第2回:AI活用の成否を分ける道筋とは
今回は、組織がデータとアナリティクスにおいて直面する「スライディングドア」について考察します。選択の先には、正しい道と誤った道が待ち受けています。正しい道を選べば、大きな価値を生み出すことができます。しかし、誤った道を選べば、そうした価値を逃してしまうこともあるでしょう。さらに場合によっては、規制違反という深刻な結果を招くこともあります。 責任あるAI成功への道 欧州連合(EU)が2018年に制定した一般データ保護規則(GDPR)は、組織による個人データの取り扱いを厳しく規制しています。英国の航空会社British AirwaysはGDPRに違反し、40万人以上の顧客の個人情報と財務詳細を漏えいしたため、2000万ポンドの罰金が科されました。 そして、2024年8月にはEUのAI法が施行しました。これは世界初の包括的なAI規制であり、違反した企業には厳しい罰則が科されます。 厳格な規制によって、AIの魅力は完全に失われてしまうのでしょうか。そんなことはありません。AIは依然として組織にとって大きな価値を提供します。そのため、企業は常に責任を持ってAIを活用する必要があります。しかし、新しい規制の時代において、責任を持って使用するとは具体的にどういうことなのでしょうか。 まずは、どこに誤りが生じる可能性があるかを探ってみましょう。 失敗への道 「ChatGPT」が登場した当初は、誰もが気軽に利用していました。例えば、経営者が2023年の戦略文書をChatGPTにコピーして「PowerPoint」のプレゼンテーション資料を作成させたり、医師が患者の名前と病状を入力して保険会社への手紙を作成させたりしていました。 実際、AIに関する特定の法律が制定される前から、責任を持ってAIを作成・使用しなければ、組織にとって深刻な問題を引き起こす可能性が指摘されていました。特に、知的財産権や個人情報の公正な利用に関する既存の法律が、AIモデルの作成方法、特に所有権や個人情報を含む公開データの利用において重要な役割を果たしてきました。公開されている情報であっても、第三者が独自の目的で使用することは許されていません。例えば、一般公開されているウェブサイトをスクレイピングして営利目的のAIモデルを作成するなどです。 ChatGPTのような生成AIツールは非常に価値がありますが、誤った結果をもたらすことがあるため、使用する際には必ず人間が確認し、修正する必要があります。Air Canadaはまさに身をもってこのことを学んでいます。同社のチャットボットが、自社のウェブサイトで正しい情報を入手できるにもかかわらず、顧客に誤った規約や割引情報を案内してしまい、結果として顧客に返金対応などを行い、チャットボットのサービスを中止しました。また、2023年初頭には、ニューヨークの弁護士がChatGPTで生成された架空の判例を準備書面に使用し、それが誤った情報であることを認識せずに引用してしまった例もあります。 この1年間である程度の教訓は得られましたが、新しいEU AI法やそれに続くほかの地域の法律は、今後組織に対して自らの取り組みを見直すことを求めるでしょう。生成AIが組織内で誇大広告から現実的なツールへと変わり、使用頻度と価値の創出が増加する中で、監視の目も厳しくなっています。こうした新しい法律は、歓迎すべきものと言えるでしょう。 正しい道 生成AIの急速な発展から学んだことの一つは、変化が常に速く進むことがあり、組織はその変化に追いつくのに苦労することが多いという点です。つまり、規制の状況が落ち着くのを待つ余裕はありません。GDPRが世界の個人情報保護法の基準となったように、EU AI法がAI規制の分野で指針になるとされています。責任ある透明性の高いモデルの構築、精度テスト、使用制限、バイアスの排除、人間による監視といったトレンドが確立されつつあります。 では、EU AI法について私たちが知っていることを見ていきましょう。Qlikのプライバシーカウンセル 兼 データ保護責任者であるRoy Horgan(ロイ・ホーガン)に意見を聞いてみました。 「EU AI法は300ページに及ぶ詳細な文書です。簡単に言えば、ChatGPTのような大規模言語モデル(LLM)のコンプライアンスに加え、特定のAIの使用についても規定しています。具体的には次の4つに分類されます。 許容できないリスク(人種などの生体測定分類または分類を行うシステムなど):利用が禁止されています。 高リスク(履歴書のランク付けなど):最も重い要件と義務が課されています(例:登録)。 透明性が必要なリスク(チャットボットなど):情報開示義務があります。 最小リスク(スパムフィルターなど):コンプライアンス義務はありません。 LLMには、テストやモデルがどのようなデータから作られたかを開示する義務があります。時期は変更される可能性がありますが、禁止されるシステムについては2024年末、そのほかの部分については2025年夏ころに施行される見込みです」 この知識を活用して、正しい道に進むための推奨ステップを幾つか紹介します。 組織にAIポリシーはありますか? もしなければ、策定すべきです。Qlikでは、AIの使用に関するガイドラインを定めたポリシーを公開しています。このポリシーはQlikの全従業員と協力会社に適用され、生成AIを使用する際にはこのポリシーのルールを順守することが求められています。これらのルールは、生成AIの利点を享受しつつ、Qlikの機密情報、顧客の期待、知的財産を保護し、適用される法律、規制、および倫理基準を順守するためのものです。 データ製品の導入を検討していますか? もしまだ検討していないなら、検討すべきです。データ管理に製品中心のアプローチを採用することで、生成AIの取り組みに必要なデータリネージとガバナンスを確保できます。 自社のサプライチェーンでどのベンダーがAIを使用しているか把握していますか? サプライヤーの環境、社会、ガバナンス(ESG)情報が新しい法制度で重要視されるように、AIも同様です。AI法の施行までにはまだ時間がありますが、コンプライアンスの重要な部分は、組織が使用するAIツールが規制を順守しており、従業員がそれを許可された目的のみに使用していることを確認することです。したがって、これらの情報を収集するプロセスを今すぐ始めることをお勧めします。 信頼できるAI対応データ基盤の構築は進んでいますか? もしまだなら、今から始めても遅くはありません。生成AI はデータが全てです。LLMはトレーニングに使用するデータの品質に依存するため、最新のデータ ファブリックを活用して信頼できるデータ基盤を確立することが重要です。 GDPRが導入された時の「既視感」を感じずにはいられません。この法律が制定された時、Qlikはコンプライアンスを順守し、顧客から信頼を得て、安心して製品を利用していただけるよう、包括的なプロセスを実施しました。また、顧客が自社のコンプライアンス目標を達成するためのサポートも行いました。最近、Qlikの新しいAI評議会とこの件について議論する機会がありました。 共通点としては、AI法とGDPRはどちらも世界的な影響力を持ち、高額な罰金を伴う規則というところです。相違点としては、全ての企業が個人データを扱うためGDPRから逃れることはできませんが、AIを作成したり依存したりしていない企業はAI法の対象外となるところです。また、米国などほかの国々が独自の法律を発表する可能性が高く、それぞれが異なるアプローチを取ることで、複雑な規制環境が生まれることについても議論しました。
