AI革命

AIは決して新しいものではありません（アラン・チューリングの計算機械と知能に関する画期的な論文は1950年に初めて発表されました）が、ここ数年で、AIの能力と導入の双方が指数関数的に成長していることが見て取れます。その理由は明白です。革新的なAI技術は、医療から金融サービス、クリエイティブ産業に至るまで、事実上あらゆる業界に変革をもたらしてきました。 

生成AIにおける最新の進展は、OpenAIのGPT-4、GoogleのGemini、MetaのLlamaといったモデルの公開により、これらの技術がより広く利用可能になるにつれて、この潮流をさらに加速させました。しかし、アクセスの拡大はリスクの拡大も伴います。ディープフェイクや誤情報、アルゴリズムのバイアスと差別、セキュリティおよびデータプライバシーに関する懸念など、さまざまなリスクが存在します。    

‍

標準の重要性

私たちの生活様式を変える可能性を秘めた新しい技術には、多くのリスクも伴います。歴史を振り返り、さまざまな技術がどのようにして私たちの現代生活に深く組み込まれていったのかを分析すると、一つのパターンが見えてきます。こうした新しいシステムに対する真の信頼を確立するためには、規制または市場慣行を通じて標準が整備されてきました。

たとえば、1880年代の商用電気システムの発明は社会を大きく変革し、生産性、効率性、経済成長の向上を可能にしました。しかし、電気は感電や火災といった危険ももたらし、負傷や死亡の原因にもなりました。20世紀の初めには、この新技術のリスクを管理し、事故を防ぐために、英国における最初の電気安全ガイドラインが導入されました。これに続いて電気規格が次々と整備され、設備が適切に施工・維持されることで火災リスクの回避が図られました。電力供給および設置の標準化により、電気の広範な普及が可能となり、1930年代末までには英国の家庭の3分の2が電気を利用するようになりました。1919年の6%からの大幅な上昇でした。

より最近の例としては、情報セキュリティが挙げられます。過去30年にわたるインターネットの拡大は、繁栄するテック産業を生み出し、企業の運営方法やサービス提供のあり方を大きく変えました。しかし同時に、インターネットはサイバー犯罪の爆発的増加をもたらしました。脅威はフィッシング攻撃から深刻なデータ侵害、サイバーテロまで多岐にわたり、新たな種類のサイバー犯罪が定期的に見出しを飾っています。 

‍

こうしたリスクに対応するため、情報セキュリティ標準が策定されました。ISO/IEC 27001は、組織に対して「情報セキュリティマネジメントシステムを確立、導入、維持し、継続的に改善するための指針」を提供します。ISO/IEC 27001は規制ではなく標準であるにもかかわらず、情報システムに依存する、またはデジタル記録を保持する業界全体で広く受け入れられ、導入が求められるようになっています。 

自動車や航空機から、食品安全や医療機器に至るまで、他にも無数の例があります。長年にわたり、標準は革新的な技術を安全に普及させるための枠組みを提供し、技術の発展を促しながら、そのリスクを軽減・管理する役割を果たしてきました。AIの開発がそれと異なる理由はあるのでしょうか。

‍

AI分野における標準の利点とは何か？

したがって、標準は、AIが他の変革的技術と同様に世界に良い影響をもたらすことを可能にする潜在力を持っています。しかし、これらの標準を有効なものにするためには、まず、それらが軽減を目指すべきリスクの種類を検討する必要があります。以下に主要な論点を整理します。

‍

1. バイアス、差別、または個人への危害の軽減

AIシステムは大量のデータを用いて、採用から融資、さらには刑事判決、移民、福祉給付の提供に至るまで、さまざまな業務において人々に影響を及ぼす意思決定を行います。アルゴリズムはデータセットを用いて学習し、そこから正しい出力が何であるかを学びます。AIの活用により意思決定を迅速化できるため、たとえば政府は同じ時間内により多くの亡命申請や給付申請を処理でき、滞留の削減とサービスへの満足度向上につながります。 

しかし、証拠は、アルゴリズムが人間のバイアス、特に少数派に対する偏見を再現または増幅する場合があることを示しています。The Guardianによる2023年の調査では、英国政府の一部ツールが差別的な結果を生み出し、何の理由もなく数十人の給付が停止された証拠が確認されました。バイアスと差別は、組織に深刻な評判リスクをもたらすだけでなく、高額な訴訟リスクにもつながります。 

標準は、潜在的なアルゴリズムのバイアスを早期に検出し、警告を発することを可能にし、被害が発生する前に是正できるようにします。たとえば、NISTのAIリスク管理フレームワークとISO 42001（いずれも以下で詳しく取り上げます）には、バイアスのリスクを評価し、使用されるデータセットの品質を検証する要件があります。共通要件として、初期リスク評価が挙げられます。これは、AIシステムの文脈に内在するバイアスの可能性、すなわち、アルゴリズムが再現し得る特定の人口統計 समूहが直面してきた歴史的または構造的な不利益に焦点を当てるものです。 

