【音声あり】AIガバナンスを組織にどう実装するか？〈講演レポート〉

この記事は音声でもお楽しみいただけます（Notebook LMの音声概要機能を利用しています。記事の内容との齟齬や文字の読み方が正確でない部分がありますので、予めご了承ください）

Benchmarking Your AI Governance Program
IAPP Global Privacy Summit 2025 現地レポート[Vol.3]　

AIガバナンス・プログラムの構築について、他の事業者がどのように取り組んでいるのか気になりませんか？

AIリスクを評価し軽減するためのアプローチやIBMでの具体事例など、実際の調査結果に基づいて、さまざまな議論が行われました。

◆ この記事でわかること
===
・AIガバナンスは、イノベーションとコンプライアンスの両立を実現するポジティブな仕組みである。
・組織横断のチーム構築、設計段階からの倫理的観点の検討（Ethics By Design）、組織研修の実施など、継続的な取り組みの必要性。
・AI知識は特定の専門家に集中させず、全社員のAIリテラシー向上への投資が必要。
===

登壇者

Moderator: Joe Jones, Research & Insights Director, IAPP
Evi Fuelle, Director, Global Policy, Credo AI
Anaysha Parker, AIGP, Global Market Strategy Lead, Privacy and AI Governance, IBM
Richardard Sentinella, AI Governance Research Fellow, IAPP

転載：IAPP Global Privacy Summit 2025

市場と規制が推進するAIガバナンスの新潮流

司会(Joe)：皆さんはAIガバナンス構築におけるさまざまな段階や成熟度、コンテキストに関わっていると思いますが、今、どのような新しいトレンドが見えてきているのでしょうか。

Evi(Credo AI)：最大の変化は、「導入の進展」だと思います。以前は、私自身がコンプライアンスの仕組みづくりに取り組みながら、いろいろ悩んでいました。でも今では、もう選択の余地はありません。企業自身が「どのモデルを選ぶか」「選んだモデルが正しいか」という判断を自主的に下さなければいけない状況になっています。

今では市場と規制が企業を前に進めています。この変化は非常に大きいです。昨日発表された大統領令もご覧になったと思いますが、すべての領域に影響を与えています。 企業は、常にトレードオフを意識しながら判断しています。「万能なモデル」なんて存在しません。各社が自分たちで最適なものを選んでいるのです。

司会(Joe)：素晴らしいお話ですね。 ありがとうございます。それではRichardさんにお聞きしましょう。2週間前、IAPPとCredo AIが共同で「AIガバナンス職業レポート」を発表しました。このレポートでは、AIガバナンスに取り組んでいる人々がまさに「職業」として活動している実態が示されています。Richardさん、このレポートについて教えていただけますか？

AIガバナンスはチームスポーツ

Richard(IAPP)：はい。IAPPでは「AIはチームスポーツだ」と何度も言ってきました。企業の中でIT、プライバシー、データガバナンス、リスク管理など、あらゆる部署が関わっています。このことはデータにも表れています。多くの企業がAIガバナンスを構築したいけれど、リソースが足りず、プライバシー担当やリスク管理の担当が兼任して始めています。おそらく、ここにいる皆さんもそうでしょう。データからも、多くの企業でこのような協力体制が存在していることがわかります。半数以上の企業が、IT、リスク管理、プライバシーなど、複数の部署を巻き込んで取り組んでいます。コラボレーションが重要なポイントです。

司会(Joe)：その通りですね。また、新しい法規制への対応についてもお聞きしましょう。組織は新しい法律にどれだけ自信を持って対応できているのでしょうか？ Richardさん、EU AI法に関する調査結果を教えてください。

Richard(IAPP)：EU AI法について質問したところ、50%以上の回答者が「対応に自信がある」と答えました。まだ完全施行まで1年もありますが、すでに半数が対応に自信を持っているのはポジティブな結果だと思います。特に、AIガバナンスを重点課題としている企業では、その割合が大きく上昇していました。これはガバナンスの基盤がいかに重要かを示しています。

