セキュリティレビュー、ベンダーリスク評価、監査対応準備のプロセスは、日常的に取引を数週間、場合によっては数カ月遅らせる。企業向けのセキュリティ質問票は1件で300問を超えることもあり、法務、セキュリティ、エンジニアリングの各チームの連携が必要になる。その結果、高コストの人材が、本来事業を前進させる業務から引き離される。私の経験では、1つの質問票を完了するのに、部門をまたいでサプライヤー1社あたり15〜20時間のスタッフ時間を要することが多い。
数百のベンダー関係を管理する企業にとって、こうした摩擦は複合的に積み上がり、収益と業務スピードの足かせとなる。多くの経営陣は、それを「事業を営む上での必要コスト」として受け入れてきた。だが、そうすべきではないだろう。実際に、質問票を期限内に完成できず、取引そのものを失った企業もある。
何十年もの間、この複雑さへの答えは同じだった。大手ファームを起用し、専門知識に対価を支払うというものだ。だがAIは、コンプライアンス業務の進め方の経済性を変えつつある。
AIはコンプライアンスのユニットエコノミクスを反転させている
従来はアナリストの作業日数を要していたセキュリティ質問票をAIが数時間で完了できるようになると、コンプライアンス案件のユニットエコノミクスは反転し始める。(開示:筆者の会社は、他社と同様にAIアシュアランス管理プラットフォームを提供している。)訓練済みのシステムと認定された人間による監督を組み合わせた、AIと人間のハイブリッド型モデルは、同じ作業をより速く、同等の精度で完了しつつある。
時間という要素が圧縮されるにつれ、大手ファームの高額なプレミアムを正当化することは次第に難しくなっている。AIは人間の専門知識の必要性をなくすわけではない。しかし価値を専門性の曲線の最上位に集中させ、反復可能で大量の業務を担う資格を持つアナリストという大きな中間層を、構造的に維持コストの高い存在にする。
報告書に記されたブランド名だけでは、もはや十分な保証にならない
長い間、企業は大手ブランドを信頼の代替指標として用いてきた。他に信頼できる評価基準が存在しなかった時代には、それも理にかなっていた。しかし、AIシステムが規模を伴って処理量を蓄積し、数千の組織にまたがる数百万件の評価を処理し、従来型のパートナー主導の案件では再現できない深いパターン認識を発達させるようになると、その前提は成り立ちにくくなる。
企業が自問し始めるべき問いは、自分たちが支払っている対価が「本物の専門知識」に対するものなのか、それとも「見慣れたロゴが書類に入っているという安心感」に対するものなのか、ということだ。より迅速で正確なプロセスを使えば、その書類ははるかに低コストで作成できたはずなのだから。
従来のビジネスモデルが消え去るわけではない。戦略的助言、規制対応の助言、そして数十年かけて築かれた制度的信用を必要とする取締役会レベルのリスク判断は残り続ける。しかし、そのビジネスは構造的に縮小するだろう。ピラミッドを歴史的に支えてきたボリューム層は、すでにより速く、よりスリムな代替手段へと再配分されつつあるからだ。
過払いは小さな問題であり、より大きな問題は動きが遅いことだ
経営者が本当に懸念すべきなのは、コンサルティング関係の行方ではなく、自社のコンプライアンス基盤が、市場が現在動いている速度に合わせて適応しているかどうかである。セキュリティレビュー、ベンダー評価、監査対応準備を、いまだに従来型のパートナー主導の案件として進めている企業は、単に払い過ぎているのではない。すでにAIネイティブな代替手段を軸に再構築を終えた競合他社よりも動きが遅いのだ。この速度差は四半期をまたいで積み重なり、やがて売上に表れる。
EU AI法はすでに施行されており、既存のGDPR、HIPAA、SOC 2の枠組みに加えて新たな義務を重ねている。多くの調達チームは、数年前よりも厳しい監視下に置かれている。その圧力への答えは、より大規模なコンサルティング案件ではない。より賢いインフラである。すなわち、複雑なリスク判断に今なお必要な人間の判断を犠牲にすることなく、スピードをもって大量処理に対応できるシステムだ。
AIは課題ももたらす
AIには大いなる期待が寄せられているものの、コンプライアンス業務に現実のリスクをもたらす。その失敗のかたちは、リーダーたちがこれまで管理してきたものとは異なる。
最も重大なリスクは「自信に満ちた不正確さ(ハルシネーション)」である。言語モデルは、その答えが正しいかどうかにかかわらず、セキュリティ質問票に対して流暢で説得力のある回答を生成する。コンプライアンスの文脈では、誤った回答は無害なミスではない。顧客、監査人、あるいは規制当局に対する虚偽表示となり得る。そして責任を負うのはソフトウェアではなく企業である。
より目立たないリスクもある。AIシステムの信頼性は、参照する文書の信頼性に左右される。したがって、古いポリシーや更新されていない証拠に基づいて動作するモデルは、その不備を発見するのではなく、大規模に拡散させることになる。機密性の高いセキュリティやインフラの詳細を第三者のツールに入力することも、こうした質問票が保護しようとしているデータと同じくらい慎重に統制されるべき、新たな露出面を生む。
そして説明責任は移転しない。規制当局や企業の買い手は、依然として回答の背後に名前のある人間が立つことを期待している。つまり、監督のない完全自動化は、防御可能な立場とはなりにくい。
これらはいずれも、AI導入に反対する理由ではない。意図的に導入すべきだという理由である。この取り組みを正しく進めているリーダーは、AIの出力を最終回答ではなく初稿として扱い、反復可能な大量業務をシステムに吸収させる一方で、判断を要する場面には経験豊富なレビュアーを残している。すべての回答を出典文書にひも付け、精査に耐えられるよう、トレーサビリティを求める。機密データに触れるあらゆるシステムと同じ厳格さで、ベンダー自身のセキュリティ体制を審査する。そして、リスクが最も低く、ボリュームが最も大きい領域から始め、範囲を広げる前に信頼を築いている。
目的は、人間をコンプライアンスから排除することではない。人間の判断が本当に重要な場所に人間を配置し、その下で機能するテクノロジーが正確で、監査可能で、説明責任を果たせるものにすることだ。
残る変数は、リーダーが注意を払っているかどうかだ
コンプライアンスを迅速で正確なものにし、事業を真に保護するものにするテクノロジーは、すでに存在している。残る問いは、企業のリーダーが、この2年で何が変わったのかを明確に理解したうえで選択肢を評価しているかどうかである。
コンプライアンスは本来、成長に対する税であるべきものではなかった。事業を守るためのものだったのだ。長い間、その2つは両立しないように見えていた。だが、もはやそうである必要はない。



