はじめに——AIの進化スピードに法律が追いつかない時代

前回の記事では、AI事業者ガイドラインにおける「AIの定義」が技術の発展とともにどう広がってきたかを確認しました。生成AIの登場により、AIはもはや一部の技術者だけのものではなくなり、ありとあらゆる業種・業態の企業が「AIをどう使うか」を考える時代になっています。

ところが、ここで大きな問題が浮かび上がります。法律や行政のルールづくりは、どうしても技術の進化に追いつけないのです。新しいAI技術が世に出てから国が法規制を整備するまでには、数年単位の時間がかかります。生成AIが2022年末に爆発的に普及し始めてから、まだ包括的な法規制はほとんどの国で整備途上です。日本政府が2024年4月にまとめた「AI事業者ガイドライン」も、まさにこの「法律だけでは間に合わない」という課題意識から生まれました。

では、法律が追いつくまでの間、企業はどうすればよいのでしょうか。答えは「待たない」ことです。国のルールが固まるのを座して待つのではなく、自社の中に柔軟な対応力を備えておく。変化に強い会社を作る。そのための考え方が、本記事のテーマである「アジャイル・ガバナンス」です。

アジャイル・ガバナンスとは、事前に決めた固定ルールだけに頼らず、環境の変化を察知しながら継続的にルールを見直し続ける統治の仕組みです。

この考え方はAI事業者ガイドラインの中核的な思想であり、中小企業にとっても非常に実践しやすい枠組みです。この記事では、アジャイル・ガバナンスの5つのサイクルを中小企業の経営改善活動になぞらえて解説し、明日からの自社の取り組みに落とし込めるようお伝えしていきます。

なぜ「固定ルール」だけでは通用しないのか

「うちはAIの利用規程をしっかり作った。もう大丈夫だろう」——そう考える経営者の方は少なくありません。もちろん、利用規程を作ること自体は素晴らしい第一歩です。しかし、その規程が「一度作ったら棚に置いておくだけ」になっていないでしょうか。

AIの世界では、半年前の常識が半年後には通用しなくなることが珍しくありません。たとえば、2023年の時点では「社内文書をAIに読み込ませる」という使い方はセキュリティ上のリスクが大きいとされていました。しかし2025年になると、社内専用の環境で安全にAIを使えるサービスが主流になり、むしろ「社内文書をAIに読み込ませないのは生産性の損失」という認識に変わっています。もし2023年時点の「AIに社内文書を読ませてはいけない」というルールをそのまま運用し続けていたら、競合他社に大きく差をつけられてしまう可能性があります。

AI事業者ガイドラインが「アジャイル・ガバナンス」を強く推奨している背景には、こうした技術変化の速さがあります。事前に固定されたルールでは対応しきれない。だからこそ、継続的かつ高速に改善サイクルを回す必要があるのです。

従来型の法規制は「こういう行為は禁止」「こういう場合は許可制」という形で、行為の外縁を固定的に定めます。これは自動車の交通法規のように技術変化が緩やかな分野では有効ですが、AIのように半年単位で技術水準が変わる分野では、ルールが現実と乖離するリスクが高くなります。アジャイル・ガバナンスは、この乖離を最小限に抑えるための仕組みなのです。

アジャイル・ガバナンスの5つのサイクル——PDCAに例えて理解する

AI事業者ガイドラインでは、アジャイル・ガバナンスを5つのステップで構成される継続的なサイクルとして描いています。これは、多くの経営者の方が馴染みのあるPDCA(Plan-Do-Check-Act)サイクルと非常によく似た構造です。

第1ステップ:環境・リスク分析(PDCAの「Plan」の前段階)

最初のステップは、自社を取り巻く環境を見渡すことです。AIがもたらす便益とリスク、外部環境の変化を分析します。

PDCAでいえば「Plan」の前段階にあたります。計画を立てる前に、まず現状を正確に把握する。「そもそも自社にとってAIは脅威なのか機会なのか」「顧客はAIについてどう感じているのか」「同業他社はどの程度AIを活用しているのか」——こうした問いに答えることが第一歩です。

