見えないリスクを踏む前に｜コンプライアンス担当田中の軌跡#5

   AI活用の波に乗る企業が直面する「法の死角」――田中が動いた。
    LN製造株式会社のAI規制対応とMLex導入事例

「知らなかった」が許されない時代。法改正の頻度と複雑さが増す中、LN製造株式会社のコンプライアンス担当・田中（仮名）は、全社の法令対応に立ちはだかる“見えないリスク”と日々向き合ってきた。これは、現場任せの限界に気づいた一人の担当者が組織を動かし、仕組みを構築するまでの軌跡である。
<<第一回はこちら         <<第二回はこちら　　<<第三回はこちら       <<第四回はこちら

■ プロローグ：午後3時の急訪

「田中さん、今少しだけよろしいですか」

声がした方向に顔を上げると、情報セキュリティ部の三島が立っていた。眉間にわずかに皺を寄せ、表情には普段の落ち着きがない。

「どうぞ」

三島は椅子を引き寄せ、声を潜めるようにして座った。

「実は……少し判断に困っていることがあって」

田中は静かにペンを置いた。セキュリティ部の三島が法務部に相談に来るのは、珍しいことではない。だが、この空気感は違う。何か大きな問題の予兆がする。

■ 発覚：AIが生んだ、見えないリスク

「うちの会社、今AI活用をどんどん進めているじゃないですか」

田中は頷いた。LN製造株式会社は半年前から「AI推進プロジェクト」を始動させ、業務効率化のため生成AIの社内活用を積極的に推進していた。営業資料の自動作成、仕様書作成、レポートの要約、社内FAQのチャットボット化――各部署が競うように導入を進めている。

「先週、開発部門でAIツールを使って社内システムの改善作業をしていたんですが……」

三島が資料をテーブルに置いた。

「作業の過程で、取引先から受け取った技術仕様書をAIに読み込ませていたことがわかりました。契約上は社外秘扱いの資料です」

田中の手が止まった。

「それは……AIのサービス提供会社のサーバーに送信されている可能性がある、ということですか」

「そうなんです。利用規約を確認したら、入力データがモデルの学習に使われる場合があると書いてあって。取引先との秘密保持契約に抵触するかどうか、判断がつかなくて」

田中は資料を手に取る。秘密保持契約の条文、AIサービスの利用規約、開発部門の作業記録――それらを照らし合わせると、リスクは現実として浮かび上がった。

「これ、取引先に報告が必要になるかもしれません」

三島の顔が青ざめた。

田中の胸に、重い確信が宿った。

これは、氷山の一角ではないか。

■ 深淵：広がる「知らなかった」のリスク

翌日、田中は社内のAI活用状況を改めて調べ始めた。プロジェクト推進室から内部資料を入手し、各部署へのヒアリングを実施する。

浮かび上がってきた実態は、想像以上に複雑だった。

中国の拠点では、顧客データの分析にAIを活用していた。日本本社に分析結果を送る過程で、個人情報を含む元データが国境を越えて転送されている。中国の個人情報保護法では、越境データ転送に事前の当局届出や本人同意が求められているが、必要な手続きや条件を、整理・確認できていなかった。

北米の営業部門では、新規事業の一環として、顧客対応チャットボットとしてAIを導入していた。米国では現在、複数の州でチャットボット規制法案が急速に立法化の段階に入っている。しかし北米拠点からは「法案は知っているが、どの州法が何をいつから適用されるかわからない」という声が上がっていた。

人事部では、採用候補者のスクリーニングにAIを活用していた。応募書類の評価を自動化しているが、そのアルゴリズムが特定の属性を持つ候補者を不当に排除していないか、EU AI Actの高リスクAIシステムに該当しないか、誰も確認していない。

田中はメモを閉じ、天井を見つめた。

一つの部署の一つのミスではない。AIを取り巻く法規制は、個人情報保護法、秘密保持義務、競争法、労働法など、複数の法域にまたがっている。しかも、それは日本国内だけの話ではない。

