企業によるDXのトラストとガバナンス強化の実践

はじめに

AIやRPA(Robotic Process Automation)等を使ったデータの利活用においては、投入するデータの質がその成果を左右します。統合・一元化され、品質確保された多数のデータとデータ技術を駆使することで、新しい製品・サービスの開発とイノベーションを促進させることが期待されています。個々に管理していたデータマネジメントやガバナンスを整理し高度化すると、全社的に情報の流れが合理化され、底堅い成果としただけでも、データ定義の共通化、冗長化の解消や管理の合理化、セキュリティの強化等にもつながります。このため、多くの企業がデータ基盤とそのガバナンスの構築に取り組み始めています。データ基盤とそのガバナンスの構築にあたっては、多くの企業がパーソナルデータを蓄積して利活用しており、個人に最適化された製品・サービス開発の源泉になっています。また、労働力不足の解消や業務の効率化・高度化・新しいビジネスモデル構築等の経営課題に対処するため、さまざまな事業・業務領域でAIの導入が急速に進んでおり、今後さらに普及が拡大すると予想されます。

一方で、財務・非財務に限らず増え続けるデータの質と量の変化に対して、暫定的なデータ基盤とそのガバナンスの構築が優先され、組織体の整備、データの源泉に関係する業務プロセスや接続するアーキテクチャが追いつかず、データ基盤が陳腐化してしまう懸念があります。また、扱うパーソナルデータの対象が大幅に拡大し、プライバシー保護の観点から利活用とのバランスを苦慮するケースも出てきています。さらに、AI技術を用いたデータ処理のブラックボックス化、学習データの品質や加工等のイベントの品質が低いことに起因する誤処理、セキュリティ対策の不足による情報漏えい、非倫理的な利用によるプライバシーの侵害や差別の助長等に関する懸念も生じ得ます。AI導入の目的が不明瞭なまま戦略不十分で場当たり的な対応をすることで、結果的に必要なデータの蓄積が不十分となる等、プロセスや仕組みに関する課題がボトルネックとなり、導入を推進できなかったり、期待した成果が得られなかったりといった問題も発生しています。前述したような課題やリスクへの対応にあたって参考となるガイドライン等も公表されてきています。例えば、経済産業省からは、「AI原則実践のためのガバナンス・ガイドラインver1.1※1」「DX時代における企業のプライバシーガバナンスガイドブックver1.2※2」や「AI・データの利用に関する契約ガイドライン 1.1版※3」等が公表されています。ただし、企業レベルでどのように取り組みを具体的に落とし込んでいくかについては、これからの課題になります。

本稿においては、企業のAIガバナンスの実践を中心に説明するとともに、関連するプライバシーガバナンスやデータガバナンスの取り組みについても解説していきます。

なお、文中の意見にわたる部分は著者の私見であり、PwCあらた有限責任監査法人または所属部門の正式見解でないことをあらかじめお断りします。

1 AIガバナンスの導入

AIガバナンスをいつから導入すべきかについて検討している企業は多いのではないでしょうか。また、AIはそれ単独で動くものではなく、システム全体の一機能であり、源泉となるデータや関連する周辺の取り組みも含めて、どのように管理を位置づけていくか思案することも多いのではないでしょうか。ここでは、AIガバナンスの導入が求められる背景や、導入パターンについて考察します。

AIガバナンスをいつから導入すべきか

AIを適用する程度を3段階に分けて、AIガバナンスの各段階の特徴とAIガバナンスの必要性を検討してみます(図表1)。

図表1 適用が進むAIとAIガバナンスの必要性
  • パイロット適用時
    • AIに求める効果は、業務効率化や生産力向上等であり、意思決定の一部分を代替し、既存業務と置き換えることが中心で、簡単な意思決定や判断となる単一機能であることが多いです。
    • AIの効果を試行錯誤している段階であり、主となる業務ではなく、AIの判断が誤ってもあまり問題が生じない業務への適用が中心となります。
    • 人をAIが補佐する位置づけであり、AIガバナンスを導入する動機も生じにくいことが想定されます。
    • 一方で、広範囲にAIが適用されつつある状況でもあり、放置すると個別各所での最適化が中心となり、AIの全体最適かつ戦略的適用の障壁になる可能性を危惧し始める時期でもあります。
  • 本格適用時
    • 労働力不足、人的エラーや経営課題の解消を目的として、AIが全社レベルでの適用へと拡大し、業務の広範囲における意思決定をAIが担うことが多いです。
    • AIの効果が立証されて実際の業務に多く組み込まれ、各所に散在していたデータも一元的に管理され、AI同士が連携し始める時期でもあります。
    • AIを人がサポートする位置づけへの移行が始まる時期でもあり、この前後において、AIガバナンスを導入する動機が生じやすいことが想定されます。
    • データガバナンスも含めたAIガバナンスの確立と導入の進み具合によって、AIの適用が結果的に個別最適化で終わるか、戦略的に全体最適化に飛躍していけるかが想定されます。
  • 成熟期
    • AIの適用が常態化しており、全社最適化が進み、AIを活用したビジネス創造と既存業務の拡大が図られていくことが想定されます。
    • 人とAIの位置づけも確立しており、AIガバナンスの継続的な改善と高度化が進んでいることが想定されます。

