AI システムが事業判断に深く関わるようになった今、ガバナンスの不在は法的リスクと信頼喪失に直結する。全面施行済みの EU AI Act は域外適用を含み、タイや東南アジアで事業を展開する企業にとっても無関係ではない。本記事では、AI ガバナンスの基本概念から EU AI Act の実務対応、そして社内ルール整備の具体的なステップまでを解説する。「何から手を付ければいいのか分からない」という実務担当者が、読了後に自社のガバナンス体制構築に着手できることを目指す。

免責表記: 本記事は情報提供を目的としており、法的助言を構成するものではありません。具体的な法的対応については、専門の弁護士にご相談ください。

AI ガバナンスとは、AI システムの開発・導入・運用において、リスクを管理し、公平性・透明性・説明責任を確保するための組織的な枠組みである。従来の IT ガバナンス（COBIT や ITIL）がインフラとサービス管理に焦点を当てていたのに対し、AI ガバナンスはモデルの判断プロセスそのものを管理対象に含む点が根本的に異なる。

IT ガバナンスの延長線上で AI を管理しようとすると、モデルの確率的な出力という本質的な違いを見落とす。サーバーの稼働率は 99.9% と定義できるが、AI モデルの「正しさ」は文脈依存であり、同じ入力でも出力が変わり得る。

生成 AI の業務利用が急速に拡大し、ガバナンスの必要性は理論から実務の問題に変わった。当社がタイで AI コンサルティングを行う中でも、「社員が ChatGPT に顧客データを入力していた」「AI が生成した契約書の誤りに気付かず送付した」といった事例を耳にすることが増えている。

ガバナンス不在のリスクは大きく3つに分類できる:

1. 法的リスク: EU AI Act 違反による最大3,500万ユーロの制裁金、個人情報保護法違反
2. レピュテーションリスク: バイアスのある AI 判断が公になった場合の信頼喪失
3. オペレーショナルリスク: AI の誤判断に基づく業務判断の連鎖的な失敗

EU AI Act（人工知能規則）は、世界初の包括的 AI 規制法であり、GDPR と同様に域外適用がある。EU 域内のユーザーに AI サービスを提供する企業は、本社所在地に関係なく規制対象となる。

EU AI Act の核心は、AI システムをリスクレベルで4段階に分類し、それぞれに異なる義務を課す点にある。

1. 禁止（Unacceptable Risk） 社会信用スコアリング、リアルタイム遠隔生体認証（法執行の例外あり）、感情認識（職場・教育機関）、脆弱な集団を操作するサブリミナル技術。違反した場合の制裁金は最大3,500万ユーロまたは全世界売上の7%。

2. ハイリスク（High Risk） 採用・人事評価、信用スコアリング、教育の入学判定、重要インフラの安全管理、法執行、移民管理など。適合性評価・CE マーキング・EU データベース登録が必要。

3. 限定リスク（Limited Risk） チャットボット、ディープフェイク生成など。透明性義務（AI であることの開示）が課される。

4. 最小リスク（Minimal Risk） スパムフィルター、ゲーム AI など。特別な義務なし。

筆者が東南アジアの企業と話す中で最も混乱を招くのが、自社の AI システムがどのカテゴリに該当するかの判断だ。たとえば社内の採用スクリーニングツールは「ハイリスク」に分類されるが、社内チャットボットは「限定リスク」にとどまる。同じ「AI ツール」でも用途によって規制レベルが異なる点を見落としがちである。

EU AI Act は段階的に施行されており、対象となる AI システムの種類によって適用時期が異なる。

汎用 AI モデル（GPT、Claude、Gemini 等）のプロバイダーには技術文書の作成・著作権ポリシーの公開・学習データの要約公開が義務化されている。これらのモデルを利用する側の企業にも、AI であることの開示義務（限定リスク以上）や、ハイリスク用途での適合性評価への協力義務が発生する。

「EU に拠点がないから関係ない」は誤りだ。以下のケースで域外適用が発生する:

• EU 域内の顧客に AI を活用したサービスを提供している場合
• EU 域内のユーザーデータを AI の学習・推論に使用している場合
• AI システムの出力が EU 域内で利用される場合

タイの輸出企業が EU バイヤー向けに AI ベースの品質検査システムを使っていれば、そのシステムは EU AI Act の適用対象になり得る。当社のクライアントでも、欧州向け EC を運営する企業が AI レコメンデーションの開示義務について相談に来るケースが増えている。

さらに、タイ政府も独自の AI 規制を検討中だ。タイ MDES（デジタル経済社会省）が AI ガバナンスガイドラインを公表し、EU AI Act を参考にした法整備が進んでいる。先行して EU AI Act への対応を進めておけば、将来のタイ国内規制にもスムーズに対応できる。

EU AI Act だけが AI ガバナンスの指針ではない。複数のフレームワークを理解し、自社の状況に合ったものを選ぶ必要がある。

中小企業の場合、いきなり ISO 42001 の認証取得を目指すのはコスト的に現実的ではない。まず NIST AI RMF をベースに社内プロセスを整理し、必要に応じて EU AI Act のハイリスク要件に対応するアプローチが合理的だ。

