( EVENT REPORT )
AI時代におけるイノベーションとコンプライアンスの両立
PlayBook(社内ルール)
開発支援サービス
AI・パーソナルデータ利活用のルールをまとめ、現場の機動力を加速する。
Balancing Innovation and Compliance in the Era of AI
IAPP Global Privacy Summit 2025 現地レポート[Vol.5]
人工知能の進化に伴い、企業はイノベーションとプライバシー、セキュリティ、コンプライアンスのバランスを取る必要があります。グローバルなプライバシー規制の進化は、透明性と倫理的なAI導入を確保する企業への圧力を高めています。
本セッションでは、AIガバナンスのトレンド、プライバシー・バイ・デザイン、データ管理の課題について議論されました。業界のリーダーたちが、どのように急速に変化する市場環境の中で信頼とコンプライアンスを育みながらAIリスクに対処しているのか、共有されました。
◆ この記事でわかること
===
・コンプライアンスはどのようにAIイノベーションを促進できるか?
・AIを扱う際、最も重要なコンプライアンス上の留意点とは?
・規制遵守とAI推進の両立を図るために有効な実証された方法とは?
===
登壇者
Jamie Brown, Vice President of Global Advisory Services, Lighthouse
Christopher Calabrese, Senior Director, Global Privacy Policy, Microsoft
Amber Cordova, CIPP/E, CIPP/US, CIPM, FIP, AI, Privacy and Cybersecurity Counsel, Vistra Corp
Keely Rankin, Senior Director, Legal Affairs, T-Mobile
転載:IAPP Global Privacy Summit 2025
クリストファー・カラブリーズ(Christopher Calabrese) | マイクロソフトのグローバルプライバシーポリシー担当シニアディレクター。かつて民主主義・技術センターやACLUで新技術の責任ある活用を推進し、米国議会での証言や主要メディアへの出演も多数。ハーバード大学卒、ジョージタウン大学ロースクール修了。 |
ジェイミー・ブラウン(Jamie Brown) | Lighthouseのグローバルアドバイザリーサービス部門バイスプレジデント。元規制当局職員・法律事務所パートナー・企業内弁護士として、20年以上にわたり情報法、クロスボーダー調査、訴訟対応、データ保護を専門に活躍。規制対応やデジタル変革支援にも強みを持つ。 |
アンバー・コルドバ(Amber Cordova) | Vistra CorpのAI・プライバシー・サイバーセキュリティ担当カウンセル。 |
キーリー・ランキン(Keely Rankin) | T-Mobileのリーガルアフェアーズ シニアディレクター。全社的なAIガバナンスやリスク評価を統括し、広告事業のプライバシー戦略やサイバーセキュリティにも携わる。実用的かつ革新的なデータ活用・AI戦略構築に情熱を注いでいる。 |
AI開発を加速するAI監査とは
司会(Chris):AIコンプライアンスを考える際に重要なポイントは何でしょうか?また、コンプライアンスを守りながらAIを推進するための実践的な方法についても話していきたいと思います。
ここで言う「AI」は広義のものではなく、「生成AI」に焦点を当てます。生成AIとは、Copilotのように、テキスト・画像・音声・動画などを作成できるAIで、既存データからパターンを学び、人間が作ったかのようなコンテンツを生成するものです。
まずは、データ収集・処理の観点から、AI活用におけるビジネス機会について少し考えてみたいと思います。企業は何を目指して、どのような製品やサービスを作ろうとしているのか。その未来をどう実現していくのか。では、最初の問いをJamieさん、お願いします。
Jamie:AIによるイノベーションに対して、ビジネスは非常に期待しています。ただし、法務やコンプライアンスの担当者は、しばしばブロッカー(障害)として見られがちですよね。でも、AIの進化はあまりにも速く、もはやその立場にとどまっていられない。だからこそ、私たちも技術を素早く理解し、イノベーションの一部となり、リスクを適切に管理・助言することが求められています。
AIツールの設計改善を進め、生成されるデータの種類、保持・削除のライフサイクル、モデルがアクセスするデータをしっかり把握することが大切です。イノベーションは進めつつ、リスクにも適切に対応することが目標です。
司会(Chris):素晴らしいですね。ありがとうございます。
多様なユースケースとデータガバナンス
Amber:AIのユースケースは本当に多岐にわたります。当社でも95以上のユースケースが存在します。たとえば、カスタマーサービスでの活用、消費者行動の予測モデルなど。ここで大切なのは、どのデータが使われ、どのようなリスクがあるかを理解することです。特に、機密情報や規制対象のデータが含まれている場合、その管理が重要になります。
