AIを「使わせる」から「治める」へ——メルカリのAIガバナンスが示す次のステージ

「全員が使う」前提が崩した、これまでのリスク管理の常識

生成AIを業務で使うことは、すでに「例外」ではなく「前提」になりつつある。だが、多くの企業が直面しているのは、AIを導入した後の問題だ。ツールを与えれば価値が生まれるわけではなく、むしろ誰がどのようにAIを使っているかを把握・管理できなければ、リスクが静かに膨らんでいく。「シャドーAI」——会社が把握していない形でAIが業務利用される現象——はその典型例として指摘されており、推進と統制のバランスをどう取るかが、AI活用の本質的な問いとして浮かび上がっている。

「AI-Native Company」を宣言したメルカリが直面したこと

メルカリはAIをフル活用する「AI-Native Company」への転換を宣言し、積極的なAI活用を推進している企業の一つだ。だが、AI活用を組織全体に広げようとしたとき、単に「使っていい」と言うだけでは不十分であることが明らかになった。ビジネス価値をAIからどう引き出すかという攻めの視点と同時に、シャドーAIのようなリスクをどう抑えるかという守りの視点が、不可分なものとして求められるようになったのだ。

こうした状況を受けてメルカリが取り組んだのが、AIガバナンスの整備だ。AIガバナンスとは、組織内でのAI利用に関するルール・方針・管理体制の総体を指す。何を使ってよいか、どのような情報を入力してはいけないか、誰がその判断をするか——これらを明文化し、組織として運用できる形にすることが求められる。

シャドーAIはなぜ起きるのか、そして何が怖いのか

シャドーAIが生じる背景には、現場の切実さがある。業務効率を上げたい、問題を素早く解決したい——そのためにAIを使うこと自体は合理的な判断だ。しかし、会社が把握していないツールやサービスを通じてAIが利用された場合、機密情報や個人情報が意図せず外部に渡るリスクが生まれる。さらに、AIが生成したアウトプットの品質や正確性をだれも確認していない状態で意思決定に使われてしまう可能性もある。

問題は、禁止すれば解決するわけではないことだ。現場のニーズを無視した規制は、むしろ隠れた利用を助長する。メルカリのような先行企業が取り組んでいるのは、「禁止か許可か」という二項対立を超えて、適切に使える環境と判断基準を整備することだ。

日本企業がAIガバナンスを整備するうえで問われること

メルカリの取り組みは、日本国内でAI活用を本格化させようとしている企業にとっていくつかの示唆を持つ。第一に、AIガバナンスは「使わせないためのルール」ではなく、「正しく使うための設計」として位置づける必要があるという点だ。規制色が強すぎると、現場のAI活用が停滞し、競争力の低下につながりかねない。

第二に、ガバナンスの整備は一度きりの作業ではないという点だ。生成AIのツールや能力は急速に変化しており、今年通用したルールが来年には時代遅れになる可能性がある。参照記事の表現を借りれば、この1年はまさに「AI戦国時代」であり、状況の変化に合わせてガバナンスを継続的に見直す体制そのものが必要になる。

第三に、ガバナンスはIT部門だけが担うものではないという認識だ。どの情報をAIに入力してよいか、AIのアウトプットをどこまで信頼するかは、法務・コンプライアンス・各事業部門が連携して判断すべき問題を含んでいる。

「まだガバナンスを整備していない」企業はいつ動けばよいか

AIガバナンスの整備は、AI活用が一定規模に達してから考えるものではない。シャドーAIはすでに多くの組織で起きている可能性があり、把握できていないこと自体がリスクだ。一方で、完璧なガバナンスを整えてからAIを使い始めるという発想も現実的ではない。ツールの進化スピードがそれを許さないからだ。

現実的なアプローチは、「まず最低限の方針を明文化し、実態を可視化しながら段階的に精緻化する」ことだろう。メルカリの事例は、AIを積極活用しながらガバナンスを同時並行で育てていくという姿勢を示している点で参考になる。ただし、メルカリと同様のスピードや体制が自社に当てはまるかどうかは、組織の規模・業種・既存のコンプライアンス体制によって大きく異なる。先行事例を「そのままコピーする」ではなく、「問いを借りる」姿勢で活用することが重要だ。

AIを「使う」フェーズから「治める」フェーズへの移行——それが今、多くの日本企業に問われている判断の中心にある。メルカリの取り組みが示しているのは、その移行に正解があるわけではなく、問い続けること自体を組織の能力として育てる必要があるという現実だ。

本記事は公開情報をもとに、NEWGATA編集部で確認のうえ掲載しています。