はじめに
AIは、「生成AI元年」と言われた2023年を経て、今後さらに技術の応用範囲が拡大し、より洗練された形で企業戦略に組み込まれていくことが予想されます。コンプライアンス対応という切り口で見た場合でも、これまで以上にAI等のテクノロジーの活用が議論されるようになっています。その背景として、テクノロジー活用の「可能性」が広がるとともに、その「必要性」が高まっていることが挙げられます。
テクノロジー活用の可能性は、情報のデジタル化によって業務プロセスにおけるデータの蓄積が進んだこと、さらにデジタル技術が発展したことに伴って、データ分析やAI研究へと広がりを見せています。
また、テクノロジー活用の必要性が高まっている一因として、グローバルでの意識、環境変化があります。COVID-19や戦争等に起因して、自国の経済や政治を守る意識が強まり、域外適用法令の増加や執行強化の傾向が見られます。また法令自体も、細則を定めず、大枠を定めて詳細検討は各企業に委ねるプリンシプルベースの傾向にあります。プリンシプルベースの法令のもとでは、企業は自社のリスクとリソースに応じて優先順位付けをして対応し、対外的な説明責任を確保することが求められます。
こうした流れを受けて、これまではコンプライアンス態勢を強固に築いて法令違反を未然に防ぐこと(未然防止)が最重要視されていましたが、その限界やコストを踏まえ、不正の早期発見という方向へ転換する傾向もみられます。テクノロジーを活用して能動的に不正を発見して、早めに対処することで説明責任を果たし、法令の執行減免措置を企図するという流れです。
本稿では、まず前半で、AI導入に関するコンプライアンステックの潮流と、日本企業のAI導入の状況と課題点を紹介していきます。後半では、そうした課題を改善する形で現在実際に進んでいる導入事例を紹介します。
なお、本稿における意見の部分は筆者の私見であり、PwC Japan有限責任監査法人および所属部門の正式見解ではないことをあらかじめお断りいたします。
1 リーガルテック、コンプライアンステックとは
リーガルテックとは、法律関連領域(Legal)に対して、技術(Technology)を活用する取り組み全般を意味します。
これまでリーガルテックと呼ばれていた領域は、いわゆる契約管理を中心とした法務業務が中心でした。例えば、案件管理、契約書の作成、レビュー、契約締結、契約管理、訴訟対応、紛争解決、それに対応するリサーチや、第三者管理等です。昨今では、専門の法令領域や不正発見等のコンプライアンス領域にもテクノロジー活用の範囲が拡大しつつあります。このため本稿では、従来のリーガルテックの契約管理に加えてコンプライアンス領域を含むテクノロジーサービスを指して、「コンプライアンステック」と記載することにします。
コンプライアンステックでAIを活用したサービスとして、以下の例が挙げられます。
- 社内記録の確認ツール:リスクのある社内記録を一時的に選別および検出する
- 電子メールのモニタリングツール:社内記録の確認をさらに進めたもの。一定期間、役職員のメールをモニタリングし、リスクのある記録の第一次的な選別、選出を行ったうえで、そのリスクのある文章について検討する
- 電話などの音声モニタリングツール:役職員の電話やチャットの会話をテキスト化してモニタリングし、アラートを発行する
- 人事管理ツール:過去の不正行為者データ、業務内容、性格診断、労働時間、人事考課をもとにリスクの高い部署や役職員を抽出し、アラートを発行する
2 日本企業におけるAI導入と課題
AIを活用したサービスは拡大している一方で、日本企業におけるAI導入においては、思うような費用対効果が得られない等の課題が見られます(参考:PwC Japanグループ「2023年AI予測(日本)」※1)。また、法的課題にも多くの論点がありますが、本稿では、取締役の責任範囲と関連して今後の解釈が待たれる会社法上の論点と、最近動きのあった弁護士法の論点について取り上げます。特に、弁護士法のガイドラインが発表されたことは、AI活用に関する社会的なルール整備が前向きに進んでいることの一例と言えます。
(1)AI導入の現状
