EYとは、アーンスト・アンド・ヤング・グローバル・リミテッドのグローバルネットワークであり、単体、もしくは複数のメンバーファームを指し、各メンバーファームは法的に独立した組織です。アーンスト・アンド・ヤング・グローバル・リミテッドは、英国の保証有限責任会社であり、顧客サービスは提供していません。
第5部はAI利用者がAIシステム・サービス利用時に必要な留意事項が列挙されています。「AI事業者ガイドライン(第1.0版)」(以下、「AI事業者ガイドライン」)にて示されている事項を理解し、AI利用者の状況に即した形で取り込むことが求められます。
要点
- AI利用者とは、事業活動において、AIシステム又はAIサービスを利用する事業者である。
- 事業活動以外でAIを利用する業務外利用者とは区別される。
- 具体的な対応の検討にあたっては、利用予定のAIシステム・サービスのもたらすリスクの程度及び蓋然(がいぜん)性、技術特性、各主体の資源制約等に配慮することが重要である。
「第5部AI利用者に関する事項」の説明
本記事では「AI事業者ガイドライン」の「第5部AI利用者に関する事項」について、AI利用者の留意点を説明します。
なお、本記事では具体例として、エントリーシートの文章で、応募者に対し合否を判断する“採用AI”を想定します。
1. AI利用者とは
AI利用者とは、実装したAIシステムをサービスとして利用する事業者です。
採用AIの例では、グループ会社人材採用担当が該当します。
出典: 総務省、経済産業省「AI事業者ガイドライン(第1.0版)」別添 www.meti.go.jp/press/2024/04/20240419004/20240419004-2.pdf
(2024年7月26日アクセス)に基づきEY作成
各グループ会社の人材採用担当者は、採用AIの結果を参考に、書類選考の合否を判断します。ここで混同しやすいのは業務外利用者の採用申込者です。採用申込者は事業活動外でAIに関係しており、業務で利用するAI利用者とは区別されます。補足ですが、ガイドラインに登場する「ステークホルダー」という言葉についても説明します。ステークホルダーは、AI開発者、AI提供者、AI利用者及び業務外利用者以外の第三者を含むAIの活用によって直接・間接の影響を受ける可能性がある全ての主体と定義されています。
2. AI利用者にとって重要な事項
AI利用者にとって重要な事項を説明していきます。7つの項目から構成されています。
出典: 総務省、経済産業省「AI事業者ガイドライン(第1.0版)」www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20240419_1.pdf(2024年7月26日アクセス)に基づきEY作成
AI利用者を検討する際に特徴的な点について2つ説明します。1つ目は、AI提供者が意図した範囲内でAIを利用することが求められるということです。これにより、AI提供者が定めた利用上の留意点を遵守した「安全を考慮した適正利用」やAI提供者によるセキュリティ上の留意点を遵守する「セキュリティ対策の実施」が重要な事項として関連することになります。2つ目は、AIの結果だけで判断するのではなく、人間の判断を介在させることの重要性です。これにより、「関連するステークホルダーへの説明」の箇所で、人間の判断を介在させることの説明が重要となるといった点につながることになります。
それではAI利用者にとって重要な事項のうち、代表的な4つの項目を紹介します。
3. 安全を考慮した適正利用
「安全を考慮した適正利用」の説明です。
「AI利用者は、AI提供者からの情報提供(AI開発者の情報を含む)及び説明を踏まえ、AIを活用する際の社会的文脈にも配慮して、AIを利用すべきである」という点がポイントになります。「社会的文脈にも配慮して」という説明がありますが、「AI事業者ガイドライン」は、事業者にとってのリスクだけではなく、社会一般に影響するリスクも想定しているところに特徴があります。
そして、「AI事業者ガイドライン」では次のような具体的な実施事項を示しています。
出典:
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20240419_1.pdf(2024年7月26日アクセス)
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」具体的なアプローチ検討のためのワークシート(別添7C)
view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.meti.go.jp%2Fshingikai%2Fmono_info_service%2Fai_shakai_jisso%2Fpdf%2F20240419_6.xlsx&wdOrigin=BROWSELINK(2024年7月26日アクセス)に基づきEY作成
- 利用上の留意点
AIシステム・サービスを利用する際、採用AIの提供者が想定しない利用をしてしまうこと、例えばAI評価点をその後の人事評価に利用するといったリスクが想定されます。そのため、不適切な目的外利用を禁止する利用ルールを整備することが考えられます。また、ルールの整備に際してはAI利用に関するルールなのか、または採用業務に関するルールなのか、どちらで規制するのが適切か検討することが有用です。
- 適切なデータ入力
エントリーシートを入力する際、虚偽情報を含むデータを入力してしまうリスクが想定されます。そのため、整合性や誤字脱字がないかチェックするといった、予測対象とするエントリーシートが適切であることを確かめることが考えられます。
- 出力結果の利用
AIの出力結果の利用の際、出力結果を第三者に提供してしまうリスクが想定されます。そのため、参照できる権限を制限するといったリスクシナリオの中で人材採用担当者側で対応すべきリスクコントロールを認識することが考えられます。
4. 個人情報の不適切入力とプライバシー侵害への対策
「個人情報の不適切入力とプライバシー侵害への対策」の説明です。
「AIシステム・サービスの利用に際しての個人情報の取扱いに関しては、個人情報保護委員会の『生成AIサービスの利用に関する注意喚起等』等も参照の上、個人情報保護法の規律に従って、個人情報を適正に取り扱うべきである」という点がポイントになります。個人情報保護法といった関連法規も遵守する必要があり、個人情報をグローバルに取り扱う場合には、諸外国の法令の適用に関しても配慮することが必要となります。
そして、「AI事業者ガイドライン」では次のような具体的な実施事項を示しています。
出典:
