取締役会がAIに求めるべきもの：評価、監査、保証

Erika Fille T. Legara著

以前のBusinessWorldの記事で、AIガバナンスは少数のテクノロジープロジェクトを監督するだけでなく、組織全体のAI駆動による意思決定が戦略、リスク許容度、倫理基準に沿ったものであることを保証することを含むと論じました。取締役会にとって自然な次の質問は、期待値を設定する以外に、組織はAIシステムが実際に意図したとおりに、責任を持って、定義された境界内で機能していることをどのように検証するのか、ということです。

答えは、関連しているが異なる3つの分野にあります。AIリスク評価、AI監査、AI保証です。財務監督に精通している取締役会は、その論理を直感的に理解できるでしょう。課題であり、機会でもあるのは、同じ規律をAIに適用することです。

3つの異なるが関連する概念
これらの用語が何を意味するのかを正確に理解することが重要です。なぜなら、これらは互換的に使用されることが多いのですが、そうすべきではないからです。

AIリスク評価とは、組織がAIシステムに関連するリスクを特定、評価、優先順位付けする内部プロセスです。何が間違う可能性があるか、その可能性はどのくらいか、影響はどのようなものかを問います。これはすべての基盤となるものです。信頼できるリスク評価がなければ、監査も保証も意味のある基準を持つことができません。重要なAIシステムはあらゆる分野に存在します。銀行の信用スコアリングモデル、病院の患者トリアージツール、大学の学生パフォーマンス予測、政府機関のケース優先順位付けシステムなどです。これらに共通するのは、実際の人々に意味のある形で影響を与える出力を含む結果です。

このようなシステムについて、リスク評価は体系的で、文書化され、モデルが進化し、運用環境が変化するにつれて定期的に見直されるべきです。

AI監査とは、AIシステム、またはそれを取り巻くガバナンスフレームワークが、定義された基準、方針、または要件に適合しているかどうかを独立して検証することです。これは、レビュー対象のシステムに責任を持つ者から十分に独立した当事者によって実施される、証拠に基づくプロセスです。AI監査では、組織のAI管理実践が、2023年に公開された世界初のAI管理システム標準であるISO/IEC 42001などの国際的に認められた標準に適合しているかどうか、または特定のモデルが承認されたパラメータ内で機能し、意図しないバイアスがないかどうかを評価する場合があります。重要なことは、2025年7月に公開された監査人自身を管理する標準ISO/IEC 42006が、AI管理システムを監査および認証する機関に求められる能力と厳格さを定めていることです。つまり、監査専門職は、AIエンゲージメントに対する自らの説明責任を正式化し始めています。

AI保証とは、その監査プロセスから生まれる、利害関係者向けの正式な結論です。これは、資格を持つ独立した当事者によって発行される専門的意見であり、取締役会、規制当局、投資家、一般市民に、AIシステムまたはAI管理フレームワークが定義された基準を満たしているという確信を与えます。保証とは、内部レビューを信頼できる外部シグナルに変換するものです。

AI保証の基盤
独立保証の概念は、取締役会にとって新しいものではありません。毎年、外部監査人が組織の財務諸表を検証し、意見を発行します。これは証拠に基づいた結論であり、国際的に認められた基準の下で実施され、監査人の専門的独立性に裏付けられています。その意見が重みを持つのは、それを管理するフレームワークが厳格で確立されているからです。この論理は業界に関係なく適用されます。組織が銀行、病院、コングロマリット、公的機関のいずれであっても、財務監査は馴染みのある信頼できるメカニズムです。

同じ論理が今、AIに適用されます。組織がAIシステムについて公的または規制上の主張を行う場合、それが公正で、透明性があり、定義された基準に準拠し、重大なバイアスがないという主張について、疑問が生じます。誰がその主張を独立して検証し、どのような専門的フレームワークの下で行うのか?