日本企業におけるAIの活用状況は、2023年は前年からほぼ横ばいとなっていますが(図表1)、生成AIの登場によって、注目度は大きく上昇しています。もっとも、日本と海外での傾向を比較すると、日本では①AI利用の効果を感じられていない、②AIのリスク認識が発展途上にある、といった傾向が見られます。
例えば、前掲のPwCのアンケート調査では、米国ではどの分野でも、AI投資に対して投資利益率(Return On Investment:ROI)を得ていると答えた企業が50%を超えているのに対し、日本企業は総じて30%以下にとどまっており、2022年と比べても、日本企業においては投資効果の停滞が見られるという傾向があります(図表2)。この理由として、「稼働後のAIモデルの性能が著しく低下し、想定していたビジネス効果が実現されないケースがある」と回答した日本企業が43%に上りました。これは、巨額の投資を行ってAIを導入したものの、その導入後、自社のビジネスに合うような運用改善が遅れている可能性が考えられます。
また、国内企業はリスク意識がいまだ発展途上ということも挙げられます。2022年に比べ、AIリスクの管理を優先課題とする割合は急増しました(図表3)。しかし、注目するリスク領域の変化はほとんどなく、サイバーセキュリティやプライバシーなど従来からのリスク領域への関心が引き続き高い状況です。AI固有の新しいリスクのうち、説明可能性リスク(AIの判断経路がブラックボックスで判断根拠を示すことができない)の意識は急増しつつも、公平性リスク(社会的バイアスを含むデータを学習してしまい、差別を助長する)の意識は依然低いといった認識差が出ています。いまだリスク意識や対応策検討は発展途上にあると考えられます。
こうした現状に鑑みると、AI導入に関して、大きく華々しく始めるよりも、自社の状況に合わせて、投資効果やリスク/リターンを考え、まずは小さく使えるところから活用していく、という姿勢がひとつのあるべき姿として考えられます。
(2)法的課題
AIの利活用によって、これまで人の目では捉えきれなかった不正の端緒に気づく可能性が高まり、法令違反の回避や、コンプライアンス機能向上に繋がります。もっとも、AIも完全無欠ではありませんし、以下のような法的課題も指摘されています。
- AIツールで役職員が会社で利用している電子メールや口頭での会話をモニタリングする場合など、役職員のプライバシー保護への配慮も必要である
- AIによる事故などが起きた場合に、その責任は誰が負うのか(責任分配の明確化)が整理されていない
- AIを活用した著作物の著作権の帰属や、学習モデルの権利は誰のものか(データのオーナーシップ)が整理されていない
- 個人情報とプライバシーの観点を踏まえたビッグデータの利活用に関するルールが明確ではない
- 新たなAI関係規制の法改正や法解釈の課題が出てきている
- モニタリングを回避しようとする役職員の故意行為を完全に阻止はできない
(3)内部統制システム上の課題
上記課題に加えて、AIを導入して内部統制システムを構築した場合の、取締役の責任範囲が不明確であることも、課題のひとつです。
AIシステムを導入した場合、内部統制とどのように関連するでしょうか。まず、会社法362条4項6号では、内部統制の「仕組み」構築が求められていますが、この「仕組み」には、人以外が構成するものも含まれますので、AIシステムも内部統制の一部を構成すると解釈できます。
内部統制システム構築に関する取締役の責任(任務懈怠の有無)に関しては、最高裁判決(最高裁 平成21年7月9日第一小法廷判決)で示された次の基準によって判断されます。
① 問題の不正行為は、会社において通常想定されるリスクの発現か
② 会社に、通常想定される不正行為を防止し得る程度の管理体制があったか
③ 会社の取締役として、問題の不正行為の発生を予測すべき「特別な事情」があったか
現時点で明確な見解は示されていないため、著者見解となりますが、AIシステムを統制に織り込んだ場合、AIシステムのアラートによって、従来以上に多くの不正の兆候に関する事実を認識し、不正の発生を予測できるようになります。そのため、③取締役が予測するべき「特別な事情」の範囲が広がり、取締役の責任範囲も広がる可能性があります。