IBMのAIガバナンス体制構築とイノベーション推進

司会(Joe)：EUだけでなく、世界中で法律や政策が進んでいます。既存の法律、たとえば消費者保護法やプライバシー法などは、AIガバナンスと交差することもあります。ここからは、組織のチーム編成や採用、予算、研修といった実務面について議論しましょう。グローバル企業であるIBMでは、どのようにこれらの課題に取り組んでいますか？

Anaysha(IBM)：私たちがAIガバナンスに本格的に取り組み始めたのは、2019年末から2020年にかけてです。当初は、「IBMにおけるAI倫理をどう設計するか」という小さなプロジェクトでした。私を含め、プロジェクトオフィスには4人しかいませんでした。しかしその後、営業やマーケティングなど現場の業務にも組み込まれるようになり、ビジネスアセット（事業資産）として拡張する必要が出てきました。

コンプライアンス専門家をチームに加え、さらに法務チームも拡張し、規制の動向やリスク評価をカバーする体制を整えました。現在では、ガバナンスプログラムの運営に特化したチームと、取り組みのインパクトを最大化するチームの2本柱があります。倫理委員会には、マーケティング、HR、営業、財務など、さまざまな部門からシニアバイスプレジデントが参加しています。彼らがユースケースを評価し、各部門の代表者がリスクを見極めます。

この5年間で、コンプライアンス専門家だけでなく、プロジェクトマネージャー、広報、教育・研修担当者、営業担当者など、幅広い人材を集めてきました。私は元々営業部門出身ですが、倫理委員会での活動を通じて、開発者のイノベーションとリスクをどうバランスするかを考えてきました。この多様な視点を持つチームが、ガバナンスを推進するうえで大きな助けとなっています。

司会(Joe)：素晴らしいですね。ガバナンス、コンプライアンス、イノベーション推進は、よく対立するものとして語られがちですが、「導入」を重視する姿勢が強く感じられました。レポートでも、AIガバナンスが戦略的なメリットやビジネス上の差別化につながると指摘されていますが、Eviさん、その点についてもう少し詳しく教えていただけますか？

Evi(Credo AI)：はい。ポイントは二つあります。一つ目は、リスクの軽減です。たとえば、ある企業でチャットボットが間違った提案をしてしまい、「どうしてこんなことになったのか？」と問題になったケースがありました。これは規制やコンプライアンスが動機としてではなく、正しく使われるべきであることを示すものです。

もう一つは、導入の加速です。Anayshaさんも指摘されていましたが、コンプライアンスチェックやリスク対策を事前にしっかり行うことで、関係者がスムーズに意思決定できるようになります。そして製品を迅速に市場に投入できるのです。この流れは、どちらかと言うと、「科学」というより「企業文化」に近いものです。たとえば、全社員が「怪しいPDFをクリックしない」ための基本的な教育を受けるように、AIについても全社員が基礎的な知識を持つべきです。

AIはもはや特定の人だけが扱うものではありません。誰もがAIを使う時代です。私も生成AIを使っていますが、「これは大丈夫なのか？」と不安になる時もあります。全社的にAIリテラシーへの投資を行い、AIユニバーシティのような仕組みで、Oh dear（あちゃー）な瞬間を減らし、AHA!（なるほど）な瞬間を増やしていくべきです。

司会(Joe)：面白い表現ですね。 なんだか歌になりそうですね（笑）。Richardさんにお聞きします。レポートではチーム編成や必要なスキルにも触れられていますが、適切な人員を増やすだけでなく、適切なスキルをどう確保するかが重要だとされています。企業がどのようにチームを編成しているか教えてください。

Richard(IAPP)：はい。レポートによると、AIガバナンスチームの平均規模は約5人となっています。これはIBMのような大企業だけでなく、中小企業も含めた数値です。興味深いのは、98％の企業が「AIガバナンス担当者は必要だ」と考えているのですが、実際に専任社員を雇用している企業はわずか8％しかない、という点です。 多くの企業では、プライバシー担当者やデータ保護担当者がAIガバナンスと兼務しているのが現状です。

