履歴
AIの社会実装が加速する中、企業が直面する新たな課題として「AIへの信頼性をどう担保するか」が浮上しています。従来の監査の枠組みでは対応しきれないAI特有のリスクに対し、第三者による客観的な評価・認証の必要性が高まっています。AIガバナンス協会(AIGA)理事インタビュー第5弾となる今回は、有限責任監査法人トーマツでパートナーを務める長谷氏に、AI監査・認証の最前線について詳しく伺いました。東京大学の政策提言作成への関与や、監査実務の取り組みまで、監査法人の立場から見たAIガバナンスの現在地と未来像を語っていただきます。
―― AIガバナンス協会への参画の経緯についてお聞かせください。
元々、IT関連の保証業務を長く担当してきた中で、AIに対する第三者からの信頼の付与は絶対に必要になると考えていました。しかし、それを実現するための基準がない状況で、公的な機関や団体が主導して作ってくれるかどうかも分からず先行きが不透明な状況でした。
そんな時に、お付き合いのあった会社の方から協会へのお声がけをいただきました。まさに認証制度を作るというのは社会から求められていることですし、私たちとしてもやりたかったことだったので、非常にありがたいお話しだったので、参画することになりました。
―― そもそも、なぜAI認証が必要なのでしょうか?
認証の必要性は、AIのサービスやプロダクトのユーザー側とプロバイダー側の両方にあります。
ユーザー側からすると、自分たちでAIのリスク評価をして判断するだけの力量を持つ人材がいないケースが多いのが現実です。例えば、ある地方自治体の方が「地方自治体にAIに詳しい人は多くいないのに、それぞれの自治体が自分でAIのリスク評価をして安全なAIを選べと言われても難しい」とおっしゃっていました。全くその通りだと思います。
一般の事業会社でも同じです。自社のコアコンピタンスとは異なるAI技術に詳しい人材を大量に抱えるのは現実的ではありません。そこで、専門家がホワイトリストのようなものを作ってくれたり、お墨付きを与えてくれる制度があれば、それに乗っかって選びたいというニーズがあります。
特に重要なのは、上司への説明責任です。「このAIを導入して大丈夫なのか」と聞かれた時、技術的な説明では安全性は説明できても、安心は説明できません。その安心を与えるために効果的なのが、専門家による保証や認証なのです。
―― プロバイダー側のメリットについてもお聞かせください。
プロバイダー側も、自分たちがどれだけちゃんとやっているかを自己主張しても、なかなか信用してもらえません。独立した第三者からお墨付きをもらうことが非常に重要になります。
さらに、今後、AIエージェントの世界がさらに広がってくると、自分の会社で開発したり購入したAIを使うだけでは済まなくなります。自分の管理権限が及ばない、他社のAIエージェントと自社のエージェントがデータをやり取りする世界が、もう目の前に来ています。
その時、自社のAIについて第三者に保証を依頼したとしても、繋がっている相手側については、契約関係にないため手続を実施できず、何とも言えないわけです。だからこそ、お互いに第三者から信頼を付与してもらい、信頼を付与されたAI同士のネットワークができていかないと、社会全体でAIが真に実装された便利な世界は実現できません。
まずは個々の企業が個々のAIサービスやプロダクトで保証や認証を取得し、それをネットワークとして繋げていくことが重要です。非常に壮大な構想ですが、そこを目指しています。
―― AI監査に関心を持たれたきっかけを教えてください。
実は高校生の頃、AI研究者になりたいと思っていました。ただ、理系科目が得意ではなく文系に進学しました。その後もコンピューターはずっと好きで、AIには興味があったのですが、当時はAIの冬の時代でした。
2012年にディープラーニングで大きな成果が出て、2014〜15年頃から顔認証AIなどに注目が集まり始めた時、「AIが来る」と直感しました。そうなると、ブラックボックスでよく分からないから不安だという声が絶対に起きて、第三者からの信頼付与が必要になるだろうと考えました。
AIの監査はビジネスとして大きくなる予感があり、社会的意義もあります。そう考えて、2018年に社会人として大学院に入学し、自然言語処理を学びました。また、2023年には東京大学未来ビジョン研究センターの客員研究員として、「AIガバナンスに資するAI監査の実践に向けて」という政策提言の作成にも関わらせていただきました。
―― 現在、AI監査を巡る議論はどのような段階にあるのでしょうか?
