AIガバナンス構築の実践事例、IBMと双日の取り組み

日本IBMは8月28日、企業におけるAIガバナンス体制の構築に向けた同社の取り組みについて、メディア向けの説明会を開催した。

AIガバナンスの重要性と企業の現状

冒頭、登壇した日本IBM 技術理事AI倫理委員会日本チームリーダーの山田敦氏は、AIガバナンスに関して「AIを活用するためには適切なガードレールの設置・運用が必要になる。当社は2018年から『原則の時代』とし、あるべき姿を提示してきたが、2020年以降は『実践の時代』としてリスク審査やAIリテラシー教育、情報発信などを続け、2022年に日本チームを発足した」と振り返った。

日本IBM 技術理事AI倫理委員会日本チームリーダーの山田敦氏

同氏によると、AI倫理とガバナンスに投資することで得られる価値として「経済面における影響(有形ROI)」、「企業イメージへの影響(無形ROI)」、「能力向上」の3つを挙げている。

しかし、多くの経営者はAIガバナンスの重要性は理解しているものの、実践は限定的であると指摘。実際、同社が2025年1月に実施した調査では、自社のAIガバナンスが優れている経営者は21%、規則・コンプライアンスのリスクに十分に対処できていると考える経営者は29%となっている。

ガードレールの設置・運用に取り組む際は「リスクベースアプローチの採用」「ライフサイクル全体にわたるガバナンス」「アジャイルな推進」の3つの方向性でAIガバナンスを構築することが望ましいとのことだ。

AIガバナンスで企業が目指すべき方向性

統合ガバナンスプログラムの概要と特徴

次に、日本IBM コンサルティング事業本部シニア・アドバイザリー・データサイエンティストの天白政樹氏がAIガバナンスに関するIBMの包括的なアプローチについて、説明に立った。

日本IBM コンサルティング事業本部シニア・アドバイザリー・データサイエンティストの天白政樹氏

天白氏は「AIリスクは技術的リスク、社会的リスク、企業システム全体へのリスクがあり、昨今のAI技術の進展や適用範囲の拡大により、年々高まっている。多くの企業がAIガバナンスに取り組む一方、準備不足が懸念されている」と話す。

同氏はAIガバナンスにおける企業課題として、ガバナンス組織の編成が難しいこと、きめ細やかなプロセス設計と合意形成が求められ得ること、AIのライフサイクル全体を通じた評価など社会的受容の変化への対応などを挙げている。

天白氏は、このような課題解決のために「当社のようにAIガバナンスに取り組んでいる企業がモデルケースになると考えている。当社では『統合ガバナンスプログラム』でガードレールに取り組んでおり、社内におけるAIのユースケースをリスクに応じて審査を行い、開発したものについてはAIのリスクを一元管理し、継続評価とモニタリングを行う」と説く。

統合ガバナンスプログラムは組織、プロセス、システムの3つの方向性をカバーし、企業のガバナンス構築のためのモデルケースとして有効だという。組織ではAI倫理委員会による包括的な審査、プロセスは多岐にわたるプロセスを統合し、システムは「IBM watsonx.governance」などによる統合プラットフォームを提供。

「統合ガバナンスプログラム」の概要

同氏は「このような仕組みを作るためのポイントは、組織・プロセスとシステム両面でAIガバナンスの構築を推進していくことが重要。構築するだけでなく、社会的受容の変化に応じてアジャイルに仕組みを更新することが必要となる」と述べている。

AIガバナンスを確立するポイント

組織・プロセスの要素は、自社のガバナンスをどのような観点で生かすのかを決めて、その概念にもとづいて実践するためのAI審査のフレーム、プロセスを構築するほか、組織構成と運用体制を考えていく。同社ではスターターキットやリスクベースアセスメントフレームワーク、AI活用の現状評価、AIリスク教育フレームワークなどを用意している。

双日が掲げる“Digital in All”

ここで、双日デジタル事業開発部デジタル事業開発第三課課長の宮脇俊介氏が同社におけるAIガバナンス構築に向け、IBMの支援を受けて進めている組織・プロセスの事例を紹介した。宮脇氏はAI活用やデータアナリティクスなどデータ活用を全社的にけん引するミッションに取り組んでいる。

双日デジタル事業開発部デジタル事業開発第三課課長の宮脇俊介氏

同社がAIガバナンスに取り組む背景としては、3カ年の「中期経営計画2026」で“Digital in All”(すべての事業にデジタルを)を掲げている。同氏は「既存ビジネスの価値を向上するとともに、これまでなかったデジタルのビジネスを開発し、それらを支えるAI基盤やデータ基盤の整備を進めている。すべての事業にある弱点の解消手段としてAIを組み込んでいる」と話す。