‍

2. 透明性と説明責任の向上

人々は、AIシステムがどのように、いつ、どの目的で使用されているのかを理解できる必要があります。これは、幅広い関係者にとって理解しやすい言葉で説明されるべきです。残念ながら、利用者が、ある特定の意思決定（たとえば、与信申請の承認）の背後にAIシステムが存在していることに気づいていない場合も少なくありません。AIが利用されていることを認識していたとしても、通常、そのシステムがどのようにその判断に至ったのかについて十分な情報は提供されていません。

AIシステムは高度な自律性をもって動作するため、開発者が意図しなかった、あるいは予見できなかった方法で判断に至ることがあります。説明責任は極めて重要であり、インパクトアセスメントのような保証手法を通じてリスクを早期に特定する助けとなります。標準は、個人および組織がAIシステムの行動と意思決定に責任を持ち、常に人間が介在する体制を確保することを求めます。

標準では、多くの場合、データソース、ユースケース、意思決定プロセス、性能ベンチマーク、潜在的な制約を含むAIシステムに関する情報の文書化が組織に求められます。これらの情報は、アルゴリズムの仕組みと性能を理解し、伝達するうえで不可欠です。多くの標準は、ユーザーにAIシステムと対話していることを認識させる製品ラベリングを促進することで、透明性を高めています。EnzaiのAIポリシーガイドは、AIシステムのライフサイクル全体にわたり、透明性と説明責任を実装する方法について有益な助言を提供しています。
‍

3. リスク管理の強化

AIは大きな可能性を提供しますが、多くのリスクも伴います。これらのリスクには、ハルシネーション（大規模言語モデルが誤情報を生成する場合）、知的財産権の侵害、データプライバシー侵害などが含まれます。効果的なリスク管理は、望ましくない結果の発生可能性を低減し、組織がステークホルダーとの信頼を構築し、良好な評判を維持するのに役立ちます。

AIガバナンス標準で一般的なリスクレジスターとリスクアセスメントは、組織がAI技術に関連するリスクを特定、評価、軽減することを可能にします。  

‍

4. 安全性と信頼性の向上

AIシステムは、医療、国家安全保障、インフラといった多くの重要分野で利用されているため、信頼性と安全性に対する強いニーズがあります。AIシステムは技術的に安全で、意図どおりに機能し、サイバー攻撃のようなセキュリティ脅威に対して耐性を備えていなければなりません。米国国立標準技術研究所（NIST）によれば、「敵対者はAIシステムを意図的に混乱させたり、場合によっては“poison”して誤作動させたりすることができる」とされています。

性能、精度、拡張性、耐障害性について基準を設けることで、組織は攻撃により強く、実際に攻撃が発生した場合にも早期に検知できる、堅牢で信頼性の高いAIシステムを構築できます。 

‍

5. 法令・規制の遵守

組織は、AI技術の利用を規律する関連法令・規制を遵守する必要があります。EU AI ActのようにAIリスクに特化して対処する新たな法律も登場していますが、製品・サービスにAI要素が含まれているというだけで、既存の法令を無視することはできません。データ保護法、消費者保護規制、差別禁止法、業界固有の規制はすでに存在しています。コンプライアンス違反は、法的争議、罰金、制裁、評判の毀損につながる可能性があります。 

標準は、規制のように義務ではありませんが、組織が自らの関連分野でベストプラクティスを採用しながら既存規制への準拠を可能にします。AI特化の標準では、性能指標、リスク評価、ユースケース分析、そして効果的なリスク管理を確保し、意思決定の監査可能な記録を作成するためのその他多くの措置を扱うことができます。

‍

6. 社会的信頼の向上

社会的信頼の向上は、AI技術の受容と導入率の改善、ステークホルダーとの関係強化、ならびに市場における競争優位性につながります。なぜなら、社会は倫理的配慮と信頼性を重視するからです。AIが十分な規模に到達し、私たちが皆望むように世界に良い影響を与える力となるためには、社会の信頼を獲得しなければなりません。技術の構築、展開、利用方法に関して高い基準を設定することが、その実現を可能にします。

‍

標準とAIガバナンス・フレームワーク 

幸いなことに、現在ではAI分野において、上記のリスクに組織が対処するのに役立つさまざまな標準が存在しています。NIST、Institute of Electrical and Electronics Engineers（IEEE）、International Organization for Standardization（ISO）といった世界有数の標準策定機関は、近年、組織がAIプログラムにおいて高水準を採用するために活用できるフレームワークを公表しています。 

