AIガバナンス：信頼とデータプライバシーの保護

AIは、業務効率を高め、タスクを自動化し、新たな機会を創出することで、ほぼすべての業界に影響を与え続けています。しかし、大きな力には大きな責任が伴います。規制が厳格化し続ける中、企業は強固なAIガバナンスプログラムを確立することで、一歩先を行くことが不可欠です。ヨーロッパのAI法からアメリカの連邦および州の法案に至るまで、新たな法規制に共通するのは、AIの責任ある倫理的な利用を保証するためのAIガバナンスプログラムを確立する必要があることです。明確なガイドライン、ポリシー、監視メカニズムを導入することで、利害関係者との信頼を醸成しながら、バイアス、プライバシー侵害、意図せざる結果に関連するリスクを軽減することができます。今回は、包括的なAIガバナンスプログラムを確立する際の重要なステップと考慮事項について詳しく説明します。

関連記事：Box AIベータ版の提供を開始 ～ コンテンツからより多くの価値を得る 

基本原則と法的義務の確認

AIガバナンスの取り組みに着手する前に、適用されるAIの基本原則だけでなく、企業の法的義務と規制上の義務を確認することが極めて重要です。これには、アメリカ国立標準技術研究所（NIST）のAIリスクマネジメントフレームワーク（AI RMF）、プレイブック、および基礎となるロードマップのレビューが有効です。AI RMFはリスクベースのアプローチを適用しており、企業はそれぞれの役割、想定される用途、規模、複雑さに基づいてフレームワークを適用する必要があります。そうすることで、AI RMFで開発および製品のAIライフサイクル全体を追跡できます。AI RMFは、企業が持続可能なAIガバナンスプログラムを確立する際に活用できる優れたリソースです。AI RMFで強調されている最初のステップはガバナンスの確立です。これは3つの重要なアクションに基づいてポリシー、プロセス、手順を作成することを意味します。

• その1：マップ（Map）。そもそもなぜAIを使うのかを考える必要があります。目的は？誰が使うのか？どのような法律に従う必要があるのか？AIに何を期待しているのか？AIシステムを導入する場所についても考える必要があります。
• その2：測定（Measure）。これには、AIシステムに関連するリスクを測定するための指標の開発と、現在の管理がそれらのリスク対してどの程度効果的であるかを評価することが含まれます。必要に応じてアップデートできるように、評価は定期的に実施する必要があります。
• その3：管理（Manage）。目的／期待／設定のマッピング（Map）と効果測定（Measure）の両方から、特定されたリスクに優先順位をつけ、それらに迅速に対応し、全体として効果的に管理する必要があります。

ユースケースの定義と明確な目標の設定

さらに考慮すべき重要な点は、AIのユースケースです。データのタグ付けに利用するのか？個人情報の特定に利用するのか？膨大な非構造化データの宝庫からインサイトを導き出すために利用するのか？それとも、従業員の健康状態や福利厚生、ローン申請、雇用に関する決定を自動的に行うために利用するのか？AIのユースケースによって、追加要件や法的義務が発生するかどうかが決まります。

効果的なAIガバナンスプログラムの開発には、明確な目標とAIユースケースの把握が重要です。明確な目標を持つことで、組織にとってAIガバナンスのどの側面が最も重要であるかを優先順位付けすることができ、最終的には最も影響を与える領域にリソースを集中させることができます。つまり、AIガバナンスプログラムが意図した目標を達成しているかどうか、途中で調整が必要かどうかを評価する根拠となります。

部門を超えた多様なチームの編成

AIガバナンスは一部門の責任ではありません。部門を超えたコラボレーションと多様な利害関係者の意見が必要です。なぜこれが重要なのでしょうか？各部門が独自の知識とスキルを持ち寄るからです。データプライバシーに精通した法務部門は、規制への準拠を評価し、潜在的な法的リスクから保護することができます。信頼とコンプライアンスの担当者は、業界標準と倫理原則を遵守するためのガイドラインを確立することができます。ITとセキュリティの専門部署は、AIシステムを安全に実装するために必要な技術的な専門知識を備えています。データサイエンティストとシステムエンジニアは、複雑なアルゴリズムとモデルを理解するための分析能力を発揮することができます。組織全体のさまざまな部署から多様な人材が参加することで、急速に変化する規制環境に迅速に対応する際に妨げとなる部署間の壁を取り払い、技術の進歩に合わせて容易にアップデートできる適応性の高いAIガバナンスプログラムを開発することができます。AIに関連する意思決定がどのように行われるのか、社内外にどのような方針を示す必要があるのかについて、組織全体の透明性を高めることもできます。この組織横断のチームにより、効果的なAIガバナンスプログラムを開発することができます。

