AIガバナンスを構築する9ステップ〜 IBM･GEのプライバシー責任者が語るAI倫理を組織に導入した方法

If We Did It, So Can You: How Three Chief Privacy Officers Stood Up AI Ethics
IAPP Global Privacy Summit 2024 現地レポート[Vol.7]
公開：2024/04/24　執筆：株式会社プライバシーテック

世界中のプライバシー専門家が集う国際会議「IAPP Global Privacy Summit 2024」が、2024年4月1日〜4日の日程で、東京よりも一足早く桜が満開を迎えた米国ワシントンD.C.で開催されました。株式会社プライバシーテックは2年ぶりに現地参加。多くのセッションの中から選りすぐりのスピーチ・セッションの内容をお届けします。

◆ この記事でわかること
・IBMやGEなどで実際にAIガバナンスの構築を推進してきた人の経験に基づく、AIガバナンス構築の9ステップ
・経営者や現場の巻き込み方、AI倫理原則の策定方法、予算の取り方、利用状況の可視化、レビュープロセスの構築、従業員教育など、具体的な方法や、実行の際の要所

登壇者

Patrice Ettinger, CIPP/US, IAPP Emeritus
Lara Liss, CIPP/US, Chief Privacy and Data Trust Officer, GE HealthCare
Christina Montgomery, Vice President, Chief Privacy and Trust Officer, IBM

転載：IAPP Global Privacy Summit 2024

概要

本講演では、人工知能倫理プログラム（Artificial Intelligence Ethical Program）をどのようなステップを踏んで構築していくべきかについて議論が展開された。トピックには、AIの利用状況管理（Inventory）と可視化（Mapping）との重要性、倫理的AI活用のための組織原則を策定する際のステークホルダーとの調整方法、公平性・説明可能性・信頼性を評価するためのさまざまな手法などが含まれている。
また、人工知能の倫理プログラムを組織に取り入れていくための、経営陣から賛同を得る方法や資金調達の方法、AIに関する組織の基礎知識を強化する方法、従業員にとって適切で利用しやすいAIトレーニング教材を開発するためのヒントについても解説された。

先進的なAI活用と裏腹にあるリスク・失敗事例

ヘルスケア領域をはじめさまざなな分野においてエキサイティングなAIの使用例が多数出てきている。その裏腹に、AI活用によるリスクや失敗例が表面化している。

AIガバナンスを企業に実装する9ステップ

AI技術活用に伴うガバナンス（倫理とリスク管理のプロセスの開発・導入を進めるにあたって、重要なステップが9つに分けられる。

1.  "Why "を明確にする

AI技術は、倫理的かつ責任を持って使用されるのであれば、医療分野に限らず、普遍的な均衡を保つ装置となり得る存在だと言える。

想定される活用事例としては、以下のようなケースがある。
・医療システム同士の連携、
・より迅速で正確な意思決定プロセスへの活用、
・効率性の向上やコスト削減への活用、等

2. 社内のステークホルダーを巻き込む

社内においてAIガバナンスの重要性を説いていくにあたって、（単に抽象度の高い危機意識やリスクを発するだけでなく）新しい法的要件への対応が必要で、ビジネス継続の観点においても重要なテーマである、と切り出すことが、すぐに重要性を認識してもらう鍵である。また、AI活用によって生じるリスクを、現実で起きていることと結びつけて説明することにより、より多くのステークホルダーの危機意識を喚起し、耳を傾けてもらいやすくなる。

AI CoE（センター・オブ・エクセレンス）*組織がある場合、この組織との連携も推奨される。

*AI CoE（AI Center of Excellence）とは AIに特化した技術知見の蓄積や専門人材の育成を行う社内部門のこと。組織横断で組成することで、既存組織とのAI知見の連携を有機的に図り、顧客価値向上を促進する狙いがある。

（参考）
IBM Consulting / AIエキスパートを擁するCenter of Excellence for generative AIを設立
Panasonic / グループ全体でAIガバナンスを担うCoEを設立
NTTデータ　/ AI技術のグローバル集約拠点、AI CoEを新たに設立（2019年）

