生成 AI が流行する中、コンプライアンス計画にはどのような変化が見られるのでしょうか?

消費者のショッピング嗜好を予測したり、軍事上の意思決定を導いたり、金融犯罪に関する独自の洞察を提供したりと、AI ツールの新しい応用がほぼ毎日のように話題になっています。あらゆる規模の企業が、顧客へのサービス向上と業務効率向上のため、AI 機能の拡張と展開に取り組んでいます。

AI ツールの普及はビジネスにプラスの影響を与えますが、組織は特定のテクノロジーの実装に関連する潜在的なリスクも理解する必要があります。これらのリスクには、プライバシーや企業秘密への脅威、「幻覚」により大規模な言語モデルによって生成される誤った情報、複雑で大規模なサイバー攻撃や兵器化されたアプリケーションのために意図的に出力される誤った情報などが含まれます。さらに、AI ツールはトレーニング データの影響を受け、分析バイアスやモデルの歪みが発生し、不適切、不正確、または無効な応答を返す可能性があります。

これらの課題に直面した場合、最も直接的な解決策は当然ながら、コンプライアンスを厳格に実施することです。コンプライアンスは、特にデータのプライバシー/セキュリティに関連する潜在的な法的/規制上のリスクを特定して対処する上で、テクノロジーの効率性を確保するために重要です。 Zoomは以前、より多くのユーザーデータを収集する許可を得るために利用規約を改正しようとしたことがあり、たとえそれがAIモデルに適度な調整を加えるためだけのものであったとしても、このようなデータ収集行為は市場から厳しく批判される可能性があり、慎重に扱わなければならないことを認識させられました。

しかし、イノベーションと発明のペースは止まることなく、AI 分野の規制システムはまだ完全に確立されていないため、企業は AI ガバナンスとコンプライアンスのフレームワークの設計において依然として困難な課題に直面しています。欧州委員会は、AIの応用に関する初の法律となる欧州連合（EU）AI法案を提案した。 EUはリスクベースのガバナンスモデルの推進を先導し、将来のAI規制の先例を築いてきました。 EUは、AIシステムの種類に基づいて価値判断を行い、リスクに基づいて異なるレベルのコンプライアンス要件を設定すべきだと考えています。米国には現在、統一された規制の枠組みはないが、ニューヨークなどいくつかの州では、採用プロセスにおける AI ツールの使用方法を規制することを目指して規則の策定を始めている。多くのコンプライアンス チームが組織内での AI テクノロジーの実際の使用について包括的な理解を欠いていることを考えると、今後の規制によってコンプライアンス機能が調整される可能性があります。つまり、AI 技術の継続的な進歩に伴い、コンプライアンスの保証は必然的にその前提と基礎となり、世界を席巻する AI の波が常に倫理と法律に導かれることを保証することになります。

コンプライアンスと有効性を確保するために、コンプライアンス チームは、企業が AI アプリケーションの問題を解決するのに役立つ計画を策定する際に、常に次の 5 つの基本原則を念頭に置く必要があります。

1. 増大する課題に対処するために適切なコンプライアンスチームを設立する

コンプライアンス チームは多くの場合、多くの役割を担い、組織全体の専門家としての役割を果たす必要があります。他の部門から孤立することなく、組織構造全体に積極的に統合され、包括的な視点を維持するよう努める必要があります。特に、開発および実装する全体的な AI ポリシーが各部門の特定の現実に適合していることを確認する必要があります。つまり、コンプライアンス チームは多様性を重視し、AI ツールの潜在的な問題を共同で評価するために、技術的および非技術的なバックグラウンドを持つ専門家で構成されている必要があります。コンプライアンス チームには、ビジネス チームだけに頼るのではなく、AI モデルとテストについて適切な質問をするためのリソースも必要です。

2. ツールの在庫をきちんと管理する

コンプライアンス マネージャーは、社内ツールと顧客向けタスク処理ソリューションの両方を含む、会社全体で使用されている AI テクノロジーの明確なインベントリを持っている必要があります。従業員がどのツールを使用しているかを理解することによってのみ、コンプライアンス チームはこれらのテクノロジーがもたらす利点とリスクをより適切に評価できます。そのため、コンプライアンスチームにさまざまな事業部門のメンバーを導入する必要があります。可能であれば、コンプライアンス チームも組織全体のツール選択プロセスに関与する必要があります。特定のツールはプライバシー、データ、その他の保護ニーズを考慮して設計されている場合があり、コンプライアンス チームはそれらの保護が適切かつ効果的であるかどうかを評価するのに最適な立場にあります。

3. 強力かつ明確なポリシーを実施する

コンプライアンス チームは、社内の AI アプリケーションに対して一貫したポリシーが確立されていることを確認する必要があります。こうしたポリシーがなければ、やる気のある従業員は、業務の効率化に役立つ AI ツールを選択し、ビジネス上の秘密やコードを AI ビッグ言語モデルにさらしていることに気づかずに、直接使用してしまう可能性が高くなります。 Samsung のエンジニアは、機密コードを誤って ChatGPT に送信したときに、このようなミスを犯しました。適切な安全対策が講じられていない場合、オフィス環境での AI の無規制な使用はビジネスに壊滅的な影響を及ぼし、最終的には不必要な評判の損失を引き起こす可能性があります。必要な AI の種類、共有できる情報、その情報を使用/検証する方法を指定する許容使用ポリシーを実装することにより、コンプライアンス チームは組織全体の潜在的な AI 関連のリスクを軽減するのに役立ちます。

4. 検証およびテストツール

組織全体で使用される AI ツールはすべて、状況に精通した専門のコンプライアンス チームによって検証およびテストされる必要があります。このテストの側面では、さまざまな AI モデルのいくつかの重要な側面を確認する必要があります。

• モデルはどこでホストされていますか?データはどのように保護されますか?
• 誰がモデルをトレーニングし、トレーニング データはどのように選択されるのでしょうか?
• 機密データや保護されたデータが AI モデルに取り込まれるのを防ぐために、現在どのような保護対策が講じられていますか?
• AI モデルへのアクセスは誰がどのように制御しますか?
• モデルのバイアステストは実施されていますか?

5. コンプライアンスプログラムで標準を強制する

最後に、企業は、コンプライアンス プログラムが上記の基準に対応していること、コンプライアンスを維持するための適切な管理が実施されていること、実際に使用されている情報に誰がアクセスできるかを把握していることを確認する必要があります。たとえば、多くの法律事務所はブログの投稿やオンライン資料から情報を抽出するための AI ツールを開発していますが、同時に、ツールが顧客データを直接抽出したり使用したりできないようにする必要があります。このようなケースは、悪用を避けるために厳重に監視されなければなりません。

EU AI 法は AI 規制の先駆者となるためのガイドとして、コンプライアンス チームは、世界中で今後制定される他の法律が特定の AI ツールの将来的な使用にどのような影響を与えるかを考慮する必要があります。テクノロジーの機能と用途に精通し、最新の規制を理解しているコンプライアンス チームを設立することによってのみ、組織はコンプライアンス要件に準拠しながら潜在的なリスクを抑制し、AI の可能性を実現し、イノベーションを実現できます。