AIガバナンスに委員会は要りません。4枚の紙で足ります
実践

AIガバナンスに委員会は要りません。4枚の紙で足ります

「AIガバナンス」と聞いて、委員会や分厚い規程集を思い浮かべ、「うちにはまだ早い」と棚上げしていないでしょうか。結論を先に言います。専任の情報システム担当がいない会社に、大企業式のAIガバナンスは要りません。要るのは四枚の紙です。使ってよいツール、入れてよい情報、確認が要る場面、困ったときの窓口です。この四枚を書いて配り、四半期に一回だけ見直します。それだけで、社員が安心してAIを使うための骨格は完成します。

「決めていない」ことが、いちばんのリスクです

ガバナンスの反対語は「厳しすぎる規制」ではなく「無規律」です。何も決めていない会社では、社員は各自の判断でAIを使います。経理担当が取引先の支払条件を貼り付けて要約させるかもしれません。営業担当が顧客リストごと翻訳にかけるかもしれません。逆に、慎重な社員ほど「使ってよいのか分からないから使わない」と手を止めます。事故と萎縮が、同じ社内で同時に進むのです。

導入の現場で繰り返し見てきた場面があります。ある会社で、仕事の速い社員が会議後すぐに議事録を配ろうと、顧客の社名も担当者の氏名も入ったままの全文を、個人契約の無料AIツールに貼り付けて要約させていました。本人に悪気はまったくなく、むしろ「早く共有しよう」という善意です。指摘されて初めて、会社の管理が及ばない社外のサービスへ顧客情報を送っていたと気づき、顔色を変えていました。一方で別の会社では、あいまいな「AI利用は当面禁止」という通達だけが出た結果、文章の下書きも翻訳も全員が手作業に戻り、仕事が目に見えて遅くなっていました。事故も萎縮も、社員の資質の問題ではありません。どちらも「線が引かれていない」ことから生まれています。

なお、全面禁止がかえって隠れた利用を生むという問題は、別稿で扱う論点です。本稿は「最小限の決め事をどう作り、どう回すか」に集中します。

NISTの枠組みは重厚ですが、その精神は単純です

参照点として、米国の国立標準技術研究所(NIST)が2023年1月に公開した「AIリスクマネジメント・フレームワーク(AI RMF 1.0)」を挙げます。組織がAIのリスクを自律的に管理するための、法的拘束力のない公的な枠組みです。中核には四つの機能が置かれています。方針と責任の体制を作る「統治(Govern)」、リスクの文脈を把握する「把握(Map)」、リスクを分析し追跡する「測定(Measure)」、資源を割り当てて対処する「対処(Manage)」です。

四つの機能はさらに多数のカテゴリーと細目に分解され、実装を助ける手引書まで整備されています。あらゆる規模の組織を想定すると明記されてはいるものの、そのまま導入するには専任の担当者と相応の時間が必要です。ただし、体系の重さと精神の単純さは別物です。何を使うかを決め、何が起き得るかを把握し、危ない場面で確かめ、事故に備え、それを続ける仕組みを持つという精神は、組織の大きさを選びません。

四枚の紙が、四つの機能の最小形になります

四枚の紙は、この四つの機能を専任担当のいない組織向けに最小化したものです。一枚目と二枚目が「把握」、三枚目が「測定」、四枚目が「対処」、そして四半期の見直しが「統治」に当たります。もっとも、これは厳密な対応関係ではなく、考えの拠り所を示す目安です。書式は各一枚、箇条書き五行以内とします。それを超えたら削ってください。読まれない文書は、存在しないのと同じだからです。

一枚目は「使ってよいツール」です。会社として認めるAIツールを五つ以内で列挙します。判定質問は「そのツールの利用料を会社が払っていますか」。個人アカウントの無料ツールは会社の管理が及ばないため、原則として一覧から外します。