一例として、高速に泳ぐマグロの尾数がカウントできないことから在庫管理に課題を抱えていたため、デジタルツインとAIによる画像解析などを行っている。また、企画・アイデア出し支援や文章の要約・作成などを行う自社専用の生成ツールを開発し、全社員の80%以上が通常業務で利用しているという。

宮脇氏は「AIが業務に浸透したため、本格的にAIガバナンスを進めようと考えた」と述べている。

双日のAIガバナンス構築事例

まず、同社が取り組んだことは全体の構想を計画。経済産業省の「AI事業者ガイドライン」の理解を深め、現状でどこまで取り組めているのかといった現状を認識し、必要な取り組みを整理するとともに、取り組みの優先度を整理。また、ユースケースを6件に対するリスクと対応策を具体化した。

宮脇氏は「最初にぶち当たった壁は、異なる立場の人たちがさまざまな主張するため前に進まないことだった。そこで、1日を使い、膝を突き合わせて集中討議し、思っていることを論点ごとにまとめて、誰がやらなければならないのかを議論した結果、前に進みました」と振り返る。

結果として、全体構想に加え、各プレイヤーのマイルストーンをIBMと整備した。その中で、すぐに対応しなければならないもの(重点対応項目)、それを進めていくうえで補足的に組み込むもの、他の取り組み後に対応するものをレイヤー別に分類した。

AIガバナンスの方針・計画策定を協議した

重点対応項目において最初に着手したことは審査だ。ただ、審査のリスク量に応じて経営層にエスカレーションしなければならないことから、組織体制を整えた。どのような背景で案件を進めるのか、AI固有のリスクがどの程度なのかなどのチェックリストを作成し、案件を立案する人は回答。

そして、宮脇氏のチームがリスクに対してプロアクティブな施策を提示する。とはいえ、顧客との契約上、リスクを排除しきれないこともあるため、その場合は残存リスクがどれくらい存在し、やるべきか否かとロジカルな審議をしているという。

AIガバナンスの仕組みの運用

組織体制について宮脇氏は「新しい組織を大上段から構えようとすると、さまざまなステークホルダーの承認を取らなければならないため、コミュニケーションコストがかかることが予想された。したがって、既存組織の中にアジャストしながらスモールスタートで進めていくことにした。もともと月1で社長を議長としたDX推進員会を開催しており、そこに組み込み、営業本部からの案件に対して、まずはデジタル事業開発、審議部のコーポレートIT部が共同で中身を確認している」と力を込める。

AIガバナンスにおける組織体制の概要

今後の展開としては、作成した全体構想をベースにAI原則の作成や生成AIツールの活用やリスク所在の一元管理、インシデント予防・対策などに取り組む考えだ。

今後の検討に関する概要

システム観点でのAIガバナンスとwatsonx.governance

最後に、日本IBM 理事テクノロジー事業本部 watsonx事業本部事業部長の竹田千恵氏がシステム観点でのAIガバナンスについて説明した。

日本IBM 理事テクノロジー事業本部 watsonx事業本部事業部長の竹田千恵氏

竹田氏は「システム観点のAIガバナンスの確立とは、システムではガバナンス可視化や統制ポリシーの適用、コンプライアンス/プライバシー管理、モデル運用/ライフサイクル管理、AI脅威検知と対策、トレーサビリティ管理の5つの技術要素満たすガバナンスの仕組みを実装すること。リスクのパターンの変化やテクノロジーの変化など環境は常に変化するため、最初に作っただけで終わりではない」と強調する。

同氏が言及したように技術要素を単に実装するだけでなく、アジャイルな設計が必要となり、そのためにはAIエージェントに対するリスクの対応とAIセキュリティの対応の2つが鍵になるという。

watsonx.governanceでは、AIエージェントのリスク対応を可能としており、各エージェントが承認済みなのか、ガバナンスが担保されているのか、性能指標を把握するためにトラッキングできる。

従来からのAIモデルのガバナンスと比較してAIエージェントは広範囲の監視が必要なことから、検索の評価メトリクスや回答のメトリクスといったAIエージェントの評価指標を設けており、2025年後半に向けて順次メトリクスの追加を予定している。

AIエージェントのリスク対応の概要

AIセキュリティの対応ではAIを管理・保護・監視する方法を提供し、MCP(Model Context Protocol)などを含めたAIエージェントに関連するコンポーネントを検出し、デプロイメント環境の継続的な可視化を行うことに加え、ガードレールやペネトレーションテストでAIエージェント環境のセキュリティ管理が可能。

また、継続的に監視しているシステム情報をwatsonx.governanceと連携し、インベントリ情報を強化。登録されていないAIデプロイメントを自動的に識別し、適切なガバナンスワークフローを実施する。