AIガバナンス体制構築に必要な法的視点と実務対応のポイント

AIガバナンスの体制構築の重要性

AIの利活用は、もはや各企業において効率的な業務遂行のためには必須の事項になってきています。他方、AIの安全性、信頼性に関する社会（顧客、消費者を含む）の懸念は大きくなっているにもかかわらず、AIガバナンス体制を構築することには特有の難しさがあるため、適正なAIガバナンス体制を構築できていない企業が数多く見受けられます。

そこで、AIの利活用に関する規制やリスクの現状を正しく理解し、AIの有効活用及びリスクマネジメント両面の観点から、適正なガバナンス体制を構築することが重要な課題となっています。

そもそも、AIガバナンス体制を構築するということは、AIの利活用によって生じるリスクを適切にマネジメントするとともに、その便益を最大化することを目的とする、技術的・組織的・社会的システムを設計することを意味します。

リスクマネジメントの観点としては、法令違反・契約違反・その他の民事上又は刑事上の責任（損害賠償、著作権侵害の責任等）を内容とする法的リスクや、AI搭載製品の誤作動による責任の所在に関するリスク、取引先とのトラブル、インシデントの発生に伴う社会的信頼の低下等の事業リスクを、適切にマネジメントすることが重要となります。他方、AIの利活用に伴うプラスの側面に目を向け、リスクを正しく認識した上での活用方法を検討し、これを促進することで、AIの利活用によって生じる便益を最大化することももちろん重要になります。

前述の通り、AIガバナンス体制の構築には特有の困難さが存在します。それは、1つ目として、AIの利活用に当たっては、事業部門のみならず、管理部門の関心も高く、法務だけでなく、情報システム、知的財産、品質管理等の業務と関連するため、担当責任部署が多岐にわたるということ。2つ目として、AIに関する規制や技術変化が迅速であるため、ガバナンス体制を繰り返しアップデートする必要があること。そして3つ目として、現場レベルのみならず、経営層の意識改革を図る必要があることの3点が主な課題となります。このような困難さを乗り越え、適切なAIガバナンス体制を構築してリスクマネジメントを図るとともに、AIの利活用に伴うメリットを最大限享受することが、今後重要になってくると言えます。

海外におけるAI規制

海外のAI規制は、方向性が国ごとに大きく異なり、企業にとって複雑な対応が求められる状況となっています。前述の日本と同様、ソフトロー・アプローチによるところもある一方で、例えばEUのAI規制（EU AI Act）では、ハードロー・アプローチ（AIについて包括的かつ法的拘束力のある規制を行い、ソフトローは補完的）による、世界で最も厳格なAI規制法となっています。EU AI Actは、AIを利活用するEU域内の親会社・子会社のみならず、EU域内にAI製品やAIサービスを提供する場合、又は、AIシステムで生成されるアウトプットがEU域内で利用されることが想定される場合にも、適用される可能性があります。そのため、EU域内におけるビジネスを検討している企業や、EU域内におけるサービスの提供を検討している企業の場合には、この点を十分注意することが必要です。また、違反した際の制裁金も相当高額になっている（禁止されるAIシステム違反の場合には、3,500万ユーロ又は世界年間売上高7%のうち高い金額を上限とする制裁金が科され、その他の主な義務違反の場合には、1,500万ユーロ又は世界年間売上高3%のうち高い金額を上限とする制裁金が科されることになります）ため、この点にも十分に注意する必要があります。

AIガバナンス体制構築のポイント

上記のAIガバナンス体制構築の重要性やAIに関する規制の動向に照らし、以下のポイントを踏まえた、適切なAIガバナンス体制の構築を図ることが望ましいと考えられます。

