EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
生成AIは業務効率化や新たなインサイトの創出を可能にする一方、これまでは想定していなかったリスクも拡大させます。その両面を制御する「AIガバナンス」をいかに設計し運用するか。本シリーズでは業種別の実務課題から、その答えを探ります。第1回目は総合商社に焦点を当てます。
総合商社では生成AIの業務活用が急速に広がっています。しかし、カンパニー制のもとで多数の事業会社を擁し、M&Aによってグループの輪郭が絶えず変化する商社特有の経営構造は、AIガバナンスの設計と運用に固有の困難をもたらしています。そうした困難にどう向き合い、実効性ある管理体制を構築するには、どのようなアプローチが有効なのでしょうか。EYのプロフェッショナル2人が、商社の構造的課題を解きほぐしながら、変化を前提とした「動的ガバナンス」の設計思想と実践のポイントを掘り下げます。
要点
- 生成AI活用が拡大する中、M&Aの常態化や多層的なグループ構造がもたらすガバナンス上の新たな課題とは。
- コンプライアンス、セキュリティ、性能劣化――生成AIの社内利用に潜む3つのリスクと潜在的な脅威を整理する。
- 総合商社の組織構造が抱える課題。AI活用のリスク管理で直面する構造的な難しさ。
- なぜ「固定的な統制」ではなく、「動的ガバナンス」の設計思想が求められるのか。
- AIモデルも法規制も絶えず変化する中、自社完結ではなく外部の専門性を取り込むことが持続的な運用の鍵となる。
総合商社のAI活用とガバナンスの必要性
多角経営と高頻度M&Aが突きつけるリスク管理の課題
―― 最初に、なぜ総合商社にとってAIガバナンスが重要なのかを教えてください。
日向野:総合商社は多岐にわたるビジネスを手がけています。金属資源、エネルギーなどの基幹産業ビジネスもあれば、コンシューマー向けの店舗ビジネスもあります。さらに、他の企業と比較してM&A(合併・買収)の頻度が非常に高いという特徴があります。例えば、一般的に国内中堅メーカーなどが実施するM&Aは多くても年に1回程度ですが、商社では1事業部門だけで年に複数回実施することがあります。M&Aでは市場調査や事業戦略のスタディを短期間に数多く行う必要があるため、AI活用は不可欠なのです。
また、総合商社は、社内の各事業部門を独立した会社のように運営しています。さらに、それぞれの事業部門の傘下には複数の事業会社(子会社や関係会社)が存在します。これらの事業会社の中には、共同出資や部分出資のケースも多く、本社が100%出資していない場合もあります。そのため、本社の方針や統制を一律に徹底することが難しいケースが少なくありません。
現在は生成AIのビジネス活用が急速に拡大している時代です。そのため、各カンパニーや傘下の事業会社では、業務効率化や競争力強化を目的に、積極的に生成AIを導入・活用しています。しかし、こうした動きが各所で個別に進むと、本社のマネジメント層が十分に把握しきれないまま、AIの利用に伴うさまざまなリスクが想定以上に放置される危険性があります。具体的には、ハルシネーション(AIが誤った情報を生成するリスク)や機密情報の漏えい、著作権侵害などです。
このような問題は、単一の事業を営む企業と比較し、多数のカンパニーや事業会社を抱える総合商社においては、はるかに生じやすい構造にあります。事業領域が広くAI活用の必要性が高い一方で、組織構造上、本社のガバナンスが隅々まで行き届きにくいという特性があるためです。こうした背景から、総合商社にとってAIガバナンスの整備は急務なのです。
―― 現在、商社でAI活用はどの程度まで進んでいますか。
日向野:一概には言えませんが、商社はAI利用に積極的な業界です。ステークホルダーからも「デジタル活用による業務の効率化」や「デジタル起点の新規ビジネス創造」、「顧客への新たな価値提案」を強く期待されています。現在は、全社横断で安全かつ効率的に生成AIを利用できる共通インフラやルールの整備を進めている段階です。
活用が進んでいる領域として挙げられるのは、足元の業務として「コーポレート部門の業務効率化」です。経理の定型業務の効率化や社内問い合わせに対応するためのチャットボット導入など、地道ですが着実に導入が進み、成果を上げています。さらに最近は、個々の業務に即したユースケースも増加しています。例えば、周辺ビジネスの変化をトリガーにした自社ビジネスへのインパクト測定やマーケティングへの活用、契約書のリーガルチェック、株主総会での想定質問と回答案の準備などですね。
