AIプロジェクトを成功に導く4つの質問 法的、コンプライアンスの観点から：CIO Dive

ITリーダーはリスクを抑制するために法的影響を考慮しなければならない。AIとデータのコンプライアンスに関連する4つの質問を確認しよう。

[Lindsey Wilkinson，CIO Dive]

　企業はAIプロジェクトを開始する前に、どのユースケースを追求するか、どのガードレールを実装するかをはじめとして、多くのことを考慮する必要がある。良いアイデアの背後には多くの法的影響が潜んでおり、CIO（最高情報責任者）は慎重に対応しなければならないのだ。

AIプロジェクトを検討するCIOのためのコンプライアンスに関する4つの質問

　複数の国と地域のAIに関する法律や規制に準拠することは容易ではない。プロジェクトの将来性を確保しようとしても複雑さは増すばかりだ。

　法律事務所であるDebevoise and Plimptonにおいて、データ戦略およびセキュリティチーム、ホワイトカラーおよび規制防衛グループに所属するマーサ・ハースト氏（アソシエイト）は、IAPPのグローバルプライバシーサミットにおける2025年4月24日のパネルディスカッションで次のように述べた（注1）。

　「微妙に異なる法規制の全てをガバナンスプログラムで回収する必要がある。これは非常に難しいことだ」

　2025年4月21日の週に開催されたイベントにおいて、パネリストたちは「企業はAIのリスクを抑制しながらイノベーションの実現を可能にするプロセスとガバナンスの構築を目指すべきだ」と述べた。

　以下は、CIOがAIプロジェクトを計画および推進する際に考慮すべき法的な意味を持つ4つの質問だ。

ユースケースに高いリスクがあるか

　通常、AIのユースケースが（電力やガス、鉄道、空港などの）重要インフラや雇用機会、生体認証に関わる場合、そこには高いリスクがあると見なされる。気付かないうちに、例えば人事部門でのAI活用などを通じて、企業内にこれらのユースケースが存在する場合がある。

　医薬品会社のGSKでHRプライバシーおよびデジタル、リスクの領域におけるグローバル責任者を務めるシンシア・ビルブロウ氏は、2025年4月24日のパネルディスカッションで「企業は従来の採用プロセスを活用するのに苦労している」と述べた。

　リーダーがAIを使って応募者を選別する場合、企業が法律違反に問われる可能性がある。AIが作成した結果にはバイアスが含まれている可能性があり（注2）、差別禁止法に違反している場合があるのだ。

　リーダーがハイリスクなユースケースを進める計画を立案している場合、企業は予防措置を講じる必要がある。意思決定者は、罰金やその他の影響を避けるために、自動化された意思決定に対するガードレールを要求する法律についても理解を深めるべきだ。

AIをどのエリアで使うのか

　既存の規則や規制に準拠することを確実にするためには、企業はAIツールがどこで使用されているかを正確に把握する必要がある。法律は管轄区域ごとに異なるためだ。

　IBMのクリスティーナ・モンゴメリー氏（バイスプレジデント兼チーフ・プライバシーアンドレスポンシブル・テクノロジーオフィサー）は、パネルの中で次のように述べた。

　「プライバシーに関連する法律は140ある。EUにはAI法があり、現在ほぼ全ての管轄区域でAIは規制されている」

　一部の組織は、規制に関するアプローチの違いを乗り越えるために最も高い基準への準拠を目指している。

　自動車メーカーFord Motor Companyのステファニー・ウェストフィールド氏（シニアプライバシーカウンセル）は、パネルディスカッションで次のように述べた。

　「分断されたアプローチは通用しない。今こそグローバルなアプローチをどのように調整するかを検討し、最高の基準を見つけるときだ」

データはどこから来て、何に使うのか

　質の高いデータはAIをより良くする（注3）。しかし、AIシステムに何を学習させるか、また従業員がどのような情報を入力してよいかについては、組織ごとに許容できる範囲が異なる。

　ファストフード企業のThe Wendy’s Companyでグローバルデータ保護やプライバシー、リスクの分野を担当する責任者のブリゲット・ガイヤー氏は「全てのプロジェクトが開始前にリスクレビューのプロセスを経る」と述べた。同氏によると、初期評価の一環として、チームは実際のデータを使用するか、合成データを使用するかを検討するという。

　合成データには個人を特定できるような情報は含まれていないため、組織はEUの一般データ保護規則のようなプライバシー法に適合した状態を構築しやすくなる。正しく実施すれば、合成データの使用は実際のデータセットに存在する歴史的なバイアスの軽減にも役立つ。

　企業はデータマッピングの演習からも利益を得られる。

　電力企業のVistraでAIおよびプライバシー、サイバーセキュリティを担当するアンバー・コルドバ氏（法律顧問）は、パネルディスカッションで次のように述べた。

　「整理整頓を心掛けよう。データマッピングは誰もやりたがらない作業だが、それが非常に重要であり、リソースを投入する価値がある」

自社開発か購入か

　2025年4月21日の週に開催されたイベントで、複数の専門家は「第三者リスクを管理する必要性を過小評価することはできない」と述べた。

　テクノロジーリーダーは、第三者組織が自社のシステムに入力された情報をどのように使用する計画なのか、バイアスを制限し、リスクを減らし、責任ある慣行を促進するためのガードレールがどのように設定されているのかを理解すべきだ。

　多くの場合、企業は一般的な契約書のひな型に含まれている内容以上に踏み込んでリスク管理を行いたいと考えている。主要なプロバイダーが提供している著作権補償などでは不十分だと感じているのだ。

　パネリストたちは、契約に基づいてベンダーから追加情報を要求したり、AIによる潜在的な不具合に対する保護を求めたりすることについて議論した。CIOは交渉中にプライバシー担当者を頼りにして（注4）、回避可能なリスクを見極められる。

出典：4 compliance questions for CIOs considering AI projects（CIO Dive）
注1：Why AI adoption calls for more collaboration between privacy, IT leaders（CIO Dive）
注2：Generative AI users say outputs show bias, lack detail（CIO Dive）
注3：How CIOs can course-correct data strategies with AI goals in mind（CIO Dive）
注4：Why AI adoption calls for more collaboration between privacy, IT leaders（CIO Dive）

原文へのリンク