3. 組織横断的なAIガバナンス委員会の設立

IBMのAIガバナンスの運営委員会を例に挙げると、最高プライバシー責任者、AI倫理委員会、研究部門のグローバル責任者・各地域の代表、事業部門の代表、製品チーム、社内のAIユーザー、人事部門の代表、CIO（最高情報責任者）、データ部門の代表で構成されている。

＜IBMの運営委員会の構成メンバー＞
・ 最高プライバシー責任者
・ AI倫理委員会
・ 研究部門の責任者（グローバル・各地域）
・ 事業部門の代表
・ 製品チーム
・ 社内のAIユーザー
・ 人事部門の代表
・ CIO（最高情報責任者）
・ データ部門の代表

たとえば、EUのAI Actは、AI技術を用いて開発された製品に対して、品質基準を定めている。しかし、その基準が「それが何を意味しているのか」という点は解釈が難しい点が多い。

実際の製品に対してどのように評価し、どのような対策を講ずるべきかを判断するためには、社内に閉じて検討するだけでは不十分である。特にグローバルで展開することを前提としている場合は、政策チームを立ち上げてグローバルな規制を見渡し、各地域の規制当局と協調していくことが非常に重要である。

また、段階によって誰がリーダーシップを取ることが適切なのか変わる可能性がある点も考慮しておくと良い。AI活用はは、いわば、チームスポーツであり、その取り扱いにはさまざまなスキルを持つ多くの人々の協力が必要不可欠である。

当然、プライバシー保護担当者だけがリーダーの役割を担うのではなく、データ・サイエンス・チームの誰か、あるいはAIチームの誰かを共同リーダーに任命することも推奨される。

組織内で、AI開発の目標を共有し、（推進とガバナンスの両方を）一緒に取り組む意識を醸成することが重要である。たとえば、経営幹部に（開発組織の責任者とガバナンス組織の責任者が）共同リーダーであることを表明し、AI開発推進に関わる重要な会議には常に両者が出席し、経営幹部に対して話をする機会を設けることも重要である。

このような日々の取り組みを積み重ねていくことで、AIガバナンスが、プライバシー保護部門だけの仕事ではなく、AI開発組織にとっても重要な仕事であると認識をしてもらうことができるようになる。

4. AI倫理原則の策定

AI倫理原則の策定にあたっては、規制当局が重視する枠組み（フレームワークやガイドラインなど）に準拠することが重要となる。ただし、これらの枠組みは地域によっても異なり、変化しやすいため、各地域の規制当局の動きを見ながら、何を取りれていくかを見極める必要がある。

たとえば、米国議会は、米国立標準技術研究所（NIST: National Institute of Standards and Technology）のAIリスクマネジメントフレームワーク（AI RMF）*の設立を明確に要求しているが、これが唯一の指標というわけではない。今や誰もがEUのAI Act**に注目しており（脚注：本セッションの3週間前の2024年3月13日に可決された）、自社のプログラムがこれらの要件をすべてカバーしていることを確認しようとしている。

＜参考＞
日本語による解説情報はこちらが参考になります
*AI RMF：NIST「AIリスクマネジメントフレームワーク（AI RMF）」の解説（pwc)
 **EU AI Act：欧州のAI法規制の現状と日本企業への影響（EY）

企業が策定するAI倫理原則はそれぞれの組織固有のものであり、業界によって目標や焦点を置くポイントが異なる。一方で、プライバシー・コミュニティでは情報を頻繁に共有し合うという特徴がある。つまり、同業他社で採用している原則はどのような位置付けなのか等を聞き、参考にすることで自社が見落としている点がないかどうか、確認することができる。

留意すべきことは、この原則は設定したら終わり、というものではない点である。新たな法律の施行や、規制当局の新たな強制措置が続いていることからも、定期的な見直しや内容の確認が求められる。また、「AIは人間の意思決定に取って変わるものではない」という原理原則に基づいてガバナンスプログラムを構築していくことも重要である。あらゆるものにAIを導入する必要はない。