もう1つは「新規ビジネスの創出」です。例えば新薬の開発やエネルギー効率化を目的としたデバイスの最適制御などです。これらは、商社が直接手がけるよりも、AIスタートアップに投資する形がしばしば見られます。
「導入して終わり」ではない生成AI
環境変化がモデル精度を蝕む、性能劣化のメカニズムと対策
―― 次に生成AIの社内利用に伴うリスクを教えてください。商社をはじめとする企業が生成AIを活用する際、どのようなリスクを想定しておくべきでしょうか。
川勝:生成AIの社内利用に伴うリスクは、大きく3つに整理できます。
1つ目はコンプライアンスリスクです。例えば、個人情報を含むデータを不適切に扱ってしまうことや、他社の著作権や知的財産権を侵害してしまうといったリスクです。生成AIは手軽に利用できるぶん、利用者が意識しないまま法令違反に踏み込んでしまう危険性があります。
2つ目はセキュリティリスクです。社内の機密情報を外部の公開環境に入力してしまえば、それが他社のAIモデルの学習データとして利用されたり、アウトプットに意図せず機密情報が含まれてしまったりするリスクが考えられます。
もっとも、多くの商社において生成AIを使う場合は、社内環境に汎用大規模言語モデル(LLM)を活用した基盤を構築し、原則としてその環境での利用を義務付けているケースが大半です。したがって、社内で定められた環境で利用している限り、こうしたセキュリティリスクは一定程度コントロールできていると言えます。
ただし問題となるのが「シャドーAI」です。最近のSaaS(Software as a Service)はAI機能を搭載しています。ですから、例えばマイノリティ出資先(関連会社)の従業員が、本社の把握しない形で生成AIを利用しているケースもあり得ます。許可されていない生成AIの利用をどのように捕捉し、可視化するのか。この対策は急務です。
そして最後がAIの性能劣化リスクです。AIは進化し続ける技術ですが、個別の業務に適用したモデルのアウトプット精度が、環境変化で徐々に低下していくリスクがあります。導入時点では有効だったモデルが、法令改正や業務プロセスの変更、顧客ニーズの変化に最適ではなくなっている。そうしたリスクも見逃せません。
―― AIは性能が上がり続けるイメージがありますが、なぜ性能劣化のリスクが生じるのでしょうか。
川勝:性能劣化の原因は、外部環境と内部環境の変化です。外部環境では、法令改正や顧客のビジネス環境の変化などによって、求められる回答内容そのものが変わります。そうなると、過去のデータに基づいて設計されたモデルは、徐々に現実に適合しなくなります。
内部環境でも同様です。業務プロセスの変更、組織体制の見直し、出資割合の変動などによって、業務の前提が変わることがあります。また、利用者側のリテラシーが向上し、「より高度なアウトプット」を求めるようになれば、従来は十分だった品質が物足りなく感じられることもあるでしょう。つまり、周囲の変化にAIが追いつけなくなる。これが「性能劣化」です。
――では、性能劣化を防止するには、どのような対策が必要ですか。
川勝 :生成AIは導入すれば自動的に最適化されるものではありません。継続的に見直して整理し、“育てていく”ものです。外部・内部環境の変化を察知し、適切なタイミングで再学習させる必要があります。
そのためには、明確な指標設計が欠かせません。生成AIの場合、文法の正確さや論理性といった一般的な品質指標がありますが、業務で活用する以上、それだけでは不十分です。重要なのは、「AIが実際に業務価値を生み出しているか」です。
例えば、「問い合わせの自己解決率向上」や「回答の修正頻度」、「利用継続率」といった業務KPIと結び付けて評価する必要があります。さらに現場から「回答がずれてきた」などの声が出ていないか、定性的なモニタリングも欠かせません。
なぜ商社のAIガバナンスは難しいのか
出資形態の多様さ、人材不足、地域ごとに異なるAI規制への対応
―― ありがとうございます。こうしたリスクを踏まえると、全社的なAIガバナンスの実効性がより一層重要になります。商社という経営構造を前提にした場合、その設計・運用にはどのような制約があるのでしょうか。
日向野:商社の事業ポートフォリオやグループ形態を踏まえると、3つの課題が見えてきます。
1つ目は、ガバナンスの対象が常に“動いている”ことです。冒頭でお伝えしたとおり、商社はM&Aやグループ内の事業再編の頻度が高く、短期間で新しい事業が次々と加わる一方、買収した会社の一部をカーブアウト(事業の切り出し・売却)して手放すこともあります。ですからAIガバナンスを適用しようにも、グループの輪郭が絶えず変わるため、「どこまでカバーすべきか」という線引き自体が難しいのですね。