監査法人としては、クライアントがAIを経理業務で使い、「これはAIが出した貸倒引当金の金額です」「これはAIが承認した伝票です」と言われても、それが正しい金額や処理だったのかを検証するためのメソドロジーが現時点ではありません。世界的にもまだ存在していないのです。
――従来のITシステムとAIシステムの監査の違いについて教えてください。
AIが従来のITシステムと最も違うのは、同じインプットを入れても必ずしも同じアウトプットが出ないという点です。従来のITシステムは仕様に基づいてプログラミングされており、決定論的でした。
AIの開発においては、学習というプロセスが重要になります。学習データは十分なのか、量としても質としても適切なのか。例えば、BtoBとBtoCの両方に使うAIモデルを作るのに、BtoBのデータだけで学習させたら、BtoC側で正しい結果が出るのか、という問題です。
また、AIモデルは随時更新される可能性があります。今日検証してOKを出しても、明日、明後日は同じクオリティを保証できるのか。監査人はいつ、何回監査すればいいのか。会計期間のどの段階で監査し、結論を出せばいいのか。こうした問題はまだ解決されていません。
―― トーマツではどのような取り組みを進めているのでしょうか?
職人技で「AIのここが重要だと思うので検証しました」というだけでは不十分で、手続の標準化が重要です。業界としても法人としてもメソドロジーを確立する必要があります。
クライアントからは「うちでAIを経理周りに使おうとしているが、トーマツさんはどうやって監査するのですか」という質問を受けますし、J-SOX(内部統制報告制度)では、企業自身も経営者評価を行う必要があるため、自分たちはどうしたらよいかという質問も受けます。
―― AIガバナンス協会での認証制度について教えてください。
例えば、監査負担が大きすぎると監査を受ける側に大きな不満が残ります。資金力のある大企業のみが監査を受けられて、資金力に劣る新興企業は監査費用を負担できなくなり、スタートアップ企業による産業振興を阻害するという意見があります。
そうした制度にはしたくありません。監査を受ける側、監査結果の利用者、監査人の三方良しとなる落としどころを見極めた制度設計が重要です。そして、そういう制度設計ができる人材は実は少ないのも課題の一つです。手前味噌ながら、私はそうした経験が相対的にある方だと思っており、理事としてお役に立てる部分が多分にあるのではないかと考えています。
―― この制度設計で特に気をつけている点は何ですか?
金融業界は、AIによってビジネスモデルが大きく変わる可能性のある業界です。2025年3月に公表された金融庁のAIディスカッションペーパーでも技術革新に取り残される「チャレンジしないリスク」が指摘されており、積極的にAIを取り入れなければ、10年後の競争力に大きな差が生じるでしょう。
ただし、技術の導入と並行して、リスク管理やガバナンスの整備が不可欠です。AI技術は日進月歩で進化しており、各社で対応していては、AIガバナンスが後手に回ってしまうリスクがどんどん大きくなっていきます。だからこそ、互いに知見を共有し、企業がAIGAとともに成長することが重要です。
より多くの企業に参画いただくことで、団体としての力も増し、業界全体のAI活用と健全な制度設計に貢献できると信じています。
―― 今後の展望についてお聞かせください。
プライバシーのプロトタイプを近いうちに完成させ、その後、他の立証命題にも展開していきたいと考えています。2027年には実際の認証制度としての運用を開始したいというスピード感です。
認証制度がリリースされた後は、取得したい企業が増えるよう努力します。一定の認知度と信頼を得られれば、認証取得企業へのメリットを明確化したい。具体的には、政府調達の条件にしていただくとか、地方自治体の補助金制度の要件にしていただくなど、取得してよかったと思える制度にしたいと考えています。
―― 最後に、今後参画を検討されている方々へメッセージをお願いします。
ぜひ、第三者が信頼を付与する仕組みに対して、こういうところも取り上げてほしいというご意見があれば、会員として入っていただきたいと思います。認証・標準ワーキンググループでも実装ワーキンググループでも、一緒に議論できればと思います。
AIの流れはもう止まりません。便利だと感じたものを人々はやめないのです。早くAI活用を推進し、先行者利益を得た企業が大きな利益を享受します。いかに早く安全に到達できるかが重要であり、それは経営者の判断にかかっています。
その中で、信頼されるAIエコシステムを構築するため、第三者認証という仕組みを一緒に作っていきましょう。