倫理原則に企業の価値観（ビジョンやミッション、パーパスなど）を反映させたうえで、どこにAI技術を活用するのかを一貫性をもって判断することが重要である。

5. ヒト・モノ・カネの調達

AIガバナンスを構築するために、ヒト・モノ・カネのリソースをどのように調達するか？またその合理性をどのように経営や株主に対して説明すればよいのか？

言うまでもなく、企業にとってブランドを守ることは重要である。そしてブランドを守るためには、信頼と責任ある技術力が重要である。

現状、プライバシー分野において投資収益率を測定することは難しく、その研究は進められており近い将来に研究結果の発表が期待されるところではあるが、現在においても、その重要性や意義を説明する方法はいくつかある。

たとえば、CPO（Chief Privacy Officer: 最高プライバシー責任者）は少なくとも1年に1回以上、進捗報告を経営に報告するために、プロジェクトを管理し分析・振り返りを行う等、負担が大きい。しかし、この報告機会を利用するのも有効な説明方法の一つである。作成したレポートを示しながら現状の進捗や業務のプロセスを再現し、その成果を監査委員会に示すことによって、ゴールを達成するためにリソース（資金提供や人材配置等）が必要であると明確に伝えることができる。

他方、取締役会がまだガバナンス構築のプロジェクトに深く関与していない場合は、新しい法律や倫理基準がビジネスにとってどれだけ重要であるかを説明し、納得してもらうことが効果的である。幹部たちにとって、共通認識化されていないリスクや対策案は、最も関心のあるテーマのひとつであると考えられるためである。

＜オフサイクル・ファンディングなしでの資金調達＞

社内にオフサイクル・ファンディング（年初に策定している予算計画以外の支出を執行する）のオプションがない限り、新規プロジェクトの資金調達には通常少なくとも18ヶ月かかることがほとんどである。

この場合、予算を査定し、組織内のどの部門が収益を牽引しているのか、どの部門がより大きな予算を持っているのか、そして、他のプロジェクトで余剰資金が出た際に、その資金を活用できる可能性が最も高いのは誰なのか、を見極めることが推奨される。

具体例として、IT部門が確保している余分な資金を回してもらえる可能性が挙げられる。組織の構造にはよるものの、多くの企業においてAIに関する業務の一部がIT部門でも行われていることがあるためである。

一方で、セキュリティの観点からのアプローチも可能である。情報セキュリティ部門の最高責任者がいれば、後援者となってくれる可能性が高い。他にも、協力体制にある他社がすでに機械学習AIに関するマーケティングプロジェクトを行っている可能性も高く、資金調達だけでなくプロジェクトに関する協力を得られる場合もある。

6. 社内におけるAI利用状況の可視化（3層モデルの活用）

社内のどこで、どのようなAIが、どのような目的で、どのように利用されているかを把握することは、とても骨の折れる作業である。そのため、それぞれのAI利用ケースを、リスクに応じて分類し、整理された情報の価値を高めることが重要である。規制当局の監査も、ハイリスクとみなされるAIモデルから開始されることが多いため、効率的にガバナンスを行う上では、合理的な整理である。

たとえば、それぞれのAI利用ケースを、成熟度・目的・組織内でのアクセシビリティに基づいて、以下の3つの階層に分類することができる。

【第1階層】
社内のAI部門やデータ部門で開発し、社外においても汎用的に展開されることを目的とした、企業独自のAIモデル。また、規制当局やEUのAI Actにおいてもハイリスクと認定される分野（雇用、医療、金融、住宅）のモデル。

【第2階層】
様々なビジネスチームやアナリティクスチームによって社内で開発された独自のAIモデル。社内利用など限定的な利用が目的で、一元的に生産または展開されることはない。

【第3階層】
他社から調達し導入したサードパーティ製のモデル。単独で、またはAIモデルへのインプットとして使用する。

業界によって抱えるリスクは異なることを念頭に置き、何をAIを使った利用ケースとするか？ということをどのように定義するかも考えなければならない。あまりに、包括的にまとめようとし過ぎると、対象となる利用ケース・ソフトウェア等が増え、整理しなければならない情報が膨大になってしまう点も注意したい。

