AI ガバナンスを確立する
学習の目的
この単元を完了すると、次のことができるようになります。
- AI にまつわるリスクを挙げる。
- AI ガバナンスとは何か説明する。
- 組織の現在の AI 使用状況を調べる。
- 組織の AI リスクを評価する。
- AI リスクの緩和策の例を挙げる。
Trailcast
このモジュールの音声録音をお聞きになりたい場合は、下記のプレーヤーを使用してください。この録音を聞き終わったら、必ず各単元に戻り、リソースを確認して関連付けられている評価を完了してください。
AI のリスク
テクノロジーに付随するリスクを認めずに、AI について語ってもさほど意味がありません。セキュリティの脅威、不正確性やバイアスに関する懸念、データが漏洩する可能性、評判の低下に対する恐れについては巷でよく耳にします。
AI テクノロジーの急速な進歩により、こうした事態がさらに複雑になっています。Salesforce の「Trends in AI for CRM (CRM 向けの AI のトレンド)」レポートによると、68% の人々が AI の進歩に伴って企業の信頼性が一層重要になると考えているとのことですが、これも驚くことではありません。
多くのケースでは、組織の変化への適応力を上回るペースで AI 革命が進んでいます。この点は、Coral Cloud Resorts の役員で、AI の推進者でもある Alex の懸念事項の 1 つです。Coral Cloud が信頼のおける方法で AI を導入するにはどうすればよいのでしょうか?
ガバナンスの必要性
お察しのとおり、AI に対する信頼は根幹的な部分でそのガバナンスと結び付いています。では、AI ガバナンスとは何かから見ていきましょう。
AI ガバナンスとは、組織が AI のメリットを最大化し、リスクを緩和する目的で、AI システムを拡張可能かつ責任ある方法で開発、使用、管理するための一連のポリシーやプロセス、ベストプラクティスです。
この単元では、Alex が Coral Cloud の AI リーダーシップチームと協力して、AI ガバナンスを確立するところを見ていきます。あなたの組織でも、すでに特定のグループがガバナンスの監視を担当しているかもしれません。AI 委員会で AI ガバナンスを一元的に管理する予定がない場合は、社内に存在するガバナンス組織が既存の実務を強化して、新たな課題に対処するために必要な AI の専門知識を備えていることを確認します。
責任ある AI の原則を定める
Coral Cloud がガバナンスプログラムの設置に着手する前に、Alex はリーダーシップチームにここで一旦立ち止まり、責任ある AI 開発に対するコミットメントをどのように持続させるか考えてみるよう促しました。この指針となるのは何でしょうか?
AI を導入している組織の多くは、責任ある AI 原則を確立することが有用であると考えています。AI の原則を定めていれば、ビジネスが AI に対する自らの立場を明確にし、従業員やお客様、社会全体に対するテクノロジーの影響を考慮することができます。こうした指針を示すことで従業員間の共通理解が進み、AI の原則がビジネスのあらゆるレベルに適用されるようになります。
詳細は、「Salesforce’s Trusted AI principles (Salesforce の信頼できる AI の原則)」を参照してください。ここで留意すべき点は、組織の AI の原則が、企業のミッションやバリューに沿ったものでなければならないということです。通常どの原則も他の組織のものと多少重複していますが、独自の原則を定め、関係者の賛同を取り付け、そのバリューに公的にコミットするという作業を省いてはなりません。
原則を定めたのはよいが、その原則を責任ある AI の実務に適用するにはどうすればよいのでしょうか? 大半の組織は場当たり的な方法で AI を管理し始め、次第にそのやり方を整備していきます。詳細は、Salesforce の「AI Ethics Maturity Model (AI 倫理の成熟度モデル)」を参照してください。
規制状況を調査する
Coral Cloud のリーダーシップチームはガバナンスに取り組む準備を整えましたが、全員が次のような疑問を抱いています。「AI に対する規制はどうなっているのか?」 「法律で実際にどのようなことが義務付けられているのか?」などです。
現在、AI にまつわる規制は、新たに出現したガイドラインやポリシーの寄せ集めで、地域や業界ごとに異なります。政府も規制機関もテクノロジーの急速な進歩に後れまいと必死になっており、数年先の規則書でさえどうなっているか正確に予測するのは困難です。
こうした不確実性の中でも、プロアクティブな手段を講じることは可能です。この単元のベストプラクティスに従って、AI 規制の動向に関する最新情報を常に把握します。規制機関や業界団体の最新情報を確認して、予想される法改正をいち早く察知しましょう。新たな規定が設けられたときには、これらの団体からサポートやリソースを確保できます。
組織の AI 使用状況を調べる
Alex は Coral Cloud のガバナンスの取り組みを推進するために、組織が現在 AI をどのように利用しているか一覧表にまとめることを提案しました。
リスクの根源がわからなければ、リスクを適切に評価することが難しくなります。そこで、すべての AI ツールのインベントリを作成して、ビジネスプロセスにどの程度統合されているか把握することをお勧めします。
-
AI テクノロジーを特定する: 現在使用している AI テクノロジーをすべてリストアップします。シンプルな自動化ツールから複雑な機械学習モデルまですべてがこの対象です。サードパーティのサービスやソフトウェアに統合されている AI も忘れずに記載します。
-