私たちは核発電所関連のプロジェクトもあり、そこでは生成AIをクラウドに置くわけにはいきません。国家安全保障に関わる問題ですから。だからこそ、法務・コンプライアンス部門がその橋渡し役となり、最適なアイデアが実現できるようにしています。
AI活用の進化とコンプライアンス課題の拡大
Keely:今、多くの企業でAIツールがバックオフィスの効率化に使われていますよね。メール作成支援などが典型的ですが、今後はさらに複雑な用途に拡がっていきます。そうなると、当然ながら法務・コンプライアンスの課題も増していく。特に、AIは高品質かつ多様なデータを必要とします。しかし、重要なのは「データの量」ではなく「質」です。
また、今使われている多くのモデルは、RAG(Retrieval-Augmented Generation)という、自社環境内でデータを活用する仕組みを取っています。私たちは直接AIを訓練しているわけではないですが、それでも古いデータを削除するなどの取り組みが、AIの精度向上やコンプライアンス対応につながっています。
コンプライアンスの具体的な課題
司会(Chris):では、ここからは具体的なコンプライアンス課題について掘り下げていきましょう。まずはAmberさんから、実際に現場で見られる課題を教えてもらえますか?
Amber:ビジネスはスピード感を求めていますよね。「AIで素晴らしい成果を出す」と宣言していたりするので、すぐに製品導入に走ってしまう。私たちが重要視しているのは、誰がどのデータにアクセスできるのかという点です。AIツールは、いわば「強化された検索機能」を持っています。そのため、しっかりとしたデータガバナンスが不可欠です。
プライバシー影響評価(PIA)を実施している企業は多いですが、AIを取り入れるなら、さらに一歩進んだテストや評価が必要です。実際、プライバシーコンプライアンスを正しく行えば、全体のリスクの80%は対応できると考えています。AIがどんなデータを使い、誰(第三者を含め)が関わるのか、しっかり把握することが重要です。
法規制とAIコンプライアンスのこれから
Keely:現在の規制は、選挙やなりすまし、高リスクAIの利用(採用決定など)に重点が置かれています。そのため、今のところ私たちが直面しているコンプライアンス課題は、これまでと変わらず「プライバシー」と「セキュリティ」に集中しています。
AIに特化した追加の考慮点もありますが、既存のプライバシー影響評価などの仕組みを活用して、AIリスク評価を組み込むことができます。将来的に規制がどのように変わっていくかは不透明ですが、今のうちに負担の少ない対策を講じておくことで、変化に柔軟に対応できます。
例えば、カリフォルニア州の法案「SB 1047(フロンティアAIモデルの安全とセキュアなイノベーション法)」では、AI開発者に高い責任を課す動きもあります。こうした高額な罰則が課されると、AI開発そのものが萎縮する懸念もあります。
変化する環境下でのガバナンス強化
Jamie:これまで情報ガバナンスは重要視されてきましたが、生成AIによってその重要性がさらに高まっています。問題は、AIの導入があまりにも速いため、法務やコンプライアンス部門が従来のペースでリスク評価を行えないことです。もはや「数カ月かけてじっくり評価する」時間はなく、ビジネスが進むスピードに合わせて動かざるを得ません。
たとえば、Microsoft Copilotでは、プロンプトや応答などのデータがユーザーのメールボックスに保存されています。これは訴訟時の情報開示の対象にもなり得るものです。こうしたデータが7年間保存される設定になっていた企業もあり、リスクを認識した企業が短期間の保存設定へと変更する動きもありました。
このように、どのデータがどこに保存され、どのように管理されているかを把握することが、今後ますます重要になります。
組織構造とツール:効果的なガバナンスを支える仕組み
司会(Chris):課題が整理できたところで、次はそれに対処するための組織構造やツールについて話していきましょう。Keelyさん、お願いします。
Keely:大切なのは、既存のプロセスにAIチェックを組み込むことです。たとえば、サードパーティリスク管理やPIA、サイバーセキュリティレビューなどの既存の仕組みにAIリスク評価を追加する形です。新たな承認フローを作ると、ビジネス部門は敬遠しがちなので、既存のプロセスに自然に組み込むことが効果的です。
また、法務が中心となって、各部門を横断するAIガバナンス体制を作ることも大事です。誰がどのAIを使っているかを全社的に把握し、一貫性を保つ仕組みが必要です。そして何より、社内の信頼関係を築くこと。関係性ができていれば、最初から関わることができ、リスクを未然に防ぐことができます。
Jamie:私もガバナンス体制の重要性には同意します。技術的な観点、法的な観点、利害関係者の整合性を評価することが必要です。しかし、AIの導入は非常に速いため、従来のプロセスでは追いつかないことが多い。特に新しい機能がどんどん追加される現状では、それをいち早く把握して、リスクを評価・対応する柔軟性が求められています。
社内ステークホルダーへの説得方法
司会(Chris):ビジネス部門の利害関係者に対して、AIリスク管理の必要性を、どのように説明したら良いでしょうか?
