アジャイルガバナンスの実践に不可欠な専門家の存在
総務省と経済産業省がまとめた「AI事業者ガイドライン」(第1.0版、2024年4月公開)では「AIに関するリスクを受容可能な水準で管理しつつ、もたらされる便益を最大化するためにはアジャイルガバナンスの実践が重要なポイント」としています。
あずさ監査法人 Digital Advisory事業部 マネージング・ディレクター島田武光
TAKEMITSU SHIMADA大手コンサルティングファームを経て、2022年あずさ監査法人へ移籍。2023年Digital Advisory事業部を設立し、大手企業、金融機関向けにデジタルガバナンス、DX戦略策定等のアドバイザリーサービスを提供。
島田:AIポリシーやAI活用の社内ルールを定めている企業はありますが、新たな技術やリスク事例の出現に応じて、そのつど見直している企業は少ないのが実情です。通常のITシステムやアプリケーションは、開発時のロジックに基づいて機能しますが、AIはデータを学習することで振る舞いが変化し、時間経過とともにモデル精度が劣化するドリフト現象が発生する可能性があります。
従来のガバナンスモデルであれば、一度構築した後は年単位で見直すのが一般的でしたが、AIに関しては技術や社会的許容度の変化、新たなユースケースやリスク事例などを継続的にモニタリングしてガバナンスの仕組みに反映させる必要があります。そのためには、モニタリングや内部監査の手法の確立、必要な知識とスキルを持つ人材の育成、組織体制の再整備をはじめ、乗り越えるべき課題は多岐にわたり、多くのサイクルを複数のステークホルダーで継続的に運用する「アジャイルガバナンス」が実践できている企業は、まだ少数に留まっているといえます。
熊谷:AI事業者ガイドラインには、「環境・リスク分析」「ゴール設定」「システムデザイン」「運用」「評価」というサイクルを回す、アジャイルガバナンスの基本モデルが提示されています(図表を参照)。
ここで留意すべき点は、「環境・リスク分析」「ゴール設定」「システムデザイン」「運用」という大きなループと、「システムデザイン」「運用」「評価」という小さなループの二重構造になっていることです。大きなループは企業または企業グループ全体のガバナンスサイクル、小さなループはプロジェクト単位のガバナンスサイクルと、とらえることができます。
大手企業では、複数のプロジェクトが同時進行しており、各プロジェクトが異なるフェーズにあるため、ガバナンス上でコントロールすべき事柄が違います。このようなケースでは、プログラムマネジメントオフィスのような司令塔が各プロジェクトを統括し、それぞれのリスク評価について逐次報告を受け、必要に応じてシステムデザインに反映しなければなりません。
プロジェクトの進行状況だけではなく、目的や性質が異なる場合もあります。特定の業務にAIシステムやサービスを利用するプロジェクト、自社の業務に特化したAIシステム・サービスを開発するプロジェクト、顧客や取引先向けに製品・サービスにAIを組み込むプロジェクトなどが挙げられます。
つまり、企業はAIの利用者であると同時に、開発者、提供者にもなりえるのです。利用者、開発者、提供者でリスクファクターやリスク低減措置が異なり、評価方法やマネジメントシステムも変わってきます。こういった複雑な状況を考慮すると、企業が独自にアジャイルガバナンスを実践する難しさは容易に想像でき、当社のような専門家の存在が重要性を持つと思います。
