスクによる企業内での潜在的な損害を防ぐには、企業が責任あるAIの原則を公に採用し、重視するだけでは不十分です。企業がポリシーに従って確実にアクションを起こせるように、データサイエンス部門内にAIガバナンス機関を設立し、ポリシーの策定とプロセスを整備し、AIシステムの設計、開発、保持における責任あるプロセスを導入することが重要です。また、企業を責任ある革新的な企業に変革するためには、AIソリューションに資金提供し、あるいは設計・構築・提供する従業員に対しては、取るべき具体的なアクションについて教育することも同様に重要です。

「How」 — 責任あるAIの主要な柱

AIは真新しいものではなく、データ活用におけるAI倫理の観点では、既存のプロセスに統合された責任あるAIの実践をある程度整備した企業も少なくないと考えられます。多くの場合は、データサイエンスチーム内でのAI倫理に焦点が当てられています。しかし、企業のAI環境には、広範なビジネス機能や技術的要素が含まれているため、その環境に対しても責任あるAIの活動やポリシーを組み込む必要があります。

IT企業の構造やAI運用の成熟度は企業によって異なります。Forrester社の「Predictions 2025」によれば、厳しい規制を有する企業の40%がデータガバナンスとAIガバナンスを統合するとしています。急速に技術革新が進む反面、ユニバーサル対応の基準や認証、フレームワークの欠如により、AIガバナンスは今後さらに複雑になると考えられます2。企業がどのように責任あるAIを実践していくか理解するためには、まず、AIポートフォリオ管理、ITガバナンス、AI倫理、AIリスク、法務、プライバシー、セキュリティに対する、企業内の既存の機能を評価することから始まることが良いでしょう。これらの機能は従来のソフトウェア開発やデータ分析における機能として、すでに存在しているはずです。高度な分析や機械学習、生成AIの活用と平行して、ガバナンスポリシーや手続きを強化する際には、以下に示す「EYが考える責任あるAI戦略の柱」が重要になるでしょう。

柱1 - スケーラブルな生成AIのガバナンス構造

既存のデータプライバシーや従来のITリスクポリシーの上に新しいAIリスクを組み込めるように、既存のITまたはAIガバナンス構造を適用させることで、責任あるAIに対する良い基盤を確立することができます。67%のビジネスリーダーは、AIによって駆動する新しい未来に内在する社会的、倫理的、犯罪的リスクに対処するために、さらなる対応が必要であると述べています3。企業のリスクプロファイルを業界セクターに基づいて評価するために、明確に役割と責任を定義することで、責任あるAIリスクの評価やポリシーとして対処すべきAI関連リスクの特定を始めることができます。

AIガバナンスの堅牢な構造は、以下の3つの防衛線から成り立っています。

  • 1線 — AIソリューションの設計、構築、展開、監視を通じてリスクを積極的に管理する技術部門
  • 2線 — AIポートフォリオおよびAIリーダーシップの決定を監視し、AIソリューションのレビューや評価を通じて新たなリスクを特定する機能部門
  • 3線 — 1線および2線の部門が政府の規制およびITと企業の責任あるAIポリシーに準拠していることを説明できるようにするため、AI運用から独立したITリスクおよび監査部門

AI関連リスクの進化・拡大を見越し、企業は1線および2線の部門内に新たに責任あるAIの役割を設定することを検討すべきです。新たな責任あるAIの役割には、技術、ビジネス、リスク、コンプライアンスに関する特定のスキルセットが必要です。

柱2 - AIポートフォリオの収集とリスク評価

包括的なAIポートフォリオ管理の受け入れプロセスを確立することで、高リスクなAIソリューションによるビジネスへの悪影響を及ぼす可能性を軽減できます。AIポートフォリオ管理チームおよびAIガバナンスチームは、新たなAI利活用に関するアイデアの検討段階で、ユースケース選定のためのフレームワークおよびAIリスクティア評価を導入すべきです。企業内の各ビジネス部門がプロセス改善やビジネスインテリジェンスの支援としてAIを利用するユースケースを提案する場合、それぞれのアイデアは正式なAIポートフォリオ受け入れ評価を通じて検討するべきです。

本評価には、AIの利害関係者がユースケースの有効性を判断するための情報が含まれます。具体的には、技術的な複雑さ(例:既存の技術とデータはソリューションをサポートする準備ができているか?)、ビジネス価値(例:本ソリューションはエンドユーザーや収益成長にどのように影響し、どのように利益を測定できるか?)、リスク(例:このユースケースに関連する潜在的な倫理、コンプライアンス、規制、プライバシー、セキュリティリスクは何か?)に関する情報です。

