見出し画像

生成AIの活用で企業がおさえるべきリスク・セキュリティ課題とは AI法の専門家に聴くガバナンスのあるべき姿

生成AIの発展は驚くほど急ピッチに進んでおり、その一方で法規制やセキュリティに対する対策が後手に回りがちな現在の日本。生成AIが抱える様々なリスクに対し、企業の管理責任はますます大きくなっています。今回は、渥美坂井法律事務所・外国法共同事業のパートナー弁護士である三部裕幸氏と、中外製薬で生成AIガバナンスを担当する山見咲桜里、徳丸力蔵にインタビュー。いま、企業に求められているAIガバナンスについて、広く話を聴きました。

三部裕幸(渥美坂井法律事務所・外国法共同事業 パートナー弁護士)
2003年弁護士登録、2012年米国ニューヨーク州弁護士登録。2013年から、渥美坂井法律事務所・外国法共同事業 パートナー弁護士。2020年、大阪大学 招聘教授 就任(社会技術共創研究センター、通称ELSIセンター)。総務省「AIネットワーク社会推進会議」AIガバナンス検討会委員、日本経済新聞社「生成AIコンソーシアム」アドバイザーその他の公職を歴任。
山見咲桜里(中外製薬株式会社 デジタル戦略推進部企画G)
2020年、中外製薬に新卒入社。個人情報保護事務局を担当し、2024年1月から全社のデジタル戦略推進企画を担当。
徳丸力蔵(中外製薬株式会社 ITソリューション部サイバーセキュリティG)
2022年、中外製薬に中途入社。全社セキュリティガバナンスの運営及び工場におけるセキュリティ推進を担当。

生成AI活用において、なぜ、リスク管理やガバナンスが求められるのか?

 ―ご自身の専門と、現在取り組まれているお仕事について簡単に教えてください

三部:私は日本とニューヨーク州の弁護士の資格を持ち、M&Aや株式、社債の発行など企業法務全般を取り扱ってきましたが、2016年くらいからご縁があり、AIの法務リスクに関して国内外の企業に助言をさせていただくようになりました。そのほか政府や企業、大学などのご依頼を受けてEUやアメリカへ出向き、AIの規制や法整備がどのように進められているか、現地での視察も行っています。
 
山見:中外製薬は2023年から生成AIの全社活用を進めており、その推進にあたり「生成AI利活用推進タスクフォース」という推進体制を敷いています。私はその中でガバナンスタスクのリーダーを務めています。生成AIは業務効率化や新たな価値創出に大きく貢献する一方で、法的なリスクやセキュリティの問題が存在します。ガバナンスタスクでは、社員が安心して生成AIを活用できる環境を整えるためにルール整備と社内浸透を行っています。
 
徳丸:私の専門領域はセキュリティであり、特にクラウドサービスや工場のセキュリティ対策に従事してきました。山見と同じガバナンスタスクのメンバーとして、セキュリティの観点から生成AIに求めるセキュリティ基準やルールの整備、運用への落とし込み、及び海外関係会社へのルールの展開を担当しています。

AI法規制の海外動向、ハードローとソフトロー。企業がとるべき姿勢とは

 ―現在、企業において生成AIのガバナンスの重要性が声高に叫ばれるのはなぜでしょう

三部:端的にいえば、「生成AIの発展スピードが速いのに対し、リスク管理やリスク対策が追いついていない」ということが背景として挙げられます。AIには「攻撃されるリスク」「法律に違反するリスク」「社会的非難を浴びるリスク」「海外と取引ができなくなるリスク」という4つのリスクがあります。特に生成AIには、外部や内部の脅威による攻撃というリスクがあり、それにどう対応するか、早急に決断が求められています。これは日本のみならず世界中の課題として認識されていますが、いまだどの国も満足のいく対策を講じておらず、議論中の段階です。
 
徳丸:実際に、生成AIを社内業務で利活用する上で不安を感じる場面は少なくありません。例えば、生成AIのサービスを提供する企業がセキュリティよりも製品のサービスや機能の拡充に重点を置いている場合、考慮すべきリスクは増えると考えます。今後、様々な会社が生成AIのサービスをリリースする中で、早急にリスクを評価・判断しなければいけない場面はさらに増えていくでしょう。
 
三部:そうでしょうね。現在日本においてはAI人財の不足も影響し、これらのリスクを適切に評価したり対策を講じたりできる組織・人財を擁している企業は多くありません。

―三部先生は国内外のAI法規制の専門家でいらっしゃいますが、現在の状況をどう捉えリスク対策を考えていますか?