ユースケースを記録する: AI テクノロジーごとに、その特定のユースケースを記録します。各 AI ソリューションの機能と使用する理由を理解すれば、その影響と重要性を評価できます。
-
データフローをマッピングする: 各 AI アプリケーションでのデータの入出力の流れを追跡します。たとえば、入力データのソース、AI が変更または分析する内容、出力データの送信先などを記録します。
-
オーナーシップを確立する: 各 AI ツールのオーナーシップを特定の個人またはチームに割り当てます。各ツールの責任者を明確にすれば、説明責任が果たされ、将来の監査や評価が容易になります。
-
定期的に更新する: AI インベントリを動的なドキュメントにして、新しい AI のリリースや既存の AI への変更が実行されるたびに更新されるようにします。こうすれば、インベントリが最新の状態で維持され、継続的なコンプライアンスに役立ちます。
Coral Cloud のリーダーシップチームは、このインベントリにより、組織が現在正規の方法で使用している AI をすべて把握できると確信しています。他方、未承認の使用についてはどうでしょうか? 未承認の AI ツールはシャドー AI とも呼ばれ、ビジネスに重大なリスクをもたらします。CIO Magazine のシャドー AI による惨事を防ぐ方法に関する記事を参照してください。
ビジネスですでに相当数の AI ツールを使用している場合は、インベントリの完成までに時間がかかるかもしれません。ただし、インベントリのプロセスが、組織の AI ユースケースの検討や試行の妨げになることはありません。AI のパイロットプロジェクトにリスク評価を実施するのと並行して、社内全体の AI 監査も継続的に実施します。
AI のリスクを評価する
AI インベントリを完成させた Coral Cloud のチームは、AI に起因する組織のリスク評価に進みます。リスク評価は、ガバナンスを確立する重要なステップですが、規制要件の準拠にも役立ちます。欧州の AI 法など一部の政策では、テクノロジーの管理にリスクベースのアプローチを採用しています。そのため、早い段階からリスク評価のプロセスを導入すれば、規制に準拠しやすくなります。
Alex と AI リーダーシップチームは、組織の AI リスクを次の方法で評価します。
リスク要因を特定して分類する
AI インベントリを確認します。ユースケースごとに、潜在的なリスクをブレインストーミングします。組織のさまざまな部門の関係者の意見を聴取します。あなたが思いもよらなかったリスクを指摘してもらえる可能性があるためです。リストができたら、技術面、倫理面、事業面、評判面、規制面など、リスクを論理グループに分類します。この際、各自のビジネスに適したカテゴリを使用します。
影響と可能性を評価する
リスクごとに、そのリスクが生じた場合にビジネスに及ぼす潜在的な影響を評価します。次に、各リスクが発生する可能性を判断します。こうした要因に低、中、高の評定を付けることが考えられます。評定を付けるときは、履歴データ、業界のベンチマーク、専門家の意見が役立ちます。
リスクに優先順位を付ける
影響度と可能性に基づいて、リスクに優先順位を付けます。一般的な方法では、影響度と可能性をプロットしたリスクマトリックスを使用して、影響度と可能性の両方が高いリスクに着目します。
何から始めればよいのかわからない場合は、米国標準技術局 (NIST) の AI Resource Center (AI リソースセンター) サイトから Google DeepMind AI Risk Management Framework (Google DeepMind AI リスク管理フレームワーク) テンプレートをダウンロードするか、オンラインで他の例を検索します。どの組織も、地域、業種、ユースケース、規制要件など、独自のコンテキストに応じたフレームワークを作成する必要があります。
リスクの緩和策を設定する
評価を終えた Coral Cloud の AI 委員会は、続いてあらゆるリスクを緩和するための対策を導入することにします。下表は、各種のリスクに対する防御策の数例を示していますが、すべてを網羅しているわけではありません。
リスクの種類 |
一般的なリスク緩和策 |
|---|---|
テクニカル、セキュリティ |
|
データ、プライバシー |
|
倫理、安全 |
|
オペレーション |
|
コンプライアンス、法務 |
|
Alex をはじめとする Coral Cloud の AI リーダーシップチームは、AI にまつわるリスクをすべて回避するのは不可能であることを認識しています。そのため、このチームの目標は、リスクを効率的に特定して対処可能であると組織が確信できるプロセスやツールを開発することです。組織に AI ガバナンスを導入する方法については、世界経済フォーラムの実装と自己評価ガイドを参照してください。
ガバナンスの実務を改善する
Coral Cloud の AI 委員会は、ガバナンスが継続的なプロセスであることを認識しています。組織が次のことを実践すれば、リスク管理能力や、変化する規制状況への適応力を高めることができます。
-
トレーニングと教育: AI コンプライアンストレーニングを実施して、教育プログラムの成果を測定します。
-
文化: 倫理的な AI 文化を育み、自らの業務の広範な影響を検討するようチームに促します。
-
監視とレビュー: 実装したリスク管理計画の有効性を定期的に監視し、必要に応じて調整します。新たなリスクが出現して既存の計画を修正しなければならなくなるため、この点は極めて重要です。
-
記録と報告: あらゆるリスク緩和活動の詳細な記録を保持します。こうした記録は規制の遵守に不可欠で、内部監査にも役立ちます。ガバナンスイニシアティブに使用するメトリクスを考え出し、調査結果を関係者に報告します。
次は、AI 計画の最も興味深い部分の 1 つである、AI ユースケースの特定と優先順位付けについて詳しく説明します。