ユースケースが承認され、プロジェクトとして資金提供される場合、次のステップはユースケースをAIリスクティアに分類することです。EYが実施するリスクティアリングは、特定のユースケースが本番環境で稼働する際のリスクがどの程度かを判断するために、複数要素で構成されたリスクドメイン評価となっています。

  • 倫理的、法的、プライバシーリスク:データプライバシーや公平性、バイアス、規制などに関するリスクを考慮し、ユースケースのAIモデルタイプ、企業の知的財産、要配慮個人情報の利用を評価する。
  • データ、アルゴリズム、開発リスク:入力データ、技術スタック、使用されるモデル、モデル出力、開発方法に基づいてリスクを評価することで技術的な複雑さを説明する。
  • ビジネスリスク:収益、顧客体験、規制の準拠、企業のレピュテーションに対する潜在的な危害を評価することで潜在的な悪影響を説明する。

ユースケースのリスクティア分類の結果により、以下の2つのことが決定されます。

  1. 本番環境でのAIシステムに実装される、特定の責任あるAIのコントロールとモデルモニタリング。モニタリングには、パフォーマンスの正確性、バイアス、エンドユーザーの誤用、敵対的異常などの追跡が含まれ、責任あるAIのコントロールには、データプライバシー、データ保持、セキュリティ、ITおよび適用される法的ポリシーまたはそのどちらか一方に対するユースケースのコンプライアンス準拠を追跡するようなガバナンス活動が含まれる。
  2. AIシステムの本番環境でのライフサイクル全体にわたって、AIガバナンス構造の3つの防衛線内にあるさまざまなグループからのAIシステムのレビューと評価を継続的に実施する。

柱3 - ソリューション開発ライフサイクルに組み込まれた責任あるAI

AIシステム開発ライフサイクルの各フェーズには、適切なモニタリングが必要となる潜在的なリスクがあります。すべてのプロジェクトで責任あるAIに配慮して開発することで、企業は本質的にリスクを回避したAIシステムを構築することができます。AIライフサイクルには、以下に示すさまざまなリスクカテゴリが存在します。

  • ユースケースの開始フェーズ:設計リスク
  • データの取得と準備:データリスク
  • AIモデルのトレーニング、実験、検証:アルゴリズムリスク
  • AIの展開と監視:パフォーマンスリスク

EYの責任あるAIのフレームワークでは、開発チームが各フェーズで発生するおそれのある特定のリスクをチェックし、分析することを支援します。特定のビジネスから発生する機微なリスクに対処するために、リスクの軽減活動を標準のソリューション開発ライフサイクルの一部として組み込むべきです。

例えば、デジタル化の不足やデータドメインの整理不足、部門間でのデータ所有権の散在などの理由で、AIのモデルトレーニングに必要なデータセットが容易に入手できない場合、そのトレーニングを進める前にデータセットの不均衡を分析することが、データやアルゴリズムのリスクを軽減するためには重要です。また、AIシステムの出力からバイアスや不正確さが生じる可能性を明らかにすることができるために、モデルのトレーニングに使用されたデータセットの種類についての透明性を確保することも重要です。AIシステムを利活用するビジネス領域によっては、統計的な観点からバイアスのある出力が発生してしまい、ビジネスにとって不正確なインプットを提供するなどのパフォーマンスリスクを引き起こす可能性があります。人事領域で一般的に使用されるような人口統計データ利用するAIシステムでは、社会的バイアスも発生する可能性があります。

柱4 - 積極的なモニタリングとコントロール

AIプログラムが拡大するにつれ、リスク軽減のためのモニターの検討と機能の効率化が必要になるでしょう。具体的なモニター機能を特定のユースケースのリスクに基づいて設定しなければなりません。安全なAIの実践を確実に行うためには、生成AIの登場によって高まった多くの潜在的なリスクに対処する必要があり、さまざまな領域でのモニタリングが必要です。以下は、主要なリスクカテゴリの一部です。

ハルシネーション
AIシステムがトレーニングデータや提供された入力に基づかない出力や結論を生成し、不正確で、でたらめな、または有害な応答を引き起こすこと。

コントロールの例

  • モデルが根拠のない、または想像上のコンテンツを生成しないようにする
  • 指定されたユースケースの範囲外のコンテンツをスクリーニングするためのパラメータを設定する
  • ハルシネーションであることを判別できるような、異常を特定するためのメトリクスをさまざまな領域に応じて作成する

