取締役会でAIガバナンスを議論するときのチェックリスト
こんにちは。LegalAgent 代表弁護士の朝戸です。
AIガバナンスは、現場のツール利用ルールにとどまらず、経営レベルで議論すべきテーマになってきています。顧客情報、個人情報、知的財産、営業秘密を扱うAI利用や、採用、人事評価、与信、医療、金融のように人の権利・利益に直結する領域でのAI利用は、担当部門だけで決めると、後から会社全体のリスクとして跳ね返ってくるためです。取締役会や経営会議での確認が必要になる場面は、確実に増えています。
前提として押さえておきたいのは、AIガバナンスがAIを止めるための議論ではない、という点です。会社としてAIをどの業務に使い、どのリスクを管理し、どの価値を生み出すのかを決めるための議論です。取締役会で扱う以上、技術論だけで完結させず、事業、法務、情報管理、倫理、レピュテーションを一つのテーブルに載せて見る必要があります。この記事では、その議論で確認すべき論点を、利用目的から見直しの契機まで順に並べます。
利用目的の具体化
最初に確認すべきなのは、会社がAIを何のために使うのかです。業務効率化のためなのか、新規サービスの中核機能として使うのか、顧客対応に使うのか、社内ナレッジ検索に使うのか、開発支援に使うのか。用途が違えば、リスクの性質も違います。
取締役会での議論では、「DX」や「効率化」という抽象的な言葉で止めないことが肝心です。契約書レビュー、営業資料作成、顧客サポート、採用候補者の評価、プロダクト機能というように、具体的な業務や事業に結びつけて初めて、確認すべきリスクと投資すべき管理体制が特定できます。抽象的な目的のまま議論すると、承認も抽象的になり、現場は結局何をしてよいのか分からないままになります。
AIをどこまで自社の競争力として位置づけるのかも、この段階で決めておきたい点です。単なる社内ツールなのか、プロダクト価値の中心なのか。位置づけが重いほど、管理体制への投資も厚くする必要があります。
入力データと情報管理
AIガバナンスで最も議論が必要な論点の一つが、入力データです。個人情報、顧客情報、営業秘密、未公表の事業計画、契約書、ソースコード、M&Aや資金調達に関する情報をAIに入力する場合、情報管理上のリスクが生じます。
取締役会で確認すべきなのは、どの種類のデータを入力できるのか、どのAIサービスなら利用できるのか、個人アカウントでの利用を認めるのか、エンタープライズ契約を利用するのか、ログをどう管理するのかです。個人アカウント利用を放置すると、誰が何を入力したのかを会社が把握できず、漏えいが疑われた場合の調査も報告判断もできなくなります。入力ルールとログ管理は、この意味でセットで考える必要があります。
外部AIサービスにデータが送信される場合には、契約条件、学習利用の有無、保存期間、国外移転、再委託、情報漏えい時の対応も確認対象になります。ここは法務部門だけで完結する論点ではなく、情報システム部門やセキュリティ部門と連携して議論することになります。
出力結果の利用範囲と人間による確認
AIの出力結果をどのように使うかも、経営レベルで線を引くべき論点です。社内の参考資料として使うのか、顧客に提示するのか、契約書や規約の文案として使うのか、採用や評価の判断材料にするのか。使い方が下流に行くほど、誤りの影響は大きくなります。
取締役会では、AIの出力をそのまま利用してよい業務と、人間の確認を要する業務を分けておく必要があります。特に、法務判断、医療、金融、人事評価、与信、重要な顧客対応では、AIの出力を人間が確認する体制を組み込むべきだと考えています。
AIの出力は自然な文章で返ってくるため、誤りが混ざっていても読み手が気づきにくいという性質があります。「もっともらしいから通ってしまう」ことこそがリスクの正体であり、だからこそ、会社としてAIの出力にどの程度依拠するのかを、業務ごとに決めておく意味があります。
規程を実効化する契約と教育
AIガバナンスを実効的にするには、AIサービスの利用契約の確認、社内のAI利用規程・ガイドラインの整備、従業員への説明という三つの層が必要です。
このうち、つまずきやすいのは規程の運用です。規程を作っただけでは、現場は個別の場面で判断できません。顧客契約書をAIに要約させてよいか。個人情報を含む問い合わせを入力してよいか。社外向け資料にAIが作成した文章を使ってよいか。こうした実務に近い具体例をガイドラインやFAQに落とし込んで、初めて現場が自分で判断できるようになります。
したがって取締役会では、規程の有無だけを確認して終わらせず、教育の実施状況、運用の実態、監査、違反時の対応まで確認する必要があります。
取締役会で確認したい10項目
ここまでの論点を、取締役会の場でそのまま使える確認項目として並べます。
- AI利用の目的と対象業務
- 利用するAIサービスと契約条件
- 入力可能なデータと禁止データ
- 個人情報、営業秘密、顧客情報の取扱い
- 出力結果の利用範囲と人間の確認
- 社内規程、ガイドライン、教育の状況
- ログ管理、監査、インシデント対応
- AIサービスを提供する場合の利用規約とプライバシーポリシー
- レピュテーションリスクと顧客説明
- 定期的な見直し体制
すべてに完璧な答えがそろっている必要はありません。答えられない項目がどれかを特定すること自体が、取締役会でAIガバナンスを議論する最初の成果になります。
見直しの契機を決めておく
AIガバナンスは、一度決めれば終わるものではありません。技術、サービス、法令、社会的な期待が変わり続けるためです。
「定期的に見直す」とだけ決めても、実際には動きません。見直しを発動させる契機を、あらかじめ具体的に決めておく方が実効的です。利用しているAIサービスの仕様や契約条件の変更、法令やガイドラインの改定、社内でのインシデントやヒヤリハットの発生、AIを使う業務・プロダクトの追加。こうした出来事が起きたら規程とルールを見直す、という形で契機を定義しておけば、ルールが実態から乖離したまま放置される事態を避けやすくなります。
LegalAgentでは、AIガバナンスを、単なる社内ルールの話ではなく、生成AI時代の企業法務と経営管理のテーマとして扱っています。取締役会で議論することの意味は、AIを安全に使うことに加えて、会社としてAIをどのように価値に変えるかを決めることにあると考えています。