しかも、経験のない産業に参入することも少なくありません。その分野でAIを活用した場合にどのようなリスクが生じるのか、社内に知見を持つ人材がいないこともあります。リスクを洗い出す以前に、「何がリスクなのか」が見えにくいのです。
2つ目は、出資比率によるガバナンスの限界です。100%子会社であれば親会社の方針を徹底できますが、マイノリティ出資やジョイントベンチャーではそうはいきません。AIガバナンスのルールをどこまで守ってもらうかは、他の株主との協議次第になります。法令のような外部要件があればそれを根拠にできますが、AIの領域では統一された強制力のあるグローバル規制は存在せず、国内でも依拠すべき法律が整っていない部分が多い。法的な後ろ盾がない中では、マジョリティ出資者の意向に左右されやすく、ガバナンスの実効性を担保できないという課題があります。
3つ目は、人材の問題です。商社では親会社から事業会社への出向がよくありますが、多くは3年前後で異動します。そのため、事業固有のリスクに関する知見が十分に蓄積・継承されにくい。新任者はまず事業理解に時間を要し、AIリスクへの目配りは後回しになりがちです。さらに、セキュリティ領域と同様に、AIガバナンスの専門人材は市場全体で不足しています。環境変化が激しく、知識のアップデートが追いつけない中で、異動サイクルも短い。こうした条件が重なり、人的な面でもハードルが高くなっているのです。
川勝:もう1つ、「グローバル対応の難しさ」もあります。総合商社は世界各地で事業を展開していますが、AIに関する規制は国・地域ごとに異なります。例えば本社がAIポリシーを策定したとしても、「日本の法令には準拠しているが、EUのAI規制法(AIアクト)にも適合しているのか」「AI規制が先行する米国の州法にも網羅しているか」といった問題は必ず発生します。地域ごとの規制を踏まえたローカルルール策定が求められることから、ガバナンスの設計と運用は格段に複雑なのです。
実効性あるAIガバナンスへの処方箋
最低限のルールとガイドラインの二層構造で変化に適応する
――商社のように事業構造が絶えず変化する組織では、AIガバナンスをどのような設計思想のもとで構築すべきでしょうか。留意するポイントを教えてください。
川勝:重要なのは、「固定的な統制」を目指さないことです。商社のように事業構造が常に変化する組織では、完璧なルールを作ること自体が現実的ではありません。したがって、AIガバナンスは「ルール」と「体制」の両面から設計する必要があります。
まずルールですが、全てを厳格な順守事項にするべきではありません。法令で義務付けられている最低限の事項をグローバル共通のルールとして定め、それ以外は「推奨ガイドライン」として位置付けるのが現実的です。
同時に、ルールに基づいたリスク評価の仕組みを根付かせる必要があります。AI導入時に、個人情報の扱いは適切か、知的財産権を侵害しないか、どの程度ハイリスクなのかを確認し、重大なリスクがあれば速やかにマネジメント層や経営層へエスカレーションする。ルールに実効性を持たせるためには、こうしたプロセスが機能しなければ意味がありません。
次に体制です。多くの商社では、AIガバナンスに関わる委員会を設置し、マネジメント、事業部門、IT、法務、コンプライアンスなどが横断的に関与する仕組みを整えています。ただ、それ以上に重要なのが「相談できる場」を常設することです。技術やサービスが目まぐるしく変わる中、全てを事前にルール化することは不可能です。日々発生する個別案件を吸い上げ、迅速に判断する仕組みがなければ、ガバナンスは形骸化します。
さらに、現場のリテラシー向上とリスクの可視化も欠かせません。ユースケースの共有や教育に加え、リスク評価の結果や対応方針を蓄積し、再利用可能な形で体系化していくことが重要です。社内で利用されているAIを把握するインベントリの整備や、インシデントレポーティングの仕組みを通じて、リスクを早期に経営層へ届ける体制を構築することが重要です。
―― 「相談できる場」はどのような形で設置すればよいでしょうか。
川勝:ケースバイケースですが、1つのやり方として、既存のガバナンスの枠組みを活用する方法があります。例えば過去にEYが支援した商社では、デジタル部門の中のセキュリティグループを中心としたセキュリティ管理体制が既に整備されていました。AIとセキュリティは関連性が深いので、その組織の役割を拡張し、AIリスクについても運用されています。本社部門だけではなく、国内外含めた各拠点にもその機能が既に存在していたため、グループワイドで効率的に運用できるのです。
