AIのリスク管理は「最悪のシナリオ」から考えよ
HBR Staff/Declan Sun/Unsplash
サマリー:AIエージェントの普及でAIリスクは複雑化したが、多くの企業は従来のAI倫理ポリシーを更新するだけに留まっている。しかし、この手法では遅く、曖昧で実効性に欠ける。理念や原則ではなく、AIが引き起こす最悪な状態「倫理的悪夢」を起点にガバナンス体制を構築することが、進化の速いAIを活用するためには不可欠である。

AI倫理ポリシーの策定は、根本的に破綻している

 2022年後半に生成AIが突然現れる以前、企業はAIがもたらすリスクを管理するために、多かれ少なかれ標準的なアプローチを取っていた。すなわち、AI倫理リスク(または「責任あるAI」や「AIガバナンス」)のプログラムを策定するというものだ。プログラムは経営幹部によって設計され、主に全社的なAIポリシーを記述して実施することに焦点を当てていた。ポリシーの目的は、組織が自社のAI倫理の理念(または指針や原則)をどう実践していくのかを説明することにあった。

 生成AIが登場した時、組織はこの新技術に対応するために自社のプログラムを「更新」した。そして現在、AIエージェントが勢いを増す中で、ほとんどの組織は再び更新を試みるものと思われる。

 それは間違っている。責任あるAIへの標準的なアプローチは、根本的に破綻しているのだ。

 筆者は軽々しくこの結論に至ったわけではない。第1に、AIを取り巻く環境が、悪魔のように複雑なリスク環境を生む形で進化してきた様子を見てきたうえでの結論である。第2に、ヘルスケア、製薬、保険、金融サービス、エンタテインメントを含むさまざまな業界のフォーチュン500と協働し、AI倫理リスクプログラムの設計と実施に10年近く携わってきた経験に基づいている。筆者はまた、世界最大手のコンサルティング会社3社でアドバイザーとして活動してきた。そしてAIガバナンス分野のリーダーたちとも、非公開の場で数多くの対話を重ねてきた。

 標準的なアプローチはあまりに遅く、あまりに曖昧で、あまりに伝わりにくい。企業は理念やポリシーよりも、最悪のシナリオ、つまりAIに関する「倫理的悪夢」に焦点を当てるほうが有益だろう。なぜなら、特化型AIからAIエージェントのガバナンスに至るまであらゆることに通用する、迅速に実施可能な新しいアプローチを適用できるようになるからだ。

標準的アプローチの3つの欠陥

 責任あるAIへの標準的なアプローチは、次のような流れで進む。まず、組織が自社のAI倫理の理念を明確にする。たいていは公平性、プライバシー、透明性、説明責任、安全性のいずれかの組み合わせだ。次にそれらの理念が、バイアスのチェックや機密データのフィルタリングといった、全社的な手続きに落とし込まれる。それらの手続きはポリシーとして明文化され、組織全体で実践される。最後に、高リスクのAI案件をエスカレーションできる「責任あるAI委員会」が設置されるか、または既存のリスク委員会にAI関連の責任が課せられる。

 これらは合理的な進め方のようにも思える。だが筆者の経験では、このアプローチには3つの大きな問題がある。

欠陥1:効果を発揮するには遅すぎる

 大規模な組織では、取り組みを始めてから取締役会の承認を経たポリシーにたどり着くまでに、最低でも1年はかかる。例として、フォーチュン500に属する某消費財企業と筆者の協働は2023年7月に始まったが、AIリスクポリシーが取締役会で承認されるという大きな節目に到達したのは、2024年5月である。しかも、これは他のクライアントと比べれば速いほうだった。同社のリーダーが最もリスクが高いと判断した2つの部門で、我々はポリシーの実践を開始。そのわずか5カ月後、オープンAIがエージェント型AIを発表したことで、ポリシーは時代遅れとなったのである。

 このパターンは何度となく繰り返されてきた。

 誤解なきよう言えば、全社的ポリシーは有効なツールである。しかし、毎月のように変化を遂げるテクノロジーのリスクを管理するとなれば、AIポリシーは組織が自由に使える手段の中で最も効率的なものではなく、最も効果的なわけでもない。