AI原則実践のためのガバナンス・ガイドライン

毎週木曜日に配信している「データサイン・ランチタイムトーク」の模様をレポートします。

当記事で取り上げるのは以下の配信です。

• 配信日：2021年9月9日
• タイトル： AI原則実践のためのガバナンス・ガイドライン
• 発表者：データサイン代表取締役社長 太田祐一

人間中心のAI社会原則を実践するためのガイドライン

経済産業省は2021年7月9日から9月15日にかけて、「AI原則実践のためのガバナンス・ガイドライン ver. 1.0」に対する意見募集（パブコメ）を行いました。ガイドラインの概要をデータサイン代表取締役社長 太田祐一が紹介しました。

※パブコメは既に終了し、ガイドラインは公表されています

こちらのガイドラインは、経済産業省 商務情報政策局 情報経済課によってまとめられたもので、東京大学未来ビジョン研究センター 渡部俊也教授を座長とする有識者検討会が関わっています。

「ガイドラインのタイトルに『AI原則』とありますが、こちらは2019 年 3 月、内閣官房の統合イノベーション戦略推進会議が決定した『人間中心の AI 社会原則』を指し示しています」（太田）

その「人間中心のAI社会原則」に記されたAI社会原則とは、①人間中心の原則、②教育・リテラシーの原則、③プライバシー確保の原則、④セキュリティ確保の原則、⑤公正競争確保の原則、⑥公平性、説明責任及び透明性の原則、⑦イノベーションの原則の７つで構成されています。

今回のパブコメの対象となった通称、AIガバナンス・ガイドラインは、上記原則を実践するために作られた参考情報（法的拘束力はないが分野横断的なガイドライン）という位置付けです。

「本ガイドラインの概要に記された参考情報によると、OECDにおけるAIシステムの定義とは、人間が定義した目的のために現実または仮想環境に与える予測、推奨、決定を行うことができる機械ベースのシステムで、さまざまなレベルの自律性をもって動作するように設計されたものということです」（太田）

行動目標と実践例、AI原則からの乖離評価例などを示す

AIガバナンス・ガイドラインでは、AIシステムの開発・運用に関わる事業者が実施すべき行動目標を提示するとともに、それぞれの行動目標に対応する仮想的な実践例と、AI原則からの乖離評価例を参考情報として例示されています。

ガイドラインが対象とするAI事業者は、3つに大別されています。第一に、AIに分析処理させる元データを収集するデータ事業者、第二にAIシステム開発事業者、第三にAIシステムの運用に対して一定の責任を有するAIシステム運用者です。AIシステムを利用するユーザーは対象外となり含まれません。

行動目標としては21の項目が示されています。

その1つ、行動目標1-1では、「AIシステムを開発・運用する企業は、経営層のリーダーシップの下、AI システムから得られる正のインパクトだけではなく意図せざるリスク等の負のインパクトがあることも理解し、これらを経営層に報告し、経営層で共有し、適時に理解を更新すべきである」として、それに対する3つの実践例を挙げています。

実践例に関する記述の中には、Partnership on AI が2020 年 11 月にリリースしたThe AI Incident Database（AIID）を参照する有用性、およびその利用にあたっての留意点などが記されています。

効果的なガバナンス体制を作るには？

前出「人間中心のAI社会原則」の中で、プライバシー確保の原則については次のような記述があります。

「パーソナルデータを利用した AI 及びその AI を活用したサービス・ソリューションにおいては、政府における利用を含め、個人の自由、尊厳、平等が侵害されないようにすべきである」

「AI の使用が個人に害を及ぼすリスクを高める可能性がある場合には、そのような状況に対処するための技術的仕組みや非技術的枠組みを整備すべきである。特に、パーソナルデータを利用する AI は、当該データのプライバシーにかかわる部分については、正確性・正当性の確保及び本人が実質的な関与ができる仕組みを持つべきである」

このような原則に対してAIガバナンス・ガイドラインでは、アジャイル・ガバナンスの採用をAI事業者に提示しています。その狙いの1つは「ステークホルダーの共通認識の形成を通じて、各社の自主的な取り組みを後押し」することです。具体的な取り組み事項として「環境・リスク分析」「ゴール設定」「システムデザイン」「運用」「評価」「環境・リスク分析の再分析」とあります。

業界標準や先行する好事例の積極的な参照と継続的な情報収集、多様なステークホルダーとの対話・コミュニケーション、経営面からの人材育成への投資など、ガイドラインの随所から「各ステークホルダーがそれぞれ主体的にPDCAサイクルを回すことで、実践のAI原則からの乖離を防ぎ、行動目標の達成を目指していく」というガバナンス体制の重視がうかがえます。

「行動原則1-1は『環境・リスク分析』の1項目ですが、たとえばISMS（情報セキュリティマネジメントシステム）の認証を取得しているAI事業者であれば、すでにセキュリティインシデントの収集や対応への運用体制を構築していると思いますが、そのISMSのガバナンスを参考にしつつ前述AIIDなどを活用したプライバシーに関するインシデント情報の収集や経営層への報告などの対応を実践していくと、効果的なガバナンスを実践できるのではないでしょうか」と太田は指摘しました。

皆さんのご意見もぜひお聞かせください。