中小企業であれば、たとえば月に一度、経営者と主要メンバーで30分の「AI動向確認ミーティング」を行い、業界ニュースやAI関連の話題を共有するだけでも立派な環境分析になります。大規模な調査レポートを作る必要はありません。大切なのは、定期的に外の変化に目を向ける習慣を作ることです。

第2ステップ:ゴール設定(PDCAの「Plan」)

環境分析をもとに、AIガバナンスのゴールを設定します。ここで重要なのは、経営上のゴール(理念)と整合する「AIガバナンス・ゴール」を設定することです。

「AIを使って何を達成したいのか」を経営の言葉で表現するのがこのステップです。「AIで売上を20%上げる」は事業目標であり、AIガバナンスのゴールではありません。ガバナンスのゴールとは、たとえば「お客様の個人情報を安全に守りながらAIを活用する」「従業員がAIを安心して使える環境を整える」「AIの判断結果を人間が必ず確認できる仕組みを維持する」といった、AI活用における「守るべき価値観」を言語化したものです。

経営理念が「地域に根ざした信頼の経営」であれば、AIガバナンスのゴールは「AIの活用においても地域のお客様との信頼関係を損なわないこと」になるでしょう。このように、自社の理念とAIガバナンスの方針を結びつけることで、具体的な場面での判断基準が明確になります。

第3ステップ:システムデザイン(PDCAの「Do」の準備段階)

ゴールが決まったら、それを達成するための仕組みを具体的に設計し、透明性を確保します。

ここでの「システム」は、必ずしもITシステムだけを指すのではありません。ルール、運用手順、チェック体制、教育プログラムなど、ガバナンスを実現するためのあらゆる仕組みを含みます。

たとえば、「お客様の問い合わせにAIチャットボットで一次対応する」というAI活用を始める場合、以下のような仕組みが考えられます。チャットボットが回答に自信がないときは人間のオペレーターに引き継ぐルールを作る。お客様には「AIが一次対応しています」と明示する。月に一度、チャットボットの回答ログを確認して誤った回答がないかチェックする。こうした運用ルールの全体像を設計し、社内に公開して透明性を確保するのがこのステップです。

第4ステップ:運用と評価(PDCAの「Check」「Act」)

設計した仕組みを実際に運用し、継続的にモニタリング・評価して改善を実施します。PDCAでいう「Check」と「Act」を一体的に行う段階です。

大切なのは、「問題が起きてから対処する」のではなく、「問題が起きていないかを定期的に確認する」という姿勢です。先ほどのチャットボットの例であれば、月次のログレビューで「AIの回答精度が先月は92%だったが今月は87%に下がった」という変化を捉え、原因を調べて対処する。あるいは、「お客様から『AIの回答がわかりにくい』という声が増えた」という定性的な情報も重要な評価材料です。

このステップで得られた評価結果が、次のサイクルの出発点になります。

第5ステップ:外部環境への対応(サイクルの始点に戻る)

規制等の変化を踏まえ、再び環境分析に立ち返り、ゴールを見直すステップです。

これは、PDCAサイクルが一周して再び「Plan」に戻ることに相当します。ただし、単なる繰り返しではありません。前回のサイクルで得られた知見と、外部環境の新たな変化を踏まえて、より精度の高い分析とゴール設定ができるようになっています。

たとえば、業界団体が新しいAI利用に関する自主基準を発表したとします。あるいは、競合他社がAIを活用した新サービスをリリースしたかもしれません。そうした外部の動きを自社のガバナンス・サイクルに取り込み、必要に応じてゴールや仕組みを修正するのです。

この5つのステップを何度も回すことで、企業のAIガバナンスは螺旋階段のように少しずつ成熟していきます。最初は粗くても構いません。回すことに意味があるのです。

経営層の責務——ルール作りを現場任せにしない

アジャイル・ガバナンスの5つのサイクルを見て、「これは情報システム部やDX推進担当にやらせればよいのでは」と思われた経営者の方がいるかもしれません。しかし、AI事業者ガイドラインは明確に「経営層のリーダーシップ」の重要性を指摘しています。