早い段階からAIガバナンスの検討と導入を始めるのが望ましいのですが、AIガバナンスは企業内での動機づけや引き受け手がいない難しい取り組みです。多くの場合、ワーキンググループや部門横断的に関与できる組織から始めることになります。経営陣はまずは小さな組織から始めて、検討する機会をつくるようにするとよいでしょう。

AIガバナンスの導入パターン

世界各国においてAIガバナンスに関わる議論は活発化しています。2017年のアシロマ原則、GAFAによるAI原則、内閣府が掲げた人間中心のAI社会原則等、以前からAI原則に関わる議論はありましたが、国際的なコンセンサスが形成されつつあり、現在はその原則をどう社会に実装していくかといったAIガバナンスの議論に話が進んできています。例えば、欧州委員会は2021年4月に、AIを規制する枠組みの規則案を発表しました。AIをその用途や目的等を考慮して類型化し、リスクに応じた要件や規制を導入することが提唱されており、法制度化に向けた審議が行われています。

一方、日本においては、「統合イノベーション戦略2020※4」に記載されているように、「AI社会原則の実装に向けて、国内外の動向も見据えつつ、我が国の産業競争力の強化と、AIの社会受容の向上に資する規制、標準化、ガイドライン、監査等、我が国のAIガバナンスの在り方を検討する」こととなっています。また、国立研究開発法人産業技術総合研究所から、AIの設計開発における品質マネジメントに関する「機械学習品質マネジメントガイドライン」が2020年6月に公表されています(2022年8月に改訂版公表)※5。なお、ISO/IEC JTC 1/SC 42やAIに関するグローバルパートナーシップ(GPAI)等の国際的な基準づくりの活動においても日本は積極的に関与しており、国際的な動向を踏まえ、経済産業省は、現時点で望ましいと考えられる日本のAIガバナンスの在るべき姿を、「我が国のAIガバナンスの在り方 ver1.1」として取りまとめ、2021年7月9日に公表しました※6。また2022年1月には、「AI原則実践のためのガバナンス・ガイドライン ver.1.1」(以下、AIガバナンスガイドライン)が公表されています※7

ただし、企業レベルでの取り組みへの落とし込みについては実際に何から手を付けていくべきか等課題があります。実際に企業におけるAIガバナンスの動向を見てみましょう。

  • ポリシーの策定
    • AIに対する企業の姿勢を対外的かつ対内的に公表するために、まずポリシーを策定していることが見受けられます。
    • ポリシーの策定にあたっては、内閣府が掲げた、(1)人間中心の原則、(2)教育・リテラシーの原則、(3)プライバシー確保の原則、(4)セキュリティ確保の原則、(5)公正競争確保の原則、(6)公平性、説明責任および透明性の原則、(7)イノベーションの原則の7原則を基本とした「人間中心のAI社会原則」等を参考としていることが想定されます。
    • 用語の記述等は企業向けに書き換えられており、目指す方向性やすでに公表されているプライバシーポリシー等、他の公表物との平仄をとっていることが想定されます。
  • 規程・細則への落とし込み
    • 公表したポリシーに基づき、規程、細則、またはガイドラインへの落とし込みを行います。
    • 開発・運用管理、リスク管理、プライバシーやデータ管理等、他の規程がすでにある中で、AI固有の論点をどのように反映させていくかは、企業として何を目指すかや既存の規程体系によってかなり変わってくるものと想定されます。
    • 例えば、各規程の中で漏れる内容を考慮し、倫理に重点をおいて、AI倫理規程という位置づけで策定する場合もあることが想定されます。また、AIが自律学習することを踏まえて、その精度を維持しAIとしての品質を担保するためのルールとして、AI品質ガイドラインを策定する場合もあることが想定されます。
    • また、AIガバナンスの取り組みを機会として、データ管理等の不足する規程類をあわせて整備していくことも想定されます。
  • 委員会の設立
    • AIを適用する際に重大な意思決定や意見を収斂させるために、委員会の設立をしている例も見受けられます。倫理委員会や先進技術を取り扱う会議体等があります。
    • プライバシー、リスク管理や品質等に関する既存の委員会が設置されていることからも、倫理を個別に取り扱う委員会の設置や、既存の会議体で吸収して取り扱うことが多いことが想定されます。

