AIやRPA(Robotic Process Automation)等を使ったデータの利活用においては、投入するデータの質がその成果を左右します。統合・一元化され、品質確保された多数のデータとデータ技術を駆使することで、新しい製品・サービスの開発とイノベーションを促進させることが期待されています。個々に管理していたデータマネジメントやガバナンスを整理し高度化すると、全社的に情報の流れが合理化され、底堅い成果としただけでも、データ定義の共通化、冗長化の解消や管理の合理化、セキュリティの強化等にもつながります。このため、多くの企業がデータ基盤とそのガバナンスの構築に取り組み始めています。データ基盤とそのガバナンスの構築にあたっては、多くの企業がパーソナルデータを蓄積して利活用しており、個人に最適化された製品・サービス開発の源泉になっています。また、労働力不足の解消や業務の効率化・高度化・新しいビジネスモデル構築等の経営課題に対処するため、さまざまな事業・業務領域でAIの導入が急速に進んでおり、今後さらに普及が拡大すると予想されます。
一方で、財務・非財務に限らず増え続けるデータの質と量の変化に対して、暫定的なデータ基盤とそのガバナンスの構築が優先され、組織体の整備、データの源泉に関係する業務プロセスや接続するアーキテクチャが追いつかず、データ基盤が陳腐化してしまう懸念があります。また、扱うパーソナルデータの対象が大幅に拡大し、プライバシー保護の観点から利活用とのバランスを苦慮するケースも出てきています。さらに、AI技術を用いたデータ処理のブラックボックス化、学習データの品質や加工等のイベントの品質が低いことに起因する誤処理、セキュリティ対策の不足による情報漏えい、非倫理的な利用によるプライバシーの侵害や差別の助長等に関する懸念も生じ得ます。AI導入の目的が不明瞭なまま戦略不十分で場当たり的な対応をすることで、結果的に必要なデータの蓄積が不十分となる等、プロセスや仕組みに関する課題がボトルネックとなり、導入を推進できなかったり、期待した成果が得られなかったりといった問題も発生しています。前述したような課題やリスクへの対応にあたって参考となるガイドライン等も公表されてきています。例えば、経済産業省からは、「AI原則実践のためのガバナンス・ガイドラインver1.1※1」「DX時代における企業のプライバシーガバナンスガイドブックver1.2※2」や「AI・データの利用に関する契約ガイドライン 1.1版※3」等が公表されています。ただし、企業レベルでどのように取り組みを具体的に落とし込んでいくかについては、これからの課題になります。
本稿においては、企業のAIガバナンスの実践を中心に説明するとともに、関連するプライバシーガバナンスやデータガバナンスの取り組みについても解説していきます。
なお、文中の意見にわたる部分は著者の私見であり、PwCあらた有限責任監査法人または所属部門の正式見解でないことをあらかじめお断りします。
AIガバナンスをいつから導入すべきかについて検討している企業は多いのではないでしょうか。また、AIはそれ単独で動くものではなく、システム全体の一機能であり、源泉となるデータや関連する周辺の取り組みも含めて、どのように管理を位置づけていくか思案することも多いのではないでしょうか。ここでは、AIガバナンスの導入が求められる背景や、導入パターンについて考察します。
AIを適用する程度を3段階に分けて、AIガバナンスの各段階の特徴とAIガバナンスの必要性を検討してみます(図表1)。
早い段階からAIガバナンスの検討と導入を始めるのが望ましいのですが、AIガバナンスは企業内での動機づけや引き受け手がいない難しい取り組みです。多くの場合、ワーキンググループや部門横断的に関与できる組織から始めることになります。経営陣はまずは小さな組織から始めて、検討する機会をつくるようにするとよいでしょう。
世界各国においてAIガバナンスに関わる議論は活発化しています。2017年のアシロマ原則、GAFAによるAI原則、内閣府が掲げた人間中心のAI社会原則等、以前からAI原則に関わる議論はありましたが、国際的なコンセンサスが形成されつつあり、現在はその原則をどう社会に実装していくかといったAIガバナンスの議論に話が進んできています。例えば、欧州委員会は2021年4月に、AIを規制する枠組みの規則案を発表しました。AIをその用途や目的等を考慮して類型化し、リスクに応じた要件や規制を導入することが提唱されており、法制度化に向けた審議が行われています。
一方、日本においては、「統合イノベーション戦略2020※4」に記載されているように、「AI社会原則の実装に向けて、国内外の動向も見据えつつ、我が国の産業競争力の強化と、AIの社会受容の向上に資する規制、標準化、ガイドライン、監査等、我が国のAIガバナンスの在り方を検討する」こととなっています。また、国立研究開発法人産業技術総合研究所から、AIの設計開発における品質マネジメントに関する「機械学習品質マネジメントガイドライン」が2020年6月に公表されています(2022年8月に改訂版公表)※5。なお、ISO/IEC JTC 1/SC 42やAIに関するグローバルパートナーシップ(GPAI)等の国際的な基準づくりの活動においても日本は積極的に関与しており、国際的な動向を踏まえ、経済産業省は、現時点で望ましいと考えられる日本のAIガバナンスの在るべき姿を、「我が国のAIガバナンスの在り方 ver1.1」として取りまとめ、2021年7月9日に公表しました※6。また2022年1月には、「AI原則実践のためのガバナンス・ガイドライン ver.1.1」(以下、AIガバナンスガイドライン)が公表されています※7。
ただし、企業レベルでの取り組みへの落とし込みについては実際に何から手を付けていくべきか等課題があります。実際に企業におけるAIガバナンスの動向を見てみましょう。
AIをガバナンスしていくうえで、AI固有の大きな論点である公平性、説明責任等を考慮した倫理や精度維持等の品質に着目して検討をしていくことは多いと予想されます。一方で、保守的な検討にならないように戦略を練り直してAIガバナンスを確立したい企業もあるでしょう。その場合には、後述するような検討が必要となることが想定されます。
ここでは、AIをガバナンスするにあたって、その倫理や品質だけでなく、AIの全社最適化が進み、AIを活用したビジネス創造と既存業務の拡大が図られていくことを意図した場合について解説します。