1. AIライフサイクルとステークホルダーについての理解

AIライフサイクルには、開発段階、提供段階、利用段階の各ステージが存在します。そして、その各ステージにおいて想定されるステークホルダーが、データエンジニアやデータ提供者・権利者等の「開発者」、ソフトウェアプラットフォーム提供者等の「提供者」、生成物のエンドユーザー等の「利用者」と異なるため、AIガバナンス体制もおのおのに応じて作成する必要があります。そのため、まずは、自社が「開発者」、「提供者」、「利用者」のどの位置にいるのかを確認した上で、AIライフサイクルの各ステージで生じ得るリスクを整理し、各ステージにおいて想定されるステークホルダーとの間における責任分担について適切な整理をした上で、AIガバナンス体制を構築することが重要になります。

2. アジャイル・ガバナンスの実践

AIに関する環境、技術、市場の変化に応じて、柔軟にAIガバナンス体制の見直しを実施することが必要になります。その際には、①AIの利活用により達成したいこと（ゴール）の設定と、そこに至るための環境やリスクの分析を行うこと、②責任部署の明確化を図り、会社方針や社内ルール・システムを策定すること、③社内教育を実践すること、④①から③をモニタリングないし評価することにより、継続的な改善を図ること、が必要になります。以下、各項目についてポイントをご説明します。

① AIライフサイクルの各フェーズにおいて生じ得るリスクを特定し、整理することが必要になります。その上で、洗い出されたリスクへの対応策を検討し、それらに対する機能状況を評価するシートのひな形を作成するとより効果的と言えます。

② 責任部署の明確化については、具体的な運用や実務的な判断は既存の個別部署に委ね、AIガバナンスの方針やモニタリングに関して包括的に所管する部署（「AI倫理委員会」等）を設置することが考えられます。会社方針や社内ルール・システムについては、OECD原則やAI事業者ガイドラインの原則を参照した上で、会社全体の基本原則として、AI倫理指針、AI活用指針等を策定することや、AIガバナンスを意識した社内ガイドラインを策定することも有益であり、かかる会社方針やガイドラインを、ユーザーやステークホルダーに公開することも積極的に検討されるべきです。会社方針やガイドラインの策定に当たっては、既存の関連規程（個人情報取扱規程、秘密情報管理規程、品質管理規程等）との関係も明確にしておくことが望ましく、また、ユーザーが内容を理解し、イメージできるようなものにすることや、一読了解できる内容とし、できる限りユーザーに解釈を求めないものとすることがリスク回避の観点から重要となります。

③ 社内ルールを周知徹底させ、社員の理解を深めること、AIリテラシーを確保すること、規制の動向や最新の技術・脅威を意識した継続的な研修内容のアップデートを図ることが、重要となります。

④ モニタリングについては、①において策定した評価シートの継続的な活用、及び、状況の変化に応じた更新が重要となります。評価については、少なくとも1年に1回（可能であれば四半期に1回）程度の監査が望ましく、客観性や効率性の確保のために、外部ツールや専門家を活用することも検討の余地があります。改善については、ガバナンス体制が機能していない場合にはルールの更新や対応例の追加を検討すること、新しいリスクが検出される等の場合には、必要に応じて評価シートのひな形を更新することも検討されるべきです。

3. グローバル企業の場合

グローバルに活動している企業の場合、海外子会社に適用される法令の違いや、関連部署が複雑であること等の要因から、上記に加えて追加の配慮が必要になることがあります。例えば、1では、現地のAI規制法、個人情報保護法、著作権法等に応じ、リスクを再整理することが必要になる場合があり、2では、日本の本社で管理すべき範囲の検討や、海外子会社において、現地における地域レベルの担当部署や管理委員会設置に対する有無等の検討が必要になることもあります。このように、国内のみで活動している企業とは異なる点に留意する必要があります。

4. 経営層の関与

以上のような現場レベルでの日常の管理とともに、経営層レベルによるマネジメントも必要になります。経営層としては、1ないし3の各項目について、会社としての意思表明を行うことに加え、取締役会に対して責任を負う専門組織（AI倫理委員会等）の設置の有無、取締役会への報告体制の整備、会社としてのゴールからの乖離（かいり）の有無、等を詳細に検討し、積極的に実行に移すことが望まれます。