二枚目は「入れてよい情報」です。判定質問は「その情報が社外の誰かの画面に表示されたら困りますか」。困るなら入れません。氏名や連絡先、取引価格、未公開の図面が代表例です。骨子だけ先に示せば、情報は三つに分けられます。自社サイトに載せているような公開情報は入れて構いません。顧客名・個人情報・取引条件のような秘密情報は入れません。どちらとも言い切れない社内資料は、四枚目の窓口に確認してから使います。区分表の細かな設計は別稿で扱いますが、この一枚は判定質問と三区分、代表例だけで十分に働きます。

三枚目は「確認が要る場面」です。判定質問は「その出力が間違っていたら、社外の誰かに影響しますか」。見積書の金額、契約書の文言、採用応募者への連絡文は、送る前に必ず人が確認すると決めます。社内向けのメモや下書きは確認不要と明記し、確認の負担を危ない場面に集中させます。

四枚目は「困ったときの窓口」です。相談先を役職名ではなく個人名で一人決めます。判定質問は「まずい情報を入れてしまったとき、五分以内に相談できる相手の名前を全員が言えますか」。誤りが起きたあとの責任を誰が負うかという事前の割当は別稿に譲り、この一枚は「隠さずに言える先」を作ることに徹します。

「四枚では守り切れない」という反論に答えます

当然の反論があります。そんな粗い決め事で守り切れるのか、というものです。答えはこうです。ルールは読まれ、覚えられて初めて機能します。三十ページの規程集は配られた日に読まれなくなりますが、四枚なら朝礼で読み上げられます。四枚は完璧な網ではなく、よくある事故の大半を防ぐ最初の柵です。冒頭の議事録の一件も、二枚目の判定質問と四枚目の窓口が先にあれば、貼る前に手が止まったか、貼った直後に相談が来ていたはずです。柵を越える例外的な事態は、四枚目の窓口が拾います。

「文書が薄いと取引先に説明できない」という懸念も聞きます。実際は逆です。日付と改訂履歴の入った四枚は、決めて、配って、見直しているという体制の証拠になります。分厚いのに更新されていない規程よりも、取引先からの質問状に説得力を持って答えられます。

四半期に一回、三十分の見直しが「統治」になります

四枚を生かすのは見直しの習慣です。四半期に一回、三十分だけ確保し、三つの問いを立てます。「増やしたい、または減らしたいツールはあるか」「ヒヤリとした出来事はあったか」「確認が要る場面に過不足はないか」。答えを反映して改訂日を書き換え、また全員に配ります。見直しの席には、現場でいちばんAIを使っている社員を一人呼ぶと、机上の空論になりません。この反復こそ、NISTが「統治」と呼ぶものの最小形です。

冒頭に描いたような、ルールがなくて事故が起きる会社と、ルールが重すぎて誰も動けない会社は、決して極端な例ではありません。同じ組織の中に停滞と形骸化が同居していることさえあります。四枚の紙と四半期の見直しは、その両方に効く処方になります。

まず三十分で、一枚目を書きます

今日やることは一枚目だけです。最初の十分で、社内で実際に使われているAIツールを本人たちに聞いて回ります。とがめないと先に伝えるのが要点です。次の十分で、会社が費用を持つものを三つ以内に絞ります。最後の十分で、A4一枚に箇条書きし、改訂日と自分の名前を入れ、印刷して配るか社内チャットの固定投稿にします。末尾に「残りの三枚は今月中に配ります」と一行書けば、それが体制づくりの宣言になります。

委員会の設置を待つ必要はありません。今日、一枚目を書いて配ってください。来週に二枚目と三枚目を、再来週に四枚目を配り、手帳には三か月後の見直し三十分を先に入れてください。ガバナンスは重装備で始めるものではなく、薄い紙を配り、更新し続けるものです。

(出典注:米国国立標準技術研究所(NIST)「Artificial Intelligence Risk Management Framework(AI RMF 1.0)」2023年公開。AIのリスクを統治(Govern)・把握(Map)・測定(Measure)・対処(Manage)の四つの機能で管理する、法的拘束力のない公的枠組みです。信頼できるAIの開発と利用を組織が自律的に進めるための共通言語として整備されました。)