コンプライアンステクノロジーへの投資には、テクノロジーが適切かつ効果的に機能していることを確認するためのセーフガードを設ける必要があります。例えば、機械学習は、企業が販売取引の不正パターンを検出したり、問題のあるベンダーにフラグを立てたりするのに役立ちますが、偏ったデータや不十分なデータを使用すると、誤検知が発生する可能性があります。
犯罪者もAIを活用しています。AIシステムは、高度なマルウェアを開発し、失敗した攻撃から学習し、より確実性の高いフィッシングキャンペーンを作成できます。IBMの調査によると、AIと自動化を利用してこれらの攻撃を検出し、対応している企業は、そうでない企業よりもはるかに迅速にデータ侵害を発見し、侵害のコストを約 200万米ドル削減することができています。8 それにもかかわらず、侵害後にセキュリティ投資を増やすことを計画している組織は、調査対象の半数に過ぎませんでした。
また、組織は、データアクセスを制限し、説明責任を果たすべく内部統制のさらなる強化も検討する必要があります。不適切な管理は、 2023年にEYがEIスタジオズに委託した調査(英語のみ) で報告された内部リスクの中で、最も上位にランクされています。ワークフローにコントロールを組み込むことで、ミスや不正を削減し、主要なリスク領域に関する詳細なインサイトを提供するデジタル化されたコンプライアンス・スコアカードを作成します。
また、高度なデータ分析により、企業はリスク管理を戦略およびパフォーマンス管理と統合することができます。例えば、 EYグローバル取締役会リスク調査 2023(英語のみ)で報告されているように、新たなシナリオに対して常にさらされるリスクを包括的に分析することで、取締役会は戦略やビジネスモデルが実行可能かどうかを判断することができます。同報告によると、危機対応力の高い取締役会は、データとテクノロジーを効果的に活用し、リスクの早期発見と意思決定の向上に努めています。
コアバリューに沿った持続可能なデータおよびテクノロジー戦略の策定
テクノロジーの責任ある利用は、多くの企業にとって必ずしも戦略的な優先事項ではないかもしれません。 EYがEIスタジオズに委託した2023年の調査(英語のみ) では、回答者の半数近くが、ほとんどの国・地域で十分な規制が存在し、健全なデータガバナンスが必要とされているデータプライバシーに関する企業戦略が、自組織には欠けていると回答しています。
企業は、持続可能性の課題を優先するのと同じように、テクノロジーとデータを倫理的に活用するための包括的な戦略とビジョンを策定する必要があります。しかし、この分野でのテクノロジーの進歩は驚くべきものであり、EYグローバル取締役会リスク調査 (GBRS)2023によると、デジタルトランスフォーメーションから生じるリスクの監視が非常に効果的であると考えている取締役は3分の1未満に過ぎません。
ミッション・ステートメントは、企業がテクノロジーとデータをコアバリューに沿った適切かつ防御可能な方法でどのように管理するかを示すために不可欠です。例えば、アドビは、社会の利益のためにテクノロジーの責任ある利用を推進するというコミットメントを明確に提示しています。そのAI倫理原則は、有害なAIバイアスを回避し、その価値観に沿った仕事をするために、ソフトウエアメーカーが遂行すべき行動を記載しています。9
責任を持った信頼に足るAI を創造するための Microsoft のアプローチは、倫理と説明責任の両方の観点から導かれます。10 同社では、AIシステムが包括的で、信頼性があり、公正で、説明責任を果たし、透明性が高く、プライバシーを守り、安全であるよう、監督と指導を行う社内審査機関を設置するようテクノロジー開発者に求めています。
誠実さが利益と同じくらい重要であるという文化を育むことなしに、テクノロジーを倫理的に利用することは不可能です。例えば、フォルクスワーゲングループは、誠実さとコンプライアンスは、売上高、利益、製品品質、雇用主の魅力と同様に戦略的および運用上の優先事項であると表明しています。11
IBMの調査によると、データ侵害の平均コストは2023年に約450万米ドルに増加しました。12 規制当局による罰金も増加傾向にあり、MetaはGDPR違反で12億ユーロの制裁を科されました。13
テクノロジーとデータの利用に関する倫理的で持続可能な戦略を策定しようとしている組織は、環境保護やグッドガバナンスなど、他の持続可能性への取り組みに使用されている手段を適用することができます。これには、目標と予算の設定、パフォーマンスの測定、進捗状況の公開報告が含まれます。しっかりとした持続可能性への取り組みは、ステークホルダーの懸念に対処し、求職者を引き付けるのに大いに役立ちます。