Jamie:最近は、データ漏洩や情報保護のリスクに対する理解が深まっているので、そこを起点に話します。特に、企業向けツールであれば、アクセス権限の設定をどうするかなど、具体策を示すと納得してもらいやすいです。さらに、訴訟リスクも伝えています。生成AIによって生成されるデータが訴訟に影響する可能性があるため、その取り扱いは慎重に行う必要があります。
Amber:私はランサムウェアの脅威を例に出すことが多いです。攻撃を受けたとき、復旧に何日かかるのか、ビジネスへの影響はどれほどか、といった具体的な問いかけが響きます。また、情報ガバナンスはコストではなく「将来の損失を防ぐための投資」であることも強調します。
Keely:私はプライバシーがいかに顧客体験に直結するかを話します。多くのクライアントは顧客満足度を重視しているので、「プライバシー対策が顧客の信頼につながる」と伝えることで、前向きに取り組んでもらえます。また、サードパーティベンダーを評価する際にも、AI特有のリスクまでしっかり確認することが重要です。
転載:IAPP Global Privacy Summit 2025
ユースケース紹介と今後の展望
司会(Chris):具体的なユースケースについて、それぞれ印象に残っているものを共有してください。
Keely:私はカスタマーデータを扱うプロジェクトに注目しています。AIで顧客体験を向上させる一方で、プライバシー保護もしっかり行うバランスが重要です。今後、AIによる採用判断やe-Discovery(電子情報開示)の分野でも、さらに多くの機会と課題が出てくるでしょう。
Amber:私はデータマッピングの重要性を強調します。どのデータがどこにあり、どう使われているのかを把握することが、AI活用とリスク管理の基盤になります。多くの人はデータマッピングを避けたがりますが、最も効果的なリスク対策だと思います。
Jamie:e-Discovery関連で、AI機能がどのデータを生成しているのか、その保存や取得がどうなっているかを把握することが大切です。特に、頻繁にアクセスされるデータソースについては、早めに戦略を立てておくべきです。
司会(Chris):最後に一言ずつ、メッセージをお願いします。
Jamie:訴訟や情報開示に備え、自社の技術活用について「自分たちの物語」をしっかり作り、主体的に伝えていくことが大切です。
Amber:ベンダーに対しては、GDPRのおかげで多くの資料が整備されています。それを活用し、契約時に必要な情報を引き出しましょう。
Keely:コンプライアンスを「簡単にする」ことが重要です。各部門に合わせたシンプルなガイドラインを用意し、自然に組み込んでいきましょう。
以上
===
◆ 関連記事
[Vol.1]【対談】サム・アルトマン(OpenAI)ーAI時代のプライバシーと人類の未来:「人間らしさ」の証明とは?〈要約版〉
[Vol.2]【講演レポート】ローレンス・レッシグが語る「ビジネスモデルが法を超える」──規制の4要素とAI時代のプライバシーの再定義
[Vol.3]【講演レポート】AIガバナンスを組織にどう実装するか?