AIガバナンスは多分野横断的な取り組みです。私たちが行った別の調査でも、AIガバナンス専門職に求められるスキルは幅広く、モデルのコーディングができる技術者から、法規制を理解しコンプライアンス対応できる人まで、多様なスキルが求められることが分かっています。技術に触れない部門でも、どんなAIを導入しているのかを理解する必要があります。

司会(Joe)：ありがとうございます。Anayshaさん、IBMではチームをどのように拡張してきたのか、改めてお話しいただけますか。

リスクアセスメントの進化とAI・プライバシー協働の可能性

Anaysha(IBM)：はい。2020年に取り組みを始めた当初は、まずAI倫理基盤に関する作りに力を入れていました。 当時は、誰でもリスクを発見できる仕組みを整えて、製品開発担当者はもちろん、インターンであっても「これはIBMのミッションに沿っているのか？」と考えられる体制を整えていました。そこから、リスクアセスメントを通じて、どういった質問を加えるべきか、改善し続けています。

IBMではプライバシー影響評価（PIA）の仕組みも活用しています。そして、AI倫理活動から得られたリスクに関する知見を、AIプライバシー影響評価に反映し、継続的にリスクアセスメントを実施しています。これにより、ユースケースごとのリスク評価が可能となり、例えば提案依頼書（RFP）の段階でも適用できる仕組みを整備しました。

IBMとしては、すべての製品・サービスに共通する「最低限のチェックリスト」を策定し、地域や規制に沿って、IBM独自の視点でリスクを評価できるようにしました。こうした改善の積み重ねで、今の標準的な評価体制が構築されています。

司会(Joe)：素晴らしい取り組みですね。リスクアセスメントや影響評価について、設計や実装時の課題などについて、Eviさんはいかがでしょうか。

Evi(Credo AI)：リスクアセスメントの違いについて強調したいです。プライバシー影響評価（PIA）は、主にデータ保護や法令遵守に焦点を当てていますが、AIアルゴリズムの評価では、モデルの動作や他のシステムとの相互作用に着目する必要があります。たとえば、あるモデルが別のモデルと連携すると、その挙動が変わるため、より動的な評価が求められます。

アルゴリズムインパクトアセスメント（AIA）は、開発前後に柔軟に実施できるアプローチが必要です。期待される結果と、想定外の結果の両方を見据えて評価するため、リスクの緩和方法も変わってきます。課題としては、規制当局との認識のズレが挙げられます。企業側が「これが我々のベストプラクティスです」と提出しても、規制当局側が何を見ればよいか分からないことがあるのです。そのため、評価結果を正しく解釈して伝得るために、高度な専門スキルが求められます。

司会(Joe)：非常に重要なポイントですね。規制当局との対話を通じて、どういった評価がベストなのかを共に学び合うことが求められています。それでは、会場からご質問をどうぞ。

質問者1：素晴らしいお話をありがとうございます。私はプライバシーの専門家で、AIにも強い関心を持っています。AIとプライバシーは相容れない領域だと思われがちですが、私は共存すべきだと考えています。企業でどうやってAIとプライバシーの協働体制を確率していけばよいでしょうか。ご意見を伺いたいです。

質問者2：もう一つ、リスクアセスメントの実践について、より具体例をお聞きしたいです。法律を読むだけではイメージしにくい部分、たとえばデータアクセス権限の調整など、技術的な観点からアドバイスをいただきたいです。どこから着手すればよいか、まだ模索中でして…。

司会(Joe)：お二人とも素晴らしいご質問ですね。Eviさん、いかがでしょうか。

Evi(Credo AI)：はい、ありがとうございます。まずは、AIとプライバシーの協働についてですが、これは本当に重要なテーマです。私たちの経験でも、AIガバナンスプログラムの中でプライバシー部門とエンジニアリング部門が連携している企業はうまくいっています。逆に、予算やリソース配分で部門間が対立してしまうと、うまく機能しません。

