見出し画像

M&P LEGAL NEWS ALERT #15:AIコンプライアンスと内部統制システム


1. AIに関する内部統制システム

「当社はAIの使用に関連するリスクを特定し、管理するためにどのようなプロセスを導入しているか」

このような質問が機関投資家とのエンゲージメントや株主総会であった場合にどのように回答するでしょうか。

AIはDXの推進や生産性の向上、競争上の優位性といったビジネス上の機会をもたらす一方で、さまざまなリスクと課題もあるところ、取締役は、①他の取締役の任務懈怠行為や従業員の不正行為等を阻止するための内部統制システムを構築すること、また、②構築された内部統制システムを適切に運用することが求められており(*1)、AIの使用等に関連して企業不祥事が生じた場合、取締役の内部統制システム構築・運用義務(善管注意義務)違反が問われることになります。

*1 取締役の任務懈怠責任に関するフローチャートの説明と訴状等の参考書式(東京地方裁判所商事部)

そして、AIに関する取締役会による監督体制が確立されているとは必ずしもいえないのが現状であることを踏まえると、まずは現在の内部統制システムにおけるリスク項目の1つとして自社に関連するAIのリスクを追加し、リスク対応方針等のポリシーを策定・更新する、社内教育・研修を実施する、適切に取締役会に報告されるプロセスとプロトコルを整備するといった進め方が考えられるところです(詳細は「M&P LEGAL NEWS ALERT #9:米国企業の開示からみるAIに関する取締役会の監督」をご参照ください)。

こうしたAIに関する内部統制システムを具体的に検討する際の参考になるのが、冒頭の質問を含め、企業によるAIの使用とリスクマネジメントに関する事項が追加された、米国司法省(DOJ)による「企業コンプライアンス・プログラムの評価」(Evaluation of Corporate Compliance Programs:ECCP)に関するガイダンスです。

ECCPは、企業不祥事を起こした企業に刑事責任を負わせるか、また、どのような責任を負わせるかについて連邦検察官が判断する際、企業のコンプライアンス・プログラムの有効性と妥当性を評価する指針となるものですが、企業が同様の評価を実施する際のツールとしても機能しており、2024年9月23日に新たな改訂版(*2)が公表されました。

*2 Evaluation of Corporate Compliance Programs (Updated September 2024)

2. 企業コンプライアンス・プログラムの評価(ECCP)のアップデート

ECCPは、2017年2月の公表以来、以下の3点を基本的な枠組みとした上で、DOJが問題意識を持つ新たなリスクや課題に対応するために継続的に改訂されてきました。

① 企業のコンプライアンス・プログラムが適切に設計されているか
② コンプライアンス・プログラムが真摯かつ誠実に適用されているか(コンプライアンス・プログラムが実効的に機能するために十分なリソースと権限が与えられているか)
③ コンプライアンス・プログラムが実際に機能しているか

そして、今般改訂されたECCPでは、AIの悪用リスクに関するDOJの問題意識(*3)を反映して、AIの使用とリスクマネジメントについて以下の質問事項が追加されています。

・AIの使用に関するリスクマネジメントは当社のリスクマネジメント戦略に統合されているか。
・AIを事業活動やコンプライアンス・プログラムで使用することに関し、どのようなガバナンス・アプローチをとっているか。
・事業活動とコンプライアンス・プログラムの双方において、AIの使用から生じる負の影響や予期しない結果をどのように制御しているか。
・社内関係者によるものを含め、AIの悪用の可能性をどのように軽減しているか。
・AIを事業活動またはコンプライアンス・プログラムの一環として使用する場合、その信用性、信頼性、適用される法令および当社の行動規範を遵守した使用を監視および確保するための管理体制が整備されているか。
・AIが本来の目的のためだけに使用されるようにするための内部統制は存在しているか。
・AIを評価するため、どのような基準で人間の意思決定が行われているか。
・AIの使用に関する説明責任はどのように監視され、実施されているか。
・AIの使用について従業員をどのように教育しているか。

*3 Deputy Attorney General Lisa Monaco Delivers Keynote Remarks at the American Bar Association’s 39th National Institute on White Collar Crime

また、DOJは、ECCPに基づき、以下の点を検討するとしています(*4)。

事業活動を行うために使用するテクノロジーに関するリスク評価を実施し、また、テクノロジーの使用に関連するリスクを軽減するために適切な措置を講じたか。

・ 例えば、AIによって生成された虚偽の承認や文書など、新しいテクノロジーによって可能になる犯罪計画に対して脆弱であるか。
✔ 脆弱である場合、企業が使用するデータの正確性や信頼性を確認するツールなど、それらのリスクを特定して軽減するためのコンプライアンス・マネジメントとツールが導入されているか。

・ テクノロジーを監視および検証し、それが意図したとおりに機能していること、また、企業の行動規範を遵守していることを確認しているか。

*4 Principal Deputy Assistant Attorney General Nicole M. Argentieri Delivers Remarks at the Society of Corporate Compliance and Ethics 23rd Annual Compliance & Ethics Institute

なお、ECCPでは、企業がAIの使用に関するリスク評価を実施する際のリソースとして、2023年1月に公表された米国国立標準技術研究所(NIST)の「AIリスクマネジメントフレームワーク」(*5)が挙げられています。

*5 Artificial Intelligence Risk Management Framework (AI RMF 1.0)

日本企業としては、ECCPにおける「コンプライアンス・プログラム」を「内部統制システム」に置き換えた上で、AIの使用とリスクマネジメントについて機関投資家や株主から質問された場合にどのように回答するかという観点も踏まえて検討し、AIに関する内部統制システムを構築・運用していくことが考えられます。


Author

弁護士 関本 正樹(三浦法律事務所 パートナー)
PROFILE:2007年東京大学法学部卒業、2008年弁護士登録(第一東京弁護士会所属)、ニューヨーク州弁護士。21年7月から現職。18年から20年にかけては株式会社東京証券取引所 上場部企画グループに出向し、上場制度の企画・設計に携わる。『ポイント解説 実務担当者のための金融商品取引法〔第2版〕』(商事法務、2022年〔共著〕)、『対話で読み解く サステナビリティ・ESGの法務』(中央経済社、2022年)等、著書・論文多数。

この記事が気に入ったらサポートをしてみませんか?