【世界の内部監査の潮流】第21回:AIにまつわる重大なリスクとは?
こんにちは、HIROです。私は現在、米国のシリコンバレーで「世界の内部監査のベストプラクティス」や「内部監査における生成AI活用」の研究とコンサルティングに取り組んでいます。このシリーズでは、日本の内部監査人が普段触れる機会の少ない「世界の内部監査」に関する最新情報を、迅速かつ分かりやすくお届けします。特に、アメリカの内部監査はその進化が日本より10年以上先を行くと言われており、非常に参考になるケースが多いと感じています。
今回は、私が尊敬している元内部監査人協会(IIA)の会長兼 CEOのRichard Chambers氏のブログ記事の内、2024年第9位のものをピックアップして、「AI(人工知能)にまつわる重大なリスク」についてお伝えしたいと思います。この記事を読むことで、AIがもたらす代表的なリスクや、内部監査人がそれらをどのように捉えて監査計画に反映すべきかについて理解することができます。
1. AIがもたらす重大リスクとは
1.1. 「どこから来た情報か」が不透明?―正確性と責任範囲のあいまいさ
AIという言葉を耳にしたとき、まずイメージされるのはチャットボットや画像認識、自動運転など、私たちの生活を便利にしてくれるテクノロジーでしょう。ですが、そうした機能が“どのようなデータ”や“どんなアルゴリズム”に基づいて動いているのかは、外部からはブラックボックスになりがちです。
たとえば自然言語処理を活用するチャットボットは、大量の情報を学習して“最適解”を導き出しているように見えますが、その学習データに誤情報やバイアスが含まれていれば、堂々と“間違った答え”を返す「幻覚(ハルシネーション)」が発生します。GoogleのBardやOpenAIのChatGPTといった先行事例でも、実際に誤情報を自信たっぷりに提示してしまうケースが目立ちました。
こうしたAIの誤りを「運用側が修正しきれない」状況は、企業のビジネスプロセスに大きな混乱をもたらしかねません。内部監査としては、「どんなデータをAIに学習させているか」「その精度をどう検証しているか」を調査し、経営陣がAIの情報を過度に信頼していないかをチェックする必要があります。
1.2. AIを使うほど浮上する倫理的課題
AIは大量のデータを利用して意思決定を支援してくれますが、そのデータ自体が過去の差別的・偏見的な傾向を引きずっている場合、予測結果が歪んだものとなるリスクが高いです。たとえば採用AIが“過去の実績”を学習する過程で、女性や特定の人種の採用率が低い企業カルチャーを取り込んでしまえば、その先も同じ偏りを継続的に生み出してしまいます。
内部監査人は、「AIの意思決定プロセスが公正で説明可能(Explainable AI)なものになっているか」を確認しなければなりません。さらに、AIによる意思決定の影響が大きい領域――たとえばローン審査、人材採用、保険引き受けなど――では、倫理上の懸念や差別的な結果のリスクが潜在していないかを念入りにチェックする必要があります。
2. 日本の内部監査人が注目すべき6つのリスク
2.1. リスク1:正確性・アカウンタビリティ
まず大前提として、AIが導くアウトプットが「どの程度正確か?」という点が挙げられます。前述の“幻覚”や“誤情報”が発生した際、誰が責任を取るのか――。そこがあいまいな組織ほど、問題が起きたときに社内外から厳しい視線が向けられます。
たとえば不動産価格査定をAIで行っていた大手企業が、AIの誤推定によって数百億円の減損処理を余儀なくされたケースもありました。社内でのデータ検証や意思決定プロセスの見直しを怠れば、莫大なコストがかかる可能性があるのです。内部監査人は、AI導入の目的と責任範囲、そして検証プロセスの整合性を監査計画にしっかり組み込むことが求められます。
2.2. リスク2:倫理面・バイアス
AIは「過去データをもとに未来を予測する」ため、過去の非倫理的・差別的なデータを学習してしまうことがあります。たとえば、ある企業がAIを使って効率よく採用プロセスを回そうとした結果、女性応募者を自動的にフィルタリングしていたという事例が海外で問題になりました。
こうしたリスクを回避するには、データの収集元やアルゴリズムの透明性を担保し、第三者による定期的な倫理監査を受けるなどの体制が必要になるでしょう。内部監査の観点では、AIが実際に行っている“判断”が組織の倫理方針や法令に反していないかを検証し、「再学習」や「バイアス除去」のプロセスが機能しているかをチェックすることが重要です。
2.3. リスク3:データプライバシー
AIがパフォーマンスを高めるためには、より多くのデータが必要になります。しかし、そのデータが個人情報や機密情報を含む場合、漏えいリスクは高まる一方です。ヨーロッパのGDPRやアメリカ各州のデータ保護法など、世界的に見てもプライバシーに対する規制は強化され続けています。