[Vol.4]《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史
[Vol.5] AI時代におけるイノベーションとコンプライアンスの両立←この記事
[Vol.6]経営層レベルにおけるデジタルガバナンスの構築と維持
[Vol.7]Click & Risk:AI時代の「広告」と「消費者プライバシー」の具体的対処法〈講演レポート〉
[Vol.8]AI for Humanity: 高品質なデータが人権を保障する
[Vol.9]AI採用に潜むリスクと対策〜いま、企業が直面する課題〜
[Vol.10]AI時代─人間らしさが武器になる〜米欧の規制動向とGoogleの取り組み〜←この記事
[Vol.11]実世界データでAIを鍛える〜ファインチューニングの現場とプライバシー対応の最前線〜
===
<<前へ:《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史
>>次へ:経営層レベルにおけるデジタルガバナンスの構築と維持
===
IAPP公式サイト:https://iapp.org/conference/global-privacy-summit/
#AIガバナンス #AI利活用 #プライバシー #IAPP #コンプライアンス #AI監査 #生成AI #RAG #データガバナンス #プライバシー影響評価 #PIA #情報ガバナンス #AIリスク管理 #データマッピング #GDPR #e-Discovery #イノベーション
お問い合わせ・資料ダウンロード
人手不足のガバナンス業務をAIで自動化する。
プライバシーテックは、人手不足のガバナンス業務をAIで自動化します。最新のデータ利活用時におけるプライバシー保護技術に関して、資料ダウンロードも可能です。是非ご覧ください。
過去の支援実績
支援実績
最新資料
PrivacyTech GRoW-VA
散在する情報を、複利を育むIntelligenceに変え、AI・データガバナンスの実行を支援・自動化。AIとデータガバナンス領域の専門性を深いレベルで統合し、顧客ごとにカスタマイズされた出力をスピーディーに実現できるプラットフォームです。
PlayBook開発支援サービス
AI・データ活用の原理原則・ルールをまとめた、PlayBook(プレイブック)は急速に進化する技術を乗りこなしていくため、現場の従業員が課題を発見し、対策を導くための手順・戦略・ノウハウをまとめた指南書です。
PIAとはなにか? (策定と運用)
Privacy Impact Assessment (Data Protection Impact Assessment)プライバシー影響評価(データ保護影響評価)に関する概要説明、及びプライバシーへの配慮を前提とした開発モデル「プライバシー・バイ・デザイン(PbD)」について記載しております。
プライバシーポリシー改定の進め方
AIや3rdParty、Cookieレスへの対応など、従来の個人情報管理だけではない、利用者への説明責任や選択機会の提供の対応が求められています。そういった環境変化に対応するための戦略的プライバシーポリシー改定の方法を記載しております。
プライバシーセンター新規開設の進め方
Webサイトやアプリのアクセス時に突如出現する「同意取得バナー」や、難解で大量の文字で埋め尽くされた規約で、生活者(ユーザー)から同意取得をすればよいという対応は、既に形骸化しており、もはや時代にそぐわないものになっています。生活者との信頼の醸成に繋がるプライバシーの同意取得の方法・考え方を記載しております。
改正電気通信事業法 外部送信規律の対応事例
2023年6月16日から改正電気通信事業法が施行されることになり、「外部送信規律」が新たに追加されました。これは、インターネットでビジネスを展開する際、利用者に対して、透明性を高めることを義務化する法律です。この対応を怠ると、行政指導や業務改善命令、従わない場合は200万円以下の罰金が課されるため、他社事例を元にこの規律を学んでいただける資料を作成しております。
関連記事
【音声あり】実世界データでAIを磨き込む〜ファインチューニングの現場とプライバシー対応の最前線〜
【音声あり】AI時代─人間らしさが武器になる〜米欧の規制動向とGoogleの取り組み〜
【音声あり】AI採用に潜むリスクと対策〜いま、企業が直面する課題〜
【音声あり】AI for Humanity: データ品質向上が人権保護に〜マスターカードとトルコ難民データの事例から〜
経営層レベルにおけるデジタルガバナンスの構築と維持
【音声あり】Click & Risk:AI時代の「広告」と「消費者プライバシー」の具体的対処法〈講演レポート〉
《米中AI覇権争いの真実》大国の興亡と汎用技術拡散の歴史
【音声あり】AIガバナンスを組織にどう実装するか?〈講演レポート〉
【講演レポート】ローレンス・レッシグが語る「ビジネスモデルが法を超える」──規制の4要素とAI時代のプライバシーの再定義