正しく理解したい導入リスクを整理
情報システム部(以下、情シス)の変革の一助になることを目指し、企業が生成AIを導入するにあたって情シスが留意すべき論点について考えたい。今回は前編の続きとなる論点3と論点4、さらには情シス自身に求められる変革について解説する。
- 論点1:どのようにして生成AIアイディエーション、ユースケ―スを創出するか
- 論点2:生成AI全社導入におけるエンタープライズITの検討ポイントは何か
- 論点3:生成AIにおけるリスクと適切な生成AIガバナンスは何か
- 論点4:情報システム部門も含めた社内リテラシー向上は必要か
論点3:生成AIにおけるリスクと適切な生成AIガバナンスは何か
生成AIがもたらすリスク領域として、大きく「法律リスク」「技術リスク」「倫理リスク」の3つが挙げられる。「法律リスク」は国や国際機関が定める法律や規則への非遵守に関するリスク群、「技術リスク」は技術特性に起因したネガティブな要素や脆弱性への攻撃などに関するリスク群、「倫理リスク」は国や国際機関が定める倫理原則への非遵守、また一般社会から企業に求められる配慮への不足に関するリスク群である。
図表2:生成AIに関する代表的なリスクと該当領域
[クリックすると拡大します]
生成AIに関する代表的なリスクとしては、ハルシネーション(虚偽情報の生成)、AI利用者からの機密情報漏洩、生成物の著作権/肖像権侵害、有害/差別的コンテンツの生成などがある。いずれも生成AIのもたらす新しいリスクだが、ひとたび発生するとこれまでのレピュテーションリスクなどと同様に、経営に大きなダメージを与えかねない。
ここで難しいのは、生成AIそのものには自らが嘘をついているという意識はまったくないことだ。学習した情報に基づき、質問されたことに対して最もふさわしいテキストを推論し、アウトプットしているだけである。それが正しい情報かどうかは判断していない。
情シスとしては、そのように事実と異なる答えを生成AIが吐き出してくるリスクがあることを認識しておく必要がある。その上でどのような対策が取れるだろうか。たとえば、インプットに使われる情報(参照データ)を情シス側として制限するのも一つの方法だ。競合他社の著作権/肖像権を侵害しないために、競合他社の情報は参照しないという仕組みにすることもできる。
生成AIを提供する側と使う側が分断しないようにすることも必要だ。ブラックボックス的に答えを出すだけではなく、いつ、どのデータソースを参照した結果なのかをユーザーに明示することも大事だ。そうすればユーザー側でもアウトプットを確認した上で、その後の業務活用に対して一定の判断ができるだろう。
また、生成AIが正確な情報をアウトプットしたとしても、それが差別的コンテンツであり、法律リスクや倫理リスクにつながることもある。これらを防ぐには、単純に技術的な側面だけでなく、自社のコンプライアンスなどに照らし合わせ、どこからが有害/差別的なのかといった判断を事前にしておく必要がある。先進企業では生成AI活用の活発化や事業化を促進するため、適切なガードレールを引いた上で、社内のコンプライアンス部門など他部署と連携しながら、生成AIリスク対応、ガバナンス組織の組成、ガイドライン策定、プロセス標準化を早期に行っている。