選定の判断軸は3つある:

1. 事業の地理的範囲: EU 市場に関わるなら EU AI Act 対応は必須。ASEAN 中心ならシンガポールのフレームワークが参考になる
2. AI の利用レベル: 汎用 AI API を利用するだけなら透明性義務の確認で十分。自社でモデルを開発・ファインチューニングしている場合は NIST AI RMF の体系的管理が有効
3. 顧客・取引先の要求: B2B で大手企業と取引する場合、ISO 42001 認証が取引条件になるケースが出始めている

実際のところ、フレームワークは「選ぶ」というより「組み合わせる」ものだ。EU AI Act のリスク分類をベースに、NIST AI RMF の管理プロセスを適用し、将来的に ISO 42001 で形式化するというロードマップが現実的である。

フレームワークの理解だけでは不十分だ。実際に組織内でガバナンスを機能させるには、ポリシー・プロセス・人の3要素を整備する必要がある。以下、段階的なアプローチを示す。

最初のステップは、社内でどの AI ツールが、誰によって、何の目的で使われているかを把握することだ。多くの企業で「シャドー AI」（IT 部門が把握していない AI 利用）が問題になっている。

棚卸しチェックリスト:

• 部門ごとに使用中の AI ツール・サービスを一覧化
• 各ツールに入力されるデータの種類を特定（個人情報、機密情報、一般情報）
• AI の出力が最終判断にどの程度影響するかを評価（参考、補助、自動化）
• 外部 API（OpenAI, Claude, Gemini 等）へのデータ送信の有無を確認
• 社内独自モデルの有無と学習データの出所を確認

ある製造業のクライアントでは、棚卸しの結果、17部門で合計42の AI ツールが利用されており、うち28ツールは IT 部門が把握していなかった。品質管理部門が独自に導入した画像検査 AI が EU 向け製品に使われていたケースもあり、棚卸しなしには EU AI Act のリスク分類すら始められない状況だった。

棚卸し結果をもとに、各 AI 利用のリスクレベルを評価し、社内 AI ポリシーを策定する。

AI ポリシーに含めるべき項目:

ポリシーは完璧を目指す必要はない。まず「やってはいけないこと」を明確にし、段階的に詳細化するアプローチが実務的だ。最初のバージョンは A4 で2〜3枚程度の簡潔なもので十分である。

ポリシーを実効性あるものにするには、責任ある組織体制が不可欠だ。企業規模に応じた3つのモデルを示す。

小規模企業（〜50名）: 既存の IT 責任者が AI ガバナンスを兼務。月次で AI 利用状況をレビュー。

中規模企業（50〜500名）: AI ガバナンス委員会を設置。IT・法務・事業部門の代表者で構成し、四半期ごとにポリシーを見直す。

大規模企業（500名〜）: 専任の AI ガバナンスオフィサー（Chief AI Officer）を任命。AI 倫理委員会を設置し、ハイリスク AI の導入・変更には事前承認プロセスを適用。

組織設計で最も重要なのは、AI ガバナンスが IT 部門だけの責任にならないことだ。AI の影響は事業判断・法務・HR・マーケティングなど多部門にまたがる。経営層のスポンサーシップなしにはガバナンスは形骸化する。

ガバナンス体制は作って終わりではない。AI モデルは時間とともに精度が劣化（モデルドリフト）し、規制環境も変化する。

継続的モニタリングの要素:

• モデル性能: 精度・公平性指標の定期測定。閾値を下回ったらアラート
• データ品質: 学習データと本番データの分布のズレを監視
• インシデント記録: AI 関連の不具合・苦情を記録し、根本原因分析を実施
• 規制動向: EU AI Act の施行ガイダンス更新、各国の新規制をウォッチ
• 社内遵守状況: ポリシー遵守率の定期監査、違反事例の共有と是正

四半期ごとのガバナンスレビューでは、以下の KPI を追跡することを推奨する:

1. AI インシデント件数（前四半期比）
2. ポリシー遵守率（監査結果）
3. AI 利用開示率（透明性義務の充足度）
4. 従業員研修完了率

AI ガバナンスの導入で企業が陥りがちな落とし穴を、実務経験から整理する。

ガバナンスを厳しくしすぎて、現場が AI を使うことを敬遠するケースは珍しくない。あるクライアントでは、AI ツールの導入に3段階の承認プロセスを設けた結果、承認に平均45日かかるようになり、部門長が「Excel で十分」と AI 導入を断念した。

ガバナンスの目的は AI を禁止することではなく、リスクを管理しながら活用を促進することだ。低リスクの AI 利用（翻訳、要約、コード補完など）は事前承認なしで利用可能とし、ハイリスク用途のみ審査プロセスを適用する「リスクベース」のアプローチが鍵になる。

立派な AI ポリシー文書を作成したものの、社内に周知されず、誰も読んでいないというパターン。ポリシーの実効性は教育と仕組み化にかかっている。

• ポリシーを全員が読む前提にしない。部門ごとに関連する部分だけを抽出した「クイックガイド」を作成する
• AI ツールの利用申請フォームにポリシーのチェック項目を組み込み、申請プロセス自体がガバナンスになる設計にする
• 違反事例（匿名化済み）を定期的に共有し、「なぜこのルールがあるのか」を具体例で理解させる