LN製造は現在、EU、米国、アジア各国に拠点を展開している。各国・各地域で、AI規制の議論は急速に進んでいた。

田中の中で、嫌な予感が確信に変わった。

「仕組みは増えた。ルールは追いついていない」

誰もその手続きを踏んでいなかった。

■ 核心：セキュリティ部門の限界

三日後。田中は再び三島と向き合っていた。今度は田中から呼び出した。

「改めてお聞きしますが、AI規制のグローバルモニタリング、セキュリティ部門では現在どのようにされていますか」

三島は苦渋の表情を浮かべた。

「……正直に言うと、できていません。国内の法令改正は一応チェックしていますが、グローバルの動向は手が回らなくて」

「具体的には？」

「EU、米国、アジア各国の規制情報を網羅的に追うとなると、英語・中国語・ベトナム語……言語の壁だけじゃない。監督官庁も、データ保護当局、競争法当局、AI専門機関と国ごとに分散していて。どこを見ればいいか、正直わからないんです。米国なんて、連邦法がない分だけ州ごとの動向を個別に追わないといけない。それだけで何十カ所もある」

田中は深く頷いた。三島の言葉は正確だった。AI法規制のモニタリングが難しいのは、法分野が複数にまたがり、監督官庁が国ごとに異なり、言語も情報量も膨大だからだ。セキュリティ部門が単独で対処できる問題ではない。

「それは、セキュリティの問題ではなく、もはやコンプライアンスの問題です」

田中は静かに、しかし確固たる口調で言った。三島がほっとしたような、それでいて申し訳なさそうな表情を浮かべた。

「田中さんなら、何か手があると思って……」

田中は椅子の背に体を預けた。視線はすでに前を向いていた。

■ 選択：グローバルな「目」を持つ

田中がレクシスネクシス・ジャパンの担当者に連絡を取ったのは、その翌朝のことだった。

法改正対応で「業務規程コネクト」を導入した際に知己を得た担当者だ。あの時と同じく、革靴は丁寧に磨かれていた。

「AI規制のグローバルモニタリング、という課題で相談があります」

田中が状況を説明すると、担当者は静かに話を聞き、タブレットを開いた。

「それは多くの日本企業が直面している課題ですAI法規制は、国ごとに異なる監督官庁、異なる法分野、異なる言語が絡み合っている。従来の方法では追いきれない」

「そこで、ご提案したいのが『MLex』です」

担当者が画面を見せた｡

MLexは、世界160カ国以上をカバーする法規制・摘発情報の配信サービスだ。70名以上の専属記者が、独占禁止法、データプライバシー、AI規制など11分野にわたって、リアルタイムで情報を収集・分析している。

田中は画面に目を凝らした。

日本のAI基本法制定の動向、EUのAI Act施行に向けた各国の動き、韓国でのAI基本法改正、米国複数州でのチャットボット規制法案の進展等……これほどの情報が、一つのプラットフォームで横断的に確認できる。

「AIに関する法分野も網羅されているんですね」

「はい。独占禁止法、AI、データプライバシー、知的財産、製造物責任――AIが絡む法的リスクは多岐にわたります。MLexのAIモジュールは、これらを横断的にカバーしています。」

田中の脳内で、ピースが合わさる音がした。

「三島さんが言っていた『どこを見ればいいかわからない』という問題が、これで解決できる」

担当者は静かに頷いた。

「情報があれば、動ける。情報がなければ、動けない。」

■ 説得：CFO室の15分

翌朝9時。田中はCFO・坂本の執務室のドアを叩いた。秘書に頼み込み時間を確保してもらった｡

坂本は手元の書類から顔を上げ、眼鏡越しに田中を見た。

「コンプライアンスが直接来るとは。。。何かあったのでしょうか」

田中は資料を広げた。A3一枚にまとめられている。

「CFO、今すぐ判断をいただきたいことがあります」

坂本の目が細くなった。

「現在、当社のAI推進プロジェクトに伴い、複数の法的リスクが同時進行しています。開発部門でのAI入力データに関する秘密保持問題、中国拠点での個人情報越境転送の確認問題、北米チャットボットへの各州AI規制の適用問題、そして採用AIへのEU AI Act高リスク分類の問題です」

