信頼を築くインテグリティファースト型のAI活用戦略とは

法務・コンプライアンス部門の幹部はAIの活用事例に数多くのチャンスを見いだしており、それが部門にもたらす可能性に期待を寄せています。しかしながら、法務や内部監査部門においてAIの導入率が全体的に低いことは、組織の第2および第3のディフェンスラインが、他の部門におけるAI活用に後れを取っていることを示唆しています。ビッグデータやRPA（ロボティック・プロセス・オートメーション）が登場した際にも同じ状況が見られており、当時、法務、コンプライアンス、内部監査部門は、組織におけるデータ分析活用の現状に追いつこうとしていました。

法務・コンプライアンス部門はAI活用のどこに可能性を見いだしているのか

EYグローバルインテグリティレポート2024において、法務・コンプライアンス部門の回答者は、AIの活用に最も適した日常的なコンプライアンス活動として、継続的改善やモニタリング、リスク評価を挙げています。さらに、AIがコンプライアンスにおいて発揮する最大の効果は、データセットの関連付け（40%）、能動的モニタリングやその改善（37%）、リスクスコアリング活動（34%）における高度なデータ収集、操作、リスク分析に集中していると答えています。

EYは世界中のクライアントをサポートする中で、法務・コンプライアンス部門がAIを有効活用している事例を数多く見てきました。例えば、生成AIツールは大量の情報の迅速な検証や要約、契約書の作成、一次レビュー、特定の電子情報開示手続の実行が可能であり、日常業務の正確性と効率性を大幅に向上させることができます。また、コンプライアンスリーダーが新たな洞察力を養い、より適切な意思決定を行うために役立てることも可能です。法務・コンプライアンス部門におけるAIの具体的な活用事例は以下の通りです。

• 法規制変更のモニタリングや社内データの分析を行うことによる潜在的なコンプライアンスギャップの特定
• レッドフラグを検出するための第三者に対するバックグラウンドチェックや財務分析を自動化することによるデューデリジェンスプロセスの合理化
• 金融取引、通信、その他データを分析しパターンや異常を検知することによるリスク評価の改善
• レッドフラグを検出するためのリアルタイムアラートの発信や潜在的な不正行為の格付け
• 規制当局の調査、召喚、訴訟に対応する電子メールや文書のレビューに予測モデルを使用することにより膨大なデータの調査に要するコストと時間を大幅に削減
• 全データセットから個人情報や秘匿情報を自動的に識別した上で、削除またはリダクト（黒塗り）
• AIチャットボットを通じて、従業員のコンプライアンスに関する問い合わせにオンデマンドで回答、企業ポリシーを参照し助言を提供

法務・コンプライアンス部門の経営幹部は、AIの将来性に期待を寄せる一方で、同部門へのAI導入の足かせとなる可能性のある重要なリスクを懸念しています。課題として上位2つに挙げているのは、「AIモデルに取り込むデータに一貫性がない、または欠如している」と「組織内の専門家が不足している」です。

組織全体へのAI導入においてインテグリティを確保する際に直面する、「AIウィッシング」や「AIウォッシング」につながり得る課題

AIが取締役会レベルの話題に昇格し、例えば組織のサイバーセキュリティのように可視化されるようになると、部門の枠を超えたチームの支援と協力があったとしても、AIの組織的利用に関するインテグリティと信頼に対する責任は、法務・コンプライアンス部門の肩に重くのしかかります。AIが企業全体に導入されると、法務・コンプライアンス部門は、自部門のAIインテグリティリスクの管理のみならず、コンプライアンスの順守状況を検証して組織全体のインテグリティ規範の品質を確保する責任も負います。こうした活動は、本来AIガバナンスの枠組みの中で、広範で強制力のある運用プロセスに組み込まれるべきです。

しかしながら、法務・コンプライアンス部門が、自部門内のAI利用に係るインテグリティリスク対応にすら苦労しているとなると、組織全体にあるAI対応ツールが組織内のAIガバナンスの枠組みに沿って使用されているか、また法域内の規制や法的要件を順守しているかを確認するのは非常に困難といえるでしょう。