会計および監査専門職にとっての答えは、国際監査・保証基準審議会(IAASB)が発行する国際保証業務基準であるISAE 3000です。ISAE 3000は、過去の財務情報以外の事項に関する保証業務を管理しており、AI保証の自然な拠点となっています。この基準の下で、専門家は、財務監査に類似した高い基準である合理的保証業務、またはレビューに近い深さの限定的保証業務のいずれかを実施できます。レベルの選択は重要であり、問題となるAIシステムの重要性とリスクに合わせて意図的に調整されるべきです。

現代の類似例は、サステナビリティまたはESG保証です。多くのフィリピン上場企業は、しばしばISAE 3000の下で、サステナビリティ開示に関する独立保証を依頼しています。メカニズムはまったく同じです。独立した実務家が定義された基準に対する一連の主張を検証し、正式な結論を発行します。対象となる事項は異なりますが、専門的規律は変わりません。

取締役会への意味
このフレームワークから3つの実践的な意味が導き出されます。

第一に、取締役会は、組織が重要なシステムに対して厳格なAIリスク評価を実施したかどうかを問うべきです。一度きりの演習ではなく、モデルが再訓練され、使用事例が拡大し、規制環境が進化するにつれて更新される生きたプロセスです。下流の監査および保証作業の質は、それに先立つリスク評価の質と同程度にしか良くありません。

第二に、取締役会は内部AI監査と外部AI監査を区別すべきです。内部監査機能は、AIコントロールが設計どおりに機能していることを保証する上で重要な役割を果たします。ただし、取締役会は、重要なAIシステムの独立した第三者監査が必要かどうかも検討すべきです。特に、顧客、従業員、または一般市民に重大な影響を与えるシステムについてはそうです。財務監査と同様に、独立性は信頼性を強化します。

第三に、組織が規制当局、投資家、およびサービスを提供するコミュニティに対してAI実践について公的コミットメントをますます行うようになっているため、取締役会は、これらのコミットメントが信頼できる保証に裏付けられているかどうかを問うべきです。独立した検証のない主張は、せいぜい具現化を待つレピュテーションリスクです。

能力を構築中の専門職
現在の限界を認識せずにこの状況を提示することは不完全でしょう。AI保証のインフラストラクチャはまだ構築中です。専門基準が出現しています。機械学習、アルゴリズムバイアス、データガバナンス、モデルの透明性にまたがるAIにおける監査人の能力は、専門職全体で均一に開発されていません。ISAE 3000は保証フレームワークを提供しますが、その中にあるAI固有の方法論はまだ成熟しています。

正式な保証を追求する準備がまだできていない組織にとって、これは立ち止まる理由ではありません。重要なAIシステムの構造化された定期的な評価は、意味があり実用的な最初のステップです。これは、保証準備が最終的に必要とする内部規律、文書化、ガバナンスの習慣を構築します。今日、非公式であってもそのような評価を依頼する取締役会は、規制上の期待が厳しくなり、利害関係者の精査が強化されたときに重要となる組織的筋肉を発達させています。

この見解は、規制がテクノロジーに追いついていない経済における生成AIガバナンスを検証する同僚と開発してきた研究でより深く探求したものです。中心的な議論は、企業はすでに利害関係者に対する既存の倫理的義務を持つ道徳的主体であり、特注のAI法制を待つことは責任あるガバナンスにとって必要でも十分でもないということです。行動する義務はすでにあります。必要なのは、それを実行に移す組織的意志です。

これは取締役会がより広いアジェンダを待つ理由ではありません。これは、専門職の能力が需要に追いついたときに組織が意味のある形で関与する準備ができているように、外部監査人、内部監査機能、経営チームに対して今、情報に基づいた質問をする理由です。

財務監査は完全に形成された状態で現れたわけではありません。独立監査が今日の信頼できる制度になるまでには、基準設定、専門的開発、企業の失敗からの厳しい教訓など、数十年かかりました。AI保証は同等の初期変曲点にあります。今それに取り組み、監査人により鋭い質問をし、経営陣の主張以上のものを要求し、規制当局が要求する前に内部能力を構築する取締役会は、自らのエクスポージャーを減らすだけではありません。彼らは、フィリピンの組織とより広い地域にとって、責任あるAI説明責任がどのようなものであるかを形作る手助けをするでしょう。

Erika Fille T. Legaraは、政府、学界、産業界で活動する物理学者、教育者、データサイエンスおよびAI実務家です。彼女は、Education Center for AI Researchの初代マネージングディレクター兼チーフAIおよびデータオフィサーであり、Asian Institute of Managementの准教授およびAboitiz Data Science講座を務めており、2017年から2024年まで国内初のデータサイエンス修士プログラムを設立し、率いました。彼女は企業の取締役を務め、Institute of Corporate Directorsのフェローであり、IAPP認定AIガバナンス専門家であり、CorteX Innovationsの共同創設者です。