AIが進展する社会において、企業に求められるガバナンス対応

Ⅰ 進展するAI社会

近年、AI技術の進化は目覚ましく、特に生成AIの登場以降、ビジネスにおけるAI活用の機会は急速に拡大しています。文章生成、画像生成、音声認識など、従来は人間の創造性や判断力が必要とされていた領域においても、AIが一定の成果を上げるようになりました。企業は業務の効率化、顧客対応の高度化、製品・サービスの革新など、さまざまな目的でAIを導入しています。

しかしAIの実装に伴い、新たなビジネス上のリスクも顕在化しています。例えば、生成AIが出力する情報の正確性や著作権侵害の懸念、バイアスを含む判断結果による差別的な対応などが挙げられます。さらに、AIエージェントの利用も始まりつつあり、人間の代わりに意思決定したり行動したりするAIが登場することで、リスクの性質はより複雑性を増すことになります。AIが自律的に行動することで、責任の所在が不明確になる可能性もあり、企業にはこれまで以上に慎重な対応が求められます。一方で、AI活用を避けること自体が、競争力の低下や業務効率の停滞といった新たな経営リスクを招く恐れもあります。

Ⅱ AI利用が進む企業が直面する新たな課題

従来、企業におけるシステム上の課題、例えば情報セキュリティ、システム障害、データ漏えいなどの技術的なリスクへの対応は、主にIT部門が所管していました。しかしAIの導入により、リスクの範囲は技術的な側面にとどまらず、法務、倫理、人事、コンプライアンスなど、多様な観点からの検討が必要となっています。

例えばAIが採用選考に用いられる場合、アルゴリズムに偏りがあると差別的な判断が行われる可能性があります。また、生成AIが作成したコンテンツに著作権侵害が含まれていた場合、企業が法的責任を問われることもあります。これらのリスクに対して、IT部門だけで対応するのは困難であり、全社的な取り組みが不可欠です。

さらに、AIの不適切な利用が企業の評判（レピュテーション）に悪影響を及ぼす可能性や、AIリスク管理が不十分な場合に善管注意義務などの法的責任を問われる可能性も考えられます。こうした状況を踏まえ、経営層を含む全社的な視点で「AIガバナンス」を整備することが、今後の企業経営において重要な課題となっています。

Ⅲ 世界的に検討が進む法規制の動向

AIの急速な普及に伴い、世界各国で法規制の整備が進められています。

1. EU

EUでは、2024年に「AI法（AI Act）」が成立しました。この法律は、AIのリスクレベルに応じた段階的な規制を導入するもので、特に「高リスクAI」には厳格な認証や監査義務が課せられます。違反した場合には、最大で3,500万ユーロまたは世界売上高の7%という高額な制裁金が科される可能性があります。一方で、こうした規制が事業者の負担を増加させ、競争力の低下につながるとの懸念もあり、規制の適用範囲や手続きの簡素化を図る「AI大陸アクションプラン」などの取り組みが進められています。例えば、企業向けに「AI規則サービスデスク」が設置され、法令遵守を支援する体制が整えられています。

2. 米国

米国では、AIの推進を重視する姿勢が強く、連邦政府による包括的な規制はまだ整備されていません。州レベルでは、カリフォルニア州などが独自のAI関連法案を検討しており、分権的な規制体制が特徴です。一方、NIST（米国国立標準技術研究所）が「AIリスクマネジメントフレームワーク（AI RMF）」を策定するなど、業界主導でガイドラインが整備されています。これらのガイドラインは国際的にも評価され、企業のリスク管理や倫理的対応の参考として活用されています。

3. 日本

日本では、2025年5月28日に「人工知能関連技術の研究開発及び活用の推進に関する法律」（通称：AI推進法）が国会で成立しました。この法律は、AIを経済・社会・安全保障の基盤技術と位置付け、研究開発から社会実装までを総合的・計画的に推進するための基本法です。AI戦略本部の設置や基本計画の策定を通じて、官民連携によるイノベーションの促進と、倫理・安全性への配慮を両立する枠組みを整備しています。法的拘束力よりも政策誘導を重視し、AIの健全な発展を支援することを目的としています。