坂本が資料に目を落とす。

「これらはいずれも、今すぐ法令違反が確定しているわけではありません。しかし、何も手を打たずに放置すれば、今年度以内に顕在化するリスクがある」

「根拠は？」

「EUのAI Actは段階的施行が進んでいます。米国では現在、複数の州でチャットボット規制が立法上の重要なハードルを通過しつつある。中国の越境データ規制は当局の摘発事例が増加しています。これらの動向を、現在当社は組織的にモニタリングする手段を持っていません」

坂本が静かに資料を置いた。

「解決策は？どれだけのリスクとコストが下がると想定されますか？」

田中はコストと効果の比較表を指した。

「グローバル法規制モニタリングサービスの導入です。EUのAI Act違反の場合、制裁金は膨大です。中国での個人情報保護法違反による業務停止リスク、米国での訴訟対応コストを考えると桁が違います」

沈黙が落ちた。坂本は窓の外を一瞬見てから、田中に視線を戻した。

「わかりました。稟議をあげてください。」

田中は立ち上がり、深く頭を下げた。執務室を出ると、廊下の空気が、なぜか冷たく頬に当たった。

心臓がまだ速く打っていた。だが、手は震えていなかった。

■ 導入：静かなる革命

MLex導入から一カ月後。

田中はコンプライアンス部門と情報セキュリティ部門の合同会議を設けた。モニタリングから得た情報をどう社内に展開するか、仕組みを作るためだ。

「米国のカリフォルニア州で、それぞれチャットボット規制に関連する法案が重要な立法上のハードルを通過しました。当社の北米営業支援AIへの影響を確認する必要があります」

三島が画面を見ながら言った。

「今まで、こういう情報ってどこから取ってたんですか？」

「属人的な情報収集に頼っていたため、取りきれていなかった、が正確なところです」

田中は静かに答えた。

「情報がない状態で対応するのと、情報がある状態で先手を打つのでは、企業リスクの水準がまったく違う。MLexはその差を埋めるものです」

その後、コンプライアンス部門はMLexのアラート機能を活用し、関連法分野・対象国・コンテンツタイプを絞り込んだモニタリング体制を構築した。新しい規制動向が入るたびにアラートが届き、田中のチームが内容を解析して各部署に展開する。

開発部には、AIツールへの社外秘資料入力を禁止する社内規程と、入力データの分類基準が整備された。

中国拠点には、個人情報越境転送の法的根拠を整備するためのタスクフォースが組まれた。現地弁護士との連携も始まった。

■ 成長：田中の覚悟

三カ月後。三島が田中のデスクに来た。

「田中さん、また新しい情報が入りました。インドでAI関連の動きがあるようです。当社のインド向けサービスに影響が出るかもしれません」

田中はMLexの画面を確認する。記事は既に届いていた。インドの規制当局の公式声明、専門記者による解説。

「インド拠点のシステム担当と既に確認中です。対応方針を週内に出します」

三島は少し安堵した表情で頷いた。

「田中さんが動いてくれるようになってから、本当に助かっています。以前は情報がなくて、何が起きているかもわからない不安があった。今は、知らなかったでは済まない状況を、知った上でコントロールできている感じがします」

田中は静かに微笑んだ。

その夜、田中は一人オフィスに残り、報告書をまとめた。こう書いた。

「AIの活用推進と法令遵守は、矛盾しない。しかし、情報なき推進は地図のない道を歩くに等しい。正確な情報を持ち、先手を打つこと―それがコンプライアンスの本質である」

■ エピローグ

翌春。LN製造のAI推進プロジェクトは、コンプライアンス部門との連携体制が整った上で、さらに加速していた。

各部署からは「何でも試してみよう」という空気ではなく、「正しく使おう」という意識が生まれていた。それは、ルールで縛られた萎縮ではなく、情報に裏打ちされた自信だった。

窓の外、東京の空には薄い雲が流れていた。その向こうで、世界中の規制当局が今日も動いている。リスクは増え続ける。だが、田中には今、その地図がある。

コンプライアンス担当・田中の挑戦は、まだ続く。