もっとも、AIシステムで検知できなかった問題が発覚した場合、直ちに取締役の任務懈怠とはなりにくいと考えられます。判例上、「信頼の原則」として、取締役がその職務の一部を他の取締役や従業員に委任でき、委任された行為は「特に疑念を挟む事情がない限り」、問題がないと「信頼」してよく、任務懈怠を構成しない、という考え方があるためです。他方で、AIシステムを適切に改善・アップデートしていないとすれば、想定されるリスクを防止できる管理体制になっていない=信頼できる状態とは言えない、と評価される可能性もあります。
取締役は、継続的に、①自らの職務について、AIシステムから上がってくるアラート等を適切に処理する態勢を構築・運用するとともに、AIシステムを導入した場合は、②AIシステム自体が適切に機能しているかをモニタリングし、必要な改善を行う必要がある、とも考えられます。
(4)弁護士法とAIレビュー
さて、これまで課題を指摘してきましたが、コンプライアンステック進展を支えるべく、前向きなルール整備の動きも出てきています。そのひとつが、2023年の法務省ガイドラインによる、弁護士法とAIサービスの関係性の明確化が挙げられます。
従来、AI契約審査サービスは、弁護士法72条(非弁行為)との関係が不透明と言われていました。弁護士法72条では「弁護士でない者が、報酬を得る目的で、訴訟等の法律事件に関して法律事務を行うこと」を禁じています。AI契約審査サービスは、ベンダーが、有償で、契約審査という法律業務を行っているため、この弁護士法の違反有無が議論されていました。
2022年6月時点で、法務省は、弁護士法上の適法性に関する照会(グレーゾーン解消制度)を受けて回答を発表していました。ところがこの回答では、弁護士法72条への違反可能性を示唆し、かつ、抽象的な回答であったため、波紋が広がっていました。一転して、2023年8月1日、法務省は「AI等を用いた契約書等関連業務支援サービスの提供と弁護士法第72条との関係について」(以下、ガイドライン)を公表し、AI契約審査サービスが弁護士法違反になる要件を整理し、適法性・違法性に関して一定の明確化を行いました※2。
具体的には、AIを用いた法律業務支援サービスについて、①「報酬を得る目的」、②「訴訟事件、非訟事件及び審査請求、異議申立て、再審査請求等行政庁に対する不服申立事件その他一般の法律事件」、③「鑑定、代理、仲裁若しくは和解その他の法律事務」の3つ全ての要件に該当する場合には、当該サービスが弁護士法72条に違反することをガイドラインは明示しました。
まず①の要件、当該サービス提供の「報酬を得る目的」の該当有無は、有償サービスであればほぼ全てのサービスが該当します。
次に②当該サービス提供が「訴訟事件(...)その他の一般の法律事件」(事件性)に該当するかについては、一般的な企業法務は「事件性」がないとされつつも、契約の目的、契約当事者の関係、契約に至る経緯やその背景事情等諸般の事情を考慮して判断すべきとされています。なお、親子会社やグループ会社間の慣行的な取引や、特段争いのない継続的取引などについては「事件性」が認めがたいとされます。
最後に、③当該サービス提供が、「鑑定(...)その他の法律事務」に該当するかについては、利用サービスの具体的な機能や利用者に対する表示内容から判断すべきとしつつ、ガイドライン上で例示しています。例えば、契約書等の審査業務を支援するサービスならば、個別具体の契約に至る経緯や背景、契約内容を法的に処理し、法的リスクの有無や程度、修正案等が表示される場合は該当するものの、あらかじめ登録されたひな形と照らし合わせて、内容とは無関係に相違等が表示されるに留まる場合は該当しないとしています。
これらはあくまでも一般論であり、今後も利用場面に応じて検討すべき論点ではありますが、AI契約審査サービスの適法性に関する要件が明確化し、不透明感が解消したと言えます。また、ガイドラインは、「AIを用いた契約審査サービス」を中心としつつも他のリーガルテックにも原則として同様の考えが及ぶとしており、これまでより安心して利用できる状況になったと考えられます。