また、AIの利用ケースを定義する際、さまざまな角度から考えることで適切な解を導いていくという観点から、多部門にまたがる横断組織（横断プロジェクト）を活用すべきである。膨大かつ難解なテーマへの取り組みを、プライバシー保護を担当する部署や、新規に立ち上げたAIチームだけに任せるのは、業務量の観点からも推奨されない。

たとえば、プライバシー保護担当部門の場合、プライバシー影響評価（PIA: Privacy Impact Assessment）を完了する責任がある。パーソナルデータのすべての用途を一覧化し、パーソナルデータを扱うデータベースの所有者を紐付けて管理することである。

AIに関しても同様の管理方法が推奨される。それぞれのAIモデルに所有者を紐付け、個々に説明責任を課し、最終的な責任は事業部門と所有者に負わせる。誰か1人に任せるのではなく、このように、全社的に統合して管理することが推奨される。

このようなAIで収集されたメタデータ（脚注：収集された情報が何の情報であるのかをラベリングするデータ。たとえば、氏名・メールアドレス・広告識別子、といった名称でラベリングされる）を可視化する作業を行う際、TrustArcやOneTrustのような市場に出回っているプライバシー管理システムも活用できる。

PIAプロセスにアンケートを加えることができるモジュールも登場している。テンプレートが備えられているものもあるため、確認してみると良い。

またマッピングの際に重要となるのは、AIモデルが対処するビジネス上の問題が何であるかを、実際の目的を前提として把握しておくことである。どこでどのようにAIモデルが使用されるのか、ガバナンスのプロセスに組み込んでおくことは非常に重要である。　　

＜可視化する際に把握するメタデータ＞

7. レビュープロセスの策定

ガバナンスとは、方針を作成し、決定権を割り当て、リスクと投資決定に対する組織の説明責任を確保するプロセスである。そのため、AIガバナンスを組織的に行うことが重要である。

AIガバナンスには、モデル管理（ガバナンスの運用プロセスが適切に運用されていることの監視）も含まれているが、組織的な観点から言えば、原則や企業の価値観などに基づく、AI倫理指針を策定することである。AI倫理委員会のようなガバナンス組織がある場合、この組織の存在自体が倫理指針の重要な一部となり、組織の説明責任の一部ともなる。

NISTのリスクマネジメントのフレームワークは非常にシンプルでわかりやすく、多くの企業で幹部への説明時に役立てられているため、参考にしてみると良い。

ただし、自社で設けるフレームワークは単一で良いのか、それとも複数設ける必要があるのか、ステップ3（組織横断的なAIガバナンス委員会の設立）で設立した委員会で議論すべきである。

たとえば、製薬業界では、研究開発と製品の商品化は同じフレームワークで良いのか、という疑問があるが、これは企業によって答えが分かれている。個人情報保護管理責任者やAIチームが単独で決めてしまう前に、さまざまな視点からの意見を出し合う機会を設けることが、より良いフレームワークの実現に繋がっていく。

 ＜IBMのAI倫理ガバナンス＞

IBMでは、トップダウンとボトムアップ両方からアプローチできるガバナンスを構築している。トップに設けている副社長たちによる政策諮問委員会は、リスクをどこまで許容できるかを判断する存在であり、社内に問題提起を行う。

その下部に位置するAI倫理委員会は、プライバシー保護最高責任者やAI倫理グローバルリーダー等が中心的な役割を担う、中央集権的な意思決定機関である。この委員会の持つ責任の一つは、信頼されるAI文化を組織内に浸透させることである。信頼されるテクノロジーを開発し、責任ある方法でAIを使用することがIBM全社員の義務であることを示すため、従業員の誰もが意見を出せるような環境を作ることをミッションとしている。

そしてボトムアップのアプローチとして、最下層に設置しているのがIBMの事業部門である。これはAI倫理のフォーカルポイントであり、誰でもAI倫理の観点からプロジェクトに参加することができるような構造となっている。最終的には、人事、財務、調達部門などの担当者が、自分たちの業務において導入・使用するAIに責任を持つためでもある。