なぜ、AIガバナンスは経営者自身がリードすべきなのでしょうか。理由は三つあります。

一つ目は、AIの活用は経営判断そのものだからです。AIをどの業務に導入するか、どこまでAIに判断を委ねるか、AIの誤りで損害が出たら誰が責任を取るか——これらはすべて経営判断です。現場のエンジニアや担当者に「良きに計らえ」では済まされません。

二つ目は、部門横断的な調整が必要だからです。AIの導入は、営業、製造、管理、顧客対応など複数の部門にまたがります。部門間の利害を調整し、全社的な方針を決められるのは経営者だけです。

三つ目は、ゴール設定には経営理念との整合が不可欠だからです。先述のとおり、AIガバナンスのゴールは経営理念と結びついている必要があります。理念を最もよく理解しているのは経営者自身です。

もちろん、経営者がすべてを一人でやる必要はありません。具体的な運用ルールの作成や技術的な検証は専門の担当者に任せてよいのです。しかし、ゴールの設定と大きな方向性の決定は、経営者が自らの言葉で行うべきです。

経営者がAIガバナンスに関心を示し、社内に向けて「うちはAIをこう使う」「こういう使い方はしない」という方針を明確に発信すること。それ自体が、組織全体のガバナンスの質を大きく高めます。

京谷商会の例を挙げれば、当社はAIスタッフ体制を構築して日常業務に活用していますが、その運用方針は経営者自身が設計の方向性を示し、どの業務にAIを活用するか、AIの判断をどの段階で人間が確認するかを経営レベルで決定しています。大阪府太子町の小さな企業であっても、経営者が主導してAIガバナンスを形にできる好例です。

中小企業がアジャイル・ガバナンスを実践するために

「5つのサイクルの理論はわかった。でも、中小企業で実際にやるにはどうすればいいのか」という疑問にお答えします。

大企業のようにガバナンス専門の部署を設ける必要はありません。中小企業ならではのフットワークの軽さを生かして、小さく始めることがむしろ有利に働きます。

まず、環境分析とゴール設定は、経営者と数名のキーパーソンが月に一度集まって話し合う場を設けるだけで十分です。議事録はシンプルなメモでよいので、「今月のAI関連の動き」「自社への影響」「次にやること」の三項目を記録します。

次に、システムデザインは最初から完璧を目指さないことです。たとえば「社員がAIツールを使うときは、個人情報を入力しない」「AIが出した文章は必ず人間が確認してからお客様に送る」といったシンプルなルールから始めて、運用しながら必要に応じて追加していくほうが現実的です。

運用と評価は、四半期に一度、「AIに関するヒヤリハット」を振り返る場を設けるとよいでしょう。「AIが出した数値が間違っていて、危うくお客様に誤った見積もりを送るところだった」というような事例を共有し、ルールの改善につなげます。

外部環境への対応は、業界団体の動向や、このAI事業者ガイドライン自体の更新をチェックする担当者を一人決めておくだけで対応できます。

ポイントは、最初から「100点のガバナンス体制」を作ろうとしないことです。60点でスタートして、サイクルを回しながら70点、80点と上げていく。その「回す」こと自体が、アジャイル・ガバナンスの本質なのです。

「生きた文書」としてのガイドライン——Living Documentという考え方

アジャイル・ガバナンスの考え方は、AI事業者ガイドラインの文書そのものにも反映されています。このガイドラインは「Living Document」として策定されています。

Living Documentとは、「一度完成したら終わり」ではなく、状況の変化に応じて継続的に更新される「生きた文書」のことです。法律のように改正に何年もかかる硬直的な文書ではなく、技術や社会の変化に柔軟に追従できるように設計されています。

これは、企業のAIガバナンスにとって大きな安心材料です。「国が出したガイドラインだから、一字一句そのまま守り続けなければならない」と構える必要はありません。ガイドライン自体が変わるのですから、企業もそれに合わせて自社の方針を調整すればよいのです。