こうした問題は「AIウィッシング」、すなわち組織がAIをどう利用しているのかを検証できないのに「こうに違いない」と期待したり、信じ込んだりすることで、経営陣がAI利用について誇張して語るという事態を招きかねません。また、自社のAI活用について意図的に不正確な主張をする「AIウォッシング」というさらに悪質なリスクもあります。不注意であれ故意であれ、AIウィッシングもAIウォッシングも訴訟につながる可能性があります。実際、すでに訴訟が次々と起きています。例えば、米国では最近、証券取引委員会（SEC）が、AIの利用報告に関して誤解を招く虚偽の主張があったとして、投資顧問会社2社に制裁金を科しました。両社ともこれに応じ、合計で40万米ドルの民事制裁金を支払っています。

AIの可能性を過大に報じる声に乗せられ、ブームの波に乗る誘惑に駆られますが、インテグリティを重んじる強力な企業文化があれば、組織のAI利用にまつわる信頼を裏切る行為が常態化せず、あくまで例外にとどまるはずです。背任行為に対する法的措置が増加する中、そうした強固なインテグリティ文化はますます重要になります。

加速するAIの進化により、AI規制が政策立案者の最重要課題に押し上げられている

EUでは、一部の加盟国が警察での顔認証の利用拡大を検討していますが、欧州議会は最近、AI規制法の一部として、より厳格化された規制を可決しました²。2024年8月1日に施行されたこの法律は世界で最も進んだAI規制であり、域外適用と高額の制裁金を伴うため、欧州諸国内または欧州諸国とビジネスを行う全ての組織に影響を及ぼすでしょう。AI規制を最初に導入した国の1つである中国は現在、特定のAI用途に適用されるさまざまな規則や政策を拡大しています。また、AIの倫理に関する国連教育科学文化機関（UNESCO）の勧告を採択し、経済協力開発機構（OECD）のAI原則にも準拠しています³。インドでは、政府がIT企業に対し、AIツールを公に発表する前に正式な許可を得るよう求めており、「選挙プロセスの正当性を脅かす」といった反応を引き起こす可能性のあるAI製品を使用しないよう、企業に警告しています。こうした動きは、2023年にインドが表明した、AIに対して積極的な介入は行わないとの立場を撤回することを意味しています⁴。一方、米国では、AIに関する連邦法が近い将来に成立する可能性は低いものの、連邦取引委員会（FTC）などの規制当局が生成AIの影響に対する人々の懸念に応え、一部のAIプラットフォームに対して大規模な調査を開始しました⁵。また、州ごと、および特定地域に適用される法律も多く施行、検討されています。

AIの進化は急速で、進化の仕方も必ずしも予測通りにはならないため、規制当局は常に対応に追われています。このため、企業には、コンプライアンスだけにとどまらない厳しい抑止力が求められます。その実現に、インテグリティを重視する文化が役立ちます。具体的には、さまざまな部門の従業員で構成されるAIタスクフォースを設置しAIの倫理的使用といった問題を検討させるなど、コンプライアンスの枠を超えた取り組みが可能で、すでにそうしている企業もあります。また、このような問題に対処するため、関連プロセスや統制を定めたポリシーの策定も進められています。

しかしながら、新たなテクノロジーに合わせてスキルセットを進化させる必要があることを考えると、組織にとってはこれが難しい場合があります。組織がAI中心のアジェンダを推進する際、こうしたスキルセットは、従来のテクノロジー系のバックオフィス部門から、ビジネス部門や企業全体の中で一層重要な役割を果たすものへとシフトしていく傾向が見られます。組織はテクノロジーとビジネス部門の活用事例とのギャップを埋める必要があります。例えば、AI技術の専門家が法務部門と連携し、特定の活用事例やプロセスにおける技術的メリットや重要なリスクに関する知識を分かりやすい形で共有し、理解を深めるようにすることなどが考えられます。

AIにはビジネス環境を根本から変える大きな力があることから、組織がコンプライアンスを順守し倫理的にAIを使用するには、包括的な計画と体系的なアプローチが不可欠です。そこでAIを活用する上で、インテグリティファースト型のアプローチを取るための6つの方法を紹介します。

1. AI活用戦略の評価

すでにAIを導入しているか、近いうちに導入予定であるかにかかわらず、組織はAI活用の管理が現在どの程度成熟しているかを把握することが重要です。AI成熟度評価は、重大なギャップを特定するのに役立ちます。例えば、ある世界的な製薬会社がAI活用のコンプライアンス評価を実施したところ、最大のギャップの1つは、一貫性のあるAIガバナンスの枠組みがないことだと分かりました。