まず最初の一歩として、社内で「どんなAIが使われるか」を把握することです。AIのレジストリ（台帳）を作成し、自社のAI活用状況を整理する。これがないと、何がビジネス上の利益になるのか判断できません。そのうえで、AIごとにリスクカテゴリを設定し、どのユースケースが高リスクかを見極める作業に入ります。

また、社内に「AHAの瞬間」を生み出すことも重要です。たとえば、「これがやりたかったが、どうすればいいかわからなかった」といったケースに対して、AIガバナンスの枠組みが「ここまでならできる」と道筋を示すことが大切です。社内のデータガバナンス担当者やAI担当者が協力し合うことで、こうした気づきが生まれます。

実行力あるAIガバナンスの浸透と今後の展望

司会(Joe)：素晴らしいですね。Richardさん、技術スキルの不足について、レポートの知見を教えていただけますか？

Richard(IAPP)：はい。調査でも、AIガバナンス導入の課題として「技術理解の不足」が最も大きな問題として挙げられていました。これは役員レベルでも現場レベルでも共通しています。AIガバナンスはチームスポーツのようなもので、さまざまな部署が関わることで、どうしても技術知識に差が生じてしまうのです。

ただ、プライバシーやコンプライアンス領域で培ったスキルを応用できる部分もあります。AIガバナンス専門職は多様なバックグラウンドを持つ人々が関わっており、技術面とガバナンス面を橋渡しできる人材が必要とされています。

司会(Joe)：Anayshaさん、IBMでの取り組みの中で、うまくいかなかったことや改善が必要だった点があれば教えてください。

Anaysha(IBM)：そうですね。大きな転換点は2022年12月、OpenAIのChatGPTが登場したことでした。それまでAIガバナンスは、主に研究部門など限られた領域にのみ適用されていました。しかし、ChatGPTの登場で一般消費者がAIに触れるようになり、社内でも「この技術を使いたい」という声が一気に高まりました。

当初は、利用制限を設けたり、研究部門のみ外部モデルの使用を許可するなど、ガイドラインを整備していましたが、社員からは「もっと便利に使いたい」という要望が出てきました。 そこで私たちは社内向けのAI「Ask IBM」を開発しましたが、その導入とガイドライン整備のタイミングがずれてしまい、一部の社員から「市販のツールは使えるのに、なぜ自社では使えないのか」という不満も生まれてしまいました。これが教訓ですね。

リスク評価を行うだけでなく、同時に代替案やツールを提案し、イノベーションを阻害しない環境を整えることが重要だと学びました。営業や顧客もそのメリットを享受できることが大切です。

司会(Joe)：それは非常に貴重な学びですね。それでは、会場からさらにご質問をどうぞ。

質問者3：AIの定義についてお聞きしたいです。たとえばチャットボットといっても、LLM（大規模言語モデル）なのか、ルールベースなのかで全く異なりますよね。どのリソースを参考にAIの基準を決めればよいでしょうか？

Richard(IAPP)：AIの定義は非常に難しい問題です。法律でもは、OECDの定義を参考にすることが多いですが、これは回帰分析など、基本的な分析機能を持つものすべてがAIとみなされる広い定義です。現実的には、あまりに単純で透明性の高いシステムには法的義務は課されませんが、社内でAIを定義する際は、OECDの定義をベースに、適用する規制ごとに調整するのが良いでしょう。

司会(Joe)：IAPPでは、さまざまな分野のAI定義をまとめた「キーワード集」も作成していますので、ぜひ参考にしてください。

Evi(Credo AI)：EU AI法では、最近、AIを8つのカテゴリに分類するガイドラインが出ています。こうした具体的な指針も役立ちますね。

Anaysha(IBM)：IBMでも倫理委員会がAI技術についての見解を出しています。たとえば、基盤モデル（Foundation Models）やエージェンティックAIなどについて、公開資料として提供しています。業界団体やベンダー評価のガイドラインも参考になると思います。

質問者4：AIポリシーは作ったけれど、どうやって実行に移せばよいかわからない、という企業も多いと思います。ポリシーを実行に移す際の具体的なアクションを教えてください。