データ漏えい
AIモデルのトレーニングデータ、予測出力、またはメタデータを通じて、機微・機密データが意図せず公開・共有されること。これにより、プライバシー侵害やセキュリティ脅威が生じる可能性がある。

コントロールの例

  • データ出力を厳重に監視し、ユーザーの機密性を保護する
  • 機微情報の偶発的な開示を防ぎ、ユーザーのプライバシーとセキュリティを強化する

プロンプトインジェクション
AIモデルに与えられた指示やクエリを意図的に操作し、有害であったり、誤解を招いたりするような、あるいは不適切な応答を生成し、事前に設定されたセキュリティガードをすり抜けること。

コントロールの例

  • モデルが自身の安全機構を回避するように操作されることを防御する
  • モデルの安全策の堅牢性を調整し、モデルの悪用に対して影響されにくくする
  • 指定されたユースケースのパラメータに基づいてモデルの機能を確保する

有害性
特定の入力に対する応答として、またはAIシステムによって独自に生成された、有害または攻撃的なコンテンツ。これは、個人やグループに対して害を与えたり、不快感を引き起こしたりする可能性がある。

コントロールの例

  • 有害、攻撃的、または不適切なコンテンツの生成を「有害性」として積極的に特定し、軽減する
  • コンテンツモデレーションプロトコルを体系的に強化する
  • ユーザーのウェルビーイングを損なう可能性のあるコンテンツや、プラットフォームのガイドラインに違反するコンテンツを事前に無効化する

上記のAIモデルリスクのカテゴリに対するコントロールを自動化することは、事前段階でも、あるいは遡及的にも行うことができます。事前のコントロールには、有害な言語、データ漏えい、プロンプトインジェクションに対するスキャニングやガードレールを設定することや、ユースケースの目的からのコンテキストの変動に対する閾値を設定することなどの対策が含まれています。事前のコントロールで対処できるリスクは、入力および出力の両面から監視することができます。一方、遡及的なモニタリングでは、過去のデータやモデルのパフォーマンスを明らかにし、改善の余地、再発する問題、新たなリスクを特定することが可能です。そのため、責任あるAIコントロールの自動化は、継続的で効率的な監視体制を強化し、また、AIプラットフォームアーキテクチャのレベルや、ローンチ後のデータレビューで実行が可能です。

責任あるAIプログラムの開発では、技術的なコントロールと機能的なプロセスが重なり合う点を見つけることが成功の秘訣です。AIシステムを、責任ある、スケーラブルな、かつ、望み通りのものとするために、データサイエンスチームと技術チームは、AIガバナンス部門や各ビジネス部門が設定したガイドラインや規制に従わなければなりません。一方、ガバナンス機関は、技術チームと協力して、出現するリスクや変化する外部環境に基づいてこれらのルールを継続的に改善させる必要があります。このような協力体制を通じて、AIは倫理的かつ有益な方法で利用され、ビジネス戦略、顧客の信頼、ブランドの評判にポジティブに貢献することができます。

  1. “AI Regulations to Drive Responsible AI Initiatives,” Gartner, https://www.gartner.com/en/newsroom/ press-releases/2024-02-29-ai-regulations-to-drive-responsible-ai-initiatives, 29 February 2024.
  2. “Predictions 2025: An AI Reality Check Paves the Path for Long-Term Success,” Forrester, https://www.forrester.com/blogs/predictions-2025-artificial-intelligence/, 22 October 2024.
  3. EY Pulse Survey of CEOs

サマリー

ハルシネーションやデータ漏えいなどのAIリスクによる企業組織への潜在的な損害を防ぐため、責任あるAIに関するポリシーのみならず、これを組織内で具現化するプロセス・体制・テクノロジーの導入が企業に対し強く求められています。本稿では、その方法として4つの柱として「スケーラブルな生成AIのガバナンス構造」「AIポートフォリオの収集とリスク評価」「ソリューション開発ライフサイクルに組み込まれた責任あるAI」「積極的なモニタリングとコントロール」を概観しました。EYのプロフェッショナルとフレームワークは、企業がAIリスクに対するコントロールを適切に導入し、責任あるAIを実現するとともに、AIを活用したビジネス戦略の成功に向けたサポートを提供します。



この記事について

執筆者

執筆協力者