2. 正式なAI活用ポリシーとその導入方法の策定

ガバナンスは、安全で持続可能な、責任と透明性のあるAI活用を実現する上での基盤です。AIガバナンスの枠組みの構築は有用ですが、これらは多くの場合、適用が任意であったり、一貫性がなかったりします。より建設的なアプローチは、正式な（そして強制力のある）AI活用ポリシーを策定するとともに、それを導入・監視する適切な方法を定めることです。AI活用ポリシーでは、組織としての倫理的なAI原則を定義すること、人々の権利や安全、プライバシーを尊重するガイドラインを確立すること、AIの出力内容の公正性、正確性、信頼性を担保すること、基礎となるデータやモデルのセキュリティを保護することに特に注意を払う必要があります。

3. 部門横断的なチームの編成

AI活用ポリシーを最も効果的なものにするためには、組織全体の複数の利害関係者（IT、プライバシーと情報セキュリティ、コンプライアンス、法務、イノベーション、財務、内部監査の各部門）が協力して、AIの活用事例や関連リスク、安全対策の妥当性を評価する必要があります。組織にガバナンス委員会を設置し、AIリスクの各側面についてそれぞれの担当チームに対処させ、さまざまな活用事例に落とし込みます。ガバナンス委員会の外からも、部門横断的なチームが、ガバナンス運用の一貫性や、組織全体としてのリスク管理アプローチを監視します。チームはそれぞれ、AIのライフサイクルや活用の管理において異なる役割を担います。これらのチームの連携なくして、AIリスクを効果的に、全体にむらなく管理することはできません。

4. AIに関する規制・訴訟対応計画の策定

ガバナンス計画の次の段階は、AIに関する規制・訴訟対応計画です。法規制の環境が、特にAIに関して厳しさを増す中、組織はこのような危機管理のための対応計画を準備しておく必要があります。それが特に重要になるのは、AIウィッシングやAIウォッシングのクレームを受けた場合です。もし問題が発生すれば、組織がAIをどう活用しているか徹底的に調査されることになります。組織は、関与する必要がある人物、データや責任の所在を把握しておく必要があります。関連する成果物を収集し、組織のAI利用方法を技術的観点から実証する徹底した対応プログラムを実施することになります。それは、弁護士を雇い、モデルや記録を見直してそれら全てを規制当局に提示できるようにするというコストのかかるプロセスです。従来の召喚とは違うと認識しておくことが大事です。従来の召喚でも、電子メールの提示が求められることがあるでしょう。しかしAI訴訟では、アルゴリズムを提示できなくてはなりません。

5. データガバナンスとプロセスの最適化

EYグローバルインテグリティレポート2024では、経営幹部がコンプライアンス部門にAIを導入する際の最大の課題として、AIモデルに取り込むデータの一貫性のなさや不完全性を挙げています。法律やコンプライアンスの専門家からデータに対する信用を得るために、組織はデータを明確かつ完璧に理解する必要があります。また、これはおそらく従業員全体からの信用を得る上でも重要です。そこにはデータの出所、品質や弱点を把握するためのデータマッピングやデータリネージも含まれます。

6. 使用している全てのAIツールのリストを作成

使用している全てのAIツールと機械学習（ML）ツールのリストを入手または作成する必要があります。組織のAI活用能力が成熟するにつれて、AIアルゴリズムのポートフォリオを確実に管理できる、拡張可能で柔軟かつ安全なインフラの構築に注力できるようになります。

AIの進化のスピードは加速する一方です。AIをただ導入するだけでなく、AIに対する信頼感を浸透させるために組織が検討すべき概念や要素は多く、組織は、統一的でインテグリティファースト型のアプローチで取り組まねばなりません。事が起きてからリスクや問題に場当たり的に取り組むのでは不十分です。

強固なAI活用戦略の土台にあるのは強力なガバナンスの枠組みです。すなわち、明確に定義されたポリシーや手順、ガバナンスのプロトコルに沿った統制、データガバナンスとプロセス、さらに、AI導入を推進するだけでなくAIに関わるインテグリティ文化を支える、部門の垣根を越えたチーム、これらによって、AIの潜在能力を最大限に活用しリスクを軽減するインテグリティファースト型AIアジェンダが実現します。

サマリー

EYグローバルインテグリティレポート2024は、AIの進化が加速する中で、組織のどこに、どのようにAIが導入されようとしているのか、追いつくのに必死なリーダーの本音を浮き彫りにしています。それ故に、AIの可能性を最大限に引き出し、リスクを軽減し、倫理的な使用に対する信頼を構築するためには、強固なガバナンスの枠組みを基盤とした、統一的でインテグリティファースト型のAI活用戦略を確立することが極めて重要です。