今週、ウォール街の大手銀行が香港の行員によるAnthropic(アンソロピック)のAIモデル使用を停止したと報じられた。これは、組織にとって当該技術の導入がいかに複雑になり得るかを示している。この出来事は、特定の状況、すなわち米中間の緊張関係と、中国と香港の間の緊張関係に起因するものと見ることもできる。しかしそれでも、AIの展開をどう扱うかについて経営幹部が慎重である必要があることを示している。
おそらく最初にすべきことは、「ガードレール」やリスク監視が盛んに語られているにもかかわらず、彼らがすでに主導権を握れていない現実を認識することだ。マイクロソフトの調査によれば、AIユーザーの4分の3超が職場で自前のツールを使っており、中小企業ではその割合が80%に上昇する。AI変革に特化した経営コンサルティング会社Bellamy Alden(ベラミー・アルデン)のリサーチ・ブリーフィングで引用された別の研究でも、未承認のAIツールの使用、あるいは正式な承認を得ずに運用するケースが広く浸透していることが示されている。こうした状況は、専門家が「シャドーAI」と呼ぶ概念へと収れんする。
これは組織に重大な含意をもたらす。Bellamy Aldenのブリーフィングは、AIガバナンスへの支出が2030年までに10億ドル(約1500億円)を超える見通しである一方、同期間に企業の40%以上が未承認のAI利用によってセキュリティまたはコンプライアンスのインシデントに見舞われると予測するガートナーのレポートを引用している。コンプライアンスとガバナンスを自動化するプラットフォームを構築したサンフランシスコ拠点のSprinto(スプリント)の調査が示すように、AIリスクへの認識が過去最高に達している一方で技術的な実行が遅れており、そこには深刻な断絶がある。Sprinto共同創業者のギリシュ・レデカー氏はメールで「シャドーAIはもはやIT上の迷惑事項にとどまらない。取締役会レベルの責任問題になっている」と述べた。同氏は、EUで既に施行されている一般データ保護規則(GDPR)や、今後施行されるEU AI法(EU Artificial Intelligence Act)が重大な責任を生むことを企業が認識し、今年が転換点になると見ている。従業員がたった1人、機微な個人データを未承認の公開AIツールに入力しただけでGDPRに基づく多額の制裁金を招き得る。さらに8月に施行されるEU AI法は、企業がツールの使用を把握していなかったとしても、AIの誤用により雇用主に多額の罰金を科す。より一般に、レデカー氏はシャドーAIを「未承認の意思決定が大規模に行われる状態」と捉えるべきだと示唆する。監督なしにAIツールが使われると、知的財産の「漏洩」、契約上のリスク、「検証されていない入力が会社の公式インシデント記録に入り込む」といったリスクが持ち込まれると同氏は説明する。
こうしたリスクへの潜在的な露出に危機感を抱く取締役会は、未承認のAI利用を取り締まろうとしたくなるかもしれない。しかしレデカー氏は、それは誤りだと考えている。安全な代替策を示さずにツールを禁止すれば、行動はただ一層「影」に追いやられるだけだ。実際、Software AG(ソフトウェアAG)が6000人のナレッジワーカーを対象に行った調査によれば、雇用主が禁止しても46%はやめることを拒み、33%は「IT部門が必要なツールを提供してくれない」と答えている。
先月公表されたリサーチ・ブリーフィングでSoftware AGの調査を引用したBellamy Aldenのマネージング・パートナー、ファヘド・ビザーリ氏も同意する。同氏の見立てでは、禁止は効かない。利用をなくすのではなく、可視性をなくすだけだからだ。代わりに、経営幹部はシャドーAIが存在する理由を理解する必要がある、と同氏は筆者への最近のインタビューで述べた。従業員は「ならず者だからやっているのではない。仕事をするためにやっている」のだ、と同氏は付け加えた。
コンプライアンスに注力する立場からレデカー氏は、リスクのシグナルが重大な問題へと拡大する前に早期に現れるようAIサービスを継続的に監視し、AIの行動に関しては人間を介在させ続けることを提唱する。同時に、EU AI法およびAIマネジメントシステム規格に沿うよう組織に促している。
ビザーリ氏も監視、あるいは取り締まりに賛成だ。しかしAIを変革的技術として促進することに焦点を置く同氏は、組織が見えてきたものから学ぶことを求めている。「あなたの従業員が何を、どこで、何のために使っているかは、あなたの組織固有の業務においてAIが真の価値を生む領域を教えてくれる」と、同氏は顧客向けレターに記した。