3 AIを活用した実際の運用事例:メールモニタリングを素材として
上記のように現状ではまだ課題があるものの、かかる課題を克服するような形で、特定のコンプライアンステックは効果を出し始めています。それがメールモニタリングです。
AI等のテクノロジーを導入しようとする場合、自社のコンプライアンス態勢整備やリスク管理の目的に照らして、どの領域にテクノロジーを導入することでどれだけの効果が得られるのかは総合的に考える必要があります。前述の通り、費用対効果の実感が得られない企業が多い現状や法的課題がある中で、メールモニタリングの場合は、自社で想定され得る不正領域、という形で分野を限定して始めることができるうえ、人が実施する場合よりスピードが圧倒的に速く、費用対効果が実感しやすいというメリットがあります。また、これまでの人手によるレビューのノウハウとAI技術をうまく組み合わせて、導入前や導入後にカスタマイズしながら、より高い精度での不正リスクの発見とリスクガバナンス構築へ繋げていけることもポイントです。
(1)メールモニタリングとは
メールモニタリングとは、日々の業務の中で飛び交うメールの内容を分析し、不正リスクの兆候や発生因子を早期に検出し対処できるようにする施策のことです。例えば、贈収賄の兆候を把握したい場合、公務員やエージェント等と、自社の役職員間のメールをモニタリングすることが考えられます。役職員のメールを適切にモニタリングすることで、企業および役職員を不正リスクから守ることができます。
メールモニタリングの実施の一般的な流れは、次のようになります。
① 不正リスク分析:過去の事例や既存の懸念事案に対するリスク分析を実施する
② メールデータ分析:調査対象のメールファイル等を定期的に抽出し、キーワード、宛先ドメイン等の観点、またAI等を活用して絞り込む
③ レビューと分析:調査(レビュー)に基づき検出されたドキュメントについて、整理して分析を行う
④ 追加調査:必要に応じて、追加メールレビューや調査を実施する
(2)メールモニタリングでできること/できないこと
メールモニタリングの方法には、大きく次の3種類の方法があります。
① 従来の人手による方法(人海戦術)
② 機械学習を活用した方法
③ 深層学習を活用した方法
まず、従来行われてきた、①人海戦術は、メールを収集し、重複排除等の処理をしたデータをキーワード検索し、ヒットしたデータを「人の目」でレビューします。行間や背景を解釈できるため、応用力や精度は高い一方で、人員と時間がかかりコストも高額となりますし、人のレビュー範囲には限界があります。
これに対し、②機械学習や③深層学習を活用した方法では、AIを利用して、事前に設定したキーワードや教師データと類似性の高いメールを検出したり、スコアリングを行います。機械がレビューを行うため、迅速にかつ広範囲のレビューが可能であり、単位あたりのコストは圧倒的に安価です(もっとも、機械がレビューした結果を人が最終確認し、閾値調整する必要があります)。
ここまでは、②機械学習と③深層学習ともに同じですが、両者には大きな違いがあります。②機械学習の場合は、人が事前に決めた手順や条件下でAIが処理するに留まる一方で、③深層学習では、AI自身が「文脈を読む」といった、より複雑で高度な分析が可能です。これは、③深層学習の場合には、どのような項目が結論に影響するか(特徴量)の設計、その項目がどれだけ重要かの判断(規則性、重み付け)を、人間ではなく、AI自身が行うことができるためです。
(3)機械学習と深層学習の違い
②機械学習と③深層学習の違いを具体例で見てみます。
例:機械学習の場合
「お前はバカか?」というメール文章の場合、「お前」と「バカ」という言葉が入っているので、ハラスメントの可能性が高いと判断します。他方で、「バカの壁を読んだことがあるか?」という場合、「バカ」「壁」「読んだ」という言葉から、ハラスメントの可能性は低いと判断します。
例:深層学習の場合