 三部:私の基本姿勢はとてもシンプルで、「大きなリスクには法的拘束力を持つ規制(ハードロー)、小さなリスクには法的拘束力を持たない規範(ソフトロー)で対処する」と考えています。世界に目を向けると、EU各国は2019年ごろからAI関連の重要リスクを詳細に分析し、「AI法」の検討を始めていました。一方アメリカも2019年ごろから超党派でAI政策の整備に取り組み、2023年10月にはバイデン大統領がAI規制に向けた大統領令を公表しています。EUとアメリカに共通しているのは、「ハードローとソフトローを組み合わせた規制強化」の動きを進めている点です。
それでは一体、我が国はどうかというと、日本ではなぜか「EUはハードロー路線で、アメリカはソフトロー路線だ」と誤解し、「これからはソフトローによる企業や業界団体による自主規制が望ましい」という路線が打ち出されてしまったように思います。しかし世界的にはハードローが中心であり、中国でも独自のハードローが制定・施行されつつあります。私が懸念するのは、もし日本だけがソフトロー路線を進むと犯罪集団や国家レベルでの攻撃を防ぐことが難しくなり、さらに、海外とビジネスをする上での障壁となり、さまざまなリスクが生じる可能性が出てくるということです。
 
徳丸:私も「高リスクに対してはハードロー、低リスクに対してはソフトローで対処する」という姿勢には賛同します。社内の生成AI利用ガイドラインにおいてもリスクベースでルールを整理しようと考えており、EUのAI規則などを参考に作成を進めています。
 
三部:法規制を考える上で重要なのは「規制により、何を守るのか?」ということです。ここでもアメリカとEUは共通しており、両者とも「法規制は自国や自国民、自国の企業を守るためのものである」と認識しています。つまり、「国民を守れなければ意味がないので、ある程度規制は必要だけど、不必要な規制は課さないようにして、企業がイノベーションを継続できるようにしよう」というのがアメリカとEUの、共通のスタンスです。
一方、中国の法規制の目的は「レジームを守る」ということです。日本はどうかというと、これらのいずれとも異なり、「開発者の心情を守る」ために、ごく一部を除き、法規制を作らない方向に向いています。いかに開発者の心情を守り意欲を引き出しても、最終利用者である国民や自国の企業をリスクから守らないのであれば、その産業は衰退します。個人情報保護法では生成AIサービスの利用に関しては注意喚起に留まっており、セキュリティ分野の対策も遅れをとっています。
 
徳丸:確かに国の法規制の遅れは気になります。今後は、生成AIをうまく活用できる企業が生き残れると考えていますが、私たちのような一企業がこれから生成AIガバナンスを考える上では、やはりアメリカやEUの姿勢を参考にすべきなのでしょうか。
 
三部:いい質問が来ました(笑) 実際のところEUに比べてアメリカの大統領令の方が、規制範囲が広いのがポイントです。なぜ広いかというと、安全保障に関する内容がしっかりと盛り込まれているため。リスクの高い特定のモデルの取扱いや重要インフラへの攻撃リスクをはじめ安全保障に関わる様々なリスクに対策を講じようとしています。また、知財対策や独占禁止法対策、特定分野の消費者や学生の保護、プライバシー強化技術対策なども組み込まれています。
 
徳丸:アメリカの大統領令をベースにしつつ、そこでカバーされていないものはEUのAI規則を参考にすると、広く網羅したガイドラインができるというイメージですね。
 
三部 はい。それからガバナンスを考える上でもう一つ大事なことは、EUはアメリカに先駆けて法律を施行するため、日本への影響も早く到来するであろうということです。EUのAI規則はAIの利用をリスクに応じて4段階に分けており、そのうち最も厳しい「許容できないリスク」のあるAIの禁止は2024年12月に施行されると見込まれています。また、それ以外のAI規則の規定の多くが全面施行されるのは2年後になりますが、それに向けた準備も徐々に始まります。
 
