規制一辺倒の時代は終焉──AIガバナンス“潮目”の2025年、経営層の「法的義務」にどう備える？

取締役の“法的義務”となったAIガバナンス体制構築

　企業経営における重要な変化として挙げられるのが、「取締役の法的責任の明確化」である。羽深氏は日本銀行が2025年6月に公表した報告書を引用し、「取締役は、内部統制システムの一環としてAIガバナンス体制の構築義務を負う」必要があることを示す。これは単なるガイドラインではなく、「AIから生じるリスクについて、取締役が把握できるような統制システムを整備しておく必要がある」という会社法上の法的義務を意味する。

　特に認識しておきたいのが、「支援型AI」と「自律型AI」の管理手法の違いだ。

　「人間の判断をサポートする支援型AIは、従来のAIガバナンス体制でも対応できます。一方、人の介入なく動作する自律型AIでは、単に人がコントロールしていればOKということではなく、モニタリングをすること、さらには検証可能性や異議申し立て制度を整備することなどが必要です」（羽深氏）

　この実践的アプローチとして同氏が提唱するのが、「二重ループ」によるリスクマネジメントである。これは日本の「AI事業者ガイドライン」や米国NISTの「AI Risk Management Framework」、リスクマネジメント手法の国際標準「ISO31000」に共通する構造だという。

　 第一のループは、現場・システムレベルでの日々のPDCAサイクル。第二のループは、組織全体の仕組みについての継続的検証とアップデートだ。羽深氏は「現場レベルだけでなく、組織・トップマネジメントレベルでのフィードバックサイクルを回すことで、未知の脅威にも対応できる迅速な検知とレジリエンスが確保できます」と述べる。

　 この二重ループ機能には「横と縦の連携」が不可欠だ。横の連携とは、企画段階からリスク部門と事業部門が協力することを意味する。縦の連携では、重大なリスク情報のみ経営層に上げる仕組みが重要となる。「すべてを報告すると上層部はパンクします。基準を設けたエスカレーション体制の組織設計が必要です」と羽深氏は指摘する。こうした報告基準の参考になるものとして、政府の「生成AI調達ガイドライン」に含まれるハイリスク判定基準を挙げ、活用を推奨した。

自組織のシナリオをベースにリスクの洗い出しを

　AIガバナンスにおける最大の困難は、その「多次元性」にある。羽深氏は「ライフサイクル、業界、リスクの種類、ルール、国や地域の問題といった様々なレベルの変数を考慮して、最終的にガバナンスのやり方を決めていく必要があります」とその複雑性を示す。

　さらに、対策手法に関しても様々な観点からリスク検討を行うことを提言した。「単に技術的な精度を向上させるだけでなく、組織レベル、ルールのレベル、あるいは契約・保険、最終的な訴訟リスクまで、あらゆる観点から考慮する必要があります」と多層的なアプローチの重要性を強調する。この実践的な取り組み手法として、羽深氏は「組織におけるリスクシナリオを検討し、自組織のボトルネックを特定した上でガイドラインを参照する」というやり方を推奨した。

　最後に羽深氏は、AIガバナンスの文脈で語られる課題の多くが「AIに限った話ではなく、人権・環境・デジタルとあらゆる領域で共通して必要となるもの」であることを指摘。適切なガバナンス体制下でAIを活用する重要性について次のようにコメントした。

　「不確実な社会における新たなリスクマネジメントのアプローチとしてAIガバナンスの観点を考慮し、そのガバナンスを行った上でAIを積極的に使っていくことが、日本全体をより元気にするために不可欠です」（羽深氏）