ジョディ・ダニエルズ氏は、プライバシーに特化した数少ない女性経営企業の1つであるレッドクローバー・アドバイザーズの創業者兼CEOを務めるプライバシーコンサルタントだ。
45カ国の670以上の組織を対象としたIAPP(国際プライバシー専門家協会)とクレドAIによる2025年AIガバナンス専門職レポートによると、77%の企業がAIガバナンスに積極的に取り組んでいる。すでにAIを活用している企業に限れば、その割合は85%に跳ね上がる。
約半数の企業が、AIガバナンスを戦略上の優先事項トップ5に位置づけている。ガバナンスチームの平均人数は現在10人近くに達し、取締役会による監督は昨年から3倍に増加した。
しかし、それで十分だろうか。約98%の企業が、AIガバナンス担当者をさらに増やす必要があると回答している。約4分の1の企業は、適格な人材の確保を最大の障害として挙げている。
より大きな問題は、ガバナンスの構造だ。AIガバナンス専門職の半数は、倫理、コンプライアンス、プライバシー、法務の各チームに分散している。報告系統もばらばらで、23%が法務顧問に、17%がCEOに、14%がCIO(最高情報責任者)に報告している。AIガバナンス委員会を設置しているのは、わずか39%にとどまる。
(なお、プライバシー部門がAIガバナンスを主導する場合、67%がEU AI法のコンプライアンスに自信を持っているが、コンプライアンスへの自信が必ずしも運用面での準備態勢につながるわけではない。)
新たなAIツールと同じ速さで次々と登場する規制
EU加盟国は2025年8月に執行当局を指定し、罰則制度が発効した。最も重大な違反には、最大3500万ユーロまたは世界売上高の7%という罰金が科される。米国では、各州が独自の規制を構築している。2025年には47州で260のAI関連法案が提出され、そのうち22がすでに成立した。
2026年2月に施行予定だったコロラド州のAI法は、改正のための時間を確保するため2026年6月30日まで延期された。同法は、企業に対してハイリスクシステムの影響評価の実施と、重要な意思決定におけるAI使用の開示を義務づける。
カリフォルニア州は2025年に十数本のAI関連法案を可決した。その中には、雇用差別に関する規制(2025年10月施行)、ディープフェイク規制、最先端AI開発者向けの透明性要件などが含まれる。住宅、雇用、教育、医療における自動化された意思決定の開示と異議申し立てを義務づけるAB 1018は、3年連続で延期されている。
企業は、実現しない連邦レベルの明確化を待ってはいない。しかし、ガバナンス担当者を増やすだけでは、ポリシーの策定とAI利用の統制との間のギャップは埋まらない。
経営者が無視できないAIガバナンスの3つの課題
組織は、規制執行が本格化する前に、AIガバナンスに関する3つの課題を解決する必要がある。それは、問題が発生した際にAIガバナンスを誰が所有するか、5つではなく数十のシステムを展開する際にリスク審査をどう機能させるか、そして取締役会の監督体制がAIガバナンスの要件に合致しているかどうかだ。
1. AIガバナンスの所有権
AIガバナンス専門職が、組織の半数で見られるように、プライバシー、法務、コンプライアンス、倫理、ITに分散している場合、説明責任が曖昧になる可能性がある。所有権が明確でない場合、リスク評価が重複し、意思決定が遅れ、チーム間にギャップが生じる。
マイクロソフトのアプローチは、説明責任がどのようなものかを示す好例だ。明確な執行権限を持つ専任の最高責任あるAI責任者が、プライバシー、法務、技術チームを横断して調整する。リスク問題が浮上した際、誰が意思決定を所有するかについて疑問の余地はない。
現在ガバナンスプログラムを構築している組織には、以下の説明責任が必要だ。
• 経営幹部レベルの所有権:単なるコンプライアンス文書ではなく、成果に責任を持つ副社長またはCスイートレベルの人物。