徳丸:今後の法施行のタイミングも鑑みると、まずはEUのAI規則を参考にガバナンスを整備するアプローチが良さそうです。
 
三部:一方、アメリカでも2024年1月、保健福祉省(HHS)に、医療におけるAIイノベーションを促進するための政策を策定するAIタスクフォースが設置されました。医薬品開発プロセスにおけるAIの活用など、医薬品開発の各段階を通じて適切な規制を行うことが定められており、これによって企業向けルールが整備されればアメリカに医薬品を輸出している日本企業も影響を受けるでしょう。

企業がAIガバナンスを浸透させるため必要なこと

 ―生成AIガバナンスの策定と浸透に向けた、中外製薬の社内の状況はどうですか。

山見:2023年中ごろに生成AI利活用時のルールや生成AI導入審査体制を整え、半年ほど運用する中で、要件の拡充や内容の精緻化の必要性を感じているところです。今後、さらに生成AIの利活用を推進するには全社員がより深く生成AIのリスクについて理解する必要があるため、現在は既存ルールの拡充・精緻化に加えて全社教育の強化を進めています。
 
三部:私は現在、法務だけでなく生成AIに関する社員教育に関して相談を受けることが多いのですが、リスク理解の前に、そもそも「生成AIをツールとして業務効率化に使うことはできても、それをどうやって売上利益などの新たな価値創出に結びつけたらいいのかわからない」という声が聞かれるケースが少なくありません。企業は、生成AIのチャンスとそれに伴うリスクについて具体的にイメージできない人は案外多いという前提に立つべきです。できるだけ具体的なシナリオを作り、実践に即したかたちで社内教育し、「どういうチャンスがあるのか」をイメージできるようにすることが大切です。そしてリスクについても、「なぜこういうことをしてはいけないのか?」「どのようなリスクが生じるのか?」と納得感をもって理解してもらうことが重要です。
 
山見:当社の生成AI利活用推進体制には、私と徳丸の担当するガバナンスタスクの他に、全社の生成AI利活用ニーズやユースケースを調査・整理して効果的な実行計画を策定するプロジェクト推進支援タスクや、生成AI利活用人財育成を目的とする人財育成支援タスク等があります(下の図を参照)。各タスクが連携することで、三部先生のおっしゃるような目的ベースかつ実践に即したルール策定や教育コンテンツ作成をしていきたいと考えています。

中外製薬の生成AI活用における推進体制

三部:中外製薬さんには率先してそうした体制を立ち上げて、この分野のリーダーになって欲しいと期待しています。
 
山見:ありがとうございます。製薬企業として、ヒト由来データ*などの情報などの取扱いには特に注意を払いながら、生成AIをはじめとした様々な技術を利活用できる体制づくりに努めていきます。

*ヒト由来データとは:人の健康に関する情報および人体由来の試料から取得されるデータ。関連記事はこちら https://note.chugai-pharm.co.jp/n/n7750d4d92265

―リスク対策とツール活用を同時に企業が進めていく中、社員はどのようなマインドセットをもつべきでしょうか

 徳丸:社員一人ひとりのモチベーションが重要だと考えています。「生成AIを使ったら毎日の仕事はこう変わる」というワクワク感を実感してもらうために適切なルールを整備し、リスクに対しては教育やアウェアネスを通して社員に学びを提供できればと考えています。
 
三部:社員の皆さん一人一人が「生成AIを使ったら未来はどう変わるのか?」と、具体的にイメージできる力を身につけることは大事ですね。AIを活用することで輸出量が増加したり、売上利益が伸長したり、海外へのサービスにつながって外貨獲得の鍵になったりする可能性は大いにありますし、国内においても地域振興や地域活性の起爆剤になるかもしれません。ぜひ、社員の皆さん一人一人が「自社のビジネスに合わせたリスクって何だろう?」と考える力を養うとともに、国内外の各種の法律やルールなどに沿った、実践的なリスク対策を講じて欲しいと思います。

あわせて読みたい

インタビュア:桑子朋子(中外製薬株式会社 デジタル戦略推進部/広報IR部)