以下にその一部を簡潔にご紹介します。

ISO/IEC JTC 1/SC 42

ISOは国際電気標準会議（IEC）とともに、AI標準を策定するための共同技術ワーキンググループを設置し、その成果としてISO 42001が公表されました。これらの標準は、組織が有効なAIマネジメントシステム（AIMS）を導入することを可能にし、用語、倫理的配慮、評価手法など、AIのさまざまな側面をカバーしています。 

同チームは現在、ISO 42006という新たな標準に取り組んでおり、監査人が個々の組織がISO 42001の要件にどの程度準拠しているかを効果的に測定するためのガイドラインが示される予定です。この監査プロセスにより、組織は定期的にコンプライアンス認証を取得できるようになります（これは、前述のISO 27001における情報セキュリティのプロセスに類似しています）。

‍

注記：Enzaiは、ISO 42001の要件に完全準拠した包括的なAIマネジメントシステムを提供した世界初期の組織の一つです。

NISTのAIリスク管理フレームワーク

米国のNational Institute of Standards and Technology（NIST）は、AIシステム専用のリスク管理フレームワークを策定しました。このフレームワークは、AI技術に関連するリスクの特定、評価、軽減に関する指針を提供し、AIガバナンスの中核機能である（1）Govern、（2）Map、（3）Measure、（4）Manageの4つのセクションに分かれています。北米の多くの組織が、このNIST AI Risk Management Frameworkを指針として採用しています。

当社では、NIST AI RMFの要件を整理したブログを作成しています。こちらをご覧ください。当社のAIガバナンスソリューションにより、組織はこれらの要件に完全準拠した運用が可能になります。

OECDのAI原則

AI分野における高水準の基礎を確立する初期の代表的な取り組みの一つは、経済協力開発機構（OECD）によるものでした。OECDは2019年5月、AIの責任ある開発と利用に向けた実践的かつ柔軟な一連の原則を採択しました（そのAIの定義は、その後EU AI Actの最終文言において大部分が採用されています）。OECDのAI原則には、透明性、公平性、説明責任といった価値観に基づく原則に加え、政策立案者向けの提言が含まれています。

これらの原則に加え、OECDのAI Policy Observatoryには、組織が信頼できるAIを開発・活用するのに役立つツールと指標のカタログがあり、その中にはEnzaiのAIガバナンスプラットフォームも含まれています。 

World Ethical Data Foundation（WEDF）の「Me-We-It」：オープン標準

WEDFのオープン標準は、3つの目的を持つ無料のライブオンラインフォーラムです。（1）業界が健全な基盤の上で再出発できるよう、より倫理的なAIを構築するための助言を提供すること。（2）AIシステムを構築するプロセスについて一般の人々の理解を促進すること。（3）一般の人々がAIおよびデータサイエンスのコミュニティに対して自由に質問できる場を創出すること。 

このフレームワークは、「Me」「We」「It」の3つのセクションに分かれています。WEDFはこれらを次のように説明しています。「Me」は、AIに取り組んでいる各個人が、開始前および作業を進める中で自分自身に問いかけるべき質問です。「We」は、グループが自分自身に問いかけるべき質問であり、特に、人間のバイアスを可能な限り低減するために必要な多様性を定義することを目的としています。「It」は、作成されるモデルに関して、またそれが私たちの世界に与え得る影響に関連して、私たちが個人およびグループに問いかけるべき質問です。

AIガバナンス標準の導入

‍

貴社がAIガバナンス標準の導入、または既存の実務の改善を検討している場合、どこから着手すべきか判断するのは難しいことがあります。当社のStart Fastメソッドには、必要なものが3つの簡単なステップにすべて含まれています。（1）ポリシーとアセスメントを作成または選択する。（2）AIレジストリを構築する。（3）アセスメントを開始する。Enzaiプラットフォームには、すぐに利用できるポリシーとアセスメント・フレームワークが標準搭載されており、同業他社との差別化を図る最高水準の標準を導入できます。 

‍

Enzaiが貴社のAIガバナンス標準の導入や今後の規制への準拠をどのように支援できるかにご関心がある場合は、今すぐお問い合わせください。

‍

Enzaiは、抽象的なポリシーから実運用の統制へと組織が移行することを支援するために設計された、業界をリードするエンタープライズ向けAIガバナンスプラットフォームです。当社のAIリスク管理プラットフォームは、エージェント型AIガバナンスの管理、包括的なAIインベントリの維持、そしてEU AI Actへの準拠を確実にするために必要な専用インフラを提供します。複雑なワークフローを自動化することで、Enzaiは、企業がグローバルな基準と整合性を保ちながら、ISO 42001 やNISTのような国際標準に準拠して、安心してAI導入を拡大できるよう支援します。