• 明確なエスカレーション経路:製品チームは、誰がリスク問題を審査し、誰が展開を停止でき、どれだけ迅速に意思決定が行われるかを知る必要がある。
• 単一の説明責任を伴う部門横断的な調整:プライバシー、法務、IT、セキュリティのすべてが関与する必要があるが、1人の人物が成果を所有し、これらのチームをまとめる権限を持たなければならない。
2. リスク審査の規模拡大が必要
リスク審査は、組織がAIシステムを安全に展開できるかどうかを判断し、本番環境での問題を捉える方法だ。バイアスリスク、セキュリティの脆弱性、コンプライアンスのギャップ、潜在的な危害を、ユーザーに到達する前に特定する。
しかし、ワントラストの調査によると、このプロセスは追いついていない。組織は、12カ月前と比較してAI関連リスクの管理に37%多くの時間を費やしている。そして73%が、AIによって可視性、協力、ポリシー執行におけるギャップが明らかになったと報告しており、44%がガバナンス審査の遅延を監督の主な障壁として挙げている。
リスク審査がボトルネックになると、チームは展開スケジュールを守るために手を抜く。
組織には、規模に応じた審査プロセスが必要だ。
• 審査の強度をリスクに合わせる。低リスクのアプリケーションには迅速な審査を行い、重大な危害を引き起こす可能性のあるシステムには集中的な評価を確保する。
• 立ち上げ時だけでなく、本番環境でも監視する。AIシステムは展開後に変化する。システムが稼働している間に問題を検知する監視体制を構築する──異常な出力、パフォーマンスの問題、予期しない使用パターンなど。
• AI固有の脅威に対するインシデント対応を構築する。AIインシデントはプライバシー侵害とは異なる。プロンプトインジェクション攻撃、巧妙なクエリを通じてトレーニングデータを漏洩するモデル、規模を拡大して複合化するバイアスのある意思決定などだ。
3. 取締役会の監督が属すべき場所
AIに対する取締役会の監督は2024年以降3倍に増加した。(比較的)短期間での大きな進展だ。
しかし、すべての監督が同等に効果的というわけではない。21%の企業がAI監督を監査委員会に割り当てているが、監査委員会は事後的な審査のために構築されている──財務統制の検証、事後のコンプライアンス審査だ。
監査委員会には役割があるが、AIガバナンスには将来を見据えた監督が必要だ。IAPP-クレドのレポートによると、AIガバナンス委員会を設置しているのはわずか39%だ。EYの調査によると、AIに特化した技術委員会またはガバナンス委員会を持つ企業は、監査委員会に依存している企業よりも詳細な監督を提供している。
効果的な取締役会監督には、AIリスクプロファイルに合致した委員会構造が必要だ。AIが事業戦略の中核である場合、専任の監督が必要だ。四半期ごとの監査委員会への報告では、頻度も深さも十分ではない。
技術的なAIリスクを評価できる取締役会メンバーも必要だ。委員会には、モデルリスクを理解し、バイアステストやセキュリティの脆弱性について情報に基づいた質問ができ、展開スケジュールに異議を唱えるべき時を知っているメンバーが含まれるべきだ。
最後に、単なるコンプライアンス報告ではなく、運用ガバナンスとのつながりが重要だ。取締役会委員会は、AI展開に対する可視性を持つ必要がある──どのシステムが本番環境にあるか、どのようなインシデントが発生したか、リスク審査がどこで懸念を示したか。
AIは、企業の事業運営と競争の中核を担っている。しかし、ガバナンスが欠如したシステムは本番環境で機能せず、法的責任リスクを生み出し、構築に投じた投資を無駄にする。2026年に向けて準備が整った組織は、機能的なガバナンスを備えている。問題が発生した際に誰かが意思決定を所有し、審査プロセスが展開速度に対応し、取締役会が後でコンプライアンス報告で読むのではなく、本番環境での障害をリアルタイムで把握している。