このような政策誘導型のアプローチに加え、日本では「ソフトロー」型のガイドラインが活用されています。例えば、経済産業省・総務省による「AI事業者ガイドライン」は、AIのライフサイクル全体にわたるリスク管理、透明性、説明責任、ガバナンス体制の整備などが網羅されています。生成AIの普及に伴う新たな社会的リスクに対応するため、リスクベースアプローチを採用している点も特徴的です。想定される利用者は「AI開発者」「AI提供者」「AI利用者」の三者であり、それぞれに対して共通の指針と個別の留意事項が示されています。

2025年5月にはデジタル庁が「行政の進化と革新のための生成AIの調達・利活用に係るガイドライン」を策定しました。このガイドラインは、行政機関が生成AIを導入・活用する際の基本的な考え方や手順、リスク管理の枠組みを示したもので、調達・契約・運用の各段階における留意点が体系的に整理されています。主な利用者は中央省庁や地方自治体ですが、行政向けにAIを提供する民間事業者にとっても、契約や提案時の重要な参照資料となります。官民連携によるAI活用プロジェクトにおいても、共通のルールブックとして機能し、円滑な協働を支える基盤となります。

AI 事業者ガイドラインを用いた AI ガバナンスの第三者評価サービス

AI市場の規模は今後も成長・拡大が見込まれています。多くの企業で生成AIに代表されるAIが活用され、合わせてルールの整備にも取り組んでいます。AI の利用により業務品質や生産性の向上が期待される一方、AI の利用には、正確性・公平性・知的財産権・セキュリティ・プライバシーなど、さまざまなリスクが存在します。EY では、組織において AI 活用を進めていくにあたり、そうした多様なリスクに対応したガバナンスの構築や、構築した AI ガバナンスの運用状況について第三者としての客観的な評価で支援します。
続きを読む
AIマネジメントシステム規格 ISO/IEC 42001:2023に関連するサービス

AI（人工知能）を安全かつ責任ある形で活用するためのAIマネジメントシステム規格　ISO/IEC 42001:2023について、ISO認証機関を持つEYがサポートします。
続きを読む

Ⅳ 企業に求められる対応とは

企業がAIガバナンスを整備するに当たっては、まず上記のようなガイドラインの要求事項を理解し、それに基づいた社内体制の構築が求められます。これには、AIの利用目的の明確化、リスク評価の実施、責任体制の整備、従業員への教育・啓発などが含まれます。

ただし、業界の特性やAIの活用状況によって対応すべきポイントは異なるため、自社単独での検討には限界があります。そこで、業界団体や交流会などの場を活用し、企業間で対応状況を共有しながら進めることが有効です。こうした場では、ベストプラクティスの共有や、共通課題への対応策の検討が可能となります。

また、自社の対応状況を客観的に評価するために、第三者機関を活用することも選択肢の1つです。例えば、各種ガイドラインの要求事項を基に、業界特性やトレンドを熟知した専門家による客観的な評価を受けることは、自社の対応状況を把握する有効な手段となるでしょう。

さらに、AIガバナンス体制に関する認証制度である「ISO/IEC 42001」に対応することは、より一層有効な対応と言えます。この国際規格は、AIマネジメントシステムの構築・運用に関する要求事項を定めており、企業がAIを適切に管理・運用していることを証明する手段となります。ISO/IEC 42001では、AIのライフサイクル全体にわたるリスク管理、公平性の確保、透明性の確保、説明責任の明確化などが求められており、企業はこれらの要件を満たすことで、社会的信頼を得ることができます。

OECD（経済協力開発機構）が提唱したAI原則では、人間中心性、公平性、透明性、説明責任などが重視されています。企業はこれらの原則を単なる理念としてではなく、具体的な業務や技術運用に落とし込む必要があります。特に説明責任の確保は、AIが自律的に判断・出力を行う場面が増える中で、社会的信頼を維持するためには欠かせません。企業は、AIの判断根拠やリスク評価のプロセスを明示し、社内外のステークホルダーに対して説明可能な体制を整えることが求められます。これは、法的責任の回避だけでなく、倫理的な信頼の構築にもつながります。今後、AIガバナンスは経営の中核的課題となり、技術部門だけでなく、法務・人事・広報など多部門が連携して対応することが重要です。