生成 AI のガバナンスを考える: AI 活用をレベルアップさせるための 10 のヒント

※この投稿は米国時間 2024 年 2 月 1 日に、Google Cloud blog に投稿されたものの抄訳です。

次のような話に聞き覚えはないでしょうか？大規模な多国籍企業や、複雑な規制のもとで運営している組織が、自社のテクノロジー ラインナップに AI を追加したいと考え、手始めに AI のパイロット版を使って実現可能性を判断することにしました。また、どこから手をつけていいかさえわからないケースもあります。いずれのケースにせよ、AI のレビュー プロセスをその都度定めなければならないことや、AI を取り巻く規制の不確実性が要因となって、作業が遅々として進まず非効率に陥り、結局 AI の導入を将来のある時点まで先送りにすることにした、といった話です。

問題は、この「将来」がすでにやってきているということです。競合他社もそれを意識するなかで、AI を避けるのではなく、AI の導入に向けて舵を切り、目標を達成することが重要となってきています。

Google Cloud の AI ＆ビジネス ソリューション担当グローバル VP の Philip Moyer は、データ ガバナンスと技術開発のバランスを適切に取ることをテーマにした記事の中で、この問題は「極めて重要」かつ「緊急性が高い」と述べています。

「今日のリーダーたちは、生成 AI テクノロジーとツールの導入に関して意欲的です。しかし、それをどう導入するかの次に残る疑問は、『AI モデルによるリスク管理とガバナンスをどう確保するか』だ」と彼は言います。特に、ビジネス環境で生成 AI を使用すると、精度、プライバシーとセキュリティ、法規制遵守、知的財産侵害などに関するさまざまなリスクが生じる可能性があります。」

AI のユースケースを評価するためには、他のデジタル イノベーションと同様に、プログラマティックで繰り返し可能な構造を構築することが、一貫性のあるアプローチを確立するのに役立ちます。それにより、さまざまな側面を検討して徹底的にチェックし、安全かつコンプライアンスに沿った実装を行うことが可能となります。

AI は、企業が抱える単純労働やセキュリティ疲れ、人材不足といったさまざまな課題を軽減してくれます。ただし、効果的な使用を継続するためには、目標、役割、責任に沿った使い方をすること、かつ、組織内で適切なエスカレーション パスを設けることが不可欠です。最初の一歩として、ガバナンス体制を定義し、組織の AI イノベーション戦略全体における役割を明確にする必要があります。

組織が AI ガバナンスの課題に対処するために、大規模な AI 実装の効率化、運用化に役立つ 10 のベスト プラクティスをまとめました。

1. 主な関係者を特定する: 様々な分野から主要な利害関係者を特定し、その専門知識を集めます。こうした関係者の肩書は組織によって異なりますが、通常は、IT インフラストラクチャ、情報セキュリティ、アプリケーション セキュリティ、リスク、コンプライアンス、プライバシー、法務、データ サイエンス、データ ガバナンス、サードパーティ リスク管理の各部門の担当者が含まれます。
2. 組織の AI 指針を定義する: 組織の AI 指針を定義し、基本的な要件と期待値、および明確に対象外とするユースケースを定めます。この指針は、柔軟性があり、あまり細かすぎず、組織の基本的な方向性を規定するものとします。たとえば、顧客のプライバシー保護を最重視する、特定のユースケースの意思決定に AI を活用する際は人間によるレビューを必ず組み込む、といった内容を盛り込みます。例として、Google の責任ある AI に関する原則を参考にしてください。
3. フレームワークを使用する: Google のセキュア AI フレームワーク（SAIF）のようなフレームワークを使用することで、AI の実装に安全かつ一貫したアプローチをとることができます。ただし、セキュリティ フレームワークの罠に注意しましょう。フレームワークは単なるツールです。フレームワークを使用したことで、目標を達成したと勘違いしてはいけません。SAIF のようなフレームワークは、AI のさまざまな側面を徹底的に検討しながら実装するために役立つ便利な手段であるとお考えください。たとえば、AI ツール インベントリをテクノロジーのチェンジ マネジメント プロセスに組み込み、AI のデプロイを最新の状態に保つ処理や、脅威の管理手順に AI のデプロイを含めて、AI ツールに影響を及ぼすような最新型の攻撃に備える処理などのために、フレームワークを活用できます。
4. 適切なポリシーや手順を文書化して、実践する: 具体的には、AI の設計、開発、デプロイ、運用のポリシーや手順を定めます。通常、これらのリソースの所有権はチームによって異なるため、AI ガバナンスの管理を効果的に行うには、互いに協調しながら正確性、完全性、整合性の維持に努めることが求められます。
5. AI ユースケースを明確にする: 検討中のユースケースを、組織の戦略やリスク許容度と照らし合わせながら明確化します。ビジネス上の重要度とリスクレベルに基づいて優先順位を定め、それに応じてセキュリティ管理とデータ保護管理を調整します。
6. 組織のデータ ガバナンス プログラムと連携する: AI モデルには通常、高品質なデータが必要となります。適切な情報源からデータを取得するのはもちろん、データクレンジングや正規化を適宜行うことが求められます。データセットを慎重に選び、特定の要件に合わせて AI モデルをチューニングすることで、ハルシネーションやプロンプト インジェクションのリスクを最小限に抑えることもできます。
7. コンプライアンス、リスク、法務の関係者と密接に連携する: AI の規制は急速に変化しています。そのような状況において組織のコンプライアンス体制を維持しながらガバナンス プロセス全体に情報を提供するには、規制要件に厳密に従うことが必要不可欠です。
8. エスカレーション先を確立する: 質問があがったときにその質問を投げかける先を明確にしておきます。たとえば、内部の質問を法務、コンプライアンス、あるいは情報セキュリティ部門に転送する組織もあれば、専門委員会に一定の権限をもたせて判断を委ねる組織もあります。
9. 可視化の仕組みを整える: 内部の関係者（上級管理職や取締役層）と外部の関係者（関連する規制機関など）の両方が、AI への個々の取り組みの状況を確認できるようにします。
10. AI に特化したトレーニング プログラムを設ける: AI に関連する主な概念や潜在する課題について、組織全体で理解を深められる環境を整えます。スタッフの役割に応じて内容を調整し、的を絞ったモジュール形式のアプローチはスキル開発にも効果的です。また、こうしたアプローチによって、回避すべきリスク（シャドー AI の使用など）に対する幅広い理解を促進することもできます。

生成 AI のガバナンス強化の取り組みの次のステップ

まずは AI のチャンピオンを見つけて、コミュニケーションを始めましょう。具体的には、組織の AI 戦略を見通していて、各方面の関係者を巻き込むような協力的なアプローチをとる人物、さらに、AI のビジネスケースを明確に訴えることができ、それを実現するために組織全体をレベルアップする方法を伝えられるような人物が理想的です。AI に着手するにあたっては、生成 AI の Google Cloud Skills Boost が実践的で役立つ内容となっておりますので参考にしてください。

AI の安全な利用について詳しくは、Google のホワイトペーパー「Securing AI: Similar or Different（AI のセキュリティ確保: 類似点と相違点）」および「Google Cloud’s Approach to Trust in AI（AI の信頼性に対する Google Cloud のアプローチ）」をお読みください。

-Google Cloud、CISO オフィス、セキュリティティブ トラスト リード Marina Kaganovich

-Google Cloud、CISO オフィス、セキュリティ アドバイザー Anton Chuvakin