ガバナンスの方向性は、AIガバナンスにおける各国の議論も踏襲し、リスクベースアプローチをとることは変わりませんが、従来のリスク管理とは異なることを明確にしておきます。リスク管理というとリスクを抑えることと捉えられがちですが、ここではもっと広く捉えて、AIの適用方法や状況に応じて機会とリスクのバランスを考慮したガバナンスを確立してゆき、最終的には戦略的に事業を拡大することを目標とします。
大きくはAIガバナンスの構築計画と構築に分けられますが、そのステップの概要を以下に示します(図表2)。
現状整理と方向性検討については、自社のAI導入状況や管理体制を把握する必要があります。その際に、各ガイドラインを用いてギャップを把握することは、将来の目指すべき方向性の検討において有用です。例えば、経済産業省の「AI原則実践のためのガバナンス・ガイドライン ver. 1.1」における「行動目標」(図表3)をベースとして現状を調査しギャップを把握することで、目指すべき方向性を定めることができます。
目指すべき方向性について、社内における共通認識や課題を進めていくことが必要になります。そのためにも、どのようなガバナンスを形成すべきかの概観(フレームワーク)を検討する必要があります。ガバナンスフレームワークの検討要素は、例えば以下に掲げるものがあります。
AIのインパクトやリスクを分析・評価するためには、AIやAIが利用するデータがどのようなステークホルダーに関係するのか、その洗い出しと分析が重要となります(図表4)。
AIを用いたイノベーションを阻害することなく、インパクトの質と大きさに応じて合理的なトラストづくりを行っていくためには、ステークホルダーへの正負のインパクト分析等に加えて、リスクベース・インパクトベースのアプローチでガバナンスを構築していくことが重要となります。AIの特徴に加え、その適用方法等によってもコントロールすべきリスクの大きさや必要となるガバナンスレベルは変わることから、リスクインパクトベースでのガバナンス構築を行います(図表5)。
プライバシー、データ管理、リスク管理、グループ管理や品質管理等はすでに既存の取り組みが多数あります。ここでは、特にプライバシーガバナンスとデータガバナンスの2点について考察します。
戦略的にAIガバナンスを導入していくためには、ポートフォリオ管理で常に現状を把握し、リスクインパクトベースでのガバナンス構築を臨機応変に進めていくのが肝要です。そのためにも、ステークホルダーを常に把握し、既存の各取り組みと連携や関与をしていくことが必要となります。
PwCあらた有限責任監査法人(以下、PwCあらた)では、AI原則は明らかになってきているものの、企業レベルでの取り組みへの落とし込みについては大きな課題となっていることを踏まえて、まずは現状課題を迅速に把握・整理し、対応方針の検討材料とすべく、診断ツールを用意しています。経済産業省から公表された「AI原則実践のためのガバナンス・ガイドライン ver. 1.1」の内容を参考に、PwCグローバルネットワークとPwCあらたの知見を加えた診断項目を作成し、企業のAIガバナンスの成熟度を項目ごとに診断します。先に提供を開始した「データガバナンス診断ツール」と併用することで、AIサービスのサプライチェーンワイドの診断も可能になります。また、診断に加え、診断後のロードマップ策定とガバナンス態勢やマネジメントプロセスの構築支援もあわせて提供します(図表6)。
また、データガバナンス・マネジメントは継続することが難しい取り組みの1つです。データガバナンス・マネジメントの構築に取り組んだものの、うまく継続できずに終わってしまった経験のある企業も多いのではないでしょうか。PwCあらたでは、このような状況を踏まえ、持続可能なデータガバナンス・マネジメントが必要であると考え、アシュアランス業務で培ってきたガバナンス、セキュリティ、内部統制および業務監査等の知見と経験を活かし、持続可能なデータガバナンス・マネジメントが構築されているかを診断するツールを開発しました(図表7)。本ツールを用いて診断を行えば、データの質を継続的に担保していく取り組みで必要な事項について、ベストプラクティスおよび現状のギャップ、自社の強みと弱み、改善点を識別できます。診断結果に基づいて、持続可能なデータガバナンス・マネジメントの構築に向け、ビジネス目標と整合した今後の対応方針やロードマップを検討することも可能になります。
PwCあらたは、AI、DX、データ、プライバシーの各ガバナンス構築の豊富な支援実績やPwC Japanグループの知見を活かし、データガバナンスおよびプライバシーガバナンスの構築や高度化を行う企業の支援に一層力を注ぎ、DXの実現に向けて貢献していきます。
※1 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/20220128_report.html
※2 https://www.meti.go.jp/policy/it_policy/privacy/guidebook12.pdf
※3 https://www.meti.go.jp/press/2019/12/20191209001/20191209001.html
※4 https://www8.cao.go.jp/cstp/togo2020_honbun.pdf
※5 https://www.digiarc.aist.go.jp/publication/aiqm/
※6 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20210709_1.pdf
※7 https://www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20220128_1.pdf
※8 https://www.meti.go.jp/press/2020/08/20200828012/20200828012-1.pdf
※9 国際データマネジメント協会(Data Management Association International(DAMA-I)によるデータマネジメント知識体系ガイド
※10 Capability Maturity Model Integration Instituteによるデータマネジメント成熟度モデル
PwCあらた有限責任監査法人
システム・プロセス・アシュアランス部
マネージャー 鮫島 洋一