このようにトップダウンとボトムアップの両構造により、会社全体に説明責任を持たせることで、従業員一人ひとりが自分の責任を理解することを促進し、信頼されるAIの文化を浸透させる取り組みを行っている。

転載：AIの倫理とガバナンスIBMの取り組み（総務省）

8. ガバナンスを実行するツール（ソフトウェア）の開発･選択

原則を策定し、ガバナンスを確立した後は、実行に移す必要がある。AIが、人種・性別、その他、本来守られるべき属性などによって差別を生まないようにするために、多くの企業が、公正さに関する観点を盛り込んだAI倫理原則を公表している。そこで問題は、（倫理原則で表明される企業のスタンスではなく）、実際のAIの挙動が、差別的でなく、公正であるかを、どのように技術的に立証するか、ということになる。

一つの方法として、AIを提供するベンダーの展示会などを訪れて、どのような技術が提供されているのかを実際のツール（ソフトウェア）に触れることが推奨される。自社の環境と互換性があり、トライアルまたは契約してみたいと思うツールを見つけることができるかもしれない。

また、予算上、一度に完成された仕組み導入することができなくても、段階的に投資を行っていく方法もある。段階的に投資する際には、局所的な解決策を検討するのではなく、一度、全体像を把握しておく必要がある。

これは、家を建てることに例えてみるとわかりやすい。もし公平を評価する部屋と説明可能な部屋、どちらも必要だけれど、どちらか一方の部屋を建設する資金しか得られない場合、多くの企業はまず公平性の部屋を建設し、それから説明可能性（Explainability）の部屋の建設に移ることになる。そうしているうちに、家全体の青写真が見えてくる。

一度全体像を把握しておくことで、それぞれの解決策との相関を、ある程度のまとまりを持たせることができるし、規模の経済性を高めることもできる。とりあえず一つの部屋を作り、総合的な家全体の計画を考えずに別の部屋を作ることは避けるべきである。

9. 従業員教育と啓発

ガバナンスを実現するプロセスが整ったら、そのプロセスに関与するひとたちに、参加してもらう必要がある。つまり、AIにおける公平性がなぜ必要なのか？公平とはどういうことなのか？といったことや、実際に運用していくためのツールの使い方を説明しなければならない。組織内に開発者がいる場合は、トレーニング資料を作成してもらう必要がある。

ステップ3（組織横断的なAIガバナンス委員会の設立）で設立した委員会が主導し、外部講師を招き、従業員の興味を引くトピックについて講義を開いてもらうことも推奨できる。企業全体で定期的にトレーニングを実施することは、従業員の意識を高める観点からも非常に効果的である。

以上

※本記事はプライバシーテック（ウンリュエル愛友美）が翻訳、編集しています。

当社では、今回のカンファレンスの詳細版レポートと勉強会を有償（10万円〜）にて提供しています。ご関心がございましたら問い合わせフォームよりご連絡くださいませ。

◆ 関連記事
[Vol.1]IAPP Global Privacy Summit 2024 とは？
[Vol.2]米･欧･中が競合する、世界のテクノロジー規制 (Opening Session)
[Vol.3]医療技術とマーケティングにおける新たなベストプラクティス： 潮目の変化
[Vol.4]アジア各国におけるプライバシー規制の違いとは
[Vol.5]技術的プライバシーレビューのプロセスを解明
[Vol.6]PETs： プライバシー保護技術の発展を促進するには？国家戦略と規制当局の視点
[Vol.7]AIガバナンスを構築する9ステップ〜 IBM･GEのプライバシー責任者が語るAI倫理を組織に導入した方法 ←この記事

===

＞＞次へ：[Vol.8] ユーザー体験と安心安全のバランス〜 Tinder･Uber･AirBnB、リアルサービスのプライバシー保護の取り組み

＜＜前へ：[Vol.6]PETs： プライバシー保護技術の発展を促進するには？国家戦略と規制当局の視点

IAPP公式サイト：https://iapp.org/about/

#AIガバナンス　#AI利活用　#プライバシー　＃IAPP