AIガバナンスを「自前主義」で終わらせない
動き続ける標的に対応するための外部知見の活用と総合ファームの強み
―― これまでのお話を伺うと、AIガバナンスの構築を自社だけで完結させるのは難しいと感じます。
川勝:率直に申し上げて、自社だけでAIガバナンスの全てを担うのは現実的には難しいと思います。とりわけ、リスク評価の設計や外部環境の変化への対応には、社内の視点だけでは足りません。客観的で鳥瞰的な視点が不可欠です。実効性のあるAIガバナンスを継続的に運用していくためには、外部の専門性を適切に取り込むことが有効だと考えています。
――具体的に、外部の専門家はどのような役割を果たすのでしょうか。
川勝:1つはルール策定や相談窓口の運用を支援する役割です。現場からは日々さまざまなケースが持ち込まれますが、それらを全て事前にルール化することはできません。個別案件ごとに妥当な判断基準を示すには、幅広い事例を横断的に見てきた外部の専門性が求められます。
もう1つは、中立的な立場からの評価です。現場とIT部門、あるいは本社と事業会社の間で、リスク認識にずれが生じることは少なくありません。そうした場面で外部の立場から客観的な見解を示すことで、社内の合意形成を後押しできるケースは多いと感じています。
そして何より重要なのは、AIモデルも関連法規も絶えず更新されるという前提です。その変化を自社のルールや運用にどう反映させていくかには、継続的な専門知見が欠かせません。“動き続ける標的”に対応し続けるために、外部の力は大きな意味を持ちます。
日向野:その点で、EYではリスクマネジメントやセキュリティのプロフェッショナルに加え、弁護士法人とも連携した体制を整えています。また、欧州のAI規制への対応であれば、EYの欧州チームと直接協働することも可能です。グローバルな知見と幅広いサービスラインを生かし、実務に即した支援ができる点は、総合ファームならではの強みだと考えています。
サマリー
総合商社におけるAIガバナンスは、静的なルール整備では機能しません。環境変化を前提にルールと体制を設計し、リスク評価と継続的な見直しを行うことが、実効性ある統制の条件となります。
メールで受け取る
メールマガジンで最新情報をご覧ください。
関連記事
AIに対する信頼のギャップを埋めることで、どのように導入を加速し、競争優位性を生み出せるかをご紹介します。責任あるAIのリーダーシップに向けた3つの重要な行動を探ります。
EYの関連サービス
-
気候変動やデジタルトランスフォーメーションといったビジネスにおける新しい課題に即し、商社ビジネスの在り方も変化を続けています。EYは業界に対する深い知見とグローバルネットワークを生かし最適なソリューションを提供することで、クライアントの持続可能な成長をサポートします。
続きを読む -
EYのリスクコンサルティングは、さまざまなリスク・テーマへの取り組みに際し、リスクを不確実性として捉え、個々の企業の経営方針や価値創出モデルに沿って、戦略的な仕組みの構築・強化からリスクが顕在化した際の対応までサポートします。
続きを読む -
昨今生成AIの急速な普及により、AIが身近に感じられ、業務において幅広く活用されるようになってきています。AIの利用により業務品質や生産性の向上が期待される一方、AIの利用には、正確性・公平性・知的財産権・セキュリティ・プライバシーなど、さまざまなリスクが存在します。 EYでは、組織においてAI活用を進めていくにあたり、そうした多様なリスクに対応したガバナンスの構築を支援します。
続きを読む -
今や多数の組織がデジタルトランスフォーメーション(DX)の推進に向けて舵を切る中、その多くが業務の効率化レベルにとどまり、ビジネス変革や新たな価値創出といった本当の意味でのDXを実現できているのは少数に限られているのが現状です。これはDXの本質がデジタル技術の導入ではなく、企業変革そのものにあることが理由ではないでしょうか。 EYではDXへの取り組みを「デジタルガバナンス」という全社的視点から支援し、DXを実現できる企業への変革を導きます。EYではDXへの取り組みを「デジタルガバナンス」という全社的視点から支援し、DXを実現できる企業への変革を導きます。
続きを読む -
企業におけるDX活動の中で、蓄積されたデータから新たな付加価値を見いだそうとする「データ利活用」が積極的に行われています。データ利活用の範囲が拡大し、組織横断的になり、利用者や扱うデータ種類が増えるにつれ、データ品質やセキュリティを適切に管理するための仕組み(データガバナンス)を整備することが重要となってきます。
続きを読む