気候変動対策などの一部のサステナビリティ活動は、規制当局が上場企業に開示要件を設定しているため、すでに自主的なコミットメントからコンプライアンスに移行しつつあります。14 倫理的なテクノロジーに関する企業戦略と原則に対して、持続可能性の課題と同等に注力することが期待されています。
強固なガバナンスアプローチによりAIへの信頼を確保することは、AIの潜在能力を最大限に引き出すと同時に、AIの課題に対処しようとする 組織に対して、EYチームが推奨する5つの戦略的イニシアチブ(英語のみ) の1つです。このアプローチには、次のものが含まれます。
- AI 評議会または委員会を設置するとともに倫理原則を定め、方針や手続きの指針を示す
- 関連する既存の規制をすべて追跡し、新しいユースケースが準拠していることを確認する
- 新たなリスクに対処するためのコントロール機能の定義
- 施行予定の新たな法案に備える
AIやその他の新しいテクノロジーの倫理的な利用を優先するには、リーダーが正しいことをするうえで、口先だけの「言行不一致」に陥らないように注意する必要があります。このギャップは、the EYグローバル・インテグリティ・レポート2022 で明確に示されており、取締役会メンバーの58%が、自分の決定に対して世間から厳しい視線が注がれることなった場合、非常にまたはかなり懸念すると回答し、42%が、自社はハイパフォーマーやシニアパフォーマーの非倫理的な行動を容認していると回答しています。
生成AIの台頭がもたらす新たな機会とリスク
2つのドアを想像してみてください。1つには「テクノロジーの機会」のラベル、もう1つには「テクノロジーリスク」というラベルが付されています。あなたはどちらのドアを最初に開けますか?あなたの組織にとってどちらがより重要ですか?何があなたの行く手を阻み、誰があなたを追い詰めているのでしょうか?
生成AIは、テクノロジーの導入において機会とリスクのバランスを取ることをこれまで以上に困難にしています。2023年に広く普及したことで、AIの欠点とともにあらゆる種類の可能性に対する認識が高まりました。大衆は、AIが誤った情報や偏った結果を生み出したり、彼らの仕事を奪うのを防ぐにはどうすればよいかを知りたいと考えています。
ChatGPT のような大規模言語モデル (LLM) は、膨大な数のドキュメントを分析し要約できる機能により、法務部門やコンプライアンス部門にとって大きな変革をもたらしつつあります。しかし、プライバシーやサイバーセキュリティのリスクに精通した専門家は、AIに起因する新たな脅威を評価するのに苦労するかもしれません。私たちはすでに、弁護士がAIによって捏造された事例を引用しているのを目にしており、そのアウトプットに対する他のインテリジェントツールや人による検証が不可欠となっています。
生成AIの使用を禁止することで生成AIのリスクを軽減しようとする組織は、この戦略が裏目に出る可能性があります。2023 年 7 月にロイターとイプソスが実施したオンライン世論調査では、従業員の 4 分の 1 以上が職場で OpenAI ChatGPT を定期的に使用していると回答しましたが、雇用主が明示的に許可していると答えたユーザーは 22% にとどまりました。 15 会社が承認した生成AIツールの使用に制限すると、その制限を回避しようとする動きが生じる可能性があるため、組織全体でどのようにAIにアクセスするかにかかわらず、ポリシー、標準、手順を策定することが重要になります。
生成AIの利用を許可している企業であっても、生成AIがどのように利用されているか、それに伴うリスクの全体像を把握していない可能性があります。MITの調査によると、AIの失敗の半分以上は、世界中の組織の78%で使用されている「シャドーAI」またはサードパーティツールによるものです。16
生成AIへの投資を検討している企業は、解決しようとしている問題とデータが果たす役割に焦点を当てる必要があります。組織には必要なデータがありますか?データがどのように生成されたか、その制限や、それが何を表しているかを理解していますか?そのデータを使ってLLMを作成できますか?適切なデータガバナンスの欠如は、偏った結果からデータ侵害に至るまで、多くのリスクを引き起こす可能性があります。たとえ企業がこれらすべてを正しく理解していたとしても、リーダーシップ、投資家、従業員、その他のステークホルダーが理解できる形で対策を伝えようとする際に、しばしばほころびが生じます。
現実には、最初にどのドアを開けても、結局同じ部屋にたどり着くことになります。ゲームチェンジャーとなる可能性を秘めた新しいテクノロジーは、戦略的に対処しなければならない多くの法的リスクや風評リスクと常に絡み合っています。
