不正対策、コンプライアンス、自動化のためのAIガバナンス

組織がAIの導入を急ぐ中、成長と効率を推進しつつ、コンプライアンスを損なわず、機密データを露出させないという重要な課題に直面しています。小売の顧客獲得から高リスクのコンプライアンス業務まで、企業は野心と監視のバランスを慎重に取る必要があります。

米国国立標準技術研究所（NIST）と米国商務省は、AIに関連する個人、組織、社会へのリスクをより適切に管理するための公式の米国政府フレームワークであるAI RMF（AIリスクマネジメントフレームワーク）を策定しました。これは、AIシステムが信頼でき、有効で、信頼性が高く、回復力があるべきであり、組織はAIライフサイクル全体を通じてガバナンス、継続的監視、管理を実施してリスクを管理しなければならないと強調しています。

NISTが強調するガバナンスは、積極的で、AIライフサイクル全体に統合され、ドメインとリスク許容度に合わせて調整されるべきです。また、明確な役割、継続的監視、人間参加型の管理を備え、AIが安全に価値を提供することを保証することを提案しています。

Emerjの編集ディレクターMatthew DeMello氏は、TD銀行のインサイダーリスク、分析、検出責任者であるNaveen Kumar氏と対談し、組織がAIツールを効果的に展開し、イノベーションとガバナンスのバランスを取り、実際のビジネスインパクトを測定する方法を検討しました。この記事では、AI導入の成功に向けた2つの核心的な洞察を分析しています。それは、ビジネスドメインに合わせたAIリスク許容度の調整と、段階的なデータ分類の実装によるAIリスクの低減です。

最初に、AIリスク許容度の調整について、Naveen氏は、AIモデルの幻覚（ハルシネーション）はプロンプトに実際のコンテキストを提供することで軽減できると指摘します。彼は、目標は汎用人工知能ではなく、組織内の特定のユースケースに合わせた目的特化型AIであるべきだと明確に述べています。これは役割ベースであるべきで、誰かがシステムにプロンプトを送ると、アクセスは機能によって制限されます。人事担当者は人事情報を、調査担当者はフラグが立てられた従業員を確認でき、財務データは関係者以外にはアクセスできません。Naveen氏は役割ベースのAIを「礼儀正しいバウンサー」に例え、役割に基づいてのみ情報を提供すると説明します。また、AIの使用方法はドメインに大きく依存し、コンプライアンスでは保守的なアプローチが必要だと強調します。

次に、段階的なデータ分類について、Naveen氏はデータを安全、機密、重要とラベル付けし、最初の反復では重要なデータを使用しないようにすることを提案します。彼は、初期段階では狭く定義されたAIシステムから始め、データの利用を制限する段階的アプローチを推奨します。後になって初めて、AIに主要なデータソースへのアクセスを許可します。例えば、疑わしい活動報告（SAR）の場合、AIはプロセスを支援できるが、完全にエンドツーエンドで実行させるべきではなく、人間がループ内にいる必要があると説明します。彼は速度と精度の観点から考えることを提案し、低リスクのアラートはAIで処理できるが、特定のしきい値を超えるアラートは人間によるレビューが必要と述べています。

Naveen氏はまた、AIエージェントがますます「準人間」または従業員のように見なされており、したがって人間と同じ方法でリスクを軽減すべきだと述べています。つまり、どのデータを使用し、何に触れ、何に影響を与え、誰が作業をレビューし、誰が承認するかということです。彼は、ボットが従業員の名前を冠して「Naveen_AI_bot」のようにチャットに現れ、ユーザー活動から学習する企業環境の例を共有しました。これは、人間とAIの境界が曖昧になっており、同じガードレールが両方に適用されるべきであるという瞬間を浮き彫りにしています。

最終的に、適切なバランスはドメインとユースケースに依存します。状況によっては、AIは完全に自律的なエンドツーエンドのソリューションではなく、効率層または初稿として位置付けられるべきです。