関連記事：コンテンツの一元管理がプライバシー保護に重要な理由

AIガバナンスポリシーとガイドラインの策定

業務でのAI利用を効果的に管理するには、包括的なAIガバナンスポリシーとガイドラインを作成することが極めて重要です。AIシステムを自社で開発する場合でも、サードパーティのAIサービスを利用する場合でも、従業員がしたがうべき明確なポリシーを設定します。AIポリシーとガイドラインを策定する際には、以下のような重要な要素を含めることを検討します。

• データプライバシーとセキュリティ： 個人情報および機密情報の取り扱い方法を定義します。AI利用に適用する具体的なプライバシーとセキュリティ制御を定義します。サードパーティのAIサービスを利用する場合は、そのプロバイダーが提供するプライバシーとセキュリティの認証を考慮します。
• 倫理的ガイドライン：AIアプリケーションが責任を持って使用され、バイアスがかからないようにするための原則を確立します。
• コンプライアンス：関連する業界の規制や基準を確実に遵守します。
• 透明性：AIモデルによって行われた決定をユーザーにどのように説明できるかを明確にします。サードパーティのAIサービスを利用する場合は、そのプロバイダーが自社のコンテンツをAIモデルのトレーニングに使用するかどうかを確認し、使用される場合は同意を取り消します。
• 説明責任：AIガバナンスの役割と責任を明確にします。

AIポリシーを組織全体にどのように伝えるかを考えることも重要です。電子メール、イントラネットのポータルサイト、トレーニングなど、ポリシーを浸透させるためにさまざまなチャネルを活用することを検討します。従業員がポリシーについて気軽に質問したり、必要に応じてさらなるガイダンスを求めたりできるような、オープンな社風を作ることも重要です。コミュニケーション活動を支援してくれるキーとなるリーダーを見つけてください。リーダーからAIポリシーを伝えることで、これらの方針が組織にとっていかに重要であるかを従業員に理解させることができます。情報の取り方は個々人で異なるので、複数のチャネルを使ってすべての従業員に情報が届くようにしましょう。

まとめ

AIの影響力が業界全体で拡大し続ける中、企業が強固なAIガバナンスプログラムの確立に積極的に取り組むことがますます重要になっています。明確なガイドライン、ポリシー、監視メカニズムを通じて組織のAI利用に取り組むことで、AIの導入に伴うリスクを効果的に軽減することができます。明確に定義されたAIガバナンスプログラムは、AIテクノロジーを開発・導入する際に倫理的配慮がなされていることを保証します。プロセス全体を通じて透明性と説明責任を維持することにも役立ちます。責任あるAIの実践に重点を置くことで、企業はマイナスの影響や意図せざる結果を最小限に抑えながら、AIの革新的なテクノロジーの可能性を最大限に活用することができます。

Boxでは、有意義なAIガバナンスプログラムを確立し、実装するための取り組みを行ってきました。詳しくは、「Box AIの原則」および「Box AI: Acceptable Use Policy & Guiding Principles」をお読みください。AIを取り巻く状況が変化し続ける中、Boxは、データプライバシー、セキュリティ、コンプライアンスを最高水準で満たすためのお客様の取り組みを引き続きサポートします。

※このブログはBox, Inc公式ブログ（https://blog.box.com/）2023年12月5日（日本時間12月6日）付投稿の翻訳です。
著者：LEAH PERRY, CHIEF PRIVACY OFFICER
原文リンク：https://blog.box.com/ai-governance-safeguarding-trust-and-data-privacy