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20240419_1.pdf(2024年7月26日アクセス)
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」具体的なアプローチ検討のためのワークシート(別添7C)
view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.meti.go.jp%2Fshingikai%2Fmono_info_service%2Fai_shakai_jisso%2Fpdf%2F20240419_6.xlsx&wdOrigin=BROWSELINK(2024年7月26日アクセス)に基づきEY作成
- 個人情報の入力
エントリーシートを入力する際、個人情報を不適切に入力してしまう可能性がリスクとして想定されます。しかし、入力情報は申込者のエントリーシートであり、個人情報が入力されても前処理で個人名は削除される運用で、名前以外の個人情報と名前がひも付かず、個人情報の不適切入力にはならないため、検討の対象外と整理できます。このように想定リスクに対応可能であることを説明できれば検討を省略できる可能性があります。
- プライバシー侵害
個人情報を取得、利用する際に個人情報保護法の規定に違反する可能性がリスクとして想定されます。そのため、通常の人事業務の内部統制として、キャリアコンサルタント及び申込者に対して事前にデータの利用範囲及び利用目的を説明し、同意を得ることが考えられます。
5. セキュリティ対策の実施
「セキュリティ対策の実施」の説明です。
「AI利用者は、セキュリティが侵害された場合に講ずるべき措置について、AI提供者から情報提供(AI開発者の情報も含む)があった場合には、AIシステム・サービスの利用にあたり留意することが望ましい」という点がポイントになります。また、セキュリティ上の疑義を感じた場合に関係者と連携することが重要となります。
そして、「AI事業者ガイドライン」では次のような具体的な実施事項を示しています。
出典:
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20240419_1.pdf(2024年7月26日アクセス)
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」具体的なアプローチ検討のためのワークシート(別添7C)
view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.meti.go.jp%2Fshingikai%2Fmono_info_service%2Fai_shakai_jisso%2Fpdf%2F20240419_6.xlsx&wdOrigin=BROWSELINK(2024年7月26日アクセス)に基づきEY作成
- セキュリティ上の留意点
採用AIについて、AI提供者が意図しない振る舞いによりAIシステムに蓄積された個人情報が流出してしまうリスクが想定されます。そのため、社内の情報セキュリティのルールを遵守することやセキュリティ上の疑義を感じた場合は、開発部門等にその旨を報告することが考えられます。
- 機密情報の入力
エントリーシートを入力する際、個人名の削除漏れにより個人情報を不適切に入力してしまう可能性が想定されます。そのため、データ入力時に機密情報等の不適切入力を行っていないかダブルチェックを行うことが考えられます。
6. 関連するステークホルダーへの説明
「関連するステークホルダーへの説明」の説明です。
「AI利用者は、業務外利用者がAIの活用について適切に認識できるよう、AIに関する利用方針を作成・公表し、通知を行うことが期待される」という点がポイントになります。AIについての説明責任を果たすことがサービス継続にとって重要になるということです。
そして、「AI事業者ガイドライン」では次のような具体的な実施事項を示しています。
出典:
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」www.meti.go.jp/shingikai/mono_info_service/ai_shakai_jisso/pdf/20240419_1.pdf(2024年7月26日アクセス)
総務省、経済産業省「AI事業者ガイドライン(第1.0版)」具体的なアプローチ検討のためのワークシート(別添7C)
view.officeapps.live.com/op/view.aspx?src=https%3A%2F%2Fwww.meti.go.jp%2Fshingikai%2Fmono_info_service%2Fai_shakai_jisso%2Fpdf%2F20240419_6.xlsx&wdOrigin=BROWSELINK(2024年7月26日アクセス)に基づきEY作成
- 平易な情報提供
採用AIの利用に関して、平易な情報提供がなされずに採用申込者などのステークホルダーの理解が得られず、データが提供されない可能性がリスクとして想定されます。しかし、採用AIの場合、関連するステークホルダーは直接利用しないため、検討の対象外と整理できます。
- 事前の情報提供
採用AIの利用に関して、事前の情報提供がなされずに採用申込者の理解が得られず、応募されない可能性がリスクとして想定されます。そのため、申込者に対して、事前にデータの利用範囲等について情報提供をすることが考えられます。
- 説明責任
事業者が説明責任を果たさない結果、採用申込者の理解が得られず、応募されない可能性がリスクとして想定されます。そのため、申込者に対して、エントリーシートの合否判断の過程でAIを利用する旨をエントリーシート記入依頼時に通知することが考えられます。
- 問い合わせ対応
採用AI利用に関して、採用申込者からの問い合わせに対応しない結果、理解が得られずに応募されない可能性がリスクとして想定されます。そのため、申込者からの問い合わせメールフォームを設置し、対応を行うことが考えられます。
7. まとめ
AI利用者の留意点の説明をしてきましたが、事業者がアプローチを検討する際には、AIサービスの利用により想定されるリスクを踏まえて検討することが効果的かつ効率的なアプローチ策定につながります。
【共同執筆者】
薄井 貴史
(EY Japan Technology Risk マネージャー)
サマリー
AI利用者は、AI提供者から安全安心で信頼できるAIシステム・サービスの提供を受け、AI提供者が意図した範囲内で継続的に適正利用及び必要に応じて AIシステムの運用を行うことが重要であり、より効果的なAI利用のために必要な知見を習得されることが期待されています。