AIをガバナンスしていくうえで、AI固有の大きな論点である公平性、説明責任等を考慮した倫理や精度維持等の品質に着目して検討をしていくことは多いと予想されます。一方で、保守的な検討にならないように戦略を練り直してAIガバナンスを確立したい企業もあるでしょう。その場合には、後述するような検討が必要となることが想定されます。

2 戦略的導入にあたってのAIガバナンスの検討と構成要素

ここでは、AIをガバナンスするにあたって、その倫理や品質だけでなく、AIの全社最適化が進み、AIを活用したビジネス創造と既存業務の拡大が図られていくことを意図した場合について解説します。

前提

ガバナンスの方向性は、AIガバナンスにおける各国の議論も踏襲し、リスクベースアプローチをとることは変わりませんが、従来のリスク管理とは異なることを明確にしておきます。リスク管理というとリスクを抑えることと捉えられがちですが、ここではもっと広く捉えて、AIの適用方法や状況に応じて機会とリスクのバランスを考慮したガバナンスを確立してゆき、最終的には戦略的に事業を拡大することを目標とします。

アプローチの全体像

大きくはAIガバナンスの構築計画と構築に分けられますが、そのステップの概要を以下に示します(図表2)。

図表2 AIガバナンス構築のアプローチ
  • ステップ1:AIに関わる現状整理・方向性検討
    今後のAI活用計画、導入状況等を整理し、AIガバナンスの方向性・スコープ・関与者等を検討します。
  • ステップ2:AIガバナンスのフレームワークの検討
    ステップ1で整理・検討したAIに関わる現状整理と方向性を踏まえて、自社のAIガバナンスのフレームワークを検討します。あわせて、管理体制等の検討を行います。
  • ステップ3:AIに関わるリスク・コントロール検討
    利用中・導入中のAI製品に関して、関係者にヒアリングし、課題・リスクを洗い出します。課題・リスクに対し、検討中の管理ルール等で課題・リスクを低減可能か否か、検討します。
  • ステップ4:体制・ルール整備
    これまでの検討結果を踏まえ、AIガバナンスとしての管理体制・ルール整備を行います。必要に応じ、他の規程も改訂します。

現状把握とギャップ分析

現状整理と方向性検討については、自社のAI導入状況や管理体制を把握する必要があります。その際に、各ガイドラインを用いてギャップを把握することは、将来の目指すべき方向性の検討において有用です。例えば、経済産業省の「AI原則実践のためのガバナンス・ガイドライン ver. 1.1」における「行動目標」(図表3)をベースとして現状を調査しギャップを把握することで、目指すべき方向性を定めることができます。

図表3 AIガバナンス構築のためのサイクル

ガバナンスフレームワークの検討

目指すべき方向性について、社内における共通認識や課題を進めていくことが必要になります。そのためにも、どのようなガバナンスを形成すべきかの概観(フレームワーク)を検討する必要があります。ガバナンスフレームワークの検討要素は、例えば以下に掲げるものがあります。

  • 経営層の関与
    • 経営者がどのように関与すべきか位置づけを検討します。
    • エスカレーション先として、どのような経緯を辿るのか、何を意思決定してほしいのか検討する必要があります。委員会等を設置して、委員や議長に経営層を含める場合もあります。
  • AIの企画・開発・運用・契約・委託先管理プロセス
    • AIに関わる施策の導入にあたって、事前にAIが関わるプロセスの洗い出しや定義をします。
    • 品質や倫理等、社内関与者や所管を把握することで、今後の施策について円滑に導入していくための足がかりとなります。
  • 各取り組みとの連携
    • プライバシー、データ管理、リスク管理、グループ管理や品質管理等は、すでにポリシーや委員会組成等取り組みが進んでいることが想定されます。
    • 内容を把握して、重複を防ぐためにも、ある程度の連携の枠組みを検討しておくことが必要となります。
  • 内外ステークホルダーとの連携
    • AIの活用は内外含めたステークホルダーへの影響を考慮する必要があります。
    • 情報収集も含めた専門家の活用や、外部有識者会議、消費者団体、行政組織等、想定される内外ステークホルダーとの連携の枠組みを検討します。

ステークホルダーマップ

AIのインパクトやリスクを分析・評価するためには、AIやAIが利用するデータがどのようなステークホルダーに関係するのか、その洗い出しと分析が重要となります(図表4)。