Anaysha(IBM)：IBMでは、AI倫理・ガバナンスに関する研修を全社員に必須化しています。役割に応じて、開発者向け、営業向けなど内容を分けています。さらに「エシックス・バイ・デザイン」というチェックリストを使い、AIユースケースごとに正しい開発プロセスを踏むようにしています。こうした文化づくりが、自然と実行を促します。

Evi(Credo AI)：ツールの活用も大切です。リスク分類やユースケース認識が簡単にできる仕組みを整えれば、現場メンバーでもスムーズに実行に移せます。 さらに、AIレジストリ作成やAIテスト、独立した評価の準備、第三者への対応も重要です。

Richard(IAPP)：レポートの中では、TELUS社の事例が参考になります。各部署にAIガバナンス担当を配置し、ブルーチーム（設計段階の確認）、レッドチーム（攻撃的テスト）、そして全社員が議論できるフォーラムを設けています。これにより、社員一人ひとりがAIガバナンスを理解し、実践できる環境を作っています。

質問者5：内部制限から具体的な技術コントロールへの落とし込みが難しいですが、IAPPでは今後、一応ガイドラインやベンチマークを提供していく予定はありますか？

司会(Joe)：はい、提供していきます。IAPPはコミュニティベースで運営されており、皆さんの知見を共有しながら成長してきました。これからもぜひ意見を寄せてください。なお、IAPPのAIガバナンストレーニングプログラムも拡大中です。法律だけでなく、フレームワークや実務的な知識もカバーしていますので、ぜひご活用ください。

Evi(Credo AI)：各国の規制要件に対応できる共通のコントロール政策を整備することが、企業には求められています。そうした観点でも、こうしたコミュニティは大切ですね。

司会(Joe)：では最後に、登壇者の皆さんから一言ずつお願いします。

Richard(IAPP)：AIガバナンスはイノベーションの推進にも役立ちます。そのポジティブな面を経営層にしっかり伝えていくことが大切です。

Evi(Credo AI)：「AHA!の瞬間を増やし、Oh dearの瞬間を減らす」。今後、AI導入をビジネスの確実な成果につなげるためには、ガバナンス構造が必要です。

Anaysha(IBM)：AIガバナンスにはツール活用が不可欠です。これからは「AIをAIでガバナンスする」時代です。エージェントがエージェントを監視する仕組みも、積極的に取り入れていきましょう。

以上

===

◆ 関連記事
[Vol.1]【対談】サム・アルトマン(OpenAI)ーAI時代のプライバシーと人類の未来：「人間らしさ」の証明とは？〈要約版〉
[Vol.2]【講演レポート】ローレンス・レッシグが語る「ビジネスモデルが法を超える」──規制の4要素とAI時代のプライバシーの再定義
[Vol.3]【講演レポート】AIガバナンスを組織にどう実装するか？←この記事
[Vol.4]《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史
[Vol.5] AI時代におけるイノベーションとコンプライアンスの両立
[Vol.6]経営層レベルにおけるデジタルガバナンスの構築と維持
[Vol.7]Click & Risk：AI時代の「広告」と「消費者プライバシー」の具体的対処法〈講演レポート〉
[Vol.8]AI for Humanity： 高品質なデータが人権を保障する
[Vol.9]AI採用に潜むリスクと対策〜いま、企業が直面する課題〜
[Vol.10]AI時代─人間らしさが武器になる〜米欧の規制動向とGoogleの取り組み〜←この記事
[Vol.11]実世界データでAIを鍛える〜ファインチューニングの現場とプライバシー対応の最前線〜

===

＜＜前へ：【講演レポート】ローレンス・レッシグが語る「ビジネスモデルが法を超える」──規制の4要素とAI時代のプライバシーの再定義

＞＞次へ：《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史

IAPP公式サイト：https://iapp.org/conference/global-privacy-summit/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP　#プライバシーガバナンス　#AIガバナンス　#EUAIACT　#EUAI法　#PIA　#プライバシー影響評価　#AIA　#アルゴリズムインパクトアセスメント