「ご質問の領収書の期限についてですが(…)なお、架空の発注である旨はご内密に…」という文章の場合、「架空」「内密」という言葉から会計不正の可能性が高いとの推定に加え、「領収書」「期限」という言葉に着目して、経理関連の文脈と判断し、会計不正のリスクが高いと結論付けます。他方で、「サプライズで、Aさんの結婚祝いをします。出席可否の返信期限は〇日です。なお、Aさんを架空の打ち合わせに呼ぶので、本人には内密に…」という文章の場合、「架空」「内密」という言葉から会計不正の可能性が高いと推定しつつも、更に「サプライズ」「祝い」という言葉も勘案し、総合的に見てプライベートの文脈と判断して、会計不正のリスクは低いと結論付けます。
③の深層学習が不正検知方法としてベストですが、残念ながら現時点では、③深層学習を製品に組み込むことができるベンダーは極めて少ない状況であるため、②機械学習によるサービスをうまく活用していくことになります。
(4)AIサービス導入の勘所
では、自社でAI関連のサービスを導入する場合、どのような点に着目すればよいでしょうか。
AIを活用するとしても、これまで見てきたように、深層学習まで可能なサービスは少ないため、特徴量の設計や重み付け等を考えるうえで、仮説立てや対象者の選定などの「人間の下準備」が重要になります。
全ての役職員のメールについて長期間モニタリングすることは、コストとリターンの観点でも、プライバシー等のAIリスクの観点でも、現実的な選択肢ではありません。自社内で相対的にリスクが高い不正類型や不正リスクシナリオを整理したうえで、部署、職階、対象会社を絞り込んだアプローチを取るのがポイントです。まずは、メールモニタリングで特定したい潜在的な不適切行為を定義し、相対的に不正リスクの高い部門や対象者を絞り込み、一連のモニタリング手順を実施することで、不正発見の効果を上げることができます。
例えば、キックバックであれば、不正の類型は「サプライヤーと共謀して、キックバックの金額を仕入れ代金に上乗せする行為や、サプライヤーから高額な接待・贈答の提供を受ける行為」ですから、サプライヤーと接触する調達部門をモニタリング対象とします。談合であれば、「入札案件に関して、入札金額や落札業者を複数企業で事前に調整し、共謀する行為」であり、談合が発生するのは入札案件に関与する部門や担当者ですから、営業部門の一部だけ、かつ入札前後の時期を対象とする等、部門の中でもさらに対象者や時期を絞り込んでいくことになります。
このように、自社で発生し得る不正の形態を定義し、それに合わせて切り出した形で優先順位を決めて導入を始めることがポイントになります。
4 まとめ
コンプライアンステックの状況は、日々大きく変化しています。技術の進展に加えて、弁護士法上の課題が整理されるなど議論も進み始めており、今後さらなる進展が期待されます。他方で、AI導入による効果に対する実感の低さや、リスク意識の未成熟性、法的実務上の課題が不透明であることから、導入に足踏みする会社も見られます。
AIは「万能薬」となるわけではなく、自社の症状に応じて選定し、効果的に利用していく工夫が必要になります。自社にとって、AI 等のテクノロジーを導入するリスクとリターンを検討し、テクノロジーを使うことが「できる」、かつ、使う「べき」領域はどこかを自社のリスクマネジメント態勢、コンプライアンス態勢全体を見渡して考えることが重要です。あわせて、さまざまなサービスの中から、自社の業務プロセスに照らし、テクノロジー「以外」の部分、導入後の継続的な運用改善やモニタリングまで含めて総合的に検討したうえで、選択することがポイントです。
※1 PwC Japanグループ「2023年AI予測──米国に離されるAI活用、挽回のカギは生成AI」2023年7月
https://www.pwc.com/jp/ja/knowledge/thoughtleadership/2023-ai-predictions.html
※2 法務省大臣官房司法法制部「AI等を用いた契約書等関連業務支援サービスの提供と弁護士法第72条との関係について」2023年8月
https://www.moj.go.jp/content/001400675.pdf
執筆者
PwC Japan有限責任監査法人
ガバナンス・リスクマネジメント・コンプライアンス部
シニアマネージャー 吉岡 美佳
