コンプライアンスオフィサーに人工知能に関する一番の懸念事項について尋ねると、おそらくプライバシーに関することを口にするでしょう。これは単にAIのリスクが何であるかを知らせるだけでなく、企業がそれらのリスクにどのように対処すべきかに関するヒントも与えてくれます。
コンプライアンスオフィサーがAIとプライバシーリスクの関係について深く理解したいのであれば、米国下院の超党派人工知能タスクフォースの最近の報告書をまず読むとよいでしょう。12月に発表されたこの報告書は、AIの公共政策への影響を分類し、議員たちがAIの法制化を検討する際に念頭に置くべき目標を提言しています。
実際にそのような法律が制定されるかは今のところ不明です。いずれにせよ、この報告書のプライバシーに関するセクションでは、AIを懸念するコンプライアンスオフィサーが考慮すべき重要なトピックが取り上げられています。データがどのようにAIの成長を促進するかが説明されており、そしてそこから発生する可能性のあるコンプライアンスリスクの一部を解析して模倣することを可能にします。
たとえば、AIモデルは大量のデータを取り込むことで「学習」します。よく知られているAIツール (ChatGPTやその他の消費者向けツール) の中には、インターネット上のあらゆるデータを集めて学習するものがあります。自社で管理するデータに基づいて独自のAIシステムを構築している企業もあります。ただし、構築について追跡されていないため、自社開発の生成AIソリューションがいくつ社内で開発されているかを知ることは不可能です。
それらのAIの取り組みに潜むコンプライアンスリスクを考える
顧客やビジネス パートナーのデータをAIに取り込む前に、彼らから同意を得られない可能性があります。
プライバシーポリシーやユーザー契約を修正することで同意を確保したとお考えかもしれませんが、そのようなポリシーの微妙な変更は、連邦取引委員会やその他の規制当局の目には欺瞞的行為と映るかもしれません。
IT部門は、データが適切に入手されたものであることを確認することなく、外部のプロバイダーからトレーニングデータを購入します。
収集したデータについて必要なすべての許可を確保しても、AIは非常に賢くなり、誰かの未公開の個人データを推測できるようになります。(有名な話では、2012年に大手小売業者のマーケティングシステムが10代の顧客が妊娠していると推測し、マタニティ用品の割引券を彼女の自宅に郵送した際に、その事実が予期せず彼女の父親に知られてしまった事例があります)
それだけではありません。企業は、「合成データ」を使ってAIシステムを訓練することができます。これは現実のデータではないため、同意の問題を回避することができます。しかしながら、合成データで訓練されたAIは、十分に機能しない可能性があります。それは単に、コンプライアンスリスクと、AIがより悪い選択をするオペレーショナルリスクとを交換しただけに過ぎません。その結果、十分に訓練されていないAIが顧客を差別したり、未成年者に不適切なコンテンツを表示したりするなど、他のコンプライアンスリスクにつながる可能性もあります。
まだありますが、プライバシーの問題はAIのリスクと切り離せないということを大体お分かりいただけたと思います。そのため、コンプライアンスオフィサーが人工知能から生じるコンプライアンスの問題を理解しようとする際には、まずそこから始める必要があります。
準備段階での質問
このようなプライバシーの観点からコンプライアンスリスクを見てみると、企業が人工知能を活用し始める際に、コンプライアンスオフィサーの頭にいくつかの質問が浮かぶはずです。
組織内のAI担当者は誰か?AIの導入は技術部門を通じてコントロールされているのかもしれません。あるいは、AIの担当者は存在せず、さまざまなチームがそれぞれのやり方でAIを試しているのかもしれません。
どちらも、不適切な答えです。人工知能とそれに付随するリスクの管理はチームベースのアプローチであり、コンプライアンスオフィサーは必ずそのチームの一員でなければなりません。技術、法務、サイバーセキュリティ、財務部門も同様です。全部門が協力してAIリスクとその対処法を定義しなければなりません。
プライバシーポリシーを通じて、ユーザーに対して適切な情報開示を行っているか?ユーザーのデータ (個人情報またはその他の情報) がAIのトレーニングや意思決定の目的でどのように使用される可能性があるかについて、プライバシーポリシーやユーザー契約で開示すべき内容を理解するために、必要に応じて法律、プライバシー、または規制の専門家に相談してください。
何をもって明確かつ十分な開示とするかについては、規制当局によって見解が異なる可能性があることにご留意ください。連邦取引委員会、EU一般データ保護指令に基づいて活動する欧州のプライバシー規制当局、州の規制当局、そしておそらくその他の規制当局についても憂慮する必要があるでしょう。
適切で信頼できる情報源からトレーニングデータを入手しているか?例によって、第三者のリスクは常に存在します。企業には、AIの取り組みに協力する第三者が、本来あるべきでないデータを持ち込まないようにするためのメカニズム等 (契約管理、デューデリジェンス、データ検証テストなど) なども必要です。
AIが意図したとおりに機能していることを確認するためにどのようにテストを行うか?これは人工知能の新たな領域のひとつです。AIは望まない動作を行うように学習する可能性があります。悪いデータから誤った判断を下したり、予想外の行動を取ったりするかもしれません。いずれにせよ、AIシステムの出力は、その動作が自身のコンプライアンスリスクをもたらさないことを確認するために、綿密かつ定期的な精査が必要となります。
今すぐ準備しましょう
コンプライアンスオフィサーは、雇用主がAIを導入することを阻止することはできませんし、阻止すべきでもありません。しかしながらコンプライアンス担当役員は、賢く、リスクを認識した方法でAIを採用する上で、不可欠な存在になることはできます (そして理想的にはそうあるべきです)。
そのためには、リスク評価、規制変更管理、トレーニング、第三者リスク管理、レポート作成など、コンプライアンスオフィサーの強みを発揮できる能力が必要になります。それを効率的かつ大規模に行うために必要なツールやプロセス(AIを使用したAIを管理する見通しを含む) を検討してください。
同様に重要なのは、AIの導入を確実に成功させるために築く必要がある関係性を考慮することです。これには、IT、内部監査、法務、セキュリティチーム、そしておそらく企業の他の部署も含まれます。とりわけ、コンプライアンスをAI計画に最初から関与させるべきという考えを上級管理職が支持することが必要です。