内部監査では、「AI導入に際して収集・保管されるデータは各国の規制に合致しているか」「過去のデータを無制限に保持していないか」などを確認する必要があります。特に日本企業が海外ビジネスを展開する際には、データ越境移転に関するリスクを見落とさないよう注意しなければなりません。
2.4. リスク4:タレントの変革・雇用への影響
AI導入が進むと、自動化によって一部の職務が置き換えられるかもしれません。現場の抵抗やモチベーション低下を防ぐためにも、企業としては「どのように既存社員を再教育し、新しい仕事へ導くのか」を明確にする必要があります。
内部監査としては、AI導入がもたらす組織変革のリスクを評価することが有効です。具体的には「重要スキルの保持」「人的資本の最適化」「業務プロセスの再設計」などをチェックリストに含め、経営陣が安易なリストラやスキル開発の怠慢に陥っていないか見極めることが大事になります。
2.5. リスク5:知的財産権と法的リスク
AIが生成するテキストや画像、ソフトウェアに関して「誰が著作権を持つのか」「他者の著作物を無断で学習していないか」といった問題は非常に複雑です。企業が自前のAIモデルを構築する場合でも、市販の学習データセットに権利問題がないかを確認する必要があります。
特に大規模言語モデルの利用で「外部から取得した文章や画像をどう扱うのか」は、大企業の法務部門でも手探りの状態です。内部監査では、「社内でChatGPTなどを無制限に使っていないか」「秘密情報が外部に流出するリスクがあるのではないか」といった視点で注意深く実態を把握しなければなりません。
2.6. リスク6:AIガバナンスと規制への備え
AI技術の進化に法制度が追いついていない現状は、多くの国々で問題視されています。しかし今後、AIに関する規制やルールが急速に整備される可能性があります。その際に企業が準拠できなければ、罰則や業務停止などのリスクを負うことにもなりかねません。
内部監査は、組織が「AI導入の戦略や運用ルール」をきちんとドキュメント化しているかをチェックする立場にあります。AIガバナンス委員会を設置する、社内ポリシーを整備するといった準備が進んでいるかをモニタリングすることで、規制や社会的要請に柔軟に対応できる企業体制を作る支援ができるでしょう。
3. 日本の内部監査人に求められる視点と実務への活かし方
3.1. “リスク評価”にAIを組み込む重要性
AIリスクの洗い出しは、当然ながらリスク評価プロセスの一部として包括的に行われるべきです。IT部門やデータサイエンス部門だけの問題として切り離さず、会計監査や業務監査と有機的にリンクさせることで、横断的なリスクを見落とさないようにする工夫が必要です。
たとえば「営業部門でAIを活用した顧客分析が進んでいるが、同時に個人情報の扱いも増えている」「AIが提示するクレジット審査結果をもとに金融リスクが変化している」といった形で、組織全体に及ぶリスクへ目を配ることが大切です。
3.2. 継続的な学習と外部連携
AIの技術進歩は凄まじく、1年どころか半年で状況が激変することも珍しくありません。内部監査人自身が最新のAI動向や関連法規を学び続けることはもちろん、外部の専門家や業界団体と連携を図ることも有益です。
たとえば、AI専門家を社外アドバイザーに招いたり、AI倫理やサイバーセキュリティのカンファレンスに積極的に参加したりすることで、組織内だけでは得られない視点を吸収できます。日本においては、データサイエンティスト協会や人工知能学会などの団体との連携も視野に入れるとよいでしょう。
3.3. AIへの過剰依存を避ける監査アプローチ
最後に、“AIがもたらす魅力”と“リスク”を両立して把握するバランス感覚が欠かせません。極端な話ですが、AIの予測を盲信して経営判断をほぼ丸投げするような状態を放置すると、会社の意思決定プロセスがブラックボックス化し、内部統制が機能しなくなる危険性があります。
内部監査は、AI導入の各プロセスにおいて「この意思決定は人間が最終的に確認しているか」「経営陣はAIの弱点を理解しているか」などをシビアに評価するべきでしょう。AIを上手に活用することで得られる成長と効率化のメリットを享受しつつ、リスクを適切にマネジメントする――これこそが、現代の内部監査の腕の見せ所だと言えます。
この記事は内部監査業界の発展のために、無料で記事を投稿しているので、「いいね」や「フォロー」で応援いただけると励みになります。それでは、次回の記事でお会いしましょう!
本記事の引用元:
Richard Chambers, “Artificial Intelligence: 6 Critical Risks Internal Auditors Can’t Ignore!”
https://www.richardchambers.com/artificial-intelligence-6-critical-risks-internal-auditors-cant-ignore/