むしろ注意すべきは、「一度読んだから知っている」という思い込みです。Living Documentである以上、定期的にガイドラインの更新を確認する習慣が必要です。といっても、ガイドラインの全文を毎月読み返す必要はありません。経済産業省のAIガバナンスに関するページをブックマークしておき、四半期に一度アクセスして更新がないか確認する程度で十分です。

経済産業省は「生成AI時代のDX推進に必要な人材・スキルの考え方2024」の中でも、AI活用における組織体制や人材育成の考え方を示しています。こうした関連文書もLiving Documentとしての性質を持っており、社会環境の変化に応じてアップデートされていきます。

このLiving Documentの思想と、アジャイル・ガバナンスの5つのサイクルは表裏一体です。社会全体のルール(ガイドライン)も企業のルール(社内ガバナンス)も、どちらも「変化し続けるもの」として設計されている。変化に対応し続ける力こそが、AI時代の競争力の源泉になるのです。

マルチステークホルダーの視点——自社だけでは完結しない

アジャイル・ガバナンスを語るうえで欠かせないのが、「マルチステークホルダー」という視点です。

AIの影響は一つの企業の中だけにとどまりません。お客様、取引先、従業員、地域社会、そして将来のユーザーまで、さまざまな関係者(ステークホルダー)に及びます。アジャイル・ガバナンスでは、これらの多様な利害関係者の声を取り入れながらルールを作り、見直していくことが求められています。

中小企業にとって、これは実は得意分野ではないでしょうか。大企業に比べて経営者と顧客の距離が近く、取引先との関係も密接です。「お客様がAIの対応に不安を感じていないか」を直接聞ける立場にあるのは、中小企業の強みです。

たとえば、AIチャットボットを導入した後に、常連のお客様から「人間と話したいときもあるのよ」と言われたとします。これは貴重なステークホルダーの声です。この声をガバナンス・サイクルに取り込み、「AIと人間をお客様が選べるようにする」というルール改善につなげる。こうした小さな対話と改善の積み重ねが、マルチステークホルダー型のアジャイル・ガバナンスの実践です。

用語集

本記事で登場した重要用語を整理しておきます。

アジャイル・ガバナンス

事前に固定したルールだけに頼らず、環境の変化を継続的に分析しながら、ゴール設定・仕組み設計・運用評価・環境対応のサイクルを高速に回すことで、統治の質を高め続ける枠組み。もともとはソフトウェア開発の「アジャイル」手法から派生した概念で、AI事業者ガイドラインでは中核的な統治思想として位置づけられています。

マルチステークホルダー

政策やルールの策定において、政府・企業・市民社会・技術者・学術界など、複数の異なる立場の関係者が対等に参画する枠組み。AIガバナンスにおいては、AI開発者・提供者・利用者だけでなく、AIの影響を受ける一般市民や消費者の声も反映させることが重要とされています。

Living Document

策定後も社会環境や技術の変化に応じて継続的に更新される「生きた文書」。AI事業者ガイドライン自体がLiving Documentとして策定されており、内容が固定されたものではなく、必要に応じて改訂されます。企業が自社のAI方針を策定する際も、このLiving Documentの考え方を取り入れ、定期的に見直すことが推奨されています。

参考資料

まとめ——変化に強い会社を、今日から作り始めよう

アジャイル・ガバナンスは、一言でいえば「変化に強い会社を作るための仕組み」です。AI事業者ガイドラインが示す5つのサイクル——環境分析、ゴール設定、システムデザイン、運用と評価、外部環境への対応——は、多くの経営者が日常的に行っている経営改善活動と本質的には同じです。

大切なのは、完璧を目指すことではなく、サイクルを回し始めること。そして、そのサイクルを経営者自身がリードすること。中小企業のフットワークの軽さは、アジャイル・ガバナンスと非常に相性がよいのです。

次回の第4回では、AIビジネスにおける「3つの立場」——AI開発者・AI提供者AI利用者——について解説します。あなたの会社はどの立場に該当するのか、そして立場ごとにどのような責任があるのかを明らかにしていきます。

この連載の記事一覧