AI ガバナンスは技術と法務の交差点にある。技術チームだけで進めると法的リスクを見落とし、法務だけで進めると技術的に非現実的なルールができる。

解決策として有効なのが「AI ガバナンス翻訳者」の役割だ。技術と法務の両方を理解し、双方の言葉で説明できる人材を置く。専任が難しければ、技術側と法務側から各1名をペアにして AI ガバナンスタスクフォースを構成する方法もある。

当社が AI ガバナンス支援プロジェクトを実施する際も、最初のワークショップには必ず IT・法務・経営企画の3部門を同席させている。部門間の認識ギャップは想像以上に大きく、「AI が勝手に判断している」という経営層の懸念と「ルールベースで制御している」という技術チームの認識がすれ違っていることが多い。

以下は、AI システムの導入・運用時に確認すべき項目をまとめたチェックリストだ。EU AI Act のハイリスク要件と NIST AI RMF のベストプラクティスを統合している。

• AI システムの用途と EU AI Act のリスク分類を確認したか
• 学習データの出所・ライセンス・バイアスリスクを評価したか
• AI の判断に影響を受ける人々（ステークホルダー）を特定したか
• 人間による監視（Human-in-the-Loop / Human-on-the-Loop）の設計を行ったか
• AI であることの開示方法を決定したか（チャットボット、生成コンテンツ等）
• データ保護影響評価（DPIA）が必要か確認したか
• ベンダーの AI ガバナンスポリシー・データ取り扱いを確認したか

• モデルの精度・公平性指標を定期的に測定しているか
• AI 関連のインシデント・苦情を記録・分析しているか
• 入力データの品質と分布の変化を監視しているか
• AI 出力の人間レビュープロセスが機能しているか
• 規制環境の変化（EU AI Act の施行ガイダンス更新等）をウォッチしているか
• 従業員向け AI リテラシー研修を定期実施しているか
• サードパーティ AI ツールの契約条件を定期的に見直しているか

このチェックリストは完全なものではなく、自社の業種・規模・AI の利用度に応じてカスタマイズする必要がある。重要なのは、チェックリストの存在自体よりも、定期的にレビューする習慣を組織に根付かせることだ。

AI ガバナンスに関してよく寄せられる質問に回答する。

必要だ。ただしアプローチは異なる。50名以下の企業が ISO 42001 認証を取得する必要はない。最低限として「AI に入力してはいけないデータの基準」と「AI 出力を最終判断に使う場合の確認プロセス」の2点をルール化するだけでも、リスクは大幅に低減する。EU AI Act も、中小企業向けの簡素化された遵守手段（規制サンドボックス、ガイダンス文書）を用意している。

まず利用ガイドラインを策定する。具体的には:

1. 入力禁止データの定義: 個人情報、顧客機密情報、未公開の経営情報は入力禁止
2. 出力の検証義務: AI が生成した文書・コード・分析結果は、必ず担当者がレビューしてから使用
3. 利用ツールの指定: IT 部門が承認したツールのみ使用可。個人アカウントでの業務利用は禁止
4. ログの保持: ビジネス上重要な AI とのやり取りは記録を残す

これらを A4 で1枚にまとめ、全社に展開するところから始めるのが現実的だ。

違反の種類によって3段階の制裁金が設定されている:

• 禁止 AI の使用: 最大3,500万ユーロまたは全世界年間売上の7%のいずれか高い方
• ハイリスク AI の義務違反: 最大1,500万ユーロまたは全世界年間売上の3%
• 情報提供義務の違反: 最大750万ユーロまたは全世界年間売上の1%

中小企業・スタートアップには比例的な（より低い）上限が適用される。ただし制裁金だけがリスクではない。EU 市場からの排除、取引先からの信頼喪失、メディア報道によるレピュテーションダメージの方が事業への影響は大きい場合もある。

AI ガバナンスは「大企業のためのもの」ではなく、AI を業務に使うすべての組織に必要な基盤だ。EU AI Act の全面施行により、ガバナンス不在のリスクは法的にも明確になった。

今日から始められる3つのアクション:

1. 棚卸し: 社内で使われている AI ツール・サービスを全て洗い出す
2. 最小限のポリシー: 「AI に入力してはいけないデータ」と「AI 出力の確認プロセス」を文書化する
3. 責任者の任命: AI ガバナンスの推進責任者を1名決める（兼務で可）

この3つを実行するだけで、多くの企業は AI ガバナンスの第一歩を踏み出せる。完璧な体制を最初から目指す必要はない。小さく始めて、インシデントや規制の変化に応じて拡充していくアプローチが、限られたリソースの中で最も効果的だ。

当社では、タイ・東南アジア企業向けに AI ガバナンス体制の構築支援を行っている。棚卸しからポリシー策定、組織設計まで、自社の状況に合ったロードマップの策定にご関心があれば、お気軽にご相談いただきたい。