図表4 ステークホルダーマップ

ポートフォリオ管理

AIを用いたイノベーションを阻害することなく、インパクトの質と大きさに応じて合理的なトラストづくりを行っていくためには、ステークホルダーへの正負のインパクト分析等に加えて、リスクベース・インパクトベースのアプローチでガバナンスを構築していくことが重要となります。AIの特徴に加え、その適用方法等によってもコントロールすべきリスクの大きさや必要となるガバナンスレベルは変わることから、リスクインパクトベースでのガバナンス構築を行います(図表5)。

図表5 ポートフォリオ管理

各取り組みとの連携

プライバシー、データ管理、リスク管理、グループ管理や品質管理等はすでに既存の取り組みが多数あります。ここでは、特にプライバシーガバナンスとデータガバナンスの2点について考察します。

  • プライバシーガバナンス
    • 2020年8月28日に経済産業省、総務省から「DX時代における企業のプライバシーガバナンスガイドブックver1.0」が策定および公開されました※8。このガイドブックを参考にプライバシーガバナンスを構築している企業は多く、パーソナルデータを扱うサービスやシステムをリリースする前に、プライバシー影響評価(PIA)に関わる実務的なプロセスに倫理面も含めて対応している場合もあります。また、プライバシー委員会等で、議題として取り扱う場合もあります。
    • 一方で、AI固有の論点については技術的な知見も含め、既存プロセスや委員会に委ねつつも、保守的な検討に陥らないために戦略的にAIを導入するための在り方を検討していく必要があります。
  • データガバナンス
    • DAMA DMBOK(Data Management Body of Knowledge)※9、CMMI DMM(Data Management Maturity)※10やISO 8000等でもデータガバナンスについて定義していますが、データの質と量はAIの競争優位性を高めることからも、取り組んでいる企業が多いものです。
    • データガバナンスでは、データのオーナーとプロセスやルール決めを行うデータスチュワードの役割が定められ、個々人のAIの知見を高めていくことは必要ですが、全社的な観点からもアノテーション等も含めて、寄与する施策について、盛り込んでいくことが必要となります。

戦略的にAIガバナンスを導入していくためには、ポートフォリオ管理で常に現状を把握し、リスクインパクトベースでのガバナンス構築を臨機応変に進めていくのが肝要です。そのためにも、ステークホルダーを常に把握し、既存の各取り組みと連携や関与をしていくことが必要となります。

3 おわりに

PwCあらた有限責任監査法人(以下、PwCあらた)では、AI原則は明らかになってきているものの、企業レベルでの取り組みへの落とし込みについては大きな課題となっていることを踏まえて、まずは現状課題を迅速に把握・整理し、対応方針の検討材料とすべく、診断ツールを用意しています。経済産業省から公表された「AI原則実践のためのガバナンス・ガイドライン ver. 1.1」の内容を参考に、PwCグローバルネットワークとPwCあらたの知見を加えた診断項目を作成し、企業のAIガバナンスの成熟度を項目ごとに診断します。先に提供を開始した「データガバナンス診断ツール」と併用することで、AIサービスのサプライチェーンワイドの診断も可能になります。また、診断に加え、診断後のロードマップ策定とガバナンス態勢やマネジメントプロセスの構築支援もあわせて提供します(図表6)。

図表6 AIガバナンス診断ツールとロードマップ策定

また、データガバナンス・マネジメントは継続することが難しい取り組みの1つです。データガバナンス・マネジメントの構築に取り組んだものの、うまく継続できずに終わってしまった経験のある企業も多いのではないでしょうか。PwCあらたでは、このような状況を踏まえ、持続可能なデータガバナンス・マネジメントが必要であると考え、アシュアランス業務で培ってきたガバナンス、セキュリティ、内部統制および業務監査等の知見と経験を活かし、持続可能なデータガバナンス・マネジメントが構築されているかを診断するツールを開発しました(図表7)。本ツールを用いて診断を行えば、データの質を継続的に担保していく取り組みで必要な事項について、ベストプラクティスおよび現状のギャップ、自社の強みと弱み、改善点を識別できます。診断結果に基づいて、持続可能なデータガバナンス・マネジメントの構築に向け、ビジネス目標と整合した今後の対応方針やロードマップを検討することも可能になります。

図表7 データガバナンス診断ツールと活用のユースケース

PwCあらたは、AI、DX、データ、プライバシーの各ガバナンス構築の豊富な支援実績やPwC Japanグループの知見を活かし、データガバナンスおよびプライバシーガバナンスの構築や高度化を行う企業の支援に一層力を注ぎ、DXの実現に向けて貢献していきます。



執筆者

鮫島 洋一

PwCあらた有限責任監査法人
システム・プロセス・アシュアランス部
マネージャー 鮫島 洋一